1、计算机网络管理与安全技术计算机网络管理与安全技术主讲人主讲人 匡芳君匡芳君6 August 2022NETWORK SECURITY2课题内容:操作系统安全(一)教学目的:掌握WIN2003系统服务的配置方法 掌握WIN2003常用进程的作用 掌握WIN2003注册表的结构、值类型及应用教学方法:讲授法、任务驱动法、演示法重 点:WIN2003系统服务的配置方法难 点:WIN2003常用进程的作用课堂类型:讲授课教 具:投影仪、多媒体设备 授课班级 计应1001班第 18次课 授课时间5月25日星期五 授课地点6 August 2022NETWORK SECURITY3导入新课1、防火墙的体系
2、结构2、操作系统常用进程与服务6 August 2022NETWORK SECURITY4 Windows 2003原名是Windows NT 5.0,随着多种测试版本的发行,人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、巩固的安全性、便捷的操作,都为计算机专业人员、普通用户带来莫大的惊喜 Windows 2003在界面、风格与功能上都具有统一性,是一种真正面向对象的操作系统,用户在操作本机的资源和远程资源时不会感到有什么不同6 August 2022NETWORK SECURITY5操作系统安全基础 Windows 2003 安全结构 Windows 2003 文件系统安全W
3、indows 2003 账号安全GPO 的编辑活动目录安全性考察Windows 2003 缺省值的安全性评估Windows 2003 主机安全 6 August 2022NETWORK SECURITY6各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础。6 August 2022NETWORK SECURITY7 级别 系统的安全可信性 D最低安全性 C1自主存取控制 C2较完善的自主存取控制(DAC)、审计 B1强制存取控制(MAC)B2良好的结构化设计、形式化安全模型 B3全面的访问控制、可
4、信恢复 A1形式化认证 6 August 2022NETWORK SECURITY8 操作系统 安全级别 SCO OpenServer C2 OSF/1 B1Windows NT/2003 C2Solaris C2DOS DUnixWare 2.1/ES B26 August 2022NETWORK SECURITY9 威胁类型 示 例自然和物理的 水灾、火灾、风暴、地震、停电 无意的 不知情的员工、不知情的顾客 故意的 攻击者、恐怖分子、工业间谍、黑客、恶意代码 6 August 2022NETWORK SECURITY10安全漏洞类型 示 例物理的 门窗未锁 自然的灭火系统失灵 硬件和软件
5、 防病毒软件过期 媒介 电干扰 通信 未加密协议 人为 不可靠的技术支持 6 August 2022NETWORK SECURITY11n安全六要素审计管理加密访问控制用户验证安全策略6 August 2022NETWORK SECURITY12灵活的访问控制 Windows 2003支持C2级标准要求的灵活访问控制对象重用 Windows 2003很明确地阻止所有的应用程序不可以访问被另应用程序使用所占用资源内的信息(比如内存或磁盘)6 August 2022NETWORK SECURITY13强制登录 Windows 2003用户在能访问任何资源前必须通过登录来验证他们的身份6 Augus
6、t 2022NETWORK SECURITY14审计因为Windows 2003采用单独地机制来控制对任何资源的访问,所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows 2003不允许直接访问系统里的资源,这种不许直接访问是允许访问控制的关键6 August 2022NETWORK SECURITY15安全标识符安全标识符(SID)是统计上地唯一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候,它们都会接收到一个唯一的SID。每当Windows 2003安装完毕并启动的时候,也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性,不
7、仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。6 August 2022NETWORK SECURITY16访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时用户企图进行访问,都要向Windows NT出示访问令牌。6 August 2022NETWORK SECURITY17安全描述符Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID,灵活访问控制列表以及计算机访问控制列表。6 August 202
8、2NETWORK SECURITY18访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限,要么允许要么拒绝。访问控制条目每个访问控制条目(ACE)包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型:允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。6 August 2022NETWORK SECURITY19帐号安全计算机帐户活动目录用户帐户6 August 2022NETWORK SECURITY20文件系统安全NTFS文件系统使用关系型数据库、事务处理以及对象技术,以提供数据安全以及文件可靠性的特性。6 August
9、 2022NETWORK SECURITY21认证 Kerberos 5 Kerberos是一种被证明为非常安全的双向身份认证技术。其身份认证强调了客户机对服务器的认证,而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的欺骗。6 August 2022NETWORK SECURITY22NTLM 认证Windows 2003中仍然保留NTLM(NT-LanMan)认证,以便向后兼容。运行DOS、Windows 3.x、Windows 95、Windows 98、Windows NT 3.5和Windows NT 4.0的客户仍然需要LM和NT
