计算机网络管理与安全技术.pptx

1、25四月2024NETWORKSECURITY1课题内容：操作系统安全（一）教学目的：掌握WIN2003系统服务的配置方法掌握WIN2003常用进程的作用掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重点：WIN2003系统服务的配置方法难点：WIN2003常用进程的作用课堂类型：讲授课教具：投影仪、多媒体设备授课班级计应1001班第18次课授课时间5月25日星期五授课地点25四月2024NETWORKSECURITY2导入新课1、防火墙的体系结构2、操作系统常用进程与服务25四月2024NETWORKSECURITY3Windows2003 Windows

2、2003原名是Windows NT 5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、巩固的安全性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜 Windows 2003在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同25四月2024NETWORKSECURITY4主要内容操作系统安全基础 Windows 2003 安全结构 Windows 2003 文件系统安全Windows 2003 账号安全GPO 的编辑活动目录安全性考察Windows 2003 缺省值的安全性评估Wi

3、ndows 2003 主机安全 25四月2024NETWORKSECURITY58.1操作系统安全是系统安全的基础各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。25四月2024NETWORKSECURITY6操作系统安全级别 级别 系统的安全可信性 D最低安全性 C1自主存取控制 C2较完善的自主存取控制（DAC）、审计 B1强制存取控制（MAC）B2良好的结构化设计、形式化安全模型 B3全面的访问控制、可信恢复 A1形式化认证 25四月2024NETWORKSECURITY7常见操作系统安

4、全级别 操作系统 安全级别 SCO OpenServer C2 OSF/1 B1Windows NT/2003 C2Solaris C2DOS DUnixWare 2.1/ES B225四月2024NETWORKSECURITY8常见威胁类型(一)威胁类型 示 例自然和物理的 水灾、火灾、风暴、地震、停电 无意的 不知情的员工、不知情的顾客 故意的 攻击者、恐怖分子、工业间谍、黑客、恶意代码 25四月2024NETWORKSECURITY9常见威胁类型（二）安全漏洞类型 示 例物理的 门窗未锁 自然的灭火系统失灵 硬件和软件 防病毒软件过期 媒介 电干扰 通信 未加密协议 人为 不可靠的技术支

5、持 25四月2024NETWORKSECURITY108.2 Windows 2003 安全结构n安全六要素25四月2024NETWORKSECURITY118.2.2 Windows 2003 安全组件（一）灵活的访问控制 Windows 2003支持C2级标准要求的灵活访问控制对象重用 Windows 2003很明确地阻止所有的应用程序不可以访问被另应用程序使用所占用资源内的信息（比如内存或磁盘）25四月2024NETWORKSECURITY12Windows 2003 安全组件（一）强制登录 Windows 2003用户在能访问任何资源前必须通过登录来验证他们的身份数据数据数据数据访问访

6、问访问访问浏览浏览浏览浏览打印打印打印打印服务服务服务服务25四月2024NETWORKSECURITY13Windows 2003 安全组件（二）审计因为Windows 2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows 2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键25四月2024NETWORKSECURITY148.2.4安全的组成部分（一）安全标识符安全标识符（SID）是统计上地唯一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。每当Win

7、dows 2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。25四月2024NETWORKSECURITY15安全的组成部分（二）访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时用户企图进行访问，都要向Windows NT出示访问令牌。25四月2024NETWORKSECURITY16安全的组成部分（三）安全描述符Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分。安

8、全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。25四月2024NETWORKSECURITY17安全的组成部分（四）访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。访问控制条目每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。25四月2024NETWORKSECURITY188.2.5Windows 2003 安全机制（一）帐号安全计算机帐户活动目录用户帐户2

9、5四月2024NETWORKSECURITY19Windows 2003 安全机制（二）文件系统安全NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特性。25四月2024NETWORKSECURITY20Windows 2003 安全机制（三）认证 Kerberos 5 Kerberos是一种被证明为非常安全的双向身份认证技术。其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。Kerberos有效地防止了来自服务器端身份冒领的欺骗。25四月2024NETWORKSECURITY21Windows 2003 安全机制（

10、四）NTLM 认证Windows 2003中仍然保留NTLM（NT-LanMan）认证，以便向后兼容。运行DOS、Windows 3.x、Windows 95、Windows 98、Windows NT 3.5和Windows NT 4.0的客户仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows 2003已支持新的更安全的认证协议NTLM 2。25四月2024NETWORKSECURITY22Windows 2003 安全机制（五）Active Directory管理员可以浏览活动目录，

11、对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员，每人以自己的安全性及许可权限进行管理分类 管理管理员员域用域用户户用用户组户组网网络资络资源源25四月2024NETWORKSECURITY238.3 Windows 2003文件系统安全NTFS权限基于目录 基于文件读取（R）显示目录名，属性，所有者及权限 显示文件数据，属性，所有者及权限 写入（W）添加文件和目录，改变一个属性以及显示所有者和权限 显示所有者和权限、改变文件的属性、在文件内加入数据 执行（X）显示属性，可进入目录中的目录，显示所有者利权限显示文件属性、所有者和权限、如果是可执行文件可运行删除（D）可删除目录

