1、第2章 操作系統安全與策略 本章學習目標了解操作系統的安全性。掌握Windows2000中的用戶安全和管理策略。掌握Windows2000的文件訪問權限及其策略。掌握Windows2000中的資源審計。 本章要點內容Windows2000中的用戶安全和管理策略Windows2000的文件訪問權限及其策略Windows2000中的資源審計 2.1 2.1 操作系統安全概述操作系統安全概述 2.2 Windows20002.2 Windows2000安全概述安全概述 2.3 Windows20002.3 Windows2000的用戶安全和管理策略的用戶安全和管理策略 2.4 NTFS2.4 NTF

2、S文件和文件夾的存取控制文件和文件夾的存取控制 2.5 2.5 使用審核資源使用審核資源 2.6 Windows20002.6 Windows2000的安全應用的安全應用2.1 操作系統安全概述 2.1.1 操作系統安全 2.1.2 操作系統的安全機制 2.1.3 操作系統的安全策略 2.1.4 操作系統的漏洞和威脅1系統安全不允許未經核準的用戶進入系統，從而可以防止他人非法使用系統的資源是系統安全管理的任務。主要采取的手段有注冊和登錄。注冊：指系統設置一張注冊表，記錄了注冊用戶名和口令等信息，使系統管理員能掌握進入系統的用戶情況，并保證用戶名在系統中的唯一性。登錄：指用戶每次使用時，首先要核

3、對用戶和口令，核查用戶的合法性。2用戶安全操作系統中，用戶安全管理,是為用戶分配文件“訪問權限” 而設計。用戶對文件訪問權限的大小，是根據用戶分類、需求和文件屬性來分配的。可以對文件定義建立、刪除、打開、讀、寫、查詢和修改的訪問權限。2.1.1 操作系統安全3資源安全 資源安全是通過系統管理員或授權的資源用戶對資源屬性的設置，來控制用戶對文件、打印機等的訪問。 4通信網絡安全 網絡中信息有存儲、處理和傳輸三個主要操作，其中傳輸中受到的安全威脅最大。用戶身份驗證和對等實體鑒別訪問控制數據完整性防抵賴審計 操作系統的安全機制主要有身份鑒別機制、訪問控制和授權機制和加密機制。 1身份鑒別機制 身份鑒

4、別機制是大多數保護機制的基礎。分為內部和外部身份鑒別兩種。 外部身份鑒別機制是為了驗證用戶登錄系統的合法性，關鍵是口令的保密。 內部身份鑒別機制用于確保進程身份的合法性。2.1.2 操作系統的安全機制 2訪問控制和授權機制 訪問控制是確定誰能訪問系統（鑒別用戶和進程），能訪問系統何種資源（訪問控制）以及在何種程度上使用這些資源（授權）。授權：即規定系統可以給哪些主體（一種能訪問對象的活動實體，如人、進程或設備）訪問何種客體的特權。確定訪問權限，并授權和實施：即規定以讀或寫，或執行，或增加，或刪除的方式進行訪問。 3加密機制 加密是將信息編碼成像密文一樣難解形式的技術. 安全策略是安全策略是指在

5、一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。根據組織現實要求所制定的一組經授權使用計算機及信息資源的規則，它的目標是防止信息安全事故的影響降為最小，保證業務的持續性，保護組織的資源，防范所有的威脅。2.1.3 操作系統的安全策略 制定安全策略是通常可從以下兩個方面來考慮:1 物理安全策略物理安全策略包括以下幾個方面： 一是為了保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路，以免受自然災害、人為破壞和搭線攻擊； 二是驗證用戶的身份和使用權限，防止用戶越權操作； 三是確保計算機系統有一個良好的電磁兼容工作環境； 四是建立完備的安全管理制度，防止非法進入計算機控制室和各種

