第二章 操作系统安全配置(10-5-24)

第二章操作系统安全配置2 1操作系统的安全问题2 2windows操作系统的安全防范措施2 3操作系统安全配置实验 2 1操作系统的安全问题 计算机操作系统是计算机系统配置中最重要的软件 操作系统安全是系统安全的基础 上层软件要获得运行的可靠性和信息的完整性 保密性 必须依赖于操作系统提供的系统软件基础 在网络环境中 网络安全性依赖于网络中各主机的安全性 而主机的安全性是由其操作系统的安全性所决定的 操作系统概述 1通常计算机由两部分组成 硬件和软件 操作系统是系统软件中最基本的部分 主要作用是 管理系统资源 共享系统资源 对资源合理调度 提供输入输出的便利 简化用户工作 规定用户接口 发现并处理各种错误的发生 全球操作系统分布统计列表 TCSEC 可信计算机系统安全等级 几种操作系统的安全等级 操作系统的安全服务 操作系统的安全机制主要体现在身份认证和访问控制两个方面 身份认证是要保护合法的用户使用系统 防止非法侵入 访问控制是要保证授权和受控的访问 使用系统资源 一个用户或者用户的进程在访问系统资源之前 必须要先经过正确的认证 然后再根据自己的授权情况 使用系统资源 操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作 客体 操作系统中任何存有数据的东西 例如文件程序 内存 管道 物理介质等 主体 用户或者代表用户进行操作的进程 主体对客体的访问策略是通过可信计算基 TCB 来实现的 可信计算基是系统安全的基础 正是基于该TCB 通过安全策略的实施控制主体对客体的存取 达到对客体的保护 安全策略描述的是人们如何存取文件或其他信息 一般所说的操作系统的安全通常包含两个方面内容 1 操作系统在设计时通过权限访问控制 信息加密性保护 完整性鉴定等机制实现的安全 2 操作系统在使用中 通过一系列的配置 保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素 访问控制技术 计算机信息系统访问控制技术最早产生于上个世纪60年代 随后出现了两种重要的访问控制技术 即自主访问控制DAC和强制访问控制MAC 在计算机系统中 认证 访问控制和审计共同建立了保护系统安全的基础 如图2 1所示 其中认证是用户进入系统的第一道防线 访问控制则在鉴别用户的合法身份后 通过引用监控器控制用户对数据信息的访问 审计通过监视和记录系统中相关的活动 起到事后分析的作用 说明 正确的建立用户的身份标识是由认证服务实现的 在通过引用监控器进行访问控制时 总是假定用户的身份已经被确认 而且访问控制在很大程度上依赖用户身份的正确鉴别和引用控制器的正确控制 访问控制不能作为一个完整的策略来解决系统安全 它必须结合审计实行 审计控制主要关注系统所有用户的请求和活动的事后分析 有助于分析系统中用户的行为活动来发现可能的安全破坏 另一方面 通过跟踪记录用户请求而在一定程度上起到威慑作用 使用户不敢进行非法尝试 所谓访问控制 AccessControl 就是通过某种途径显式地准许或限制访问能力及范围的一种方法 通过访问控制服务 可以限制对关键资源的访问 防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏 访问控制是实现数据保密性和完整性机制的主要手段 在访问控制系统中 区别主体与客体是比较重要的 通常主体发起对客体的操作将由系统的授权来决定 并且 一个主体为了完成任务可以创建另外的主体 并由父主体控制子主体 此外 主体与客体的关系是相对的 当一个主体受到另一主体的访问 成为访问目标时 该主体便成了客体 访问控制规定了哪些主体可以访问 以及访问权限的大小 其一般原理如图2 2所示 在主体和客体之间加入的访问控制实施模块 主要用来负责控制主体对客体的访问 其中 访问控制决策功能块是访问控制实施功能中最主要的部分 它根据访问控制信息作出是否允许主体操作的决定 这里访问控制信息可以存放在数据库 数据文件中 也可以选择其它存储方法 且要视访问控制信息的多少及安全敏感度而定 其原理如图2 3所示 1 自主访问控制DACDAC是目前计算机系统中实现最多的访问控制机制 它是在确认主体身份以及 或 它们所属组的基础上对访问进行限定的一种方法 传统的DAC最早出现在上个世纪70年代初期的分时系统中 它是多用户环境下最常用的一种访问控制技术 在目前流行的Unix类操作系统中被普遍采用 其基本思想是 允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型 