《操作系統(tǒng)安全策略》PPT課件.ppt
《《操作系統(tǒng)安全策略》PPT課件.ppt》由會(huì)員分享,可在線閱讀,更多相關(guān)《《操作系統(tǒng)安全策略》PPT課件.ppt(40頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、第4章 操作系統(tǒng)安全與策略,4.1 操作系統(tǒng)安全概述 4.2 Windows2000安全概述 4.3 Windows2000的用戶安全和管理策略 4.4 NTFS文件和文件夾的存取控制 4.5 使用審核資源 4.6 Windows2000的安全應(yīng)用,4.1 操作系統(tǒng)安全概述,返回本章首頁,4.1.1 操作系統(tǒng)安全 4.1.2 操作系統(tǒng)的2000安全機(jī)制 4.1.3 操作系統(tǒng)的安全策略 4.1.4 操作系統(tǒng)的漏洞和威脅,1系統(tǒng)安全 不允許未經(jīng)核準(zhǔn)的用戶進(jìn)入系統(tǒng),從而可以防止他人非法使用系統(tǒng)的資源是系統(tǒng)安全管理的任務(wù)。 2用戶安全 操作系統(tǒng)中,用戶對(duì)文件訪問權(quán)限的大小,是根據(jù)用戶分類、需求和文件屬
2、性來分配的。 3資源安全 資源安全是通過系統(tǒng)管理員或授權(quán)的資源用戶對(duì)資源屬性的設(shè)置,來控制用戶對(duì)文件、打印機(jī)等的訪問。 4通信網(wǎng)絡(luò)安全,4.1.1 操作系統(tǒng)安全,操作系統(tǒng)的安全機(jī)制主要有身份鑒別機(jī)制、訪問控制和授權(quán)機(jī)制和加密機(jī)制。 1身份鑒別機(jī)制 身份鑒別機(jī)制是大多數(shù)保護(hù)機(jī)制的基礎(chǔ)。分為內(nèi)部和外部身份鑒別兩種。 2訪問控制和授權(quán)機(jī)制 訪問控制是確定誰能訪問系統(tǒng),能訪問系統(tǒng)何種資源以及在何種程度上使用這些資源。 3加密機(jī)制 加密是將信息編碼成像密文一樣難解形式的技術(shù).,4.1.2 操作系統(tǒng)的安全機(jī)制,安全策略是根據(jù)組織現(xiàn)實(shí)要求所制定的一組經(jīng)授權(quán)使用計(jì)算機(jī)及信息資源的規(guī)則,它的目標(biāo)是防止信息安全事
3、故的影響降為最小,保證業(yè)務(wù)的持續(xù)性,保護(hù)組織的資源,防范所有的威脅。 1口令策略 2訪問控制與授權(quán)策略 3系統(tǒng)監(jiān)控和審計(jì)策略 (1)建立并保存事件記錄 (2)對(duì)系統(tǒng)使用情況進(jìn)行監(jiān)控,4.1.3 操作系統(tǒng)的安全策略,1)以操作系統(tǒng)為手段,獲得授權(quán)以外或未授權(quán)的信息。它危害計(jì)算機(jī)及其信息系統(tǒng)的保密性和完整性。例如,“特洛伊木馬”、“邏輯炸彈”等都是如此。 2)以操作系統(tǒng)為手段,阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶的正常使用。 3)以操作系統(tǒng)為對(duì)象,破壞系統(tǒng)完成指定的功能。除了計(jì)算機(jī)病毒破壞系統(tǒng)運(yùn)行和用戶正常使用外,還有一些人為因素,如干擾、設(shè)備故障和誤操作也會(huì)影響軟件的正常運(yùn)行。 4)以軟件為對(duì)象,非法
4、復(fù)制和非法使用。 5)以操作系統(tǒng)為手段,破壞計(jì)算機(jī)及其信息系統(tǒng)的安全,竊聽或非法獲取系統(tǒng)的信息。,4.1.4 操作系統(tǒng)的漏洞和威脅,4.2 Windows 2000安全概述,4.2.1 安全登錄 4.2.2 訪問控制 4.2.3 安全審計(jì) 4.2.4 WINDOWS2000的安全策略,返回本章首頁,4.2.1 安全登陸,要求在允許用戶訪問系統(tǒng)之前,輸入惟一的登錄標(biāo)識(shí)符和密碼來標(biāo)識(shí)自己。安全特性有: (1)用戶帳號(hào) (2)組 (3)Kerberos 身份驗(yàn)證協(xié)議,4.2.2 訪問控制,允許資源的所有者決定哪些用戶可以訪問資源和他們可以如何處理這些資源。所有者可以授權(quán)給某個(gè)用戶或一組用戶,允許他們
