第二章 操作系统安全配置

1、 Windows操作系统操作系统Windows的安全特性的安全特性p数据安全性数据安全性 用户登录时的安全性用户登录时的安全性 网络数据的保护网络数据的保护 在站点之间穿越的数据，可以采用相应的安全在站点之间穿越的数据，可以采用相应的安全机制机制p企业间通信的安全性企业间通信的安全性p企业和企业和Internet网的单点安全登录网的单点安全登录p易用的管理型和高扩展性易用的管理型和高扩展性一、一、操作系统安全概述操作系统安全概述p1、操作系统安全的含义、操作系统安全的含义n计算机操作系统的主要功能是进行计算机资源管理和提供用户使用计计算机操作系统的主要功能是进行计算机资源管理和提供用户使用计算

2、机的界面。算机的界面。n用户资源用户资源可以归结为以文件形式表示的数据信息资源，可以归结为以文件形式表示的数据信息资源，系统资源系统资源包括包括系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。系统程序和系统数据以及为管理计算机硬件资源而设置的各种表格。n对操作系统中资源的保护，实际上是对操作系统中文件的保护。对操作系统中资源的保护，实际上是对操作系统中文件的保护。n操作系统的安全保护的功能要求，需要从操作系统的安全运行和操作操作系统的安全保护的功能要求，需要从操作系统的安全运行和操作系统数据的安全保护两方面。系统数据的安全保护两方面。操作系统的安全操作系统的安全主要通过身份鉴别、自

3、主要通过身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、审计、数据完整性、主访问控制、标记和强制访问控制、数据流控制、审计、数据完整性、数据保密性等几方面来实现数据保密性等几方面来实现系统的安全需要（系统的安全需要（GB 17859和和GB/T 20271）。）。p实现各种类型的操作系统安全需要的所有安全技术称为实现各种类型的操作系统安全需要的所有安全技术称为操作系操作系统安全技术统安全技术。操作系统安全子系统（。操作系统安全子系统（ SSOOS ，Security Subsystem Of Operating System），是操作系统的可），是操作系统的可信计算基（信计算基（TCB

4、），指把操作系统中硬件、固件、软件和负），指把操作系统中硬件、固件、软件和负责执行安全策略的所有相关的安全保护装置。责执行安全策略的所有相关的安全保护装置。一、一、操作系统安全概述操作系统安全概述p2、操作系统安全的组成、操作系统安全的组成 n操作系统的安全，应该从安全功能和安全保证两方面综合考虑。每一等级的操作系统的安全，应该从安全功能和安全保证两方面综合考虑。每一等级的信息系统，都有不同的安全功能要求和安全保证措施。下图表示了操作系统信息系统，都有不同的安全功能要求和安全保证措施。下图表示了操作系统安全技术要求的组成及相互关系。安全技术要求的组成及相互关系。一、一、操作系统安全概述操作系统

5、安全概述p3、操作系统的主体与客体、操作系统的主体与客体 n在操作系统中，每一个实体成分都必须是主体或客体，或者既是主体在操作系统中，每一个实体成分都必须是主体或客体，或者既是主体又是客体。又是客体。n主体是一个主动的实体，它包括用户、用户组、进程等主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基。系统中最基本的主体是用户，系统中的所有事件，几乎都是由用户激发的。用户本的主体是用户，系统中的所有事件，几乎都是由用户激发的。用户的所有事件都要通过运行进程来处理。进程是用户的客体，但又是访的所有事件都要通过运行进程来处理。进程是用户的客体，但又是访问对象的主体。问对象的主体。n客体是一

6、个被动的实体。客体是一个被动的实体。在操作系统中，客体可以是按一定格式存储在操作系统中，客体可以是按一定格式存储在记录介质中的数据信息（文件），也可以是操作系统中的进程在记录介质中的数据信息（文件），也可以是操作系统中的进程。n访问控制等安全措施都是由主体对客体实施操作完成访问控制等安全措施都是由主体对客体实施操作完成的。的。二、二、操作系统安全的技术要求操作系统安全的技术要求p身份鉴别身份鉴别p访问控制访问控制p安全审计安全审计p用户数据的完整性和保密性用户数据的完整性和保密性p可信路径可信路径p1、身份鉴别、身份鉴别n身份鉴别包括对用户的身份进行标识和鉴别。身份鉴别包括对用户的身份进行标识