2 强制访问控制MAC及其发展MAC最早出现在Multics系统中 在1983美国国防部的TESEC中被用作为B级安全系统的主要评价标准之一 MAC的基本思想是 每个主体都有既定的安全属性 每个客体也都有既定安全属性 主体对客体是否能执行特定的操作取决于两者安全属性之间的关系 通常所说的MAC主要是指TESEC中的MAC 它主要用来描述美国军用计算机系统环境下的多级安全策略 在多级安全策略中 安全属性用二元组 安全级 类别集合 表示 安全级表示机密程度 类别集合表示部门或组织的集合 3 新型访问控制技术 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 处于内核模式 监视用户模式中的应用程序代码发出的资源访问请求并进行检查 所有的安全访问控制应用于所有的安全主体 securityprinciple SRM 安全参考监视器 Windows安全主体 用户用户组计算机 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全攻击实例分析 帐户安全文件系统安全其他信息安全 帐户是一种参考上下文 操作系统在这个上下文描述符运行它的大部分代码 换一种说法 所有的用户模式代码在一个用户帐户的上下文中运行 即使是那些在任何人都没有登录之前就运行的代码 例如服务 也是运行在一个帐户 特殊的本地系统账户SYSTEM 的上下文中的 用户帐户 如果用户使用帐户凭据 用户名和口令 成功通过了登录认证 之后他执行的所有命令都具有该用户的权限 于是 执行代码所进行的操作只受限于运行它的帐户所具有的权限 恶意黑客的目标就是以尽可能高的权限运行代码 那么 黑客首先需要 变成 具有最高权限的帐户 Windows内建帐户 组是用户帐户集合的一种容器 Windows2000具有一些内建的组 它们是预定义的用户容器 也具有不同级别的权限 放到一个组中的所有帐户都会继承这些权限 最简单的一个例子是本地的Administrators组 放到该组中的用户帐户具有本地计算机的全部权限 组 Windows内建组 Windows特殊组 SAM 安全账户管理器 SAM SecurityAccountsManager 负责保存用户帐户名称和口令信息 SAM是组成注册表的5个配置单元之一 口令在SAM中通过单向函数 One wayFunction OWF 加密 SAM文件存放在 systemroot system32 config sam 在域服务器中 SAM文件存放在活动目录中 默认地址 system32 ntds ntds dit SID 帐户在系统中以48位安全标识符 SecurityIdentifier SID 存储 S 1 5 21 616591798 1458192993 2212558086 1005 标识符 编号 相对标识符 RID RelativeIdentifier RID 颁发机构 5代表Windows2000 子颁发机构 登录系统 服务器向客户端发出一个随机值 质询 客户端使用用户口令的散列对它进行加密散列函数运算 并将这个新计算出的值 应答 传回服务器 服务器从本地SAM或活动目录中取出用户的散列 对刚发送的质询进行散列运算 并将结果与客户端的应答相比较 于是 在WindowsNT 2000认证过程中 没有口令通过网络传输 即使是以加密的形式也没有 登录系统 NTLM 登录系统 NTLM 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 帐户安全文件系统安全其他信息安全 Windows支持的文件系统 NTFS NTFileSystem 特点 NTFS文件系统称为卷 簇是基本的分配单位 由连续的扇区组成 NTFS卷可以位于一个硬盘分区上 也可以位于多个硬盘上 NTFS文件系统根据卷的大小决定簇的大小 1簇等于1 128个扇区 NTFS NTFileSystem NTFS安全性 文件和目录的权限 只有用户被赋予权限或者属于拥有权限的组才能对文件或目录进行操作 权限积累原则 拒绝访问优先 原则 文件权限优先原则 权限继承原则 拥有者 控制原则 文件内容的加密 加密文件系统 EFS EncryptedFilesystem 实现文件的DES加密 Winlogon SRM Test txtDACLREAD 彦清S 1 5 21 WRITE AdminitratorsS 1 5 32 544 Test txt 文件访问权限 