19 第七章 任务1 Windows操作系统安全（2+2学时）

Windows操作系统安全厚德强能、求实创新第七章任务1重识操作系统1Windows操作系统的安全机制2Windows操作系统的安全分析3Windows操作系统的安全增强4厚德强能、求实创新1重识操作系统Windows系列Linux系列Unix系列国产系列厚德强能、求实创新1重识操作系统“信创”信息技术应用创新从2013年6月初开始，美国前防务承包商雇员爱德华·斯诺登通过多家媒体披露美国国家安全局“棱镜”项目等涉及的机密文件，指认美国情报机构多年来在国内外持续监视互联网活动以及通信运营商用户信息。“棱镜门”事件引起国际社会的高度关注，直接波及美俄关系，以及美国与欧盟关系。厚德强能、求实创新1重识操作系统Windows操作系统架构内核态组件包括以下5种类型:（1）执行体（2）内核（3）硬件抽象层（4）设备和文件系统驱动用户态模式包含4种用户进程类型:（1）特殊系统进程（2）服务进程（3）用户应用程序进程（4）环境子系统进程Windows操作系统架构（5）窗口和图形系统厚德强能、求实创新Linux操作系统架构1重识操作系统传统Linux操作系统架构传统Linux操作系统架构分为三层：硬件层系统内核应用层厚德强能、求实创新2Windows操作系统的安全机制Windows操作系统在安全设计上设有专门的安全子系统：本地安全授权（LocalSecurityAuthority，LSA）安全账户管理器（SecurityAccountsManager，SAM）安全参考监视器（SecurityReferenceMonitor，SRM）

Windows操作系统的安全子系统（1）安全架构厚德强能、求实创新2Windows操作系统的安全机制（2）安全机制①

认证机制Windows操作系统的认证机制用于验证用户、设备或服务的身份，确保只有授权主体可访问系统资源。本地用户和组信息SAM文件可以通过Windows\System32\config路径，或通过“计算机管理（本地）”查看“本地用户和组”查看账户信息，即打开“计算机管理（本地）”窗口，在左侧窗格依次展开“系统工具”—“本地用户和组”，在“用户”文件夹下可查看本地用户账户名称，在“组”文件夹下可查看本地用户组。厚德强能、求实创新2Windows操作系统的安全机制（2）安全机制②

访问控制机制Windows操作系统实现了用户级DAC厚德强能、求实创新2Windows操作系统的安全机制（2）安全机制③

审计／日志机制日志文件是Windows操作系统中比较特殊的文件，它记录Windows操作系统的运行状况，如各种系统服务的启动、运行、关闭等信息。Windows操作系统日志有三种类型：系统日志、应用程序日志和安全日志，它们对应的文件名为System.evtx、Application.evtx和Security.evtx。这些日志文件通常存放在操作系统安装区域的“%SystemRoot%\System32\winevt\Logs”目录下，也可以使用事件查看器查看.事件查看器厚德强能、求实创新2Windows操作系统的安全机制（2）安全机制④

协议过滤和防火墙机制WindowsDefender防火墙厚德强能、求实创新2Windows操作系统的安全机制（2）安全机制⑤

文件加密系统机制加密的文件系统（EncryptingFileSystem，EFS）BitLocker⑥抗攻击机制配置攻击面规则界面厚德强能、求实创新3Windows操作系统的安全分析（1）Windows口令（2）Windows恶意代码。（3）Windows应用软件漏洞。（4）Windows系统程序的漏洞。（5）Windows注册表安全。（6）Windows文件共享安全。（7）Windows物理临近攻击。厚德强能、求实创新（1）安全漏洞打补丁。很多漏洞是在软件设计过程中产生的缺陷和错误，因此需要采用补丁的方式对这些问题进行修复。（2）停止服务和卸载软件。有些应用和服务的安全问题较多，目前又没有可行的解决方案，那么在可能的情况下停止该服务，不给攻击者提供攻击机会，便是一种切实有效的方法。（3）升级或更换程序。在很多情况下，漏洞只针对产品的某一个版本有效，此时解决问题的办法就是升级软件。如果升级软件仍不能解决，则要考虑更换程序。目前，同一应用或服务通常存在多个成熟的程序版本，并且还存在免费的自由软件，这为更换软件提供了可能性。（4）修改配置或权限。有时系统本身并没有全漏洞，但由于配置或权限设置错误或不合理，给系统带来安全性问题。建议用户根据实际情况和审计结果，对这类配置或权限设置问题进行修改。（5）去除特洛伊木马等恶意程序。系统如果出现过安全事故（已知的或并未被发现的），则该系统可能存在隐患，如攻击者留下后门程序等，因此必须去除这些程序。（6）安装专用的安全工具软件。