第6章計算機操作系統的安全與配置本章要點：WindowsXP的安全性

Unix系統的安全性

Linux系統的安全性16.1WindowsXP操作系統的安全性6.1.1WindowsXP的登錄機制1．交互式登錄（1）本地用戶賬號（2）域用戶賬號2．網絡登錄3．服務登錄4．批處理登錄

26.1.2WindowsXP的屏幕保護機制

36.1.3WindowsXP的文件保護機制1．WFP的工作原理WFP把某些文件認為是非常重要的系統文件。在WindowsXP剛裝好后，系統會自動備份這些文件到一個專門的叫做dllcache的文件夾，這個dllcache文件夾的位置默認保存在%SYSTEMROOT%\system32\dllcache目錄下。46.1.3WindowsXP的文件保護機制2．WFP(WindowsFileProtection)功能的工作方式WFP功能使用兩種機制為系統文件提供保護。第一種機制在后臺運行。在WFP收到受保護目錄中的文件的目錄更改通知后，就會觸發這種保護機制。WFP收到這一通知后，就會確定更改了哪個文件。如果此文件是受保護的文件，WFP將在編錄文件中查找文件簽名，以確定新文件的版本是否正確。WFP功能提供的第二種保護機制是系統文件檢查器(Sfc.exe)工具。圖形界面模式安裝結束時，系統文件檢查器工具對所有受保護的文件進行掃描，確保使用無人參與安裝過程安裝的程序沒有對它們進行修改。56.1.4利用注冊表提高WindowsXP系統的安全注冊表實質上是一個龐大的數據庫,用來存儲計算機軟硬件的各種配置信息.內容主要包含幾個方面:軟硬件的有關配置和狀態信息,應用程序和資源管理器外殼的初始條件、首選項和卸載數據;計算機整個系統的設置和各種許可,文件擴展名與應用程序的關聯,硬件的描述、狀態和屬性;計算機性能記錄和底層的系統狀態信息以及各類其他數據.66.1.4利用注冊表提高WindowsXP系統的安全1．注冊表受到損壞的主要原因（1）用戶反復添加或更新驅動程序時，多次操作造成失誤，或添加的程序本身存在問題，安裝應用程序的過程中注冊表中添加了不正確的項。（2）驅動程序不兼容。計算機外設的多樣性使得一些不熟悉設備性能的用戶將不配套的設備安裝在一起，尤其是一些用戶在更新驅動時一味追求最新、最高端，卻忽略了設備的兼容性。當操作系統中安裝了不能兼容的驅動程序時，就會出現問題。（3）通過“控制面板”的“添加/刪除程序”添加程序時，由于應用程序自身的反安裝特性，或采用第三方軟件卸載自己無法卸載的系統自帶程序時，都可能會對注冊表造成損壞。另外，刪除程序、輔助文件、數據文件和反安裝程序也可能會誤刪注冊表中的參數項。76.1.4利用注冊表提高WindowsXP系統的安全1．注冊表受到損壞的主要原因（4）當用戶經常安裝和刪除字體時，可能會產生字體錯誤。可能造成文件內容根本無法顯示。（5）硬件設備改變或者硬件失敗。如計算機受到病毒侵害、自身有問題或用電故障等。（6）用戶手動改變注冊表導致注冊表受損也是一個重要原因。由于注冊表的復雜性，用戶在改動過程中難免出錯，如果簡單地將其它計算機上的注冊表復制過來，可能會造成非常嚴重的后果。82．WindowsXP系統注冊表的結構6.1.4利用注冊表提高WindowsXP系統的安全96.1.4利用注冊表提高WindowsXP系統的安全2．WindowsXP系統注冊表的結構WindowsXP注冊表共有5個根鍵。HKEY_CLASSES_ROOT此處存儲的信息可以確保當使用Windows資源管理器打開文件時，將使用正確的應用程序打開對應的文件類型。HKEY_CURRENT_USER包含當前登錄用戶的配置信息的根目錄。用戶文件夾、屏幕顏色和“控制面板”設置存儲在此處。該信息被稱為用戶配置文件。在用戶登錄WindowsXP時，其信息從HKEY_USERS中相應的項拷貝到HKEY_CURRENT_USER中。106.1.4利用注冊表提高WindowsXP系統的安全2．WindowsXP系統注冊表的結構WindowsXP注冊表共有5個根鍵。HKEY_LOCAL_MACHINE包含針對該計算機（對于任何用戶）的配置信息。HKEY_USERS包含計算機上所有用戶的配置文件的根目錄。HKEY_CURRENT_CONFIG管理當前用戶的系統配置。在這個根鍵中保存著定義當前用戶桌面配置(如顯示器等等)的數據,該用戶使用過的文檔列表（MRU），應用程序配置和其他有關當用戶的WindowsXP中文版的安裝的信息。116.1.4利用注冊表提高WindowsXP系統的安全3．通過修改WindowsXP注冊表提高系統的安全性（1）修改注冊表的訪問權限（2）讓文件徹底隱藏（3）禁止使用控制面板