6、偷竊、破壞活動的發生。 2 訪問控制策略訪問控制是對要訪問系統的用戶進行識別，并對訪問權限進行必要的控制。訪問控制策略是維護計算機系統安全、保護其資源的重要手段。訪問控制的內容有入網訪問控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制等。另外，還有加密策略、防火墻控制策略等。 1口令策略：口令的控制（口令不允許顯示、限制措施、口令的更換、最短口令長度等）、口令的檢查、口令的安全存儲 2訪問控制與授權策略 3系統監控和審計策略 （1）建立并保存事件記錄 （2）對系統使用情況進行監控 1）以操作系統為手段，獲得授權以外或未授權的信息。它危害計算機

7、及其信息系統的保密性和完整性。例如，“特洛伊木馬”、“邏輯炸彈”等都是如此。 2）以操作系統為手段，阻礙計算機系統的正常運行或用戶的正常使用。 3）以操作系統為對象，破壞系統完成指定的功能。除了計算機病毒破壞系統運行和用戶正常使用外，還有一些人為因素，如干擾、設備故障和誤操作也會影響軟件的正常運行。 4）以軟件為對象，非法復制和非法使用。 5）以操作系統為手段，破壞計算機及其信息系統的安全，竊聽或非法獲取系統的信息。2.1.4 操作系統的漏洞和威脅2.2 Windows 2000安全概述 2.2.1 安全登錄 2.2.2 訪問控制 2.2.3 安全審計 2.2.4 WINDOWS2000的安全

8、策略2.2.1 安全登陸1. Windows 系統登錄 Windows 要求每一個用戶提供唯一的用戶名和口令來登錄到計算機上，這種強制性登錄過程不能關閉。 強制性登錄和使用CTRL+ALT+DEL組合鍵啟動登錄,優勢:用以確定用戶身份的合法性, 確定用戶的身份從而確定用戶對系統資源的訪問權限。在強制登錄期間，掛起對用戶模式程序的訪問，防止創建或偷竊用戶帳戶和口令的應用程序。入侵者可能模仿一個Windows的登錄界面，然后讓用戶進行登錄從而獲得用戶登錄名和相應的密碼，使用CTRL+ALT+DEL會造成用戶程序被終止，而真正的登錄程序可由CTRL+ALT+DEL啟動，來阻止這種欺騙行為。允許用戶具

9、有單獨的配置，包括桌面和網絡連接，這些配置在用戶退出時自動保存，在用戶登錄后自動調出。多個用戶可以使用同一臺機器，并且仍然具有他們自己的專用設置。成功的登錄過程有4個步驟：（1）Win 32的WinLogon過程給出一個對話框，要求要有一個用戶名和口令，這個信息被傳遞給安全性賬戶管理程序。（2）安全性賬戶管理程序查詢安全性賬戶數據庫，以確定指定的用戶名和口令是否屬于授權的系統用戶。（3）如果訪問是授權的，安全性系統構造一個存取令牌，并將它傳回到Win 32的 WinLogin過程。（4）WinLogin調用Win 32子系統，為用戶創建一個新的進程，傳遞存取令牌給子系統，Win 32對新創建的

10、過程連接此令牌。2. 賬戶鎖定為了防止有人企圖強行闖入系統中，用戶可以設定最大登錄次數，如果用戶在規定次數內未成功登錄，則系統會自動被鎖定，不可能再用于登錄。 3. Windows 全性標識符（SID）在安全系統上標識一個注冊用戶的唯一名字，它可以用來標識一個用戶或一組用戶。例如：s-1-5-21-76965814-1898335404-322544488-1001 SID是唯一的數值，即用于代表一個用戶的SID在以后應該永遠不會被另一個用戶，用戶用一個用戶信息、時間、日期和域信息的結合體來創建。在同一臺計算機上，可以創建相同的用戶帳戶名，而每個對應的SID是唯一。 要求在允許用戶訪問系統之前

