1、第7章 操作系统的安全,Page 1,内容介绍,一、操作系统的安全标准及发展 二、操作系统安全设计的要求 三、常见系统的安全设计特性介绍 四、Windows的安全设置策略 五、作业,Page 2,一、安全操作系统的研究发展,操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性,信息系统的安全性是没有基础的,1.1 标准的发展 1.2 应用的研究,Page 3,1.1 (操作系统)国际安全评价标准的发展及其联系,Page 4,国际安全评价标准的发展及其联系,Page 5,国际安全评价标准的发展及其联系,Page 6,安全级别列表,各级的代表系统:,Page 7
2、,各级的具体讲解:,D级是最低的安全级别,拥有这个级别的操作系统是完全不可信任的。 对于硬件来说,是没有任何保护措施的,操作系统容易受到损害,没有系统访问限制和数据访问限制,任何人不需任何账户都可以进入系统,不受任何限制可以访问他人的数据文件。,Page 8,国际安全评价标准的发展及其联系,C1是C类的一个安全子级。 这种级别的系统对硬件有某种程度的保护,如用户拥有注册账号和口令,系统通过账号和口令来识别用户是否合法,并决定用户对程序和信息拥有什么样的访问权,但硬件受到损害的可能性仍然存在。 用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性,从而对不同的用
3、户授予不通的访问权限。,Page 9,国际安全评价标准的发展及其联系,使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组,授予他们访问某些程序的权限或访问特定的目录。,Page 10,国际安全评价标准的发展及其联系,B级中有三个级别,B1级即标志安全保护(Labeled Security Protection),是支持多级安全(例如:秘密和绝密)的第一个级别,这个级别说明处于强制性访问控制之下的对象,系统不允许文件的拥有者改变其许可权限,Page 11,国际安全评价标准的发展及其联系,B2级,又叫结构保护级别(Structu
4、red Protection),它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别,Page 12,国际安全评价标准的发展及其联系,B3级,又叫做安全域级别(Security Domain),使用安装硬件的方式来加强域的安全,例如,内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上,Page 13,国际安全评价标准的发展及其联系,A级,又称验证设计级别(Verified Design),是当前橙皮书的最高级别,它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计
5、必须从数学角度上进行验证,而且必须进行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含义是:硬件和软件在物理传输过程中已经受到保护,以防止破坏安全系统,Page 14,我国安全标准简介,它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。,Page 15,我国安全标准简介,除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。,Page 16,我国安全标准简介,除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保护,Page 1
6、7,我国安全标准简介,在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力,Page 18,我国安全标准简介,这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,Page 19,国外安全操作系统的发展,1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统,其目标是要向大的用户团体提供对计算机的并发访问,支持强大的计算能力和数据存储,并具有很高的安全性。贝尔实验室中后来参加UNIX早期研究的许多人当时都参加了Multics的开发工作。
7、由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想。事实上连他们自己也不清楚什么时候,开发到什么程度才算达到设计的目标。虽然Multics未能成功,但它在安全操作系统的研究方面迈出了重要的第一步,Multics为后来的安全操作系统研究积累了大量的经验。Adept-50是一个分时安全操作系统,可以实际投入使用,1969年C.Weissman发表了有关Adept-50的安全控制的研究成果。安全Adept-50运行于IBM/360硬件平台,它以一个形式化的安全模型高水印模型(High-Water-Mark Model)为基础,实现了美国的一个军事安全系统模型,为给定