5、進(jìn)行各種訪問。安全特性有: 1)活動(dòng)目錄: 2)NTFS的權(quán)限。 3)共享文件訪問許可。 4)分布式文件系統(tǒng)。,4.2.3 安全審計(jì),提供檢測(cè)和記錄與安全性有關(guān)的任何創(chuàng)建、訪問或刪除系統(tǒng)資源的事件或嘗試的能力。登錄標(biāo)識(shí)符記錄所有用戶的身份,這樣便于跟蹤任何執(zhí)行非法操作的用戶。 1)審計(jì)資源的使用。 2)監(jiān)控網(wǎng)絡(luò)資源的訪問行為。,4.2.4 WINDOWS2000的安全策略,1Windows 2000安全策略的內(nèi)容 安全策略主要包括如下3個(gè)方面:本地安全策略,域安全策略,域控制器安全策略。 (1)本地組策略 使用這些對(duì)象,組策略設(shè)置可以存儲(chǔ)在個(gè)人計(jì)算機(jī)上,無論這些計(jì)算機(jī)是否為Active Dir
6、ectory環(huán)境或網(wǎng)絡(luò)環(huán)境的一部分。 (2)域安全策略和域控制器安全策略 域安全策略和域控制器安全策略應(yīng)用于域內(nèi),針對(duì)站點(diǎn)、域或組織單位設(shè)置組策略. 域安全策略與域控制器安全策略的配置內(nèi)容相似。,4.3 WINDOWS2000 的用戶安全和管理策略,4.3.1 用戶賬戶和組 4.3.2 WINDOWS 2000系統(tǒng)的用戶賬戶的管理 4.3.3 Windows 2000組管理與策略,返回本章首頁,4.3.1 用戶賬戶和組,在網(wǎng)絡(luò)環(huán)境中,用戶帳戶能用來保證系統(tǒng)安全,防止用戶非法使用計(jì)算機(jī)資源。 用戶帳號(hào)最重要的組成部分是用戶名和密碼。 1用戶帳戶 (1)用戶帳號(hào)的類型 在Windows 2000中
7、有兩種用戶帳戶:本地用戶帳戶和域用戶帳戶。 (2)內(nèi)置用戶帳戶 1)Administrator帳戶 2)Guest帳戶 2組 組是用戶帳戶的集合。通過組能夠極大地簡(jiǎn)化用戶帳戶的管理任務(wù)。,4.3.2 WINDOWS 2000系統(tǒng)的用戶賬戶 的管理,1管理的基本內(nèi)容 為使管理過程合理化和實(shí)現(xiàn)適當(dāng)?shù)陌踩胧?,在管理用戶賬戶時(shí)應(yīng)考慮如 下5個(gè)問題: 1)命名約定; 2)密碼要求; 3)登錄時(shí)間與站點(diǎn)限制; 4)主文件夾的位置; 5)配置文件的設(shè)置。,2設(shè)置賬戶策略 為了增強(qiáng)用戶賬戶密碼的安全性和有效性,Windows2000將賬戶密碼的設(shè)置作為安全策略之一提供給管理員。 設(shè)置的方法是
8、使用組策略編輯器中的賬戶策略設(shè)置功能,賬戶策略包括賬戶的密碼策略、賬戶的鎖定策略和Kerberos策略三個(gè)方面。,(1)密碼策略 密碼策略中的設(shè)置是有關(guān)密碼的設(shè)置,如圖所示,密碼策略包括下列6項(xiàng)限制。 1)密碼最長(zhǎng)存留期。 2)密碼最短存留期:密碼最短存留期限制不允許用戶頻繁更換密碼,默認(rèn)設(shè)置0表示用戶可以任何時(shí)候更換密碼。 3)最小密碼長(zhǎng)度:這是設(shè)置用戶所使用的密碼的最小長(zhǎng)度。4)強(qiáng)制密碼歷史:該項(xiàng)設(shè)置的目的是為了避免用戶在短時(shí)間內(nèi)重復(fù)使用相同的密碼,默認(rèn)情況下系統(tǒng)不會(huì)記錄密碼歷史,允許用戶不斷使用相同的密碼。 5)密碼必須符合安裝的密碼篩選器的復(fù)雜性要求。 6)用戶必須登錄以更改密碼。,(
