第八章操作系統安全基礎

2023/2/1內容提要操作系統概述、基本概念、機制、安全模型和安全體系結構主要介紹操作系統安全配置的方案。操作系統的安全將決定網絡的安全，從保護級別上分成安全初級篇、中級篇和高級篇，共36條基本配置原則。安全配置初級篇講述常規的操作系統安全配置，中級篇介紹操作系統的安全策略配置，高級篇介紹操作系統安全信息通信配置。8.1操作系統概述目前服務器常用的操作系統有四類：FreeBSDUnixLinuxWindowsNT/2000/2003Server。這些操作系統都是符合C2級安全級別的操作系統。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應的措施，就會使操作系統完全暴露給入侵者。TCSEC(TrustedComputerStandardsEvaluationCriteria)可信任計算機標準評價準則（網絡安全橙皮書）8.2安全操作系統的研究發展操作系統的安全性在計算機信息系統的整體安全性中具有至關重要的作用。沒有操作系統提供的安全性，信息系統的安全性是沒有基礎的。區分安全操作系統和操作系統安全8.3安全操作系統的基本概念安全操作系統涉及很多概念：主體和客體安全策略和安全模型訪問監控器和安全內核可信計算基8.3.1主體和客體操作系統中的每一個實體組件都必須是主體或者是客體，或者既是主體又是客體。主體是一個主動的實體，它包括用戶、用戶組、進程等。系統中最基本的主體應該是用戶（包括一般用戶和系統管理員、系統安全員、系統審計員等特殊用戶）。每個進入系統的用戶必須是惟一標識的，并經過鑒別確定為真實的。系統中的所有事件要求，幾乎全是由用戶激發的。進程是系統中最活躍的實體，用戶的所有事件要求都要通過進程的運行來處理。在這里，進程作為用戶的客體，同時又是其訪問對象的主體。客體是一個被動的實體。在操作系統中，客體可以是按照一定格式存儲在一定記錄介質上的數據信息（通常以文件系統格式存儲數據），也可以是操作系統中的進程。操作系統中的進程（包括用戶進程和系統進程）一般有著雙重身份。當一個進程運行時，它必定為某一用戶服務——直接或間接的處理該用戶的事件要求。于是，該進程成為該用戶的客體，或為另一進程的客體（這時另一進程則是該用戶的客體）8.3.2安全策略和安全模型安全策略與安全模型是計算機安全理論中容易相互混淆的兩個概念。安全策略是指有關管理、保護和發布敏感信息的法律、規定和實施細則。例如，可以將安全策略定為：系統中的用戶和信息被劃分為不同的層次，一些級別比另一些級別高；而且如果主體能讀訪問客體，當且僅當主體的級別高于或等于客體的級別；如果主體能寫訪問客體，當且僅當主體的級別低于或等于客體的級別。安全模型則是對安全策略所表達的安全需求的簡單、抽象和無歧義的描述，它為安全策略和安全策略實現機制的關聯提供了一種框架。安全模型描述了對某個安全策略需要用哪種機制來滿足；而模型的實現則描述了如何把特定的機制應用于系統中，從而實現某一特定安全策略所需的安全保護。訪問監控器訪問控制機制的理論基礎是訪問監控器（ReferenceMonitor），由J.P.Anderson首次提出。訪問監控器是一個抽象概念，它表現的是一種思想。J.P.Anderson把訪問監控器的具體實現稱為引用驗證機制，它是實現訪問監控器思想的硬件和軟件的組合。8.4安全操作系統的機制安全操作系統的機制包括：硬件安全機制操作系統的安全標識與鑒別訪問控制、最小特權管理可信通路和安全審計8.4.1硬件安全機制絕大多數實現操作系統安全的硬件機制也是傳統操作系統所要求的，優秀的硬件保護性能是高效、可靠的操作系統的基礎。計算機硬件安全的目標是，保證其自身的可靠性和為系統提供基本安全機制。其中基本安全機制包括存儲保護、運行保護、I/O保護等。8.4.2標識與鑒別標識與鑒別是涉及系統和用戶的一個過程。標識就是系統要標識用戶的身份，并為每個用戶取一個系統可以識別的內部名稱——用戶標識符。用戶標識符必須是惟一的且不能被偽造，防止一個用戶冒充另一個用戶。將用戶標識符與用戶聯系的過程稱為鑒別，鑒別過程主要用以識別用戶的真實身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個信息是秘密的，任何其他用戶都不能擁有它。鑒別一般是在用戶登錄時發生的，系統提示用戶輸入口令，然后判斷用戶輸入的口令與系統存在的口令是否一致，另外，生物特征識別技術；8.4.3訪問控制在安全操作系統領域中，訪問控制一般都涉及自主訪問控制（DiscretionaryAccessControl，DAC）強制訪問控制（MandatoryAccessControl，MAC）兩種形式1.自主訪問控制最常用的一種訪問控制機制，用來決定一個用戶是否有權訪問一些特定客體的一種訪問約束機制；文件的擁有者可以按照自己的意愿精確制定系統中的其他用戶對其文件的訪問權，即一個用戶使用自主訪問控制機制，可以自主的說明他所擁有的資源允許系統中哪些用戶以何種權限進行訪問共享。2.強制訪問控制系統的每個進程，每個文件及其客體都被賦予了相應的安全屬性，這些安全屬性是不能改變的，由管理部門或者操作系統自動的按照嚴格的規則來設置；如果系統判定擁有一個安全屬性的主體不能訪問某個客體，那么任何人（包括客體的擁有者）也不能使它訪問該客體，從這種意義上講，是強制的。8.4.4最小特權管理在現有一般多用戶操作系統（如UNIX、Linux等）的版本中，超級用戶具有所有特權，普通用戶不具有任何特權。一個進程要么具有所有特權(超級用戶進程)，要么不具有任何特權(非超級用戶進程)。這種特權管理方式便于系統維護和配置，但不利于系統的安全性。一旦超級用戶的口令丟失或超級用戶被冒充，將會對系統造成極大的損失。另外超級用戶的誤操作也是系統極大的潛在安全隱患。因此必須實行最小特權管理機制。最小特權管理的思想是系統不應給用戶超過執行任務所需特權以外的特權；如將超級用戶的特權劃分為一組細粒度的特權，分別授予不同的系統操作員/管理員，使各種系統操作員/管理員只具有完成其任務所需的特權，從而減少由于特權用戶口令丟失或錯誤軟件、惡意軟件、誤操作所引起的損失。