8、的安全问题提供了一个比较形式化的解决方案。在该系统中可以为客体标上敏感级别(Sensitivity Level)属性。系统支持的基本安全条件是,对于读操作不允许信息的敏感级别高于用户的安全级别(Clearance);在授权情况下,对于写操作允许信息从高敏感级别移向低敏感级别。 1969年B.W.Lampson通过形式化表示方法运用主体(Subject)、客体(Object)和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象。 1972年,J.P.Anderson在一份研究报告中提出了访问监控器(Reference Monitor)、引用验证机制(Reference V
9、alidation Mechanism)、安全内核(Security Kernel)和安全建模等重要思想。 LINVS 是1984年开发的基于UNIX的一个实验安全操作系统,系统的安全性可达到美国国防部橘皮书的B2级。它以4.1BSD Unix为原型,实现了身份鉴别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功能。 Secure Xenix是IBM公司于1986年在SCO Xenix的基础上开发的一个安全操作系统,它最初是在IBM PC/AT平台上实现的。Secure Xenix对Xenix进行了大量的改造开发,并采用了一些形式化说明与验证技术。它的目标是TCSEC的B2到A
10、1级。 1987年,美国Trusted Information Systems公司以Mach操作系统为基础开发了B3级的Tmach(Trusted Mach)操作系统。除了进行用户标识和鉴别及命名客体的存取控制外,它将BLP模型加以改进,运用到对MACH核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制和对端口、存储对象、任务等的安全标识来加强微核心的安全机制。 1989年,加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。,1.2 安全操作系统的研究历程,Page 20,国外安全操作系统的发展,ASOS(Army Secure Operating System)是针
11、对美军的战术需要而设计的军用安全操作系统,由TRW公司1990年发布完成。ASOS由两类系统组成,其中一类是多级安全操作系统,设计目标是TCSEC的A1级;另一类是专用安全操作系统,设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序,都能根据不同的战术应用需求进行配置,都可以很容易地在不同硬件平台间移植,两类系统还提供了一致的用户界面。 OSF/1是开放软件基金会于1990年推出的一个安全操作系统,被美国国家计算机安全中心(NCSC)认可为符合TCSEC的B1级,其主要安全性表现4个方面:系统标识;口令管理;强制存取控制和自主存取控制;审计。 UNIX SVR4.1E
12、S是UI(UNIX国际组织)于1991年推出的一个安全操作系统,被美国国家计算机安全中心(NCSC)认可为符合TCSEC的B2级,除OSF/1外的安全性主要表现在4个方面:更全面的存取控制;最小特权管理;可信通路;隐蔽通道分析和处理。 在1992到1993年之间,美国国家安全局(NSA)和安全计算公司(SCC)的研究人员在TMach项目和LOCK项目的基础上,共同设计和实现了分布式可信Mach系统(Distributed Trusted Mach,DTMach)。DTMach项目的后继项目是分布式可信操作系统(Distributed Trusted Operating System,DTOS)
13、。DTOS项目改良了早期的设计和实现工作,产生了一些供大学研究的原型系统,例如Secure Transactional Resources、DX等。 2001年,Flask由NSA在Linux操作系统上实现,并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux(SELinux)包括代码和所有文档。 与传统的基于TCSEC标准的开发方法不同,1997年美国国家安全局和安全计算公司完成的DTOS安全操作系统采用了基于安全威胁的开发方法。设计目标包括3个方面: (1)策略灵活性:DTOS内核应该能够支持一系列的安全策略,包括诸如国防部的强制存取控制多级安全策略; (2)与Mach兼容,
14、现有的Mach应用应能在不做任何改变的情况下运行; (3)性能应与Mach接近。,Page 21,国内安全操作系统的发展,1990年前后,海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面的探讨,他们都是参照美国TCSEC标准的B2级安全要求,基于UNIX System V3.2进行安全操作系统的研究与开发。 1993年,海军计算技术研究所继续按照美国TCSEC标准的B2级安全要求,围绕Unix SVR4.2/SE,实现了国产自主的安全增强包。 1995年,在国家“八五”科技攻关项目“COSA国产系统软件平台”中,围绕UNIX类国产操作系统COSIX V2.0的安全子系统的设