9、2)賬戶鎖定策略 賬戶鎖定是用來設(shè)置用戶注冊(cè)失敗時(shí)的處理動(dòng)作。在圖4-3中的賬戶鎖定區(qū)中,如果選擇了賬戶不鎖定策略的話,系統(tǒng)將對(duì)用戶的失敗注冊(cè)不做任何處理。為了防止他人猜中用戶的密碼,建議使用賬戶鎖定功能。,4.3.3 Windows 2000組管理與策略,1 Windows 2000組的形式 從組的使用領(lǐng)域分為本地組、全局組和通用組三種形式。 (1)本地組 在Professional和成員服務(wù)器中使用本地組,本地組給用戶訪問本地計(jì)算機(jī)上的資源提供權(quán)限。 (2)全局組 全局組主要是用來組織用戶,也就是將多個(gè)網(wǎng)絡(luò)訪問權(quán)類似的用戶賬戶加人到同一個(gè)全局組內(nèi)。,2Windows 2000組的規(guī)劃 建立
10、組應(yīng)按照下面準(zhǔn)則進(jìn)行: 1)根據(jù)用戶的公共需求,邏輯上將用戶組織起來; 2)在用戶賬戶駐留的每個(gè)域中,為每個(gè)用戶的邏輯組建立一個(gè)全局組,然后將適當(dāng)?shù)挠脩糍~戶添加到適當(dāng)?shù)娜纸M中; 3)資源訪問需求為依據(jù)建立本地組; 4)為本地組分配適當(dāng)?shù)臋?quán)限; 5) 將全局組添加到本地組中。 6)作出組賬戶的規(guī)劃表。 將組的信息列表,建立組賬戶規(guī)劃表,既便于清楚組及其關(guān)系,又有利于檢查和審計(jì)組賬戶的內(nèi)容。,4.4 NTFS文件和文件夾的存取控制,4.4.1 Windows 2000中的NTFS權(quán)限 4.4.2 在NTFS下用戶的有效權(quán)限 4.4.3 NTFS權(quán)限的規(guī)劃 4.4.4 共享文件和文件夾的存取控制,
11、返回本章首頁,4.4.1 Windows 2000中的NTFS權(quán)限,NTFS(New Technology File Systetm 新技術(shù)文件系統(tǒng))是微軟專為Windows NT操作環(huán)境所設(shè)計(jì)的文件系統(tǒng),并且廣泛應(yīng)用在Windows NT操作環(huán)境環(huán)境所設(shè)計(jì)的文件系統(tǒng),并且廣泛應(yīng)用在Windows NT的后續(xù)版本W(wǎng)indows 2000與Windows XP中。與Windows系統(tǒng)過去使用的FAT/FAT32格式的文件系統(tǒng)相比,NTFS具有如下優(yōu)勢(shì)。 1)長(zhǎng)文件名支持 2)對(duì)文件目錄的安全控制。 3)先進(jìn)的容錯(cuò)能力。 4)不易受到病毒和系統(tǒng)崩潰的侵襲。.,返回本節(jié)目錄,(1)NTFS文件權(quán)限的
12、類型 NTFS文件權(quán)限共有5種類型 :讀取、寫入、 讀取及運(yùn)行、修改、完全控制 (2)NTFS文件夾權(quán)限的類型 Windows 2000中,NTFS文件夾的權(quán)限的類型有6種: 讀取、寫入、列出文件、夾 目 錄 、讀取及運(yùn)行 、修 改 、完全控制,4.4.2 在NTFS下用戶的有效權(quán)限,以下是用戶有效權(quán)限的使用規(guī)則: (1) 權(quán)限是可以累加的 (2) “拒絕”權(quán)限優(yōu)先于所有其他權(quán)限 (3) 文件權(quán)限優(yōu)先于文件夾的權(quán)限,4.4.3 NTFS權(quán)限的規(guī)劃,規(guī)劃NTFS權(quán)限要考慮以下問題: (1)對(duì)資源是建立本地組,還是使用內(nèi)置本地組? (2)確定文件或文件夾需要什么權(quán)限,以及將它們分配給誰。 1)對(duì)于
13、程序文件夾,將“完全控制”權(quán)限分配給Administrators組和升級(jí)或調(diào)試軟件的組。將“讀取”權(quán)限分配給Users組。 2)對(duì)于數(shù)據(jù)文件夾,只將“完全控制”權(quán)限分配給Administrators組和所屬權(quán)(Owner)組,為Users組分配“寫入和讀取”權(quán)限。 3)應(yīng)用% username % 自動(dòng)將用戶賬戶名分配給主文件夾,并自動(dòng)將NTFS權(quán)限“完全控制”分配給各用戶。,4.4.4 共享文件和文件夾的存取控制,1 共享文件夾的概念 所謂共享文件夾,就是給定適當(dāng)權(quán)限后,用戶可以通過網(wǎng)絡(luò)來訪問的文件和文件夾。 2 共享文件夾的權(quán)限 為了控制用戶對(duì)共享文件夾的訪問,可以利用共享文件夾的權(quán)限進(jìn)行