11、，輸入惟一的登錄標識符和密碼來標識自己。安全特性有： （1）用戶帳號 （2）組 （3）Kerberos 身份驗證協議2.2.2 訪問控制 允許資源的所有者決定哪些用戶可以訪問資源和他們可以如何處理這些資源。所有者可以授權給某個用戶或一組用戶，允許他們進行各種訪問。安全特性有： 1）活動目錄： 2）NTFS的權限。 3）共享文件訪問許可。 4）分布式文件系統。2.2.3 安全審計 提供檢測和記錄與安全性有關的任何創建、訪問或刪除系統資源的事件或嘗試的能力。登錄標識符記錄所有用戶的身份，這樣便于跟蹤任何執行非法操作的用戶。 1）審計資源的使用。 2）監控網絡資源的訪問行為。2.2.4 WINDOW

12、S2000的安全策略 1Windows 2000安全策略的內容 安全策略主要包括如下3個方面：本地安全策略，域安全策略，域控制器安全策略。 （1）本地組策略 使用這些對象，組策略設置可以存儲在個人計算機上，無論這些計算機是否為Active Directory環境或網絡環境的一部分。 （2）域安全策略和域控制器安全策略 域安全策略和域控制器安全策略應用于域內，針對站點、域或組織單位設置組策略. 域安全策略與域控制器安全策略的配置內容相似。 2.3 WINDOWS2000 的用戶安全和管理策略 2.3.1 用戶賬戶和組 2.3.2 WINDOWS 2000系統的用戶賬戶的管理 2.3.3 Wind

13、ows 2000組管理與策略2.3.1 用戶賬戶和組 在網絡環境中，用戶帳戶能用來保證系統安全，防止用戶非法使用計算機資源。 用戶帳號最重要的組成部分是用戶名和密碼。 1用戶帳戶 （1）用戶帳號的類型 在Windows 2000中有兩種用戶帳戶：本地用戶帳戶和域用戶帳戶。 （2）內置用戶帳戶 1）Administrator帳戶 2）Guest帳戶 2組 組是用戶帳戶的集合。通過組能夠極大地簡化用戶帳戶的管理任務。 2.3.2 WINDOWS 2000系統的用戶賬戶的管理 1管理的基本內容 為使管理過程合理化和實現適當的安全措施，在管理用戶賬戶時應考慮如下5個問題： 1）命名約定：確立了在網絡上

14、如何識別用戶。用戶帳戶名稱既是用戶在網絡上的唯一身份，又是用戶登錄網絡或計算機系統的標識。 2）密碼要求：為了保護對域或計算機資源的訪問 。 3）登錄時間與站點限制； 4）主文件夾的位置：存儲用戶的文件和程序的文件夾。 5）配置文件的設置：包含用戶自行設置的工作環境。 2設置賬戶策略 為了增強用戶賬戶密碼的安全性和有效性，Windows2000將賬戶密碼的設置作為安全策略之一提供給管理員。 帳戶策略設置的對象是系統上的所有帳戶。 設置的方法是使用組策略編輯器中的賬戶策略設置功能，賬戶策略包括賬戶的密碼策略：密碼最長存留期（密碼的有效期限）、密碼最短存留期（不允許用戶頻繁更換密碼）、最小密碼長度

15、、強制密碼歷史（避免用戶在短時間內重復使用相同的密碼）、復雜性要求、用戶必須登錄以更改密碼。賬戶的鎖定策略：用來設置用戶注冊失敗時的處理動作。Kerberos策略：服務器與客戶及服務器到服務器的相互身份驗證方法。 （1）密碼策略 密碼策略中的設置是有關密碼的設置，如圖所示，密碼策略包括下列6項限制。 1）密碼最長存留期:設置用戶密碼的有效期限 2）密碼最短存留期：密碼最短存留期限制不允許用戶頻繁更換密碼，默認設置0表示用戶可以任何時候更換密碼。 3）最小密碼長度：這是設置用戶所使用的密碼的最小長度。4）強制密碼歷史：該項設置的目的是為了避免用戶在短時間內重復使用相同的密碼，默認情況下系統不會記