8.4.6安全審計一個系統的安全審計就是對系統中有關安全的活動進行記錄、檢查及審核。它的主要目的就是檢測和阻止非法用戶對計算機系統的入侵，并顯示合法用戶的誤操作。審計作為一種事后追查的手段來保證系統的安全，它對涉及系統安全的操作做一個完整的記錄。審計為系統進行事故原因的查詢、定位，事故發生前的預測、報警以及事故發生之后的實時處理提供詳細、可靠的依據和支持，以備有違反系統安全規則的事件發生后能夠有效地追查事件發生的地點和過程以及責任人。8.6操作系統安全體系結構建立一個計算機系統往往需要滿足許多要求，如安全性要求，性能要求，可擴展性要求，容量要求，使用的方便性要求和成本要求等，這些要求往往是有沖突的，為了把它們協調地納入到一個系統中并有效實現，對所有的要求都予以最大可能滿足通常是很困難的，有時也是不可能的。因此系統對各種要求的滿足程度必須在各種要求之間進行全局性地折衷考慮，并通過恰當的實現方式表達出這些考慮，使系統在實現時各項要求有輕重之分，這就是體系結構要完成的主要任務。安全配置方案初級篇安全配置方案初級篇主要介紹常規的操作系統安全配置，包括十二條基本配置原則：物理安全、停止Guest帳號、限制用戶數量創建多個管理員帳號、管理員帳號改名陷阱帳號、更改默認權限、設置安全密碼屏幕保護密碼、使用NTFS分區運行防毒軟件和確保備份盤安全。1、物理安全服務器應該安放在安裝了監視器的隔離房間內，并且監視器要保留15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。2、停止Guest帳號在計算機管理的用戶里面把Guest帳號停用，任何時候都不允許Guest帳號登陸系統。為了保險起見，最好給Guest加一個復雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數字，字母的長字符串。用它作為Guest帳號的密碼。修改Guest帳號的屬性，設置拒絕遠程訪問。3限制用戶數量去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設置相應權限，并且經常檢查系統的帳戶，刪除已經不使用的帳戶。帳戶很多是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的權限可能性一般也就越大。對于WindowsNT/2000主機，如果系統帳戶超過10個，一般能找出一兩個弱口令帳戶，所以帳戶數量不要大于10個。4多個管理員帳號雖然這點看上去和上面有些矛盾，但事實上是服從上面規則的。創建一個一般用戶權限帳號用來處理電子郵件以及處理一些日常事物，另一個擁有Administrator權限的帳戶只在需要的時候使用。因為只要登錄系統以后，密碼就存儲再WinLogon進程中，當有其他用戶入侵計算機的時候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數和時間。5管理員帳號改名Windows2000中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時候只要選中帳戶名改名就可以了。6陷阱帳號所謂的陷阱帳號是創建一個名為“Administrator”的本地帳戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些企圖入侵者忙上一段時間了，并且可以借此發現它們的入侵企圖。可以將該用戶隸屬的組修改成Guests組。7更改默認權限共享文件的權限從“Everyone”組改成“授權用戶”。“Everyone”在Windows2000中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候不要把共享文件的用戶設置成“Everyone”組。包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。設置某文件夾共享默認設置。8安全密碼好的密碼對于一個網絡是非常重要的，但是也是最容易被忽略的。一些網絡管理員創建帳號的時候往往用公司名，計算機名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設置得比較簡單，比如：“welcome”、“iloveyou”、“letmein”或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼，還要注意經常更改密碼。這里給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來，密碼策略是42天必須改密碼。9屏幕保護密碼設置屏幕保護密碼是防止內部人員破壞服務器的一個屏障。注意不要使用一些復雜的屏幕保護程序，浪費系統資源，黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。將屏幕保護的選項“密碼保護”選中就可以了，并將等待時間設置為最短時間“1分鐘”。10NTFS分區NTFS(NewTechnologyFileSystem)是

WindowsNT

