5-1--操作系统安全

操作系统安全案例与分析,南京师范大学计算机科学与技术学院,陈波,案例：微软对WindowsXP停止服务支持,“对WindowsXP的支持已在2014年4月8日结束。”微软官网上的这句话意味着服役12年之久的操作系统老兵已正式退出战场。,信息安全案例教程：技术与应用,2,案例：微软对WindowsXP停止服务支持,在后XP时代，人们关心3个问题。第一，WindowsXP支持服务停止意味着什么呢？第二，WindowsXP退役了，XP系统的用户怎么办？第三，后WindowsXP时代，我国的信息系统面临哪些安全风险？,信息安全案例教程：技术与应用,3,案例：微软对WindowsXP停止服务支持,第一，WindowsXP支持服务停止意味着什么呢？在此之后，WindowsXP将无法再获得安全补丁，也不会再有系统更新。作为桌面操作系统，WindowsXP是用户进入信息系统的入口，其安全性将无法得到保证。大多数为WindowsXP所开发的软件产品也将不会得到支持，也很少会有计算机公司再推出WindowsXP平台上的新的软件产品。,信息安全案例教程：技术与应用,4,案例：微软对WindowsXP停止服务支持,第二，WindowsXP退役了，XP系统的用户怎么办？1）升级到较新的Windows操作系统。新版本的操作系统不仅拥有更丰富的应用功能，安全性也有很大提升。只是对硬件配置的要求比XP系统要高，还有应用软件兼容性的问题。2）使用Linux系列操作系统。如Ubuntu、RedHat及Debian等诸多Linux发行版，目前已经能够满足大多数用户的基本使用需求。不过对于不少依然在使用WindowsXP的企业来说，或许无法使用Linux系列操作系统，毕竟许多企业级软件还没有发布Linux操作系统相关版本。而且，不少用户对于不太熟悉的Linux操作系统来说，安全性还要打个问号。,信息安全案例教程：技术与应用,5,案例：微软对WindowsXP停止服务支持,第三，后WindowsXP时代，我国的信息系统面临哪些安全风险？如何应对？目前WindowsXP在政府用户、企事业用户计算机操作系统中占比依旧较高，升级和替换不是一朝一夕就能完成的，而且升级或更换系统还面临着原先应用软件如何兼容等延伸问题。无论是何种选择，失去厂商服务支持的WindowsXP操作系统形同“裸奔”。国产操作系统再次引起了国家的高度重视，国产操作系统或许能迎来新的发展机遇。,信息安全案例教程：技术与应用,6,案例思考：,1.操作系统的安全为何引起如此关注？2.操作系统面临哪些安全威胁？3.操作系统应当具有哪些安全机制？4.WindowsXP系统安全如何加固？,信息安全案例教程：技术与应用,7,1.操作系统安全的重要性,操作系统是管理系统资源、控制程序执行、提供良好人机界面和各种服务的一种系统软件，是连接计算机硬件与上层软件和用户之间的桥梁。因此，操作系统是其他系统软件、应用软件运行的基础，操作系统的安全性对于保障其他系统软件和应用软件的安全至关重要。数据加密是保密通信中必不可少的手段，也是保护存储文件的有效方法，但数据加密、解密所涉及到的密钥分配、转储等过程必须用计算机实现。若无安全的计算机操作系统做保护，数据加密相当于在纸环上套了个铁锁。,信息安全案例教程：技术与应用,8,1.操作系统安全的重要性,人们需要思考这样的问题：安全的“底座”操作系统可靠、安全吗？美国CERT（ComputerEmergencyResponseTerm，计算机应急响应组）提供的安全报告表明，很多安全问题都源于操作系统的安全脆弱性。因此，要解决计算机内部信息的安全性，必须解决操作系统的安全性。,信息安全案例教程：技术与应用,9,案例思考：,1.操作系统的安全为何引起如此关注？2.操作系统面临哪些安全威胁？3.操作系统应当具有哪些安全机制？4.WindowsXP系统安全如何加固？,信息安全案例教程：技术与应用,10,2.操作系统面临的安全威胁,硬件设备与环境因素以外，还有以下几种。1）网络攻击破坏系统的可用性和完整性。例如，恶意代码（如Rootkit）造成系统文件和数据文件的丢失或被破坏，甚至使系统瘫痪或崩溃。2）隐蔽信道（CovertChannel，也称作隐通道）破坏系统的保密性和完整性。