請參照教材P105介紹進行操作12啟動策略管理的命令：Gpedit.msc6.1.5本地安全的賬戶策略13帳戶策略密碼策略Kerberos策略(針對Server系列)帳戶鎖定策略14密碼復雜性要求如果啟用此策略，密碼必須符合下列最低要求:不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個連續字符的部分至少有六個字符長包含以下四類字符中的三類字符:英文大寫字母(A到Z)英文小寫字母(a到z)10個基本數字(0到9)非字母字符(例如!、$、#、%)15本地策略審核策略：確定是否將安全事件記錄到計算機上的安全日志中。同時也確定是否記錄登錄成功或登錄失敗，或二者都記錄。（“安全”日志是事件查看器的一部分。）用戶權利指派：確定哪些用戶或組具有登錄計算機的權利或特權。安全選項：啟用或禁用計算機的安全設置，例如數據的數字信號、Administrator和Guest的帳戶名、軟盤驅動器和光盤的訪問、驅動程序的安裝以及登錄提示。16審核策略設置17用戶權利指派設置優先級高于“在本地登錄”18安全選項設置196.1.6Windows服務

Win32服務程序由3部分組成：服務應用程序，服務控制程序和服務控制管理器服務應用程序是服務程序的主體程序，是一個或者多個服務的可執行代碼服務的啟動方式有三種：“自動”——是指當計算機啟動或者需要的時候就開啟；“手動”——是可以在命令提示符中通過“netstart”命令打開和“netstop”命令關閉的；“已禁止”——是指在改變啟動方式前，不允許啟動的服務啟動管理工具的命令：Services.msc20Windows服務這些服務程序很多是互相依存的，所以不能隨便停止某項服務，否則很可能造成系統的非正常情況出現，但是有的服務對我們來說的確沒有什么作用，而且還占據著系統資源。正常工作中用不到的程序，完全可以關閉，從而達到節省資源的目的。可以改變服務的啟動順序，進一步優化系統，提高系統運行效率和安全性能。21禁用不必要的服務很多服務是用戶根本不需要的選擇“開始”→“運行”，鍵入“services.msc”并回車，即可打開“服務”管理程序。也可以選擇“控制面板”→“管理工具”→“服務”，進入該界面，即可打開已經安裝在系統中的服務列表。不同的硬件配置或者不同的Windows版本中的服務項目是有所區別的。選擇“查看”→“詳細信息”，即可在“描述”列表中看到每一項服務的具體內容和功能。22Windows服務解析配置1、Alert（警報器），建議：已禁止2、ApplicationLayerGatewayService，建議：已禁止3、ApplicationManagement（應用程序管理），建議：手動4、AutomaticUpdates，建議：已禁止5、BackgroundIntelligentTransferService，建議：已禁止6、ClipBook（剪貼簿），建議：已禁止7、COM+EventSystem（COM+事件系統），建議：手動8、COM+SystemApplication，建議：手動9、ComputerBrowser（計算機瀏覽器），建議：已禁止10、CryptographicServices，建議：手動11、DHCPClient（DHCP客戶端），建議：手動12、DistributedLinkTrackingClient（分布式連結追蹤客戶端），建議：已禁止23Windows服務解析配置13、DistributedTransactionCoordinator（分布式交換協調器），建議：已禁止14、DNSClient（DNS客戶端），建議：已禁止15、ErrorReportingService，建議：已禁止16、EventLog（事件記錄文件），建議：自動17、FastUserSwitchingCompatibility，建議：手動18、HelpandSupport，建議：已禁止。