1、第10章 操作系統安全 本章：3 學時理論講授2學時，上機實驗1學時第10章 操作系統安全 熟練掌握：Windows安全配置。 掌 握： 操作系統的安全機制；Windows安全機制。第10章 操作系統安全 10.1 操作系統的安全機制 10.2 Windows安全機制10.3 Windows安全配置本章小結實驗 13-6 Windows本地安全策略配置10.1 操作系統的安全機制 操作系統是連接硬件與其他應用軟件之間的橋梁，因此它的安全性是計算機系統安全的基石。 隨著計算機技術、通信技術、體系結構、存儲系統以及軟件設計等方面的發展，計算機系統已經形成了多種安全機制，以確保可信地自動執行系統安全

2、策略，從而保護操作系統的信息資源、能力資源不受破壞，為操作系統提供相應的安全服務。 10.1 操作系統的安全機制 操作系統的安全機制包括： 1. 硬件安全機制 2. 標識與鑒別 3. 訪問控制 4. 最小特權管理 5. 可信通路 6. 隱蔽通道 7. 安全審計 10.1 操作系統的安全機制 1. 硬件安全機制 優秀的硬件保護性能是高效、可靠的操作系統的基礎。計算機硬件安全的目標是保證其自身的可靠性和為操作系統提供基本安全機制。其中，基本安全機制包括存儲保護、運行保護、I/O保護等。10.1 操作系統的安全機制 2. 標識與鑒別 標識與鑒別是涉及操作系統和用戶的一個過程。標識就是操作系統要標識用

3、戶的身份，并為每個用戶取一個操作系統可以識別的內部名稱用戶標識符。用戶標識符必須是唯一的且不能被偽造，防止一個用戶冒充其他用戶。將用戶標識符與用戶聯系的過程稱為鑒別，鑒別過程主要用于識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他身份的特殊信息，并且這個信息是秘密的，任何其他用戶都不能擁有它。10.1 操作系統的安全機制 3. 訪問控制 訪問控制是操作系統安全的核心內容和基本要求。當操作系統主體（進程或用戶）對客體（如文件、目錄、特殊設備文件等）進行訪問時，應按照一定的機制判定訪問請求和訪問方式是否合法，進而決定是否支持訪問請求和執行訪問操作。訪問方式通常包括自主訪問控制和強制訪問控制兩

4、種方式。10.1 操作系統的安全機制 4. 最小特權管理 最小特權管理機制根據敏感操作類型進行特權細分，基于職責關聯一組特權指令集，同時建立特權傳遞及計算機制，并保證任何企圖超越強制訪問控制和自主訪問控制的特權任務都必須通過特權機制的檢查，從而減少由于特權用戶口令丟失、惡意軟件、誤操作所引起的損失。10.1 操作系統的安全機制 5. 可信通路 在計算機系統中，用戶是通過不可信的中間應用層和操作系統相互作用的。但用戶登錄、定義其安全屬性、改變文件的安全級別等操作，必須確定是在與安全核心通信，而不是與一個特洛伊木馬進行通信。操作系統必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。 特權用戶在進行特

5、權操作時，也要有辦法證實從終端上輸出的信息是正確的，而不是來自特洛伊木馬。這些都需要一個機制保障用戶和內核的通信，這種機制就是由可信通路提供的。10.1 操作系統的安全機制 6. 隱蔽通道 所謂隱蔽通道是指允許進程間以危害系統安全策略的方式傳輸信息的通信信道。根據共享資源性質的不同，具體可分為存儲隱蔽通道和時間隱蔽通道。鑒于隱蔽通道可能會造成嚴重的信息泄露，應當建立適當的隱蔽通道分析處理機制，以監測和識別可能的隱蔽通道，并予以消除。10.1 操作系統的安全機制 7. 安全審計 安全審計是對操作系統中有關安全的活動進行記錄、檢查及審核。它是一種事后追查的安全機制，其主要目標是檢測和判定非法用戶對

6、系統的滲透或入侵，識別誤操作并記錄進程基于特定安全級活動的詳細情況，并顯示合法用戶的誤操作。安全審計為操作系統進行事故原因的查詢、定位，事故發生前的預測、報警以及事故發生之后的實時處理提供詳細、可靠的依據和證據支持，以備在違反系統安全規則的事件發生后能夠有效地追查事件發生的地點、過程和責任人。10.2 Windows安全機制 目前，Windows已經成為廣大中小企業網絡服務器的首選系統平臺。Windows所提供的分布式安全服務可通過多種技術手段來控制用戶對資源的訪問。Windows操作系統的安全模型包括信任域控制器（用于活動目錄存儲）、身份鑒別、服務之間的信任委派以及基于對象的訪問控制。10.