隐蔽信道就是指系统中不受安全策略控制的、违反安全策略的信息泄露途径。,信息安全案例教程：技术与应用,11,2.操作系统面临的安全威胁,硬件设备与环境因素以外，还有以下几种。3）用户的误操作破坏系统的可用性和完整性。例如，用户无意中删除了系统的某个文件，无意中停止了系统的正常处理任务，这样的误操作或不合理地使用了系统提供的命令，会影响系统的稳定运行。此外，在多用户操作系统中，各用户程序执行过程中相互间会产生不良影响，用户之间会相互干扰。,信息安全案例教程：技术与应用,12,2.操作系统面临的安全威胁,操作系统在设计时不可避地要在安全性和易用性之间寻找一个最佳平衡点，这就使得操作系统在安全性方面必然存在着缺陷。2007年微软推出的Vista操作系统，是微软第一款根据安全开发生命周期（SecurityDevelopmentLifecycle，SDL）机制开发的操作系统。它首次实现了从用户易用优先向操作系统安全优先的转变，系统中所有选项的默认设置都是以安全为第一要素考虑的。但是，Vista系统很快就曝出了安全漏洞。现在应用最广泛的Windows系列操作系统仍不断地被发现安全漏洞。Windows系统不是“有没有漏洞”的问题，而是何时被发现的问题。,信息安全案例教程：技术与应用,13,案例思考：,1.操作系统的安全为何引起如此关注？2.操作系统面临哪些安全威胁？3.操作系统应当具有哪些安全机制？4.WindowsXP系统安全如何加固？,信息安全案例教程：技术与应用,14,3.操作系统的安全机制,操作系统安全等级操作系统安全涉及两个重要概念：安全功能（安全机制）和安全保证。不同的操作系统所能提供的安全功能可能不同，实现同样安全功能的途径可能也不同。为此，人们制定了安全评测等级。在这样的安全等级评测标准中，安全功能主要说明各安全等级所需实现的安全策略和安全机制的要求，而安全保证则是描述通过何种方法保证操作系统所提供的安全功能达到了确定的功能要求。,信息安全案例教程：技术与应用,15,3.操作系统的安全机制,操作系统安全等级美国和许多国家目前使用的计算机安全等级标准是信息技术安全评估通用标准（CommonCriteriaofInformationTechnicalSecurityEvaluation，CCITSE），简称CC。当然，为了了解操作系统的安全性设计，还必须提及计算机安全等级标准可信计算机系统评估标准（TrustedComputerSystemEvaluationCriteria，TCSEC）。虽然TCSEC已经被CC所取代，但是现在它仍然被认为是任何一个安全操作系统的核心要求。TCSEC把计算机系统的安全分为A、B、C、D四个大等级七个安全级别。按照安全程度由弱到强的排列顺序是：D，C1，C2，B1，B2，B3，A1。CC由低到高共分EAL1EAL7七个级别。,信息安全案例教程：技术与应用,16,3.操作系统的安全机制,操作系统安全目标标识系统中的用户并进行身份鉴别。依据系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法存取。监督系统运行的安全。保证系统自身的安全性和完整性。下面主要介绍实现操作系统安全目标需要建立的安全机制，包括用户认证、访问控制、最小权限管理、可信路径、安全审计和文件系统保护等机制。,信息安全案例教程：技术与应用,17,3.操作系统的安全机制,（1）用户认证本地登录认证本地登录所使用的用户名与口令被存储在本地计算机的安全账户管理器（SAM）中，由计算机完成本地登录验证，提交登录凭证包括用户ID与口令。本地计算机的安全子系统将用户ID与口令送到本地计算机上的SAM数据库中做凭证验证。Windows的口令不是以纯文本格式存储在SAM数据库中的，而是将每个口令计算哈希值后进行存储。,信息安全案例教程：技术与应用,18,3.操作系统的安全机制,（1）用户认证本地登录认证针对SAM进行破解的工具有很多，其中“恶名昭著”的有L0phtCrack(LC)、Cain&Abel等。如果操作系统的SAM数据库出现问题，将面临无法完成身份认证、无法登录操作系统、用户密码丢失的情况。所以，保护SAM数据的安全就显得尤为重要。使用SysKey是一个很好的选择。