15、计与实现,中国计算机软件与技术服务总公司、海军计算技术研究所和中国科学院软件研究所一起参与了研究工作。COSIX V2.0安全子系统的设计目标是介于美国TCSEC的B1和B2级安全要求之间,当时定义为B1,主要实现的安全功能包括安全登录、自主访问控制、强制访问控制、特权管理、安全审计和可信通路等。 1996年,由中国国防科学技术工业委员会发布了军用计算机安全评估准则GJB264696(一般简称为军标),它与美国TCSEC基本一致。 1998年,电子工业部十五所基于UnixWare V2.1按照美国TCSEC标准的B1级安全要求,对Unix操作系统的内核进行了安全性增强。 1999年10月19日
16、,我国国家技术监督局发布了国家标准GB178591999计算机信息系统安全保护等级划分准则,为计算机信息系统安全保护能力划分了等级。该标准已于2001年起强制执行。Linux自由软件的广泛流行对我国安全操作系统的研究与开发具有积极的推进作用。2001年前后,我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。 中国科学院信息安全技术工程研究中心基于Linux资源,开发完成了符合我国GB178591999第三级(相当于美国TCSEC B1)安全要求的安全操作系统SecLinux。SecLinux系统提供了身份标识与鉴别、自主访问控制、强制访问控制、最小特权管理、安全审计、
17、可信通路、密码服务、网络安全服务等方面的安全功能。 依托南京大学的江苏南大苏富特软件股份有限公司开发完成了基于Linux的安全操作系统SoftOS,实现的安全功能包括:强制访问控制、审计、禁止客体重用、入侵检测等。 信息产业部30所控股的三零盛安公司推出的强林Linux安全操作系统,达到了我国GB178591999第三级的安全要求。 中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统,实现了符合我国GB178591999第三级要求的安全功能。中国计算机软件与技术服务总公司以美国TCSEC标准的B1级为安全目标,对其COSIX V2.0进行了安全性增强改造。 此外,国防科技大学、总
18、参56所等其他单位也开展了安全操作系统的研究与开发工作。2001年3月8日,我国国家技术监督局发布了国家标准GB/T183362001信息技术安全技术 信息技术安全性评估准则,它基本上等同采用了国际通用安全评价准则CC。该标准已于2001年12月1日起推荐执行,这将对我国安全操作系统研究与开发产生进一步的影响。,Page 22,二、操作系统安全的基本要求与机制,什么是操作系统? 操作系统的基本功能有哪些? 从安全的角度上看,操作系统应当提供哪些安全服务? 操作系统安全的主要目标 按系统安全策略对用户的操作进行访问控制,防止用户对计算机资源的非法使用 包括窃取、篡改和破坏 标识系统中的用户,并对
19、身份进行鉴别 监督系统运行的安全性 保证系统自身的安全性和完整性内存保护 文件保护 普通实体保护 存取鉴别 等,Page 23,操作系统的安全机制,安全机制:是一种技术、一些软件或实施一个或更多安全服务的过程标识与鉴别机制 信任的功能性 事件检测 审计跟踪 安全恢复2.1标识与鉴别机制 2.2 访问控制 2.2 最小特权管理 2.3 可信通路 2.4 安全审计机制 2.5 存储保护、运行保护和I/O保护,Page 24,2.1标识与鉴别机制(身份认证),标识:用户要向系统表明的身份 用户名、登录ID、身份证号或智能卡 应当具有唯一性 不能被伪造鉴别,对用户所宣称的身份标识的有效性进行校验和测试
20、的过程,Page 25,用户声明自己身份的4种方法,证实自己所知道的 例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等 出示自己所拥有的 例如智能卡 证明自己是谁 例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等 表现自己的动作 例如签名、键入密码的速度与力量、语速等等,Page 26,2.2 访问控制,访问控制用来提供授权 用户在通过身份鉴别后,还需要通过授权,才能访问资源或进行操作 使用访问控制机制的目的 保护存储在计算机上的个人信息 保护重要信息的机密性 维护计算机内信息的完整性 减少病毒感染机会,从而延缓这种感染的传播 保证系统的安全性和有效性,以免受到偶然的和蓄意的侵犯,
21、Page 27,访问控制机制的实行 确定要保护的资源 授权 确定访问权限 实施访问权限,Page 28,系统内主体对客体的访问控制机制,自主访问控制 强制访问控制 基于角色的访问控制,Page 29,在文件和目录中常用的几种访问模式,对文件设置的访问模式 读拷贝(Readcopy) 与单纯的读? 写删除(Writedelete) 不同的系统可能有不同的写模式,或复杂的组合(更细致) 写附加、删除、写修改等 执行(Execute) 通常需要同时具备读权限 无效(Null):对客体不具备任何访问权限,Page 30,考虑目录,对目录及和目录相对应的文件的访问操作 对目录而不对文件实施访问控制 对文