7、2 Windows安全機制 Windows安全服務的核心功能包括： 1. 活動目錄服務 2. Kerberos協議 3. 公鑰基礎設施 4. 智能卡 5. 加密文件系統 6. 安全模板 7. 安全賬號管理器 10.2 Windows安全機制 1. 活動目錄服務 Windows系統最大的突破和取得成功的原因之一就在于它引入了活動目錄服務（Active Directory，AD），活動目錄服務在網絡安全中具有極其重要的作用。活動目錄為用戶、硬件以及網絡上的數據提供了一個存儲中心，活動目錄也存儲用戶的授權和認證信息。Windows活動目錄以一種邏輯分層結構來存儲信息，這樣具有很好的擴展性并便于簡化管

8、理。 一個域是一個網絡對象，是組織單元、用戶賬號、組和計算機的集合。多個域組成域樹。組織單元是把對象組織成邏輯管理組的容器，它可包含一個或多個對象。一個對象是一個獨立的個體，如用戶賬號、計算機、打印機等。Windows以域間的信任關系控制用戶對網絡資源的訪問，通過建立域間的信任關系，可以允許用戶和計算機在任何一個域中進行身份認證，從而使用經過授權的資源，這種橫穿多個域而保持的信任關系也稱為穿越信任。采用穿越信任關系可以在很大程度上減少網絡單向信任關系的量，從而簡化網絡管理。 10.2 Windows安全機制 2. Kerberos協議 Windows使用互聯網標準Kerberos V5協議作為

9、網絡用戶身份認證的主要方法。Kerberos協議定義了客戶端和密鑰分配中心的認證服務之間的安全交互，并提供在客戶機和應用服務器之間建立連接之前進行相互身份鑒別的機制。 在使用Kerberos協議之前，所使用的客戶機和服務器都要向Kerberos身份鑒別服務器注冊。使用Kerberos身份鑒別協議時，客戶機將由用戶密碼派生的加密信息發送到Kerberos服務器，該服務器使用它來驗證用戶的身份；同樣地，Kerberos服務器也將相關信息發送到客戶機的Kerberos軟件上，以驗證Kerberos服務器的身份；這種交互身份驗證過程可避免客戶機和服務器同時被惡意用戶欺騙。10.2 Windows安全機

10、制 3.公鑰基礎設施 公鑰基礎設施（PKI）主要用于互聯網這樣的開放網絡，它允許用戶通過證書進行數據加密、數據簽名和身份驗證。Windows操作系統全面支持PKI，并將此作為操作系統的一項基本服務。在組成Windows操作系統PKI的基本邏輯組件中，最核心的組件是微軟認證服務系統。微軟認證服務系統允許用戶配置一個或多個企業認證中心（CA）。這些CA支持證書的分發、管理和撤銷，并與活動目錄和策略配合共同完成證書和信息的發布。雖然證書服務可以對其數據庫進行獨立管理，但對于大型企業的電子商務應用，為安全起見，一般使用AD（活動目錄）來管理和存儲證書，并提供證書多層繼承關系的支持。 10.2 Wind

11、ows安全機制 4. 智能卡 智能卡是用一種相對簡單的方式來使非授權人更難獲得訪問網絡的權限。Windows XP為智能卡安全提供內在支持，與口令認證方式不同，采用智能卡進行認證時，用戶需要把智能卡插入連接了計算機的讀寫器中，并輸入卡的PIN（Personal Identification Number，個人標識號），Windows使用智能卡中存儲的私鑰和證書向Windows域控制器的KDC（Key Distribution Center，密鑰分發中心）認證用戶，認證完畢后，KDC返回許可票據。智能卡認證相對于口令認證具有更高的安全性，表現為：（1）智能卡方式需要一個物理卡來認證用戶。（2）智