,信息安全案例教程：技术与应用,19,3.操作系统的安全机制,（2）访问控制用户账户控制最小权限原则的应用在WindowsVista出现之前，建议大家，在Windows中创建一个管理员账户，并创建一个标准账户，这样平时可以使用标准账户登录，只有在需要维护系统，或者进行其他需要管理员权限才可以进行的操作时才使用管理员账户登录。WindowsVista系统开始，提供用户账户控制（UserAccountControl，UAC）功能。用户账户控制功能就可以限制用户的权限，从而保证系统的安全。,信息安全案例教程：技术与应用,20,3.操作系统的安全机制,（2）访问控制用户账户控制当用户使用管理员账户登录时，Windows会为该账户创建两个访问令牌，一个标准令牌，一个管理员令牌。大部分时候，当用户试图访问文件或运行程序的时候，系统都会自动使用标准令牌进行，只有在权限不足，也就是说，如果程序宣称需要管理员权限的时候，系统才会使用管理员令牌。这种将管理员权限区分对待的机制就叫做UAC。简单来说，UAC实际上是一种特殊的“缩减权限”运行模式。在Windows7中，UAC有了进一步的改进，为用户提供了4种配置选择。,信息安全案例教程：技术与应用,21,3.操作系统的安全机制,（2）访问控制操作实例视频：标准用户把记事本程序完成的文档往C盘的Windows目录保存视频：启用/不启用UAC功能的情况下修改系统时间,信息安全案例教程：技术与应用,22,3.操作系统的安全机制,（3）可信路径WindowsVista及以后的版本中，当开启了UAC功能，在显示提升权限等提示的时候会切换到安全桌面，此时桌面背景会变暗。这样做的主要原因并不是为了突出显示“用户账户控制”对话框，而是为了安全。安全桌面可以将该程序和进程限制在桌面环境上，除了受信任的系统进程之外，任何用户级别的进程都无法在安全桌面上运行，这样就可以阻止恶意程序的仿冒攻击。,信息安全案例教程：技术与应用,23,3.操作系统的安全机制,（3）可信路径在计算机系统中，用户是通过不可信的应用软件与操作系统进行通信交互的。用户登录、定义用户的安全属性、改变文件的安全级别等操作，用户必须确认是与操作系统的核心通信，而不是与一个伪装成应用软件的木马程序打交道。可信路径就是确保终端用户能够直接与可信系统内核进行通信的机制。该机制只能由终端用户或可信系统内核启动，不能被不可信软件伪装。,信息安全案例教程：技术与应用,24,3.操作系统的安全机制,（3）可信路径如果有恶意软件打算伪造UAC的“提升”对话框，以便骗取用户的账户和密码，如果没有安全桌面功能，那么用户若没能区分出真正的UAC“提升”对话框，或者伪造的对话框太过逼真，那就有可能泄露自己的密码。而使用安全桌面功能后，因为真正的“提升”对话框都是显示在安全桌面上的，而这种情况下用户无法和其他程序的界面进行交互，因此避免了大量安全问题。,信息安全案例教程：技术与应用,25,3.操作系统的安全机制,（3）可信路径为用户建立可信路径的另一种方法是使用通用终端发信号给系统核心，这个信号是不可信软件不能拦截、覆盖或伪造的，一般称这个信号为安全注意键（SecureAttentionKey，SAK）。每当系统识别到用户在一个终端上键入的SAK，便终止对应到该终端的所有用户进程（包括特洛伊木马程序），启动可信的会话过程，以保证用户名和口令不被窃走。如在Windows系统中，SAK是，用户同时按下这3个键后，Windows系统会终止所有用户进程，重新激活登录界面，提示用户输入用户名和口令。,信息安全案例教程：技术与应用,26,3.操作系统的安全机制,（4）文件系统NTFS文件系统的权限控制Windows操作系统通过NTFS文件系统提供文件保护机制。Windows2000以上的操作系统都建议使用NTFS文件系统，它具有更好的安全性与稳定性。NTFS权限控制可以实现较高的安全性，通过给用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。NTFS分区上的每一个文件和文件夹都有一个ACL，该列表记录了每一个用户和用户组对该资源的访问权限。NTFS可以针对所有的文件、文件夹、注册表键值、打印机和动态目录对象进行权限设置。