操作系统安全课件.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第八章 操作系统安全,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,第八章 操作系统安全,第八章 操作系统安全,8.1 Linux系统,8.2 Unix/Linux系统安全,8.3 Windows系统,8.4 Windows安全机制,8.5 Windows系统安全配置,第1页,操作系统概述,当前服务器惯用操作系统：,Unix,Linux,Windows NT/Server。,这些操作系统都是符合C2级安全级别操作系统。,都存在很多漏洞，假如对这些漏洞不了解，不采取对应办法，就会使操作系统完全暴露给入侵者。,第2页,8.1 Linux/Unix系统,UNIX操作系统是由美国贝尔试验室开发一个多用户、多任务通用操作系统。,UNIX诞生于20世纪60年代末期，贝尔试验室研究人员于1969年开始在GE645计算机上实现一个分时操作系统雏形，以后该系统被移植到了DECPDP-7小型机上。,1970年给系统正式命名为Unix。,到1973年，Unix系统绝大部分源代码都用C语言重新编写，大大提升了Unix系统可移植性，也为提升系统软件开发效率创造了条件。,第3页,主要特色,UNIX操作系统经过20多年发展后，已经成为一个成熟主流操作系统，在发展过程中逐步形成了一些新特色。,（1）高可靠性,（2）极强伸缩性,（3）网络功效强,（4）强大数据库支持,（5）开放性好,第4页,Linux系统,Linux是由全世界各地成千上万程序员设计和实现，为了建立不受任何商品化软件版权制约、全世界都能自由使用Unix兼容产品。,Linux最早开始于名叫Linus Torvalds计算机兴趣者，是芬兰赫尔辛基大学学生。,目标是设计一个代替Minix（是由Andrew Tannebaum教授编写一个操作系统示教程序）操作系统。该操作系统可用于386、486或飞跃处理器个人计算机上，含有Unix操作系统全部功效。,第5页,Linux系统,Linux是一个无偿开源操作系统，用户能够无偿取得其源代码，并能够随意修改。,在共用许可证GPL(General Public License)保护下自由软件，有几个版本，如Red Hat Linux、Slackware，以及国内Xteam Linux、红旗Linux等等。,Linux流行是源于它优点：,第6页,Linux经典优点,（1）完全无偿,（2）完全兼容POSIX 1.0标准,（3）多用户、多任务,（4）良好界面,（5）丰富网络功效,（6）可靠安全、稳定性能,（7）支持各种平台,第7页,8.2 Unix/Linux系统安全,第8页,Unix/Linux安全机制,用户标识和身份判别,每个用户一个唯一标识符(UID);,系统给每个用户组也分配有一个唯一标识符(GID);,登录需要密码口令；,文件系统安全,用户：owner/group/other）,访问权限：read/write/executable。,文件加密,Unix用户能够使用crypt命令加密文件，用户选择一个密钥加密文件，再次使用此命令，用同一密钥作用于加密后文件，就可恢复文件内容,日志审计机制,包含：,连接时间日志、进程统计和错误日志。,9,第9页,Unix/Linux,操作系统安全弱点,用户数据保护机制并不能确保严格安全要求；,超级用户成为系统安全瓶颈；,缺乏必要系统审计机制；,用户认证方面要求不够严格；,系统本身完整性保护问题，一旦加载恶意关键模块，整个系统可能完全被非法控制,。,10,第10页,Unix/Linux安全配置,合理设置系统安全级别,合理设置用户权限,指定主控台及终端登录限制,合理配置,/etc/inetd.conf,文件,合理设置/etc/ftpusers文件,合理设置网段及路由,不设置UUCP,删除不用软件包及协议,正确配置.profile文件,创建匿名ftp,应用用户同维护用户分开,第11页,8.3 Windows系统,1)高效直观面向对象图形用户界面，易学易用。,2)多任务。,3)用户界面统一、友好、漂亮。,4)丰富与设备无关图形操作。,第12页,8.4 Windows安全机制,1.活动目录服务,2.认证服务,3.加密文件系统,4.安全模版,5.安全账号管理器,第13页,Windows安全子系统,安全子系统包含：,Winlogon,Graphical Identification and Authentication DLL(GINA),Local Security Authority(LSA),Security Support Provider Interface(SSPI),Authentication Packages,Security support providers,Netlogon Service,Security Account Manager(SAM),第14页,Windows 安全子系统,Winlogon,GINA,LSA,Security Account Management,Netlogon,Authentication Packages,Security Support Provider,SSPI,加载GINA，监视认证次序,加载认证包,支持额外验证机制,为认证建立安全通道,提供登陆接口,提供真正用户校验,管理用户和用户证书数据库,第15页,Windows,安全,子系统,Winlogon and Gina:,Winlogon调用GINA DLL，监视安全认证序列。