22、件而不对目录实施访问控制 对目录及文件都实施访问控制(最好)对目录的访问模式 读 写扩展(writeexpand) 更细的:读状态、修改、附加,Page 31,2.3 最小特权管理,超级用户 VS. 普通用户 主流多用户操作系统中,超级用户一般具有所有特权,而普通用户不具有任何特权 威胁: 超级用户口令丢失;被冒充;误操作解决方法:实行最小特权管理原则 参考:http:/ 32,橘皮书关于最小特权的定义: 要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权,即最低许可这个原则的应用将限制因意外、错误或未经授权使用而造成的损害,Page 33,最小特权原则:必不可少的特权 充分性:保
23、证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作 必要性:在充分的前提下加以限制基本思想和出发点: 系统不应给用户超过执行任务所需特权以外的特权一种可能的方案: 将特权用户的特权加以划分,形成一组细粒度的特权,Page 34,最小特权举例1,在系统中定义 系统安全管理员 审计员 操作员 安全操作员 网络管理员 任何一个用户都不能获取足够的权力破坏系统的安全策略 为了保证系统的安全性,不应赋予某人一个以上的职责,Page 35,系统安全管理员 对系统资源和应用定义安全级 限制隐蔽通道活动的机制 定义用户和自主访问控制的组 为所有用户赋予安全级 审计员 设置审计参数 修改和删除审计系统
24、产生的原始审计信息 控制审计归档,Page 36,操作员 启动和停止系统,以及完成磁盘一致性检查等 格式化新的存储介质 设置终端参数 允许或不允许登录,但不能改变口令、用户的安全纪和其他有关安全的登录参数 产生原始的系统记账数据,Page 37,安全操作员:完成安全相关的日常例行活动;相当于具有特权能力的操作员。 完成操作员的所有责任 例行的备份和恢复 安装和拆卸可安装介质,Page 38,网络管理员 管理网络软件,如TCP/IP 设置BUN文件,允许使用Uucp,Uuto等进行网络通信 设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择有关的管理文件 启动和停止RFS,通
25、过RFS共享和安装资源 启动和停止NFS,通过NFS共享和安装资源,Page 39,最小特权举例2,CAP_SETPLEVEL CAP_SETSPRIV CAP_SETUID CAP_SYSOPS CAP_SETUPRIV CAP_MACUPGRADE CAP_FSYSRANGE CAP_SETFLEVEL CAP_PLOCK CAP_CORE CAP_LOADMOD CAP_SEC_OP CAP_DEV CAP_OP CAP_NET_ADMIN,将系统中能进行敏感操作的能力分成26个特权 CAP_OWNER CAP_AUDIT CAP_COMPAT CAP_DACREAD CAP_DACWR
26、ITE CAP_DEV CAP_FILESYS CAP_MACREAD CAP_WRITE CAP_MOUNT CAP_MULTIDIR 由一些特权用户分别掌握这些特权,哪一个特权用户都不能独立完成所有的敏感操作,Page 40,常见的最小特权管理机制 基于文件的特权机制 基于进程的特权机制 目前几种安全OS的最小特权管理机制 惠普的Presidum/Virtual Vault 根功能分成42中独立的特权 最小特权是惠普可信赖OSVirtual Vault的基本特性 红旗安全操作系统RFSOS 一个管理角色不拥有另一个管理角色的特权,攻击者破获某个管理角色口令时,不会得到对系统的完全控制,Pa
27、ge 41,SELinux 系统中不再有超级用户,而被分解 避免了超级用户的误操作或其身份被假冒而带来的安全隐患,Page 42,2.4 可信通路,可信通路是用户能够借以同可信计算基通信的一种机制 能够保证用户确定是和安全核心通信 防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令 最简单的办法:给每个用户两台终端 一台用于处理日常工作; 一台专门用于和内核的硬连接 昂贵 另一种方法:使用通用终端,通过发信号给核心 不可信软件不能拦截、覆盖或伪造的信号 安全注意键,Page 43,Linux的安全注意键,在x86平台上是+SYS Rq),Page 44,2.5 安全审计机制,审计是
28、一种事后分析法,一般通过对日志的分析来完成 日志:记录的事件或统计数据 提供关于系统使用及性能方面的信息 审计: 对日志记录进行分析 以清晰的、能理解的方式表述系统信息 安全审计: 对系统中有关安全的活动进行记录、检查及审核 认定违反安全规则的行为,Page 45,审计机制的主要作用,主要作用 能详细记录与系统安全有关的行为,并对这些行为进行分析,发现系统中的不安全因素,保障系统安全 能够对违反安全规则的行为或企图提供证据,帮助追查违规行为发生的地点、过程以及对应的主体 对于已受攻击的系统,可以提供信息帮助进行损失评估和系统恢复 安全操作系统一般都要求采用审计机制来监视与安全相关的活动 橘皮书