操作環境和WindowsNT高級服務器網絡操作系統環境的文件系統。NTFS提供長文件名、數據保護和恢復，并通過目錄和文件許可實現安全性。NTFS支持大硬盤和在多個硬盤上存儲文件(稱為卷)。11防毒軟件Windows2000/NT服務器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。設置了放毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經常升級病毒庫。12備份盤的安全一旦系統資料被黑客破壞，備份盤將是恢復資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。不能把資料備份在同一臺服務器上，這樣的話還不如不要備份。安全配置方案中級篇安全配置方案中級篇主要介紹操作系統的安全策略配置，包括十條基本配置原則：操作系統安全策略、關閉不必要的服務關閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補丁1操作系統安全策略利用Windows2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺的安全配置和分析工具，可以配置服務器的安全策略。在管理工具中可以找到“本地安全策略”。可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默認的情況下，這些策略都是沒有開啟的。2關閉不必要的服務Windows2000的TerminalServices（終端服務）和IIS（Internet信息服務）等都可能給系統帶來安全漏洞。為了能夠在遠程方便的管理服務器，很多機器的終端服務都是開著的，如果開了，要確認已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行服務器上的終端服務。要留意服務器上開啟的所有服務并每天檢查。Windows2000作為服務器可禁用的服務及其相關說明如表7-1所示。Windows2000可禁用的服務服務名說明ComputerBrowser維護網絡上計算機的最新列表以及提供這個列表Taskscheduler允許程序在指定時間運行RoutingandRemoteAccess在局域網以及廣域網環境中為企業提供路由服務Removablestorage管理可移動媒體、驅動程序和庫RemoteRegistryService允許遠程注冊表操作PrintSpooler將文件加載到內存中以便以后打印。要用打印機的用戶不能禁用這項服務IPSECPolicyAgent管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序DistributedLinkTrackingClient當文件在網絡域的NTFS卷中移動時發送通知Com+EventSystem提供事件的自動發布到訂閱COM組件3關閉不必要的端口關閉端口意味著減少功能，如果服務器安裝在防火墻的后面，被入侵的機會就會少一些，但是不可以認為高枕無憂了。用端口掃描器掃描系統所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務的對照表可供參考。該文件用記事本打開如圖7-7所示。設置本機開放的端口和服務，在IP地址設置窗口中點擊按鈕“高級”，如圖7-8所示。在出現的對話框中選擇選項卡“選項”，選中“TCP/IP篩選”，點擊按鈕“屬性”，如圖7-9所示。設置端口界面如圖所示。一臺Web服務器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強大，可以替代防火墻的部分功能。4開啟審核策略安全審核是Windows2000最基本的入侵檢測方法。當有人嘗試對系統進行某種方式（如嘗試用戶密碼，改變帳戶策略和未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。表7-2的這些審核是必須開啟的，其他的可以根據需要增加。策略設置審核系統登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功，失敗審核特權使用成功，失敗審核系統事件成功，失敗審核策略默認設置審核策略在默認的情況下都是沒有開啟的，如圖7-11所示。雙擊審核列表的某一項，出現設置對話框，將復選框“成功”和“失敗”都選中，如圖7-12所示。5開啟密碼策略密碼對系統安全非常重要。本地安全設置中的密碼策略在默認的情況下都沒有開啟。需要開啟的密碼策略如表7-3所示策略設置密碼復雜性要求啟用密碼長度最小值6位密碼最長存留期15天強制密碼歷史5個設置選項如圖7-13所示。6開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊，設置如表7-4所示。策略設置復位帳戶鎖定計數器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閾值5次設置帳戶策略設置的結果如圖7-14所示。7備份敏感文件把敏感文件存放在另外的文件服務器中，雖然服務器的硬盤容量都很大，但是還是應該考慮把一些重要的用戶數據（文件，數據表和項目文件等）存放在另外一個安全的服務器中，并且經常備份它們8不顯示上次登錄名默認情況下，終端服務接入服務器時，登陸對話框中會顯示上次登陸的帳戶名，本地的登陸對話框也是一樣。黑客們可以得到系統的一些用戶名，進而做密碼猜測。修改注冊表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1。

9禁止建立空連接默認情況下，任何用戶通過空連接連上服務器，進而可以枚舉出帳號，猜測密碼。可以通過修改注冊表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1”即可。如圖7-16所示。10下載最新的補丁很多網絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久了，還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的Windows2000不出一點安全漏洞。經常訪問微軟和一些安全站點，下載最新的ServicePack和漏洞補丁，是保障服務器長久安全的唯一方法。