14、。共享文件夾的權(quán)限規(guī)定了用戶可以對(duì)共享文件夾進(jìn)行的操作。 3 共享文件夾的規(guī)劃 在開始設(shè)置共享文件夾之前,需要對(duì)共享文件夾進(jìn)行規(guī)劃,以保證共享文件夾的安全與有效。,4.5 使用資源審核,4.5.1 審核事件 4.5.2 事件查看器 5.5.3 使用審核資源,返回本章首頁,4.5.1 審核事件,審核功能用于跟蹤用戶訪問資源的行為與Windows 2000的活動(dòng)情況,這些行為或活動(dòng),稱為事件,會(huì)被記錄到日志文件內(nèi),利用“事件查看器”可以查看這些被記錄的審核數(shù)據(jù)。,在Windows 2000中,可以被審核并記錄在安全日志中的事件類型有: 1)審核策略更改; 2)審核登錄事件; 3)審核對(duì)象訪問; 4
15、)審核過程追蹤; 5)審核目錄服務(wù)訪問; 6)審核特權(quán)使用; 7)審核系統(tǒng)事件; 8)審核賬戶登錄事件; 9)審核賬戶管理;,4.5.2 事件查看器,1 查看事件記錄 可以通過以下兩種方法來啟動(dòng)“事件查看器”: (1)用鼠標(biāo)右鍵單擊桌面上的“我的電腦” “管理”“系統(tǒng)工具” “事件查看器”; (2)“開始” “程序” “管理工具” “事件查看器”。,2 設(shè)置日志文件的大小 可以針對(duì)每個(gè)日志文件(系統(tǒng)、安全、應(yīng)用程序等)來更改其設(shè)置,例如,日志文件容量的大小等。 9)審核賬戶管理; 3篩選事件日志中的事件 如果日志文件內(nèi)的事件太多,造成不易查找事件時(shí),可以利用篩選事件的方式,讓它只顯示特定的事件
16、. 4 存儲(chǔ)日志文件的格式 存儲(chǔ)日志文件的格式可以是以下3種形式: 1)事件日志,其擴(kuò)展名為.evt 。 2)文本(以制表符分隔) ,其擴(kuò)展名為txt。 3)CSV(逗號(hào)分隔) ,其擴(kuò)展名為csv。,4.5.3 使用審核資源,1 制定審核策略 制定審核策略時(shí)主要考慮以下問題; (1)確定要審核的事件類型,如: 1)訪問網(wǎng)絡(luò)資源,如文件、文件夾或打印機(jī)等。 2)用戶登錄和注銷。 3)關(guān)閉和重新啟動(dòng)運(yùn)行Windows 2000 Server的計(jì)算機(jī)。 4)修改用戶賬戶和組。,(2)確定審核成功的事件還是審核失敗的事件,或者兩者都審核。推薦的審核是: 1)賬戶管理:成功、失?。?2)登錄事件:成功、
17、失??; 3)對(duì)象訪問:失敗; 4)策略更改:成功、失敗; 5)特權(quán)使用:失??; 6)系統(tǒng)事件:成功、失??; 7)目錄服務(wù)訪問:失??; 8)賬戶登錄事件:成功、失敗。,4.6 WINDOWS2000的安全應(yīng)用,在應(yīng)用Windows 2000 Server操作系統(tǒng)的過程中,應(yīng)對(duì)Windows 2000 Server操作系統(tǒng)進(jìn)行安全地配置與應(yīng)用,主要從下面幾點(diǎn)出發(fā)。 1服務(wù)器的安全 服務(wù)器應(yīng)該安放在安裝有監(jiān)視器的隔離房間內(nèi),并且監(jiān)視器要保留15天以上的攝像記錄。另外,機(jī)箱、鍵盤、電腦桌抽屜要上鎖,以確保即使旁人進(jìn)入房間也無法使用計(jì)算機(jī),鑰匙要放在安全的地方。 2用戶安全設(shè)置 (1)禁用Guest賬號(hào)
18、 在計(jì)算機(jī)管理的用戶里面將Guest賬號(hào)禁用。,(2)限制不必要的用戶 去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。 (3)創(chuàng)建兩個(gè)或多個(gè)管理員賬號(hào) 創(chuàng)建一個(gè)一般權(quán)限用戶,用來收信并處理一些日常事務(wù),另一個(gè)擁有Administrators權(quán)限的用戶只在需要的時(shí)候使用。 (4)將系統(tǒng)Administrator賬號(hào)改名 (5)創(chuàng)建一個(gè)陷阱用戶 陷阱用戶就是創(chuàng)建一個(gè)名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些H acker們忙上一段時(shí)間,借此發(fā)現(xiàn)他們的人侵企圖。,(6)將共享文件的權(quán)限從Everyon