16、錄密碼歷史，允許用戶不斷使用相同的密碼。 5）密碼必須符合安裝的密碼篩選器的復雜性要求。 6）用戶必須登錄以更改密碼。 （2）賬戶鎖定策略 賬戶鎖定是用來設置用戶注冊失敗時的處理動作。在下圖中的賬戶鎖定區中，如果選擇了賬戶不鎖定策略的話，系統將對用戶的失敗注冊不做任何處理。為了防止他人猜中用戶的密碼，建議使用賬戶鎖定功能。2.3.3 Windows 2000組管理與策略 1 Windows 2000組的形式 從組的使用領域分為本地組、全局組和通用組三種形式。 （1）本地組：在Professional和成員服務器中使用本地組，本地組給用戶訪問本地計算機上的資源提供權限。 （2）全局組：全局組主要

17、是用來組織用戶，也就是將多個網絡訪問權類似的用戶賬戶加人到同一個全局組內。 （3）通用組：主要用于指定對多個域中相關資源的訪問權限。 2Windows 2000組的規劃 建立組應按照下面準則進行： 1）根據用戶的公共需求，邏輯上將用戶組織起來； 2）在用戶賬戶駐留的每個域中，為每個用戶的邏輯組建立一個全局組，然后將適當的用戶賬戶添加到適當的全局組中； 3）資源訪問需求為依據建立本地組； 4）為本地組分配適當的權限； 5） 將全局組添加到本地組中。 6）作出組賬戶的規劃表。 將組的信息列表，建立組賬戶規劃表，既便于清楚組及其關系，又有利于檢查和審計組賬戶的內容。2.4 NTFS文件和文件夾的存取

18、控制 2.4.1 Windows 2000中的NTFS權限 4.4.2 在在NTFSNTFS下用戶的有效權限下用戶的有效權限 4.4.3 NTFS權限的規劃 2.4.4 共享文件和文件夾的存取控制 2.4.1 Windows 2000中的NTFS權限 NTFS（New Technology File Systetm 新技術文件系統）是微軟專為Windows NT操作環境所設計的文件系統，并且廣泛應用在Windows NT操作環境環境所設計的文件系統，并且廣泛應用在Windows NT的后續版本Windows 2000與Windows XP中。與Windows系統過去使用的FAT/FAT32格式

19、的文件系統相比，NTFS具有如下優勢。 1）長文件名支持 2）對文件目錄的安全控制。 3）先進的容錯能力。 4）不易受到病毒和系統崩潰的侵襲。. （1）NTFS文件權限的類型 NTFS文件權限共有5種類型 :讀取寫入讀取及運行修改完全控制 （2）NTFS文件夾權限的類型 Windows 2000中，NTFS文件夾的權限的類型有6種：讀取、寫入、列出文件夾目錄 、讀取及運行 、修 改 、完全控制 4.4.2 在NTFS下用戶的有效權限 以下是用戶有效權限的使用規則：1權限是累積的:一個用戶的總體是所有準許用戶使用或訪問一個對象的權限的總和.2拒絕權限會覆蓋所有其他的權限3文件權限會覆蓋文件夾權限

20、2.4.3 NTFS權限的規劃 規劃NTFS權限要考慮以下問題： （1）對資源是建立本地組，還是使用內置本地組? （2）確定文件或文件夾需要什么權限，以及將它們分配給誰。 1）對于程序文件夾，將“完全控制”權限分配給Administrators組和升級或調試軟件的組。將“讀取”權限分配給Users組。 2）對于數據文件夾，只將“完全控制”權限分配給Administrators組和所屬權(Owner)組，為Users組分配“寫入和讀取”權限。 3）應用% username % 自動將用戶賬戶名分配給主文件夾，并自動將NTFS權限“完全控制”分配給各用戶。2.4.4 共享文件和文件夾的存取控制 1