10、LM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows 2003已支持新的更安全的认证协议NTLM 2。6 August 2022NETWORK SECURITY23Active Directory管理员可以浏览活动目录,对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员,每人以自己的安全性及许可权限进行管理分类 6 August 2022NETWORK SECURITY24NTFS权限基于目录 基于文件读取(R)显示目录名,属性,所有者及权限 显示文件数据,属性,所有者及权限 写入(W)添加文
11、件和目录,改变一个属性以及显示所有者和权限 显示所有者和权限、改变文件的属性、在文件内加入数据 执行(X)显示属性,可进入目录中的目录,显示所有者利权限显示文件属性、所有者和权限、如果是可执行文件可运行删除(D)可删除目录 可删除文件改变权限(P)改变目录的权限改变文件的权限取得所有权(O)取得目录的所有权 取得文件的所有权6 August 2022NETWORK SECURITY256 August 2022NETWORK SECURITY26权限允许完全控制改变文件的权限;在NTFS卷上取得文件的所有权;能够完成所有有更改权限所执行的任务更改创建目录和添加文件;更改文件内的数据;更改文件的
12、属性能够完成所有有更改权限所执行的任务读取显示目录和文件名:文件数据和属性;运行应用程序文件不可访问只能建立连接,不能访问目录中的内容6 August 2022NETWORK SECURITY27Fat16文件系统 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。标准文件分配表(FAT),在计算机管理共享文件夹共享,在相应的共享文件夹上按右键,点停止共享即可,如图7-19所示。6 August 2022NETWORK SECURITY793 禁用Dump文件n在系统崩溃和蓝屏的时候,Dump文件是一份很有用资料,可以帮助查找问题。然而,也能够给黑客提供一些敏感信息,比如一些应用程序
13、的密码等n需要禁止它,打开控制面板系统属性高级启动和故障恢复,把写入调试信息改成无,如图7-20所示。6 August 2022NETWORK SECURITY804 文件加密系统nWindows2003强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。n微软公司为了弥补Windows NT 4.0的不足,在Windows 2003中,提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System,简称EFS)。nEFS实现的是一种基于公共密钥的数据加密方式,利用了Windows
14、 2003中的CryptoAPI结构。6 August 2022NETWORK SECURITY815 加密Temp文件夹n一些应用程序在安装和升级的时候,会把一些东西拷贝到Temp文件夹,但是当程序升级完毕或关闭的时候,并不会自己清除Temp文件夹的内容。n所以,给Temp文件夹加密可以给你的文件多一层保护。6 August 2022NETWORK SECURITY826 锁住注册表n在Windows2003中,只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上的时候,一般需要锁
15、定注册表。修改Hkey_current_user下的子键nSoftwaremicrosoftwindowscurrentversionPoliciessystem n把DisableRegistryTools的值该为0,类型为DWORD,如图7-21所示。6 August 2022NETWORK SECURITY837 关机时清除文件n页面文件也就是调度文件,是Windows 2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。n一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表 修改主键HKEY_LO
16、CAL_MACHINE下的子键:nSYSTEMCurrentControlSetControlSession ManagerMemory Managementn把ClearPageFileAtShutdown的值设置成1,如图7-22所示。6 August 2022NETWORK SECURITY848 禁止软盘光盘启动n一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具,从软盘上或者光盘上引导系统以后,就可以修改硬盘上操作系统的管理员密码。n如果服务器对安全要求非常高,可以考虑使用可移动软盘和光驱,把机箱锁起来仍然不失为一个好方法。6 August 2022NETWORK
17、 SECURITY859 使用智能卡n对于密码,总是使安全管理员进退两难,容易受到一些工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。n如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。6 August 2022NETWORK SECURITY8610 使用IPSecn正如其名字的含义,正如其名字的含义,IPSec提供提供IP数据包的安全性。数据包的安全性。nIPSec提供身份验证、完整性和可选择的机密性。发送提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。到数