29、中有明确要求,Page 46,2.5.1 审计事件,审计事件是系统审计用户动作的基本单位 通常根据要审计行为的不同性质加以分类 主体:要记录用户进行的所有活动 客体:要记录关于某一客体的所有访问活动 用户事件标准 每个用户有自己的待审计事件集 基本事件集 在用户事件标准中,每个用户都要审计的公共部分橘皮书从C2级开始要求具有审计功能 GB17859-1999从第二级开始就对审计有了明确的要求,Page 47,2.5.2 审计系统的实现,日志记录器:收集数据 根据要审计的审计事件范围记录信息 输出: 二进制形式,或者可以直接读取的形式 或者直接传送给数据分析机制 分析器:分析数据 输入:日志 分
30、析日志数据,使用不同的分析方法来监测日志数据中的异常行为 通告器:通报结果 输入:分析器的分析结果 把结果通知系统管理员或其他主体 为这些主体提供系统的安全信息 辅助他们对系统可能出现的问题进行决策,Page 48,Windows NT的日志文件,系统日志 跟踪各种系统事件 记录由Windows NT的系统组件产生的事件 例如:启动过程中加载驱动程序错误 又如:系统崩溃 应用程序日志 记录由应用程序或系统程序产生的事件 例如:应用程序产生的状态dll失败 又如:应用程序的添加 安全日志 记录安全相关的关键安全事件 例如:登录上网/下网,改变访问权限,系统启动和关闭,与创建/打开/删除文件等资源
31、使用相关联的事件,Page 49,2.6 存储保护、运行保护和I/O保护,存储保护 存储保护需求 保护用户存储在存储器中的数据 保护单元和保护精度:字/字块/页面/段 单道系统 VS 多道系统 VS 多用户系统存储器管理和存储保护之间的关系 存储基本概念:虚拟地址空间、段 内存管理的访问控制: 系统段与用户段 基于物理页号的识别 基于描述符的地址解释机制,Page 50,基于物理页号的识别,每个物理页号都被加上一个密钥 系统只允许拥有该密钥的进程访问该物理页 每个进程分配一个密钥,装入进程的状态字中每次访问内存时,由硬件对该密钥进行校验 密钥:要匹配 访问控制信息(读写权限)要匹配缺点:繁琐,
32、Page 51,基于描述符的地址解释机制,每个进程有一个“私有”的地址描述符,描述进程对内存某页或某段的访问模式 可以有两类访问模式集: 用户状态下运行的进程 系统模式下运行的进程优点:开销小,Page 52,基于保护环的运行保护,等级域保护机制 应该保护某一环不被其外层环侵入 允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环 与进程隔离机制不同 在任意时刻,进程可以在任何一个环内运行,并转移到另一个环。 保护进程免遭在同一环内同时运行的其他进程的破坏,Page 53,I/O保护,I/O操作一般是特权操作 操作系统对IO操作进行封装,提供对应的系统调用 将设备看成一个客体,对其应用
33、相应的访问控制规则 读写两种 针对从处理器到设备间的路径,Page 54,三、主流操作系统的安全特性介绍,3.1、主流操作系统介绍 3.2、各操作系统安全特性原理介绍,Page 55,3.1主流操作系统概述,目前服务器常用的操作系统有三类: Unix Linux Windows NT/2000/2003 Server。 这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。,Page 56,UNIX系统,UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使
34、用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期,贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年,Unix系统的绝大部分源代码都用C语言重新编写过,大大提高了Unix系统的可移植性,也为提高系统软件的开发效率创造了条件。,Page 57,主要特色,UNIX操作系统经过20多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5个方面。(1)可靠性高 (2)极强的伸缩性 (3)网络功能强 (4
35、)强大的数据库支持功能 (5)开放性好,Page 58,Linux系统,Linux是一套可以免费使用和自由传播的类Unix操作系统,主要用于基于Intel x86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫Linus Torvalds的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386、486或奔腾处理器