文件权限设置方法 文件夹 文件的属性页 安全 文件权限设置方法 文件夹 文件的属性页 安全 左键点击 添加 按钮 文件加密设置方法 文件夹 文件的属性页 常规 文件加密设置方法 文件夹 文件的属性页 常规 左键点击 高级 按钮 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 帐户安全文件系统安全其他信息安全 其他信息安全 注册表安全 NETBIOS安全 注册表 注册表 Registry 是微软公司从Windows95系统开始 至目前最新Win2000系统依然使用的是它 引入用于代替原先Win32系统里 ini文件 管理配置系统运行参数的一个全新的核心数据库 注册表 注册表采用 关键字 及其 键值 来描述登录项及其数据 在注册表编辑器右窗格中 保存的都是键值项数据 这些键值项数据可分为如下三种类型 字符串值 二进制值 DWORD值 注册表 结构 WINDOWS的注册表有五大根键 相当于一个硬盘被分成了五个分区 在 运行 对话框中输入Regedit 然后单击 确定 按钮 则可以运行注册表编辑器 如下页图示 虽然在注册表中 五个根键看上去处于一种并列的地位 彼此毫无关系 但事实上并非如此 注册表 配置界面 开始 运行 注册表 配置界面 开始 运行 注册表 文件 注册表 构造 注册表 安全 NetBIOS NetBIOS 网络基本输入 输出系统 最初由IBM开发 MS利用NetBIOS作为构建LAN的上层协议 NetBIOS使得程序和网络之间有了标准的接口 方便应用程序的开发 并且可以移植到其他的网络中 NetBIOS位于OSI模型的会话层 也位于TCP IP之上 NetBIOS有两种通讯模式 会话模式 一对一通讯 LAN中的机器之间建立会话 可以传输较多的信息 并且可以检查传输错误 数据报模式 广播或者一对多的通讯 传输数据大小受限制 没有错误检查机制 也不必建立通讯会话 NetBIOSoverTCP IP 支持三种服务 名字服务 会话服务 数据报服务 NETBIOS 端口 NetBIOS Nullsession漏洞 Win2000中 nullsession是系统内置的一个功能 Windows的网络资源共享通过445端口和139端口 Null会话是同服务器建立的无信任支持的会话 Null会话也需要提供一个令牌 但是 令牌中不包含用户信息 但是有一个SID 所对应的用户名为AnonymousLogon 在用户列表中能看得到 Null会话的用途 有一些系统功能需要用到nullsession NetBIOS Nullsession漏洞 NullSession的条件通过139端口或者445端口 系统打开IPC 共享 做法 C netuse Ip address IPC u NetBIOS Nullsession漏洞对策 禁止135 139和445端口的使用 禁止SMB服务修改注册表HKLM SYSTEM CurrentControlSet Control LSA中的RestrictAnonymous 2 NetBIOS Nullsession漏洞对策 本地连接的属性页 Internet协议 TCP IP 高级 WINS WINS是名字服务 它是实现NetBIOS名字解析的一种方式 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 安全策略IPSEC协议过滤 防火墙审计 日志其他安全机制 安全策略 帐户安全策略 开始 管理工具 本地安全策略 安全策略 帐户安全策略 安全策略 本地安全策略 安全策略 本地安全策略 安全策略 本地安全策略 安全策略 公钥策略 安全策略 组策略 开始 运行 gpedit msc 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 安全策略IPSEC协议过滤 防火墙审计 日志其他安全机制 IPSEC IP安全性对于保护网络安全传输的问题来说是一个非常好且有效的解决方案 因为 IP安全性是一个由不同软件供应商所支持的开放工业标准 它是一种在协议 服务和API的底层所实现的透明机制 它确保了数据的置信度和完整性 同时可以对发送者进行强有力的认证 IP安全性是一种非常灵活的机制 可以免遭潜在的可能攻击 它易于管理和设置 IPSEC 配置 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 安全策略IPSEC协议过滤 防火墙审计 日志其他安全机制 协议过滤和防火墙 协议过滤 