,信息安全案例教程：技术与应用,27,3.操作系统的安全机制,（4）文件系统权限控制的局限性权限的访问控制行为在某种程度上提高了资源的安全性，防止了资源被非法访问或者修改。但事实上这种行为只能针对系统级层面进行控制，如果资源所在的物理硬盘被非法者窃取，那么使用上述的权限访问控制行为对资源进行保护将变得没有任何意义。窃取者只需要把资源所在的物理硬盘放到自己的主机上，使用自己的操作系统启动计算机，再将该硬盘设置成为操作系统的资源盘，便可以轻松地解除原有操作系统的权限并访问到资源。,信息安全案例教程：技术与应用,28,3.操作系统的安全机制,（4）文件系统加密文件系统（EncryptingFileSystem，EFS）加密文件系统支持对Windows2000及以上版本中NTFS格式磁盘的文件加密。EFS允许用户以加密格式存储磁盘上的数据，将数据转换成不能被其他用户读取的格式。用户加密了文件之后只要文件存储在磁盘上，它就会自动保持加密的状态。,信息安全案例教程：技术与应用,29,3.操作系统的安全机制,（5）其他安全机制Windows审计/日志机制Windows协议过滤和防火墙,信息安全案例教程：技术与应用,30,案例思考：,1.操作系统的安全为何引起如此关注？2.操作系统面临哪些安全威胁？3.操作系统应当具有哪些安全机制？4.WindowsXP系统安全如何加固？,信息安全案例教程：技术与应用,31,4.案例拓展：WindowsXP安全加固,（1）用户帐户和密码的安全设置为了对账户实施管理，以确保系统的安全性，需要采取的措施包括：及时清理账户。去掉所有的测试账户、共享账户等，尽可能少地建立有效账户，不再使用的账户及时删去，因为这些帐户很多时候都是黑客们入侵系统的突破口。停用Guest账户。Guest账户默认情况下是无密码保护的，所以建议停止使用。重命名管理员账户。Administrator帐户一直是黑客最关注的，因此可以重命名Administrator账户，尽量伪装成普通用户，如user1，并设置强口令。,信息安全案例教程：技术与应用,32,4.案例拓展：WindowsXP安全加固,（1）用户帐户和密码的安全设置为了对账户实施管理，以确保系统的安全性，需要采取的措施包括：设置陷阱账户。在Guests组中设置一个Administrator账户，把它的权限设置成最低，并给予一个复杂的密码，而且用户不能更改密码，这样就可以让那些企图入侵的黑客们花费一番工夫，并且可以借此发现他们的入侵企图。设定密码策略及账户锁定策略。设置高强度的登录密码，并采用有效措施保护登录密码是保障计算机安全的一种基本手段。启用屏幕保护密码和电源密码保护。可以有效地防止内部人员非授权使用计算机。,信息安全案例教程：技术与应用,33,4.案例拓展：WindowsXP安全加固,（1）用户帐户和密码的安全设置为了对账户实施管理，以确保系统的安全性，需要采取的措施包括：账户密码强度测试。微软官方提供了密码强度测试工具MicrosoftPasswordchecker，对于输入的密码会给出Weak、Medium、Strong、BEST等4个等级。PasswordStrengthChecker一款在线的密码强度测试工具。还可以使用系统口令破解工具来测试所设账户密码的强度。SAMInside一款俄罗斯出品的Windows密码恢复软件。Cain&Abel（可从官方网站下载http:/www.oxid.it口令破解综合工具。国内的流光、X-Scan等软件也都具有弱口令测试的功能。,信息安全案例教程：技术与应用,34,4.案例拓展：WindowsXP安全加固,（1）用户帐户和密码的安全设置为了对账户实施管理，以确保系统的安全性，需要采取的措施包括：启用SysKey。可以用来保护SAM数据库不易被破解。,信息安全案例教程：技术与应用,35,4.案例拓展：WindowsXP安全加固,（2）数据文件的安全设置NTFS支持设置目录和文件权限、为不同的用户设置不同的访问权限以及支持加密等功能。文件NTFS权限设置。EFS的应用。单纯的NTFS权限并不能保证数据足够的安全。Windows加密文件系统EFS可以用于对NTFS分区上的文件和文件夹加密保存。BitLocker的应用。简单地说，BitLocker会将Window