,GINA DLL提供一个交互式界面为用户登陆提供认证请求。,Winlogon在注册表中查找,HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon,，假如存在GinaDLL键，Winlogon将使用这个DLL，假如不存在该键，Winlogon将使用默认值MSGINA.DLL。,第16页,Windows安全子系统,当地安全认证（Local Security Authority）,：,它负责以下任务：,调用全部认证包，检验在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下全部存在SecurityPackages值并调用。,创建用户访问令牌。,管理当地安装服务所使用服务账号。,储存和映射用户权限。,管理审核策略和设置。,管理信任关系。,第17页,Windows安全子系统,网络登陆（Netlogon）：,网络登陆服务必须在经过认证后建立一个安全通道。要实现这个目标，必须经过安全通道与域中域控制器建立连接，然后，再经过安全通道传递用户口令，在域域控制器上响应请求后，重新取回用户SIDs和用户权限。,安全账号管理器（,Security Account Manager,）：,安全账号管理器，也就是我们经常所说SAM，它是用来保留用户账号和口令数据库。不一样域有不一样Sam，在域复制过程中，Sam包将会被拷贝。,第18页,Windows密码系统,Windows NT及Win中对用户帐户安全管理使用了安全帐号管理器(security account manager)机制,安全帐号管理器对帐号管理是经过安全标识进行，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。,安全标识是唯一，即使是相同用户名，在每次创建时取得安全标识都时完全不一样。所以，一旦某个帐号被删除，它安全标识就不再存在了，即使用相同用户名重建帐号，也会被赋予不一样安全标识，不会保留原来权限。,第19页,Windows平台上共享资源,在Windows平台上，共享资源是受攻击入侵点,文件资源共享,打印服务共享,IPC$也是一个共享资源,在网络环境下，又离不开共享功效,对策,使用隐藏共享,设置好权限控制,第20页,Windows 9x/ME,它本身就不是一个安全操作系统,主要危险,直接连接到共享资源上,远程访问注册表,安装后门服务程序,利用现有服务程序漏洞,拒绝服务,当地系统不安性,重新开启,口令不安全,第21页,Windows NT,Windows NT是一个安全操作系统,即使已经发觉了大量漏洞,不过总算补丁来得很及时,两个显著安全性特点,操作系统本身并不提供远程运行代码能力,对于控制台交互登录权力仅限于少数帐号,安全现实状况,对于Windows NT大量攻击都是经过应用服务器进行(比如IIS Web Server)。,尽快升级到Windows,第22页,Windows NTAdministrator,这是攻击者最期望得到权限,伎俩,远程密码猜测,找到一个共享点，使用net use命令行,Nat工具,从NT认证协议(LanMan、NTLM)着手,防护,禁止NICNetBIOS功效,帐户管理策略：设定lockout功效、强制使用强口令,失败类型审计总是需要,第23页,SAM数据库,SAM:,Security Accounts Manager,包含有当地系统或者所控制域上全部用户用户名和密文形式密码,这是攻击者最感兴趣部位,获取sam数据库，然后进行破解,在系统运行期间，sam数据库是上锁,获取sam伎俩,从另一个文件系统进行拷贝,从关键文件备份中获取压缩之后sam文件,在线提取密码散列值,从网络上进行监听,破解工具,不论是字典破解，还是穷举攻击，往往很奏效,两种伎俩结合起来使用,使用syskey保护,第24页,IIS服务安全配置,删除无用脚本映射,IIS 被预先配置为支持惯用文件名扩展如.asp 和.shtm 文件。IIS 接收到这些类型文件请求时，该调用由 DLL 处理。假如您不使用其中一些扩展或功效，则应删除该映射，步骤以下：,打开 Internet 服务管理器。,右键单击 Web 服务器，然后从上下文菜单中选择“属性”。,主目录|配置|,删除无用.htr.ida.idq.printer.idc.stm.shtml等,第25页,终端服务安全,输入法漏洞造成威胁,第26页,Windows危险服务,剪贴簿查看器,Messenger（Net send）,Remote Registry Service,Server(支持此计算机经过网络文件、打印、和命名管道共享),Terminal Services(,允许多位用户连接并控制一台机器，而且在远程计算机上显示桌面和应用程序。这是远程桌面(包含管理员远程桌面)、快速用户转换、远程帮助和终端服务器基础结构。,),第27页,禁止对注册表远程访问,第28页,禁止和删除服务,经过services.msc禁止服务,使用Resource Kit彻底删除服务,Sc命令行工具,Instsrv工具,举例,OS/2和Posix系统仅仅为了向后兼容,Server服务仅仅为了接收netbios请求,第29页,针对Windows 入侵示例,第30页,1.