21、 共享文件夾的概念 所謂共享文件夾，就是給定適當權限后，用戶可以通過網絡來訪問的文件和文件夾。 2 共享文件夾的權限 為了控制用戶對共享文件夾的訪問，可以利用共享文件夾的權限進行。共享文件夾的權限規定了用戶可以對共享文件夾進行的操作。 3 共享文件夾的規劃 在開始設置共享文件夾之前，需要對共享文件夾進行規劃，以保證共享文件夾的安全與有效。 2.5 使用資源審核 2.5.1 審核事件 2.5.2 事件查看器 2.5.3 使用審核資源2.5.1 審核事件 審核功能用于跟蹤用戶訪問資源的行為與Windows 2000的活動情況，這些行為或活動，稱為事件，會被記錄到日志文件內，利用“事件查看器”可以查

22、看這些被記錄的審核數據。 在Windows 2000中，可以被審核并記錄在安全日志中的事件類型有： 1）審核策略更改； 2）審核登錄事件； 3）審核對象訪問； 4）審核過程追蹤； 5）審核目錄服務訪問； 6）審核特權使用； 7）審核系統事件； 8）審核賬戶登錄事件； 9）審核賬戶管理；2.5.2 事件查看器 1 查看事件記錄 可以通過以下兩種方法來啟動“事件查看器”： （1）用鼠標右鍵單擊桌面上的“我的電腦” “管理”“系統工具” “事件查看器”； （2）“開始” “程序” “管理工具” “事件查看器”。 2 設置日志文件的大小 可以針對每個日志文件（系統、安全、應用程序等）來更改其設置，例如

23、，日志文件容量的大小等。 3篩選事件日志中的事件 如果日志文件內的事件太多，造成不易查找事件時，可以利用篩選事件的方式，讓它只顯示特定的事件. 4 存儲日志文件的格式 存儲日志文件的格式可以是以下3種形式： 1）事件日志，其擴展名為.evt 。 2）文本（以制表符分隔） ，其擴展名為txt。 3）CSV（逗號分隔） ，其擴展名為csv。2.5.3 使用審核資源 1 制定審核策略 制定審核策略時主要考慮以下問題； （1）確定要審核的事件類型，如：1）訪問網絡資源，如文件、文件夾或打印機等。2）用戶登錄和注銷。3）關閉和重新啟動運行Windows 2000 Server的計算機。4）修改用戶賬戶和

24、組。 （2）確定審核成功的事件還是審核失敗的事件，或者兩者都審核。推薦的審核是：1）賬戶管理：成功、失敗；2）登錄事件：成功、失敗；3）對象訪問：失敗；4）策略更改：成功、失敗；5）特權使用：失敗；6）系統事件：成功、失敗；7）目錄服務訪問：失敗；8）賬戶登錄事件：成功、失敗。2.6 WINDOWS2000的安全應用 在應用Windows 2000 Server操作系統的過程中，應對Windows 2000 Server操作系統進行安全地配置與應用，主要從下面幾點出發。 1服務器的安全 服務器應該安放在安裝有監視器的隔離房間內，并且監視器要保留15天以上的攝像記錄。另外，機箱、鍵盤、電腦桌抽屜

25、要上鎖，以確保即使旁人進入房間也無法使用計算機，鑰匙要放在安全的地方。 2用戶安全設置 （1）禁用Guest賬號 在計算機管理的用戶里面將Guest賬號禁用。 （2）限制不必要的用戶去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。 （3）創建兩個或多個管理員賬號創建一個一般權限用戶，用來收信并處理一些日常事務，另一個擁有Administrators權限的用戶只在需要的時候使用。 （4）將系統Administrator賬號改名 （5）創建一個陷阱用戶陷阱用戶就是創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，并且加上一個超過10位的超級復雜密碼。

26、（6）將共享文件的權限從Everyone組改成授權用戶任何時候都不要把共享文件的用戶設置成“Everyone”組，包括打印機，默認的屬性就是“Everyone”組的，一定不要忘了改。 （7）開啟用戶策略使用用戶策略，分別設置復位用戶鎖定計數器時間為20 min，用戶鎖定時間為20 min，鎖定閾值為3次。 （8）不讓系統顯示上次登錄的用戶名 （9）密碼安全設置 3應用程序安全策略創建一個只有系統管理員才有訪問及運行權限的目錄，將%system%system32目錄下的網絡應用程序及對文件、目錄、注冊表操作的文件移到新建的目錄中。 4使用syskey.exe對系統口令數據庫存進行加密SAM加密算