18、据之后解密数据。n利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。6 August 2022NETWORK SECURITY8711 禁止判断主机类型n黑客利用TTL(Time-To-Live,活动时间)值可以鉴别操作系统的类型,通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。n许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据对方的操作系统,是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2003,如图7-23所示。6 August 2022NETWORK SECURITY88n从图
19、中可以看出,TTL值为128,说明该主机的操作系统是Windows 2003操作系统。表7-6给出了一些常见操作系统的对照值。操作系统类型操作系统类型TTL返回值返回值Windows 2003128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 2406 August 2022NETWORK SECURITY89n修改TTL的值,入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111,修改主键HKEY_LOCAL_MACHINE的子键:nSYSTEMCURRENT_CONTROLSETSERVICESTCPIPP
20、ARAMETERSn新建一个双字节项,如图7-24所示。6 August 2022NETWORK SECURITY90n在键的名称中输入“defaultTTL”,然后双击改键名,选择单选框“十进制”,在文本框中输入111,如图7-25所示。6 August 2022NETWORK SECURITY91n设置完毕重新启动计算机,再用Ping指令,发现TTL的值已经被改成111了,如图7-26所示。6 August 2022NETWORK SECURITY9212 抵抗DDOSn添加注册表的一些键值,可以有效的抵抗DDOS的攻击。在键值nHKEY_LOCAL_MACHINESystemCurren
21、tControlSetServicesTcpipParameters下增加响应的键及其说明如表7-7所示。增加的键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRedirects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfO
22、penRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP协议EnableDeadGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001支持路由功能6 August 2022NETWORK SECURITY9313 禁止Guest访问日志n在默认安装的Windows NT和Windows 2003中,Gue
23、st帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,修改注册表来禁止Guest访问事件日志。n禁止Guest访问应用日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。n系统日志:nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1
24、。n安全日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为:RestrictGuestAccess,类型为:DWORD,将值设置为1。6 August 2022NETWORK SECURITY9414 数据恢复软件n当数据被病毒或者入侵者破坏后,可以利用数据恢复软件可以找回部分被删除的数据,在恢复软件中一个著名的软件是Easy Recovery。软件功能强大,可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图7-26所示。6 August 2022NETWORK SECURITY95
25、n比如原来在E盘上有一些数据文件,被黑客删除了,选择左边栏目“Data Recovery”,然后选择左边的按钮“Advanced Recovery”,如图7-28所示。6 August 2022NETWORK SECURITY96n进入Advanced Recovery对话框后,软件自动扫描出目前硬盘分区的情况,分区信息是直接从分区表中读取出来的,如图7-29所示。6 August 2022NETWORK SECURITY97n现在要恢复E盘上的文件,所以选择E盘,点击按钮“Next”,如图7-30所示。6 August 2022NETWORK SECURITY98n软件开始自动扫描该盘上曾经
26、有哪些被删除了文件,根据硬盘的大小,需要一段比较长的时间,如图7-31所示。6 August 2022NETWORK SECURITY99n扫描完成以后,将该盘上所有的文件以及文件夹显示出来,包括曾经被删除文件和文件夹,如图7-32所示。6 August 2022NETWORK SECURITY100n选中某个文件夹或者文件前面的复选框,然后点击按钮“Next”,就可以恢复了。如图7-33所示。6 August 2022NETWORK SECURITY101n在恢复的对话框中选择一个本地的文件夹,将文件保存到该文件夹中,如图7-34所示。6 August 2022NETWORK SECURITY102n选择一个文件夹后,电击按钮“Next”,就出现了恢复的进度对话框,如图7-35所示。6 August 2022NETWORK SECURITY103 Internet 连接防火墙 软件限制政策 6 August 2022NETWORK SECURITY104 智能卡的支持 Kerberos V5鉴定协议 6 August 2022NETWORK SECURITY105本章从操作系统入手,着重讨论了Windows 的安全结构。随后,我们从Windows 2003的文件系统安全、账号安全等方面加强了对Windows 2003 的安全认识。