12、可删除文件改变权限（P）改变目录的权限改变文件的权限取得所有权（O）取得目录的所有权 取得文件的所有权25四月2024NETWORKSECURITY24NT有关权限的标准标准权限标准权限基于目录基于目录 基于文件基于文件不可访问不可访问无无无无列出列出 RX RX 不适用不适用读取读取RXRXRXRX添加添加 WX WX 不适用不适用 添加和读取添加和读取RWS-X?RWS-X?RX RX 更改更改RWXD RWXD RWXD RWXD 完全控制完全控制 ALL ALL ALL ALL 25四月2024NETWORKSECURITY25NT共享权限列表权限允许完全控制改变文件的权限；在NTFS

13、卷上取得文件的所有权；能够完成所有有更改权限所执行的任务更改创建目录和添加文件；更改文件内的数据；更改文件的属性能够完成所有有更改权限所执行的任务读取显示目录和文件名：文件数据和属性；运行应用程序文件不可访问只能建立连接，不能访问目录中的内容25四月2024NETWORKSECURITY268.3.2 文件系统类型Fat16文件系统 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。标准文件分配表（FAT），在计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。25四月2024NETWORKSECURITY783禁用Dump文件n在系统崩溃和蓝屏的

14、时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等n需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图7-20所示。25四月2024NETWORKSECURITY794文件加密系统nWindows2003强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。n微软公司为了弥补WindowsNT4.0的不足，在Windows2003中，提供了一种基于新一代NTFS：NTFSV5（第5版本）的加密文件系统（EncryptedFileSystem，简

15、称EFS）。nEFS实现的是一种基于公共密钥的数据加密方式，利用了Windows2003中的CryptoAPI结构。25四月2024NETWORKSECURITY805加密Temp文件夹n一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。n所以，给Temp文件夹加密可以给你的文件多一层保护。25四月2024NETWORKSECURITY816锁住注册表n在Windows2003中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程

16、访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键nSoftwaremicrosoftwindowscurrentversionPoliciessystemn把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。25四月2024NETWORKSECURITY827关机时清除文件n页面文件也就是调度文件，是Windows2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。n一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑

17、注册表修改主键HKEY_LOCAL_MACHINE下的子键：nSYSTEMCurrentControlSetControlSessionManagerMemoryManagementn把ClearPageFileAtShutdown的值设置成1，如图7-22所示。25四月2024NETWORKSECURITY838禁止软盘光盘启动n一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。n如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。25四月2024NETWORK

18、SECURITY849使用智能卡n对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。n如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。25四月2024NETWORKSECURITY8510使用IPSecn正如其名字的含义，正如其名字的含义，IPSec提供提供IP数据包的安全性。数据包的安全性。nIPSec提供身份验证、完整性和可选择的机密性。发送提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。到数据之后解密数据。n

19、利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。25四月2024NETWORKSECURITY8611禁止判断主机类型n黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。n许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows2003，如图7-23所示。25四月2024NETWORKSECURITY87n从图中可以看出，TTL值为128，说明该主机的操作

20、系统是Windows2003操作系统。表7-6给出了一些常见操作系统的对照值。操作系统类型操作系统类型TTL返回值返回值Windows 2003128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 24025四月2024NETWORKSECURITY88n修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：nSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSn新建一个双字节项，如图7-24所示。25

21、四月2024NETWORKSECURITY89n在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示。25四月2024NETWORKSECURITY90n设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。25四月2024NETWORKSECURITY9112抵抗DDOSn添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值nHKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表7-

22、7所示。增加的键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRedirects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfOpenRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxH

23、alfOpenRetried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP协议EnableDeadGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001支持路由功能25四月2024NETWORKSECURITY9213禁止Guest访问日志n在默认安装的WindowsNT和Windows2003中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。n禁止

24、Guest访问应用日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n系统日志：nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n安全日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEve

25、ntlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。25四月2024NETWORKSECURITY9314数据恢复软件n当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回部分被删除的数据，在恢复软件中一个著名的软件是EasyRecovery。软件功能强大，可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图7-26所示。25四月2024NETWORKSECURITY94n比如原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“DataRecovery”，然后选择左边的按钮“AdvancedRecovery”，

26、如图7-28所示。25四月2024NETWORKSECURITY95n进入AdvancedRecovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读取出来的，如图7-29所示。25四月2024NETWORKSECURITY96n现在要恢复E盘上的文件，所以选择E盘，点击按钮“Next”，如图7-30所示。25四月2024NETWORKSECURITY97n软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图7-31所示。25四月2024NETWORKSECURITY98n扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经

27、被删除文件和文件夹，如图7-32所示。25四月2024NETWORKSECURITY99n选中某个文件夹或者文件前面的复选框，然后点击按钮“Next”，就可以恢复了。如图7-33所示。25四月2024NETWORKSECURITY100n在恢复的对话框中选择一个本地的文件夹，将文件保存到该文件夹中，如图7-34所示。25四月2024NETWORKSECURITY101n选择一个文件夹后，电击按钮“Next”，就出现了恢复的进度对话框，如图7-35所示。25四月2024NETWORKSECURITY102Windows XP 的安全特性 Internet 连接防火墙 软件限制政策 25四月2024NETWORKSECURITY103Windows XP 的安全特性 智能卡的支持 Kerberos V5鉴定协议 25四月2024NETWORKSECURITY104本章小结本章从操作系统入手，着重讨论了Windows 的安全结构。随后，我们从Windows 2003的文件系统安全、账号安全等方面加强了对Windows 2003 的安全认识。