7、和鉴别。用户标识用户标识n（1）凡需进入操作系统的用户，应先进行标识，即建立账号；）凡需进入操作系统的用户，应先进行标识，即建立账号；n（2）操作系统用户标识一般使用用户名和用户标识符（）操作系统用户标识一般使用用户名和用户标识符（UID）。）。用户鉴别用户鉴别n（1）采用口令进行鉴别，并在每次用户登录系统时进行鉴别；）采用口令进行鉴别，并在每次用户登录系统时进行鉴别；n（2）通过对不成功的鉴别尝试的值进行预先定义，并明确规定达到该值时）通过对不成功的鉴别尝试的值进行预先定义，并明确规定达到该值时应该采取的措施公平实现鉴别失败的处理。应该采取的措施公平实现鉴别失败的处理。用户主体行为绑定用户主

8、体行为绑定n（1）用户进程与所有者相关联，进程行为可追溯到进程的所有者；）用户进程与所有者相关联，进程行为可追溯到进程的所有者；n（2）进程与当前服务要求者相关联，系统进程行为可追溯到服务的要求者。）进程与当前服务要求者相关联，系统进程行为可追溯到服务的要求者。二、操作系统安全的技术要求二、操作系统安全的技术要求p2、访问控制、访问控制n访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。制。访问控制也是信息安全理论基础的重要组成部分。访问控制也是信息安全理论基础的重要组成部分。n本章讲述访问控制的原理、作用、

9、分类和研究前沿，重点介绍较典型的自主本章讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。访问控制、强制访问控制和基于角色的访问控制。（1）访问控制原理）访问控制原理n访问控制机制将根据预先设定的规则对用户访问某项资源（目标）进行控制，访问控制机制将根据预先设定的规则对用户访问某项资源（目标）进行控制，只有只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。资源资源可以是信息资源、处理资源、通信资源或者物理资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获

10、取访问方式可以是获取信息、修改信息或者完成某种功能信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。，一般情况可以理解为读、写或者执行。 二、操作系统安全的技术要求二、操作系统安全的技术要求第第 9 9 页页 / / p2、访问控制、访问控制（2）自主访问控制（）自主访问控制（Discretionary Access Control，DAC）n自主访问控制就是由拥有资源的用户自己来决定其他一个或一些主体可以在自主访问控制就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。什么程度上访问哪些资源。 n主体、客体以及相应的权限组成系统的主体、客体以及相应的

11、权限组成系统的访问控制矩阵访问控制矩阵。在访问控制矩阵中，。在访问控制矩阵中，每一行表示一个主体的所有权限；每一列则是关于一个客体的所有权限；矩每一行表示一个主体的所有权限；每一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。限。 n访问控制表访问控制表（Access Control List，ACL）是基于访问控制矩阵中列的）是基于访问控制矩阵中列的自主访问控制。它在自主访问控制。它在一个客体上附加一个客体上附加一个主体明晰表，来表示各个主体对这一个主体明晰表，来表示各个主

12、体对这个客体的访问权限。个客体的访问权限。n访问能力表访问能力表（Access Capabilities List）是最常用的基于行的自主访问）是最常用的基于行的自主访问控制。能力（控制。能力（capability） 是是为主体提供为主体提供的、对客体具有特定访问权限的的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。二、操作系统安全的技术要求二、操作系统安全的技术要求p2、访问控制、访问控制（3）强制访问控制）强制访问控制（Mandatory Access Control， MAC）

13、n强制访问控制系统强制访问控制系统为所有的主体和客体指定安全级别为所有的主体和客体指定安全级别，比如绝密级、机密级、，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现主体对不同级别的客体的访问是在强制的安全策略下实现的。的。n实体的安全级别是由实体的安全级别是由敏感标记敏感标记（Sensitivity Label）来表示，是表示实体）来表示，是表示实体安全级别的一组信息，在安全机制中把敏感标记作为强制访问控制决策的依安全级别的一组信息，在安全