19、HumanInterfaceDeviceAccess，建議：手動20、IMAPICD-BurningCOMService，建議：已禁止21、IndexingService（索引服務），建議：已禁止22、InternetConnectionFirewall（ICF）/InternetConnectionSharing（ICS），建議：已禁止23、IPSECServices（IP安全性服務），建議：手動24、LogicalDiskManager（邏輯磁盤管理員），建議：自動24Windows服務解析配置25、LogicalDiskManagerAdministrativeService（邏輯磁盤管理員系統管理服務），建議：手動26、Messenger（信使服務），建議：已禁止27、MSSoftwareShadowCopyProvider，建議：已禁止28、SmartCard，建議：已禁止29、SmartCardHelper（智能卡協助程序），建議：已禁止30、SSDPDiscoveryService，建議：已禁止31、SystemEventNotification（系統事件通知），建議：自動32、SystemRestoreService，建議：已禁止33、TaskScheduler，建議：手動34、TCP/IPNetBIOSHelper（TCP/IPNetBIOS協助程序），建議：已禁止25Windows服務解析配置35、Telephony（電話語音），建議：手動36、Telnet，建議：已禁止37、TerminalServices（終端服務），建議：已禁止38、Themes，建議：自動39、UninterruptiblePowerSupply（不斷電供電系統），建議：已禁止40、UniversalPlugandPlayDeviceHost，建議：自動41、VolumeShadowCopy，。建議：已禁止。42、WebClient，建議：已禁止。43、WindowsAudio，建議：自動。44、WindowsImageAcquisition（WIA）（Windows影像取得程序），建議：已禁止45、WindowsInstaller（Windows安裝程序），建議：自動46、WindowsManagementInstrumentation（WMI），建議：自動26Windows服務解析配置47、WindowsManagementInstrumentationDriverExtensions(WindowsManagementInstrumentation驅動程序延伸)，建議：手動48、WindowsTime（Windows時間設定），建議：已禁止49、WirelessZeroConfiguration，建議：已禁止50、WMIPerformanceAdapter，建議：已禁止51、Workstation（工作站），建議：自動276.1.7XP操作系統進程解析

28進程的概念進程是程序在計算機上的一次執行活動。運行一個程序時，就啟動了一個進程。相對而言，程序是一組代碼，是靜態的，進程是代碼的執行行為，是活的。在Windows下，進程又被細化為線程，也就是一個進程下有多個能獨立運行的更小的單位。多線程的好處：

產生多響應效果

可以充分使用多處理器

29Windows基本進程解析1、WinlogonWinlogon是一個登錄/退出進程。winlogon在用戶按下CTRL+ALT+DEL時激活，并顯示安全對話框。該進程提供了登錄所需的類型控制和輸入口令所需的對話框。當你輸入用戶名和口令時，Winlogon將其發送給一個叫做LSASS的子進程。如果你執行對服務器或工作站的本地登錄，LSASS進程將在安全數據庫（亦即SAM）中查對有關用戶名和口令。Winlogon有兩個子進程，即服務控制器和LSASS。