12、能卡的使用必須提供個人標識號以保證只有經過授權的人才能使用該智能卡。（3）因為不能從智能卡中提取密鑰，所以有效地消除了通過盜用用戶證書而對系統產生的威脅。（4）沒有智能卡，攻擊者就不能訪問受智能卡保護的資源。10.2 Windows安全機制 5. 加密文件系統 為保護好存儲在本地計算機中的數據的安全，Windows系統提供了加密文件系統（Encrypting File System，EFS），該系統是Windows 2000、Windows XP和Windows Server 2003的NTFS文件系統的一個組件。加密文件系統EFS能讓用戶對本地計算機中的文件或文件夾進行加密，非授權用戶是不能

13、對這些加密文件進行讀寫操作的。此外，當計算機丟失時，EFS系統可防止敏感信息的丟失和泄露。 當使用EFS對NTFS文件系統的文件或文件夾進行安全處理時，操作系統使用CryptoAPI（加密應用程序接口）所提供的公鑰和對稱密鑰加密算法對文件或文件夾進行加密。雖然EFS的內部實現機制非常復雜，但用戶使用起來非常方便。由于加密機制已經內置于文件系統中，EFS對合法用戶的操作是透明的，合法用戶再次打開文件時自動解密，而對其他用戶來說卻是加密的。10.2 Windows安全機制 6.安全模板 安全模板（security templates）是安全配置的實際體現，它是一個可以存儲一組安全設置的文件。為了方

14、便網絡的建立和管理，Windows提供了安全模板工具。系統管理員使用管理控制臺可以很容易地定義標準安全模板，并可以統一地應用到多個計算機系統和用戶當中。 Windows系統包含了一組標準的安全模板，從安全性較低的客戶端配置到安全性較高的域控制器配置，可適用于不同應用領域中的計算機系統。這些模板可以直接使用、修改或作為用戶定制安全模板的基礎，一個模板中包括的安全設置項有賬號策略、本地策略、事件日志、受限組、注冊表、文件系統和系統服務等。10.2 Windows安全機制 7.安全賬號管理器 Windows系統中使用了安全賬號管理器（Security Account Manager，SAM）對用戶賬

15、號的安全性進行管理呢，它是Windows系統用戶賬號管理的核心，所有用戶的登錄名及口令等相關信息都保存在這個文件中。Windows系統對SAM文件中的資料全部進行了加密處理，一般的文件編輯器是無法直接讀取這些信息的。 安全賬號管理器SAM對賬號的管理是通過安全標識符來實現的。安全標識符在賬號創建時就同時創建了。安全標識符是唯一的，即使是相同的用戶名，在每次創建時獲取的安全標識符也是完全不同的。因此，一旦某個賬號被刪除，它的安全標識符也就不再存在了，即使再使用相同的用戶名重建賬號，操作系統也會賦予不同的安全標識符，不會保留原來的權限。10.2 Windows安全機制 8. 其他方面 Window

16、s安全服務還包括以下幾種功能。 1.支持IPSec協議 2.可擴展的安全體系結構 3.安全審核 10.3 Windows安全配置 操作系統的安全決定著網絡的安全，有相當一部分的惡意攻擊都是利用Windows操作系統的安全配置不當而進行攻擊的。從保護級別上我們可以將Windows的安全配置分為： （1）操作系統常規的安全配置； （2）操作系統的安全策略配置； （3）操作系統安全信息通信配置。10.3 Windows安全配置 10.3.1 常規的安全配置 操作系統常規的安全配置包括： （1）停用Guest賬號 （2）限制用戶數量 （3）減少管理員賬戶登錄次數 （4）對管理員賬戶重命名 （5）創建陷

17、阱賬戶 （6）更改默認權限 （7）安全密碼 （8）屏幕保護密碼 （9）使用NTFS格式的分區 （10）安裝防病毒軟件和防火墻 （11）確保資料備份盤的安全 10.3 Windows安全配置 10.3.2 安全策略配置 操作系統的安全策略配置包括： （1）配置操作系統安全策略 （2）關閉不必要的服務 （3）關閉不必要的端口 （4）開啟審核策略 （5）開啟密碼策略 （6）開啟賬戶鎖定策略 （7）備份敏感數據文件 （8）不顯示上次登錄的賬戶 （9）禁止建立空連接10.3 Windows安全配置 10.3.3 安全信息通信配置 操作系統安全信息通信配置包括： （1）關閉DirectDraw （2）停止共享 （3）禁用Dump 文件 （4）文件加密系統 （5）關機時清除頁面文件 （6）禁止從光盤啟動 （7）禁止判斷主機類型 （8）禁止Guest賬戶訪問日志文件本