14、机制中把敏感标记作为强制访问控制决策的依据。据。（4）基于角色的访问控制）基于角色的访问控制（Role Based Access Control，RBAC）n在基于角色的访问控制模式中，在基于角色的访问控制模式中，用户不是自始至终以同样的注册身份和权限用户不是自始至终以同样的注册身份和权限访问系统访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限。系，而是以一定的角色访问，不同的角色被赋予不同的访问权限。系统按照自主访问控制或强制访问控制机制控制角色的访问能力。统按照自主访问控制或强制访问控制机制控制角色的访问能力。 n一个主体可以同时担任多个角色。基于角色的访问控制就是通过各种角

15、色的一个主体可以同时担任多个角色。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限（不同搭配授权来尽可能实现主体的最小权限（最小授权指主体在能够完成所最小授权指主体在能够完成所有必需的访问工作基础上的最小权限有必需的访问工作基础上的最小权限）。）。n授权管理的控制途径授权管理的控制途径：改变客体的访问权限：改变客体的访问权限改变角色的访问权限改变角色的访问权限改变主改变主体所担任的角色。体所担任的角色。二、操作系统安全的技术要求二、操作系统安全的技术要求p3、安全审计、安全审计n安全审计是指在一个信息系统中以维护系统安全为目的的审计，即为了保障安全审计是指在一个信息系

16、统中以维护系统安全为目的的审计，即为了保障系统、网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术系统、网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段手段实时收集和监控系统中每一个组成部分的状态、安全事件实时收集和监控系统中每一个组成部分的状态、安全事件，以便集中报，以便集中报警、分析、处理的一种技术手段。警、分析、处理的一种技术手段。n安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性安全审计功能应与身份鉴别、自主访问控制、标记和强制访问控制及完整性控制等安全功能紧密结合。控制等安全功能紧密结合。n提供对受保护客体访问的审计跟踪功能，保护审计记录不

17、被未授权访问、修提供对受保护客体访问的审计跟踪功能，保护审计记录不被未授权访问、修改和破坏改和破坏。n提供可选择的审计事件，生成的审计日志可管理。提供可选择的审计事件，生成的审计日志可管理。 二、操作系统安全的技术要求二、操作系统安全的技术要求第第 1212 页页 / / p4、用户数据的完整性和保密性、用户数据的完整性和保密性n在安全功能控制范围内。为主体和客体设置完整性标签，并建立完整性保护在安全功能控制范围内。为主体和客体设置完整性标签，并建立完整性保护策略模型，保护用户数据在存储、传输和处理过程中的完整性。策略模型，保护用户数据在存储、传输和处理过程中的完整性。n提供硬盘数据的备份和修

18、复功能，可将硬盘中的数据压缩和备份，并在必要提供硬盘数据的备份和修复功能，可将硬盘中的数据压缩和备份，并在必要时恢复。时恢复。n确保硬盘数据的授权使用，保证系统内各个用户之间互不干扰。确保硬盘数据的授权使用，保证系统内各个用户之间互不干扰。p5、可信路径、可信路径n在第四级和第五级安全系统中，要求提供用户初始登录在第四级和第五级安全系统中，要求提供用户初始登录/鉴别时的可信路径，鉴别时的可信路径，在在SSOOS与用户间建立一条安全的信息传输通路。与用户间建立一条安全的信息传输通路。二、操作系统安全的技术要求二、操作系统安全的技术要求第第 1313 页页 / / p1、Windows的安全模型与

19、基本概念的安全模型与基本概念（1）安全模型）安全模型Windows的安全模型由以下几个关键部分构成：的安全模型由以下几个关键部分构成：1）登录过程（登录过程（Logon Process，LP）。接受本地用户或者远程用户的登录。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。请求，处理用户信息，为用户做一些初始化工作。2）本地安全授权机构（本地安全授权机构（Local Security Authority，LSA）。根据安全账。根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这

20、是整个安全子系统的核心。这是整个安全子系统的核心。3）安全账号管理器（安全账号管理器（Security Account Manager，SAM）。维护账号的。维护账号的安全性管理数据库（安全性管理数据库（SAM数据库，又称目录数据库）。数据库，又称目录数据库）。4）安全引用监视器（安全引用监视器（Security Reference Monitor，SRM）。检查存取。检查存取合法性，防止非法存取和修改。合法性，防止非法存取和修改。三、三、Windows 2003的访问控制的访问控制p1、Windows的安全模型与基本概念的安全模型与基本概念（2）安全概念）安全概念1）安全标识（安全标识（Se