2、Explorer進程在Windows系列的操作系統中，運行時都會啟動一個名為Explorer.exe的進程。這個進程主要負責顯示系統桌面上的圖標以及任務欄。30Windows基本進程解析3、csrss.exe進程這個進程是用戶模式Win32子系統的一部分，CSRSS代表客戶/服務器運行子系統而且是一個基本的子系統必須一直運行。CSRSS負責控制Windows圖形相關子系統，創建或者刪除線程和一些16位的虛擬MS-DOS環境。4、SystemIdle這個進程不可以從任務管理器中關掉，是作為單線程運行在每個處理器上，并在系統不處理其他線程的時候分派處理器的時間。所以，在任務管理器中，看到的“SystemIdleProcess”的CPU資源占用恰恰是CPU資源空閑時間。31Windows基本進程解析5、smss.exe這個進程是不可以從任務管理器中關掉的，是一個會話管理子系統，負責啟動用戶會話。這個進程是通過系統進程初始化，并且對許多活動的，包括正在運行的Winlogon，Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結束。如果這些過程是正常的，系統就關掉了。如果發生了什么不可預料的事情，smss.exe就會讓系統停止響應（就是掛起）。6、lsass.exe這個進程是不可以從任務管理器中關掉的。管理

IP

安全策略以及啟動

ISAKMP/Oakley

(IKE)

和

IP

安全驅動程序。

這是一個本地的安全授權服務，它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包，例如默認的msgina.dll來執行。如果授權是成功的，lsass就會產生用戶的進入令牌，令牌被用于啟動初始的shell，其他由用戶初始化的進程也會繼承這個令牌（系統服務）。32Windows基本進程解析7、services.exe大多數的系統核心模式進程是作為系統進程在運行。8、spoolsv.exe緩沖（spooler）服務是管理緩沖池中的打印和傳真作業，將文件加載到內存中以便遲后打印（系統服務）。33svchost.exe進程剖析svchost.exe是從動態鏈接庫(DLL)中運行的服務的通用主機進程名稱。svchost.exe是WindowsNT核心系統的最重要的進程之一，但它本身只作為服務宿主，提供條件讓其他服務在這里被啟動，而它自己卻不能提供任何服務。Windows2000一般有2個svchost進程，一個是RPCSS（RemoteProcedureCall）服務進程，另外一個則是由很多服務共享的一個svchost.exe。而在WindowsXP中，則一般有4個以上的svchost.exe服務進程，Windows2003Server中則更多，可以看出把更多的系統內置服務以共享進程方式由svchost啟動是微軟的一個趨勢。34svchost.exe進程剖析svchost.exe文件定位在系統的%systemroot%\system32文件夾下在啟動的時候，svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個svchost.exe在同一時間運行。一般地，通過在任務管理器，我們可以看到Windows系統中存在多個“svchost”進程。這些svchost進程提供多種系統服務，如：rpcss服務（remoteprocedurecall）、dmserver服務（logicaldiskmanager）、dhcp服務（dhcpclient）等。35幾點說明相對而言，程序是一組代碼，是靜態的，進程是代碼的執行行為，是活的系統的大部分服務是以動態鏈接庫（dll）形式實現的，比如通過SvcHost.EXE啟動的大量系統服務驅動程序在某種形式上也是服務，但驅動程序在Windows中進行了驗證，如WindowsHardwareQualityLab（WHQL）微軟的一種認證366.4Unix系統的安全性Unix操作系統簡介Unix操作系統是目前網絡系統中主要的服務器操作系統Unix操作系統是于1969年由KenThompson、Dennis

Ritchie和其他一些人在AT&T貝爾實驗室開發成功的Unix操作系統是一個分時多用戶多任務的通用操作系統－分時系統，是指允許多個聯機用戶同時使用同一臺計算機進行處理的操作系統－用戶可以請求系統同時執行多個任務