27、法強度不夠，使得密碼很容易就被入侵者猜出來。syskey.exe是WindowsNT4.0從sp3開始提供的小工具，它對賬號數據庫提供附加保護，防止Crack 工具直接提取用戶信息。 5刪除%system%repair目錄是系統保存SAM備份文件的目錄,通過破解此文件,入侵者就能獲得主機上的用戶名和口令信息。并且此備份文件不會被系統鎖定，任何時候都能對它進行復制和編輯。 6審計日志 7掃描程序評估一個系統的安全與否最基本的方法就是使用掃描程序。 8口令攻擊程序 口令攻擊程序并不完全只是一種安全威脅，也可以是一個有用的工具。 9防火墻 10日志及審計工具 12安全恢復 11建立好的安全恢復機制（

28、1）創建系統緊急修復盤（2）定期將系統中的重要數據進行備份本章小結 操作系統是信息系統最基本、最關鍵的系統軟件，它為用戶及其應用程序和硬件之間提供了一個接口，對計算機的有效、合理使用，對資源的管理和保護是十分重要的。 操作系統的安全表現在系統安全、用戶安全、資源安全和通信安全等方面，其保證機制就是用戶身份驗證、授權訪問和審計。 本章主要講述了操作系統的安全性及安全配置，Windows 2000 server中的用戶管理及其策略，Windows 2000 server中的文件訪問權限及其策略，Windows 2000 server中的資源審計。本章作業1.將P79的填空題和選擇題做在書上.2.書

29、面作業P80 1、2、3KerberosKerberos認證服務認證服務 是美國麻省理工學院（MIT）開發的一種身份鑒別服務。 “Kerberos”的本意是希臘神話中守護地獄之門的守護者。 Kerberos提供了一個集中式的認證服務器結構，認證服務器的功能是實現用戶與其訪問的服務器間的相互鑒別。 Kerberos建立的是一個實現身份認證的框架結構。 其實現采用的是對稱密鑰加密技術，而未采用公開密鑰加密。 公開發布的Kerberos版本包括版本4和版本5。 Kerberos 的設計目標 安全性 能夠有效防止攻擊者假扮成另一個合法的授權用戶。 可靠性 分布式服務器體系結構，提供相互備份。 對用戶透

30、明性 可伸縮 能夠支持大數量的客戶和服務器。Kerberos的設計思路（1） 基本思路：使用一個（或一組）獨立的認證服務器（AS Authentication Server），來為網絡中的客戶提供身份認證服務； 認證服務器 (AS)，用戶口令由 AS 保存在數據庫中；AS 與每個服務器共享一個惟一保密密鑰（已被安全分發）。會話過程：(1) C AS: IDC （用戶的標識符）| PC （用戶口令）| IDV （服務器的標識符）(2) AS C: Ticket(3) C V : IDC | Ticket Ticket = EKVIDC | ADC | IDV客戶網絡地址：防止攻擊者從另一臺工作站

31、上冒充用戶CKerberos的設計思路 （2）問題：用戶希望輸入口令的次數最少。口令以明文傳送會被竊聽。解決辦法 票據重用（ticket reusable）。 引入票據許可服務器（TGS - ticket-granting server） 用于向用戶分發服務器的訪問票據； 認證服務器 AS 并不直接向客戶發放訪問應用服務器的票據，而是由 TGS 服務器來向客戶發放。Kerberos中的票據 兩種票據服務許可票據（Service granting ticket） 是客戶訪問服務器時需要提供的票據； 用 TicketV 表示訪問應用服務器 V 的票據。 TicketV 定義為 EKv IDCADCIDVTS2