21、curity Identifier，SID）：是标识用户、组和计算机帐：是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的个唯一的 SID。安全标识和账号唯一对应，在账号创建时创建，账号删除。安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在SAM数据库里。数据库里。2）访问令牌（访问令牌（Access Token）。当用户登录时，本地安全授权机构为用

22、户。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后，用户的创建一个访问令牌，包括用户名、所在组、安全标识等信息。以后，用户的所有程序都将拥有访问令牌的拷贝。所有程序都将拥有访问令牌的拷贝。3）主体主体。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个主体。一个主体。4）对象、资源、共享资源对象、资源、共享资源。对象的实质是封装了数据和处理过

23、程的一系列信息。对象的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。集合体。资源是用于网络环境的对象。共享资源是在网络上共享的对象。5）安全描述符（安全描述符（Security Descript）。Windows系统中共享资源的安全系统中共享资源的安全特性描述，包含了该对象的一组安全属性，分为特性描述，包含了该对象的一组安全属性，分为所有者安全标识所有者安全标识、组安全标组安全标识识（GroupSecurity）、）、自主访问控制表自主访问控制表（Discretionary Access Control List，DAC）、）、系统访问控

24、制表系统访问控制表（ACL）四个部分。）四个部分。三、三、Windows 2003的访问控制的访问控制第第 1515 页页 / / p2、Windows的访问控制过程的访问控制过程p当一个账号被创建时，当一个账号被创建时，Windows系统为它分配一个系统为它分配一个SID，并与其他账，并与其他账号信息一起存入号信息一起存入SAM数据库。数据库。p用户登录管理。登录主机（通常为工作站）的系统首先把用户输入的用用户登录管理。登录主机（通常为工作站）的系统首先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安全账号

25、管理器将这些信息与全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。账号的特权、主目录位置、工作站参数等信息。p本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一

26、个进程，都将访问令牌复制作为该进程的识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。访问令牌。p用户访问进程管理。安全引用监视器将用户用户访问进程管理。安全引用监视器将用户/进程的访问令牌中的进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。权访问对象。三、三、Windows 2003的访问控制的访问控制p2、Windows的访问控制过程的访问控制过程p权限（权限（Permission）：精确定制用户对资源的访问控制能力。）：精确定制用户对资源的访问控制能力。p

27、权限管理原则权限管理原则（1）拒绝优于允许原则）拒绝优于允许原则（2）权限最小化原则）权限最小化原则（3）权限继承性原则）权限继承性原则（4）累加原则）累加原则p“拒绝优于允许拒绝优于允许”原则是用于解决权限设置上的冲突问题；原则是用于解决权限设置上的冲突问题；“权限最小权限最小化化”原则是用于保障资源安全；原则是用于保障资源安全；“权限继承性权限继承性”原则是用于原则是用于“自动化自动化”执行权限设置的；而执行权限设置的；而“累加原则累加原则”则是让权限的设置更加灵活多变。则是让权限的设置更加灵活多变。 p资源权限的应用：依据是否被共享到网络，其权限可以分为资源权限的应用：依据是否被共享到网

28、络，其权限可以分为NTFS权限权限（本地权限）与共享权限两种。（本地权限）与共享权限两种。nNTFS的标准访问权限的标准访问权限：“套餐型套餐型”的权限，即：完全控制、修改、读取和的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。图运行、列出文件夹目录、读取、写入。图6.5nNTFS的的“特别权限特别权限”（“高级高级”选项），允许用户进行细化权限选择。图选项），允许用户进行细化权限选择。图6.6n三种共享权限三种共享权限：完全控制、更改、读取。：完全控制、更改、读取。三、三、Windows 2003的访问控制的访问控制资源复制或移动时权限的变化资源复制或移动时权限的变化在权

29、限的应用中，设置了权限后的资源需要复制或者是移动，资源的权限会发在权限的应用中，设置了权限后的资源需要复制或者是移动，资源的权限会发生变化：生变化：（1）复制资源）复制资源在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标位置父级资源的权限。位置父级资源的权限。（2）移动资源）移动资源在移动资源时，如果资源的移动发生在同一驱动器内，那么对象将保留本身原在移动资源时，如果资源的移动发生在同一驱动器内，那么对象将保留本身原有的权限不变（包括资源本身权限及从父级资源中继承的权限）；若资源的移有的权限不变（包括资源本