19、e組改成授權(quán)用戶 任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印機(jī),默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改。 (7)開啟用戶策略 使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20 min,用戶鎖定時(shí)間為20 min,戶鎖定閾值為3次。 (8)不讓系統(tǒng)顯示上次登錄的用戶名 (9) 密碼安全設(shè)置,3應(yīng)用程序安全策略 創(chuàng)建一個(gè)只有系統(tǒng)管理員才有訪問及運(yùn)行權(quán)限的目錄,將%system%system32目錄下的網(wǎng)絡(luò)應(yīng)用程序及對(duì)文件、目錄、注冊(cè)表操作的文件移到新建的目錄中。 4使用syskey.exe對(duì)系統(tǒng)口令數(shù)據(jù)庫存進(jìn)行加密 SAM加密算法強(qiáng)度不夠,使得密碼很容易
20、就被入侵者猜出來。syskey.exe是WindowsNT4.0從sp3開始提供的小工具,它對(duì)賬號(hào)數(shù)據(jù)庫提供附加保護(hù),防止Crack 工具直接提取用戶信息。 5刪除%system%repair目錄,6審計(jì)日志 7掃描程序 評(píng)估一個(gè)系統(tǒng)的安全與否最基本的方法就是使用掃描程序。 8口令攻擊程序 口令攻擊程序并不完全只是一種安全威脅,也可以是一個(gè)有用的工具。 9防火墻 10日志及審計(jì)工具 12安全恢復(fù) 11建立好的安全恢復(fù)機(jī)制 (1)創(chuàng)建系統(tǒng)緊急修復(fù)盤 (2)定期將系統(tǒng)中的重要數(shù)據(jù)進(jìn)行備份,本章小結(jié),操作系統(tǒng)是信息系統(tǒng)最基本、最關(guān)鍵的系統(tǒng)軟件,它為用戶及其應(yīng)用程序和硬件之間提供了一個(gè)接口,對(duì)計(jì)算機(jī)的有效、合理使用,對(duì)資源的管理和保護(hù)是十分重要的。 操作系統(tǒng)的安全表現(xiàn)在系統(tǒng)安全、用戶安全、資源安全和通信安全等方面,其保證機(jī)制就是用戶身份驗(yàn)證、授權(quán)訪問和審計(jì)。 本章主要講述了操作系統(tǒng)的安全性及安全配置,Windows 2000 server中的用戶管理及其策略,Windows 2000 server中的文件訪問權(quán)限及其策略,Windows 2000 server中的資源審計(jì)。,Thank you very much!,返回本章首頁,退 出,
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《晏子使楚》優(yōu)秀課件 (3)
- 科室醫(yī)院年終總結(jié)課件
- 常用邏輯用語章末總結(jié)課件(人教A版選修1-1)免
- 新版PEP四年級(jí)英語上冊(cè)Unit3-My-Friends-B-Let’s-learn完美版-PPT
- 金融科技機(jī)遇
- 抗菌藥物合理使用專家講座
- 阿奇霉素在臨床中的應(yīng)用專家講座
- 納米抗菌蠶絲被介紹
- 男性盆部和會(huì)陰斷層解剖研究
- 部編選擇性必修二經(jīng)濟(jì)與社會(huì)生活-第九課世紀(jì)以來人類的經(jīng)濟(jì)與生活教學(xué)課件
- 春七年級(jí)數(shù)學(xué)下冊(cè) 82 整式乘法單項(xiàng)式與單項(xiàng)式相乘課件4 (新版)滬科版
- 部編人教版語文七年級(jí)下冊(cè)7.土地的誓言課件
- 手足口病
- 正壓通氣裝置課件
- 課件】食品分析與檢驗(yàn)技術(shù)第二章