协议过滤和防火墙 ICF WindowsXP以后版本集成Internet连接防火墙 InternetConnectionFirewall 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全配置检查列表 安全策略IPSEC协议过滤 防火墙审计 日志其他安全机制 审计 日志 系统和网络日志文件目录和文件中不期望的改变程序执行中的不期望行为 审计 日志 审计的方法 模式匹配统计分析完整性分析 审计 日志 审计的配置 1 缺省安装情况下都是无审核 审计 日志 审计的配置 2 推荐的审核设置 审计 日志 审计的配置 2 文件访问相关的安全审计配置 文件夹 文件的属性页 安全 高级 审核 审计 日志 事件查看器 Windows日志分为三种 应用程序日志 系统日志 安全日志 审计 日志 其他日志 WWW日志和FTP日志 一般存储在 SYSTEM SYSTEM32 LOGFILES其他应用程序日志根据相关配置进行存储和查看 其他安全特性 进程和服务管理 第二部分 Windows操作系统安全 安全环境及特性系统信息安全系统安全机制典型安全配置IIS安全攻击实例分析 典型安全配置 安装最小化的操作系统 安装最新系统补丁 尽量使用英文版Windows操作系统 使用NTFS分区 不要安装不需要的网络协议 删除不必要的服务和组件 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 典型安全配置 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 定期访问微软安全网站 获取安全相关信息 从安全渠道获得SP包 典型安全配置 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 不要安全多余的网络 系统服务和应用程序 尽量安装最新的应用程序和服务软件 并定期更新服务的安全补丁 典型安全配置 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 使用操作系统提供的安全策略工具进行策略配置和分发 配置帐户策略 设置密码复杂度要求 设置帐户锁定阈值 设置帐户锁定时间 设置帐户锁定记数器 配置审计策略 典型安全配置 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 在防火墙上过滤外部网络访问135 139 445端口 修改注册表 禁用NetBIOS HKLM SYSTEM CurrentControlSet Control Lsa restrictanonymouse 2 禁用NetBIOSoverTCP IP 典型安全配置 安装最小化的操作系统 安装最新系统补丁 配置安装的系统服务 配置安全策略 禁用NetBIOS 设置帐户权限 对administrator帐户重命名 并建立一个不加入任何组的伪administrator帐户 锁定Guest帐户 规划用户组 并设置适当权限 定期检查帐户 尽早发现可疑帐户 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 取消默认的EveryOne权限 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 设置文件加密 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 过滤不需要使用的端口 过滤不需要的应用层网络服务 过滤ICMP数据包 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 设置BIOS口令 禁用光盘 软盘和USB启动 取消光盘自动播放功能 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 设置安全屏保 离开计算机时锁定计算机 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 设置IE安全 取消IE浏览器 自动完成功能 定期清除Cookie文件 使用第三方IE保护程序 设置Outlook和OutlookExpress安全 取消自动预览功能 典型安全配置 设置文件保护 配置TCP IP筛选和ICF 禁用光盘或软盘启动 使用屏幕保护口令 设置应用程序安全 安装第三方防护软件 安装第三方病毒防护软件 并定期更新病毒库 安装个人防火墙 对连接请