30、身权限及从父级资源中继承的权限）；若资源的移动发生在不相同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从动发生在不相同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上，移动操作就是进行资源的复制、然后从原有位置彻底删除资源的操作。上，移动操作就是进行资源的复制、然后从原有位置彻底删除资源的操作。（3）非）非NTFS分区分区 复制或移动资源时，如果将资源复制或移动到非复制或移动资源时，如果将资源复制或移动到非NTFS分区上，那么所有的权分区上，那

31、么所有的权限均会自动全部丢失。限均会自动全部丢失。p3、Windows的加密文件系统的加密文件系统 p概念及功能：概念及功能：nWindows的加密文件系统（的加密文件系统（Encrypting File System，EFS）提供一）提供一种核心文件加密技术，该技术用于在种核心文件加密技术，该技术用于在NTFS 文件系统卷上存储基于指定用户文件系统卷上存储基于指定用户SID等信息加密的文件。等信息加密的文件。n对加密该文件的用户，加密是透明的。对加密该文件的用户，加密是透明的。p使用要求：使用要求：n（1）只有）只有NTFS卷上的文件或文件夹才能被加密。卷上的文件或文件夹才能被加密。n（2）

32、被压缩的文件或文件夹不可以加密。）被压缩的文件或文件夹不可以加密。n（3）如果将加密的文件复制或移动到非）如果将加密的文件复制或移动到非NTFS格式的卷上，该文件将会自格式的卷上，该文件将会自动解密。动解密。n（4）如果将非加密文件移动到加密文件夹中，则这些文件将在新文件夹中）如果将非加密文件移动到加密文件夹中，则这些文件将在新文件夹中自动加密。自动加密。n（5）无法加密标记为）无法加密标记为“系统系统”属性的文件，并且位于属性的文件，并且位于%systemroot%目录结构中的文件也无法加密。目录结构中的文件也无法加密。n（6）加密文件夹或文件不能防止删除或列出文件或文件夹表。）加密文件夹或

33、文件不能防止删除或列出文件或文件夹表。n（7）WebDAV基于基于HTTP1.1，可在本地加密文件并采用加密格式发送。，可在本地加密文件并采用加密格式发送。三、三、Windows 2003的访问控制的访问控制p1、安全审计概述、安全审计概述 p审计是对访问控制的必要补充，是访问控制的一个重要内容。审计是对访问控制的必要补充，是访问控制的一个重要内容。p审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，审计和监控是实现系统安全的最后一道

34、防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。任追查和数据恢复非常有必要。 p审计跟踪是系统活动的流水记录。审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮

35、助系统管理员确保系统及其以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。资源免遭非法授权用户的侵害，同时还能帮助恢复数据。四、安全审计技术四、安全审计技术p2、安全审计的内容、安全审计的内容 p审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。检测和故障分析。 1）个人职能（）个人职能（individual accountability）p审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他审计跟踪是管理人员用来维护个人职能的技术手

36、段。如果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施他们就不太会违反安全策略和绕过安全控制措施。2）事件重建（）事件重建（reconstruction of events）p在发生故障后，审计跟踪可以用于重建事件和数据恢复。在发生故障后，审计跟踪可以用于重建事件和数据恢复。3）入侵检测（）入侵检测（intrusion detection）p审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记

37、录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。进行上下文分析，就可以实时发现或是过后预防入侵检测活动。4）故障分析（）故障分析（problem analysis）p审计跟踪可以用于实时审计或监控。审计跟踪可以用于实时审计或监控。四、安全审计技术四、安全审计技术p3、安全审计的目标、安全审计的目标 p计算机安全审计机制的目标如下：计算机安全审计机制的目标如下： 1)应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应不足以使他们自己也能够进行攻击。方面，提供的信息应不足以使他们自己也能够进行攻击。

38、 2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系应优化审计追踪的内容，以检测发现的问题，而且必须能从不同的系统资源收集信息。统资源收集信息。 3)应能够对一个给定的资源应能够对一个给定的资源(其他用户也被视为资源其他用户也被视为资源)进行审计分析，分进行审计分析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；辨看似正常的活动，以发现内部计算机系统的不正当使用； 4)设计审计机制时，应将系统攻击者的策略也考虑在内。设计审计机制时，应将系统攻击者的策略也考虑在内。p 概括而言，审计系统的目标至少包括：概括而言，审计系统的目标至少包括：确定和保持系统活动中每个人确定和保持系