安全配置方案高級篇高級篇介紹操作系統安全信息通信配置，包括十四條配置原則：關閉DirectDraw、關閉默認共享禁用DumpFile、文件加密系統加密Temp文件夾、鎖住注冊表、關機時清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數據恢復軟件1關閉DirectDrawC2級安全標準對視頻卡和內存有要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲），但是對于絕大多數的商業站點都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所示。2關閉默認共享Windows2000安裝以后，系統會創建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。停止默認共享禁止這些共享，打開管理工具>計算機管理>共享文件夾>共享，在相應的共享文件夾上按右鍵，點停止共享即可，如圖7-19所示。3禁用Dump文件在系統崩潰和藍屏的時候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應用程序的密碼等需要禁止它，打開控制面板>系統屬性>高級>啟動和故障恢復，把寫入調試信息改成無，如圖7-20所示。4文件加密系統Windows2000強大的加密系統能夠給磁盤，文件夾，文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。微軟公司為了彌補WindowsNT4.0的不足，在Windows2000中，提供了一種基于新一代NTFS：NTFSV5（第5版本）的加密文件系統（EncryptedFileSystem，簡稱EFS）。EFS實現的是一種基于公共密鑰的數據加密方式，利用了Windows2000中的CryptoAPI結構。5加密Temp文件夾一些應用程序在安裝和升級的時候，會把一些東西拷貝到Temp文件夾，但是當程序升級完畢或關閉的時候，并不會自己清除Temp文件夾的內容。所以，給Temp文件夾加密可以給你的文件多一層保護。6鎖住注冊表在Windows2000中，只有Administrators和BackupOperators才有從網絡上訪問注冊表的權限。當帳號的密碼泄漏以后，黑客也可以在遠程訪問注冊表，當服務器放到網絡上的時候，一般需要鎖定注冊表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system

把DisableRegistryTools的值該為0，類型為DWORD。7關機時清除文件頁面文件也就是調度文件，是Windows2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中，頁面文件中可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件，可以編輯注冊表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設置成1，如圖7-22所示。10使用IPSecIPSec協議不是一個單獨的協議，它給出了應用于IP層上的網絡數據安全，IPSec提供IP數據包的安全性。IPSec提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據，而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的安全性能大大增強。11禁止判斷主機類型黑客利用TTL（Time-To-Live，活動時間）值可以鑒別操作系統的類型，通過Ping指令能判斷目標主機類型。Ping的用處是檢測目標主機是否連通。許多入侵者首先會Ping一下主機，因為攻擊某一臺計算機需要根據對方的操作系統，是Windows還是Unix。如過TTL值為128就可以認為你的系統為Windows2000。從圖中可以看出，TTL值為128，說明改主機的操作系統是Windows2000操作系統。表7-6給出了一些常見操作系統的對照值。操作系統類型TTL返回值Windows2000128WindowsNT107win9x128or127solaris252IRIX240AIX247Linux241or240修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS，新建一個雙字節項。在鍵的名稱中輸入“defaultTTL”，然后雙擊改鍵名，選擇單選框“十進制”，在文本框中輸入111。設置完畢重新啟動計算機，再用Ping指令，發現TTL的值已經被改成111了。12抵抗DDOS添加注冊表的一些鍵值，可以有效的抵抗DDOS的攻擊。在鍵值[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]下增加響應的鍵及其說明增加的鍵值鍵值說明"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000000"KeepAliveTime"=dword:00000000"PerformRouterDiscovery"=dword:00000000基本設置"EnableICMPRedirects"=dword:00000000防止ICMP重定向報文的攻擊"SynAttackProtect"=dword:00000002防止SYN洪水攻擊"TcpMaxHalfOpenRetried"=dword:00000080僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設置超出范圍時,保護機制才會采取措施"TcpMaxHalfOpen"=dword:00000100"IGMPLevel"=dword:00000000不支持IGMP協議"EnableDeadGWDetect"=dword:00000000禁止死網關監測技術"IPEnableRouter"=dword:00000001支持路由功能13禁止Gues