36、的个人计算机上,并且具有Unix操作系统的全部功能。,Page 59,Linux是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。 它是在共用许可证GPL(General Public License)保护下的自由软件,也有好几种版本,如Red Hat Linux、Slackware,以及国内的Xteam Linux、红旗Linux等等。Linux的流行是因为它具有许多优点,典型的优点有7个。,Page 60,Linux典型的优点有7个。,(1)完全免费 (2)完全兼容POSIX 1.0标准 (3)多用户、多任务 (4)良好的界面 (5)丰富的网络功能 (6)可靠的安全、稳定性能
37、 (7)支持多种平台,Page 61,Windows系统,Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows 9X相比,Windows NT的网络功能更加强大并且安全。,Page 62,Windows NT系列操作系统,Windows NT系列操作
38、系统具有以下三方面的优点。 (1)支持多种网络协议 由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。(2)内置Internet功能 随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS(Internet Information Server),可以使网络管理员轻松的配置WWW和FTP等服务。(3)支持NTFS文件系统 Windows 9X所使用的文件系统是FA
39、T,在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。,Page 63,内容介绍,3.2、各操作系统安全特性原理介绍,Page 64,Windows安全性需求,设计目标 一致的、健壮的、基于对象的安全模型 满足商业用户的安全需求 一台机器上多个用户之间安全地共享资源 进程,内存,设备,文件,网络 安全模型 服务器管理和保护各种对象 客户通过服务器访问对象 服务器扮演客户,访问对象 访问的结果返回给服务器,Page 65,Windows系统安
40、全防御,Windows系统的安全架构 Windows子系统安全 Windows帐户安全 Windows身份验证 Windows验证及授权 Windows文件系统安全 Windows安全策略 Windows安全特性,Page 66,Windows 系统的安全架构,Windows 系统的安全架构 C2级别操作系统的安全组件 Windows 2000 安全模型 Windows 2000 核心安全组件,Page 67,Windows 系统的安全架构,Windows NT/2K的安全包括6个主要的安全元素: 审计:Audit 管理:Administration 加密:Encryption 权限控制:Ac
41、cess Control 用户认证:User Authentication 安全策略:Corporate Security Policy,Page 68,Windows 系统的安全架构,Windows NT/2K 系统内置支持用户认证、访问控制、管理、审核。,安全策略:Corporate Security Policy,审计 Audit,管理Administration,Page 69,Windows 系统的安全架构,Windows 系统的安全架构 C2级别操作系统的安全组件 Windows 2000 安全模型 Windows 2000 核心安全组件,Page 70,C2级别操作系统的安全组件
42、,由于Windows 是C2级别的操作系统,下面介绍作为C2级别的操作系统中所包含的安全组件: 访问控制的判断(Discretion access control) 对象重用(Object reuse) 强制登陆(Mandatory log on) 审核(Auditing) 对象的访问控制(Control of access to object),Page 71,Windows 系统的安全架构,Windows 系统的安全架构 C2级别操作系统的安全组件 Windows 2000 安全模型 Windows 2000 核心安全组件,Page 72,Windows 2000 安全模型,本地安全策略,
43、Kerberos,审核 日志,MSV1_0,Netlogon,Windows NT 客户和服务器,Windows 2000 客户和服务器,SAM,登录,本地安全授权(LSA),提供Windows 2000目录服务和复制。它支持轻量级目录访问协议(LDAP)和数据的管理部分,Windows 2000中默认的身份验证协议。它用于Windows 2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证。,安全子系统的中心组件,它促使访问令牌、管理本地计算机上的安全策略并向用户登录提供身份验证,用于Windows NT身份验证的身份验证包。它用于为不支持Kerberos身份验证的Wi