39、统活动中每个人的责任的责任；确认重建事件的发生确认重建事件的发生；评估损失评估损失；临测系统问题区临测系统问题区；提供有效；提供有效的灾难恢复依据；的灾难恢复依据；提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据；提供案件侦破；提供案件侦破证据。证据。四、安全审计技术四、安全审计技术p4、安全审计的系统、安全审计的系统p审计通过对所关心的事件进行记录和分析来实现，含以下几部分。审计通过对所关心的事件进行记录和分析来实现，含以下几部分。1）日志）日志的内容的内容n日志应包括事件发生的日期和时间、引发事件的用户日志应包括事件发生的日期和时间、引发事件的用户(地址地址)、事件和源和目

40、、事件和源和目的的位置、事件类型、事件成败等。的的位置、事件类型、事件成败等。2)安全审计的安全审计的记录机制记录机制n不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。也可以由应用系统或其他专用记录系统完成。3）安全审计分析）安全审计分析n通过对日志进行分析，发现所需事件信息和规律是安全审计的根本目的。主通过对日志进行分析，发现所需事件信息和规律是安全审计的根本目的。主要内容有：潜在侵害分析、基于异常检测的轮廓、攻击探测。要内容有：潜在侵害分析、基于异常检测的轮廓、攻击探

41、测。4）审计事件查阅）审计事件查阅n由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。应该受到严格的限制，不能篡改日志。5）审计事件）审计事件存储存储n审计事件的存储也有安全要求，主要有审计数据的可用性保证和防止丢失。审计事件的存储也有安全要求，主要有审计数据的可用性保证和防止丢失。四、安全审计技术四、安全审计技术p5、Windows2003安全审计

42、实例安全审计实例（1）打开安全审核）打开安全审核pWindows 2003的安全审计功能在默认安装时是关闭的。激活此功能的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。配置步从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。配置步骤如下：骤如下：“开始开始”“设置设置”“控制面板控制面板”“管理工具管理工具”“本地安全策略本地安全策略”，选择，选择“本地策略本地策略”中的中的“审核策略审核策略”。 四、安全审计技

43、术四、安全审计技术p5、Windows2003安全安全审计实例审计实例（2）审计子系统结构）审计子系统结构pWindows系统中的每一项事务系统中的每一项事务都可以在一定程度上被审计，可都可以在一定程度上被审计，可以在以在“资源管理器资源管理器”和和“管理工管理工具具”“本地安全策略本地安全策略”打开审打开审计功能。计功能。p在在“资源管理器资源管理器”中，选择右键中，选择右键菜单中的属性菜单中的属性安全安全高级，再高级，再选择选择“审核审核”以激活目录审核对以激活目录审核对话框，系统管理员可以在这个窗话框，系统管理员可以在这个窗口选择跟踪有效和无效的文件访口选择跟踪有效和无效的文件访问。问。

44、 左图左图p在在“本地安全策略本地安全策略”中，系统管中，系统管理员可以根据各种用户事件的成理员可以根据各种用户事件的成功和失败选择审计策略。功和失败选择审计策略。左图左图四、安全审计技术四、安全审计技术第第 2424 页页 / / p5、Windows2003安全审计实例安全审计实例（3）查看日志）查看日志pWindows的日志文件很多，但主要是系统日志、应用程序日志和安全的日志文件很多，但主要是系统日志、应用程序日志和安全日志三个。这三个审计日志是审计一个日志三个。这三个审计日志是审计一个Windows系统的核心，所有可系统的核心，所有可被审计的事件都存入了其中的一个日志。被审计的事件都存

45、入了其中的一个日志。使用使用事件查看器事件查看器的查看日志。的查看日志。p1）系统日志系统日志。跟踪各种各样的系统事件，比如跟踪系统启动过程中的。跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。事件或者硬件和控制器的故障。 p2）应用程序日志应用程序日志。跟踪应用程序关联的事件，比如应用程序产生的象。跟踪应用程序关联的事件，比如应用程序产生的象装载装载dll（动态链接库）失败的信息将出现在日志中。（动态链接库）失败的信息将出现在日志中。p3）安全日志安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。