探测,选择攻击对象，了解部分简单对象信息。,针对详细攻击目标，随便选择一组IP地址，进行测试，选择处于活动状态主机；,针对探测安全提议,对于网络：安装防火墙，禁止这种探测行为,对于主机：安装个人防火墙软件，禁止外部主机ping包，使对方无法获知主机当前正确活动状态,针对Windows 入侵过程(一),第31页,针对,Windows,入侵过程(二),2.扫描,使用扫描软件,这里选择扫描软件是,SSS,（,Shadow Security Scanner,），,SSS,是俄罗斯一套非常专业安全漏洞扫描软件，能够扫描目标服务器上各种漏洞，包含很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等，而且漏洞数据能够随时更新。,扫描远程主机,开放端口扫描,操作系统识别,SSS,本身就提供了强大操作系统识别能力，也能够使用其它工具进行主机操作系统检测。,主机漏洞分析,第32页,扫描结果：端口扫描,能够看出几个比较著名端口均处于打开状态，如,139,、,80,等,尝试使用,Unicode,漏洞攻击，无效。可能主机已经使用了,SP,进行补丁或未开放远程访问权限,第33页,扫描结果：,操作系统识别,结果显示该主机操作系统为,Windows,，正是我们期望操作系统类型,第34页,扫描结果：漏洞扫描,SSS,可对远程主机进行漏洞检测分析，选择适当攻击入口点，进行远程入侵；,该主机存在漏洞较多，我们能够确定选择该主机作为攻击对象。另外，主机帐号密码使用是“永不过期”方式，我们能够在下面进行帐号密码强行破解,第35页,针对Windows 入侵过程(三),3.查看目标主机信息,在完成对目标主机扫描后，能够利用,Windows NT/,对,NetBIOS,缺省信赖，对目标主机上用户帐号、共享资源等进行检验。这里，再利用,Windows,IPC,空会话查询远程主机,第36页,针对Windows 入侵过程(四),4.渗透,IIS,攻击,尝试利用,IIS,中著名,Unicode,和“,Translate:f,”漏洞进行攻击，没有成功。目标主机可能已修复对应漏洞，或没有打开远程访问权限,Administrator口令强行破解,目标主机是一台个人主机，绝大部分情况下，均使用,Administrator,帐号进行登陆，且个人防范意识较差话，选择密码普通都较简单，如“主机名”、“,11111,”、“,12345,”之类简单密码。所以考虑利用,NetBIOS,会话服务（,TCP 139,）进行远程密码猜测。,这里使用,NAT,（,NetBIOS Auditing Tool,）进行强行破解,：结构一个可能用户帐户表，以及简单密码字典，然后用NAT进行破解。成功,第37页,Administrator口令破解情况,第38页,针对Windows 入侵过程(五),5.巩固权力,现在得到了Administrator帐户，接下去需要巩固权力,添加一个迷惑性帐户，并加入administrators组，未来经过新帐户进入,装载后门,装载后门,普通个人主机为防范病毒，均会安装反病毒软件，如Norton Anti-Virus、金山毒霸等，而且大部分人也能及时更新病毒库，而大部分木马程序在这类软件病毒库中均被视为Trojan木马病毒。除非一些很新程序或自己编写程序才能够很好地隐藏起来,我们使用NetCat作为后门程序进行演示,第39页,安装后门程序(一),利用刚才获取,Administrator,口令，经过,Net use,映射对方驱动器,第40页,安装后门程序(二),然后将,netcat,主程序,nc.exe,复制到目标主机系统目录下（便于隐藏），可将程序名称改为轻易迷惑对方名字，如,rundl132.exe,、,ddedll32.exe,等,利用,at,命令远程开启,NetCat,，供我们远程连接使用。还添加了每日运行计划，供以后使用,。,第41页,安装后门程序(三),远程,NetCat,服务程序开启后，我们能够在当地进行远程连接，运行命令，这时，我们已经完全控制了这台机器了,第42页,针对Windows 入侵过程(六),6.去除痕迹,我们留下了痕迹了吗,用event viewer看一看,没有成功,看看它日志文件,无安全日志统计,第43页,经过入侵过程来看Win2k防范,尽可能安装防火墙软件，并对安全规则库定时进行更新；,及时更新操作系统厂商公布,Service Pack,补丁程序,；,停顿主机上无须要服务，各种服务打开端口往往成为黑客攻击入口,使用安全密码，最起码不要直接使用常见单词、数字串以及可能暴露主机信息(比如主机名、用户名等)；,假如没有文件和打印机共享要求，最好禁止,139,和,445,端口上空会话；,经常利用,net session,、,netstat,查看本机连接情况，并利用,Task Manager,查看本机运行进程，及早发觉异常情况,；,能够利用一些安全工具(如,LockDown,、,BlackICE,等)提供本机程序安全管理功效，监控本机程序异常状态(主动连接外部陌生地址)，增强主机对木马程序监控能力,；,第44页,本章小结,本章主要介绍了Unix/Linux系统、Windows系统安全机制，并对该系统安全配置提供了一些提议。,了解Unix/Linux系统安全机制；,了解Windows系统安全机制；,掌握Unix/Linux系统安全配置方法；,掌握Windows系统安全配置方法。,第45页,