44、ndows客户提供兼容支持,一个内核模式组件,它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问,它还生成相应的审核消息,是本地用户和工作组的一个数据库,用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置,Page 73,Windows 系统的安全架构,Windows 系统的安全架构 C2级别操作系统的安全组件 Windows 2000 安全模型 Windows 2000 核心安全组件,Page 74,标 识,鉴 别,授 权,访问控制,审 计,安 全 策 略,账号指纹视网膜IC卡证书,根据获得的标识信息验证客户的身份,设置不同对象的访问权限(ACL),根据用户标识和对
45、象的ACL进行访问控制,对整个过程(标识鉴别、对象授权、访问控制)进行审核,Windows 2000 核心安全组件,LSA,SRM,LSA,Page 75,Windows系统安全防御,Windows系统的安全架构 Windows子系统安全 Windows帐户安全 Windows身份验证 Windows验证及授权 Windows文件系统安全 Windows安全策略 Windows安全特性,Page 76,Windows子系统安全,Windows 2000 安全子系统的工作机理 Windows系统的对象 Windows 系统服务 Windows 基本的系统进程 Windows安全子系统的组件 Wi
46、ndows子系统安全,Page 77,Windows 2000 安全子系统的工作机理,安全引用监 视器(SRM),身份鉴别子 系统(LSA),账户管理 子系统,授权管理子 系统(LSA),审计子系 统(LSA),添加、删 除账号和组,设置对象 的ACL,登录成功 获得访 问令牌,采用Kerberos或 者NTLM协议 进行认证,检查访问令 牌和被访问 对象的ACL,必要时对验 证、授权过 程作日志审核,登录方式:本地、网络 除账号标识外还可采用令牌、指纹、视网膜、IC卡等方式,根据用户的权限 和对象的ACL 进行访问控制,令牌 SID zhangsan *,SID 读写 执行 更改,Page
47、78,Windows系统的对象,为了实现自身的安全特性,Windows2K/ NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身,Windows2K/ NT提供了一种访问机制去使用它们。由于这些基本的原因,所以我们把Windows2K/ NT称为基于对象的操作系统。 Microsoft的安全法则: Windows 中首要的对象类型:文件 文件夹 打印机 I/O设备 窗口 线程 进程 内存 这些安全构架的目标就是实现系统的牢固性。从设计来考虑,就是所有的访问都必须通过同一种方法认证,减少安全机制被绕过的机会。,Page 79,单击“开始” - 指向“设置” - 然后单击“控制面板” -
48、双击“管理工具” - 然后双击“服务”:在列表框中显示的是系统可以使用的服务 Windows 2k下可以在命令行中输入services.msc打开服务列表。,Windows 的系统服务介绍,Page 80,服务包括三种启动类型:自动、手动、已禁用。 自动 - Windows 2000启动的时候自动加载服务 手动 - Windows 2000启动的时候不自动加载服务,在需要的时候手动开启 已禁用 - Windows 2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服务,并重新启动电脑完成服务的配置,Windows 系统服务的启动类型,Page 81,服务项目驱动程式Star
49、t 数值内容记录HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService 目前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态,。,Windows 系统服务的加载模式,Page 82,基本的系统进程 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 s
50、poolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法,Windows 基本的系统进程,Page 83,Windows主要系统进程详细介绍,会话管理器(SMSS.EXE): Win2K在启动过程中第一个启动的用户模式进程 优先的用户模式进程 进程实现的主要功能 关闭系统 改变系统时间 绕过文件访问权限/审核来执行备份 加载/卸载设备驱动程序 调整页面文件 连接调试器到某个进程 WINLOGON(.EXE) 服务控制管理器(SCM),由SERVICES.EXE实现 本地安全性鉴别子系统(LSASS.EXE) 图形化标识和鉴别(Graphical Identification and AuthenticationGINA)模块处理用户登录凭证,