46、动和关闭。注意：安全日志的默认状态是关闭的。注意：安全日志的默认状态是关闭的。四、安全审计技术四、安全审计技术p5、Windows2003安全审计实例安全审计实例（4）审计日志和记录格式）审计日志和记录格式pWindows的审计日志由一系列的事件记录组成。每一个事件记录分为的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。三个功能部分：头、事件描述和可选的附加数据项。p事件记录头的事件记录头的“源源”指用来响应产生事件记录的软件。源可以是一个应指用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。用程序、一个系统服务

47、或一个设备驱动程序。p “类型类型”是事件严重性指示器。在系统和应用日志中，类型可以是错误、是事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息。在安全日志中，类型可能是成功审计或失败审计。警告或信息。在安全日志中，类型可能是成功审计或失败审计。p “种类种类”指触发事件类型，主要用在安全日志中指示该类事件的成功或指触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。失败审计已经被许可。四、安全审计技术四、安全审计技术p5、Windows2003安全审计实例安全审计实例（5）事件日志管理特征）事件日志管理特征pWindows提供了大量特征给系统管理员去管理系统

48、事件日志机制。当提供了大量特征给系统管理员去管理系统事件日志机制。当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时，日志停止。系统配置规定它们必须被手工清除时，日志停止。（6）安全日志的审计策略）安全日志的审计策略p审计规则既可以审计成功操作，又可以审计失败操作。包括：审计规则既可以审计成功操作，又可以审计失败操作。包括：1）登录）登录及注销；及注销；2）用户及组管理；）用户及组管理；3）文件及对象访问；）文件及对象访问；4）安全性规则更改；）安全性规则更改；5）重新启动、关机及系统级

49、事件；）重新启动、关机及系统级事件；6）进程追踪；）进程追踪；7）文件和目录审计。）文件和目录审计。（7）管理和维护审计）管理和维护审计p通常情况下，通常情况下，Windows不是将所有的事件都记录日志，而需要手动启不是将所有的事件都记录日志，而需要手动启动审计的功能。选择动审计的功能。选择“本地安全策略本地安全策略”，选择设置相应的项目即可。，选择设置相应的项目即可。p当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个较有效率的选择。方提供的工具是一个较有效率的选择。四、安全审计技术四、安全审计技术2

50、.2 Windows2003Server安全配置安全配置p1.基本安装配置事项基本安装配置事项p分区划分和选择：分区划分和选择：NTFS格式格式p安装目录选择安装目录选择p去除多余组件去除多余组件p停止多余的服务停止多余的服务p安装系统补丁安装系统补丁p1、将服务器接入网络内安装。、将服务器接入网络内安装。Windows2000 Server操作系统在安装时存操作系统在安装时存在一个安全漏洞，当输入在一个安全漏洞，当输入Administrator密码密码后，系统就自动建立了后，系统就自动建立了ADMIN$的共享，但是的共享，但是并没有用刚刚输入的密码来保护它，这种情况一并没有用刚刚输入的密码来

51、保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以直持续到再次启动后，在此期间，任何人都可以通过通过ADMIN$进入这台机器；同时，只要安装进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务一结束，各种服务就会自动运行，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。因此器是满身漏洞，计算机病毒非常容易侵入。因此，将服务器接入网络内安装是非常错误的。，将服务器接入网络内安装是非常错误的。 p2、操作系统与应用系统共用一个磁盘分区。在、操作系统与应用系统共用一个磁盘分区。在安装操作系统时，将操作系统与应用系统安装在安装操作系统时，将操作系统与应用系统安装在同一个磁

52、盘分区，会导致一旦操作系统文件泄露同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取应用系统时，攻击者可以通过操作系统漏洞获取应用系统的访问权限，从而影响应用系统的安全运行。的访问权限，从而影响应用系统的安全运行。采用采用FAT32文件格式安装。文件格式安装。FAT32文件格式不文件格式不能限制用户对文件的访问，这样可以导致系统的能限制用户对文件的访问，这样可以导致系统的不安全。不安全。p4、采用缺省安装。缺省安装操作系统时，会自、采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐患的组件，如：动安装一些有安全隐患的组件，如：IIS、DHCP、DNS等，导致系统

53、在安装后存在安全漏等，导致系统在安装后存在安全漏洞。洞。5、系统补丁安装不及时不全面。在系统安装完、系统补丁安装不及时不全面。在系统安装完成后，不及时安装系统补丁程序，导致病毒侵入成后，不及时安装系统补丁程序，导致病毒侵入。 运行中的安全问题运行中的安全问题p1、默认共享。系统在运行后，会自动创建一些、默认共享。系统在运行后，会自动创建一些隐藏的共享。一是隐藏的共享。一是C$ D$ E$ 每个分区的根共享每个分区的根共享目录。二是目录。二是ADMIN$ 远程管理用的共享目录。远程管理用的共享目录。三是三是IPC$ 空连接。四是空连接。四是NetLogon共享。五是共享。五是其它系统默认共享，如

54、：其它系统默认共享，如：FAX$、PRINT$共享共享等。这些默认共享给系统的安全运行带来了很大等。这些默认共享给系统的安全运行带来了很大的隐患。的隐患。 p2、默认服务。系统在运行后，自动启动了许多、默认服务。系统在运行后，自动启动了许多有安全隐患的服务，如：有安全隐患的服务，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（选（选程修改注册表服务）、程修改注册表服务）、SNMP Services 、Terminal Services 等。这些服务在实际工作等。这些服务在实际工作中如

55、不需要，可以禁用。中如不需要，可以禁用。 n方法一：采用批处理文件在系统启动后自动删除共享。首选在方法一：采用批处理文件在系统启动后自动删除共享。首选在Cmd提示符下输入提示符下输入“Net Share”命令，查看系统自动运行的所有共享目命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件录。然后建立一个批处理文件SHAREDEL.BAT，将该批处理文件放入计，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：划任务中，设为每次开机时运行。文件内容如下：NET SHARE C$ /DELETE、n NET SHARE D$ /DELETEn NET SHARE E$ /D

56、ELETEnNET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系统注册表，禁止默认共享功能。在方法二：修改系统注册表，禁止默认共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一下新建一个双字节项个双字节项“auto shareserver”，其值为，其值为“0”。2、删除多余的不需要的网络协议、删除多余的不需要的网络协议删除网络协议中的删除网络协议中的NWLink NetBIOS协议，协议，NWLink IPX/SPX/NetBIOS

57、协议，协议，NeBEUI PROtocol协议和服务等，只保留协议和服务等，只保留TCP/IP网络通讯协议。网络通讯协议。用户账户的类型n用户账户有域用户帐户和本地用户账户两种类型。n建立在域控制器上的是“域用户账户”，这个账户的信息会存储在AD数据库中。“域用户账户”可用来登录域、访问域内的资源（包括域内任何计算机上的共享文件夹及共享打印机等）。n非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows XP客户端，则会有另一组“本地用户帐户”。本地用户帐户的信息不会存储在AD数据库中，而是存在本机中。所以“本地用户帐户”只能够登录账户所在的计算机，访问该机

58、资源，而无法登录域。“本地用户帐户”适用于工作组（Workgroup）的网络环境，一般不会在加入域的计算机上建立本地用户账户，原因如下：n系统管理员无法在Active Directory 用户和计算机集中管理本地用户账户，而必须到各台计算机上，进行本地用户账户的权限设置，这样无疑增加了管理负担。n本地用户账户只能在本地计算机上使用，不能访问域中其他计算机的资源，实用性不高。内置的用户账户nWindows Server 2003的域的内置账户有：Administrator与Guest.n1Administrator:系统管理员账户n这个账户对域有最大的控制权（可以管理账户和组、文件与打印机以及设

59、置组策略等），使用者无法删除它。建议将Administrator账户重新命名，这样想破坏系统管理员账户密码的人，就无法猜到账户的名称。Administrator账户有如下特点：n密码永久有效nAdministrator账户无法被禁用nAdministrator账户永远不会到期nAdministrator账户不受登录时间的限制，也不受只能用指定计算机登录的限制。2Guest:来宾用户nGuest是供无账户的用户临时使用的账户，利用Guest账户登录，可访问一些公开的资源。设置此账户，是为方便提供公开资源的系统，不必为所有用户都设置个人账户。n该账户只有有限的权限。用户可更改该账户的名称，但无法将其删除。基于安全因素，系统默认此账户禁用。因为如启用Guest账户，任何人都可以使用域中的资源。本地用户账户的管理n用户可使用“本地