09操作系统安全防范

第9章操作系统安全防范本章内容网络操作系统9.1windows2003的安全特性9.2windows2003的权限9.3windows2003各种权限应用9.4windows2003的加密文件系统9.5引导案例:在现实生活中，经常会遇到这样的问题：当打开电脑进入操作系统桌面办公的过程中，由于中间临时有事需暂时离开，此时既不想关机又不想随身携带电脑，如何保障个人电脑信息不被别人偷窃或偷看呢？有经验的用户可能设置“屏保密码”和设置开机密码来实现，但如果不小心别人知道了你的密码，或者通过技术手段对你的操作系统密码进行暴力破解，又当如何进行防御呢？本章除了对windows2003操作系统常用安全功能进行阐述外，还将提供一种对操作系统用户身份验证，保护电脑不被非授权用户直接操作的新途径。windows2003的安全模板的定制与分析9.6windwos2003的权限夺取9.7windwos操作系统中防御各种木马与恶意程序9.8•网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，控制用户对网络资源的访问，它提供高效的通信服务和网络存储、打印服务，它能运行客户机/服务器应用程序来扩充网络应用。由于网络操作系统扮演着服务提供着的角色，所以我们也把它称为服务器操作系统。•计算机网络飞速发展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和服务来满足人们的需要，做好网络的控制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择合适的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。•网络操作系统有以下几类：•●Windows系列中的WindowsNT，Windows2000/2003Server操作系统；•●Unix系列中的Solaris和BSD等操作系统；•●Linux系列中的RedHat、红旗等操作系统。网络操作系统9.1Windows2003操作系统Windows2003是微软公司开发的新一代高性能、高可靠性和高安全性的网络操作系统。它是WindowsNT系列中的一员，在Windows2000操作系统上做了许多重大改进，特别的，为了适应Internet分布式网络环境的需要，Windows2003集成了.Net框架平台，简化了Web应用程序的开发，并提供良好的支持和可缩放的服务端运行环境。同时为了配合.net运行环境，Windows2003中集成了IIS6.0版Web服务器，相比IIS5.0，它在可靠性、安全性和可管理性方面有长足进步，支持ASP.NET和XML技术，使得Windows2003成为一个优秀的Web平台。另外，它的安全性相比Windows2000大大增加，它除了堵完已发现的所有安全漏洞，还重新设计了安全子系统，改进了安全算法。WindowsServer2003针对不同的应用级别提供了四种版本，它们分别是Web、Standard、Enterprise和Datacenter。目前企业中使用较多的是Enterprise版，它可满足各种规模的企业的一般用途，是各种网络应用程序、Web服务和基础结构的理想平台，具有出色的商业价值。它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB，具有优异的伸缩性。它功能强大，易于配置和管理，界面友好美观，操作方便容易，所以迅速成为主流的网络服务器操作系统之一。•Windows2003的安全性相当复杂，它实现以下目标：实现企业中的单一登录，集成的安全服务，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核服务等等。这些目标由安全子系统来实现，安全子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他安全操作，占据着相当重要的地位。安全子系统主要由登录过程、本地安全认证、安全账号管理器和安全参考监视器等安全子组件组成。windows2003的安全特性9.2Windows安全子系统Winlogon安全参考监视器(SRM)验证软件包本地安全认证(LSA)安全账号管理器GINA网络客户机/服务器Netlogon登录过程(Winlogon)：在交互式登录过程中负责登录相关的安全性工作，处理用户的登录与注销、启动用户Shell、更改密码、锁定与解锁工作站等。此外，WinLogon还必须保证其与安全相关的操作对其他进程不可见，防止其他进程获取登录密码。图形标识和身份验证动态链接库(GINA)：GINA在用户登录时被WinLogon进程加载，用来实现用户的身份验证过程，实现Windows登录界面，提供用于标识和验证用户的输出函数，它允许被替换，以使用户定制自己的身份验证操作。身份验证软件包：身份验证软件包位于一个动态链接库之中，它执行用户身份验证工作。它接收由GINA提供的用户证书凭证，经校验后，为用户创建一个LSA登录会话，并返回绑定到用户安全令牌中的安全标识符(SID）本地安全授权(LSA)：LSA是Windows2000/2003系统的核心安全组件，它负责在本地和远程用户登录过程中验证用户身份，产生安全令牌，并维护本地安全策略。它还控制审计方案，并将安全参考监视器产生的审计信息记入日志。Windows安全子系统Windows安全子系统网络登录(Netlogon)：Netlogon服务维护计算机到所在域内的域控制器的安全信道，然后传送用户的证书凭证穿过此安全信道，再为安全主体返回一个带有SID和用户权力的访问权标。安全账号管理器(SAM)：安全账号管理器维护安全账号数据库，即SAM数据库，该数据库包含用户和组的账号信息。在工作组模式下，SAM数据库存放在本地系统中，在域模式下，存放在域控制器中。安全参考监视器(SRM)：安全参考监视器运行在内核模式，它负责访问控制和审核，通过将安全主体的访问令牌与客体的访问控制板(ACL)相比较，确定是否具有访问权限，阻止非授权用户访问对象。同时它还负责实施审计操作，对落入审计范围内的操作产生审计信息。1.用户账户和用户组账户在Windows2003中，有三种账户类型：本地用户账户、域本地组账户和域全局组账户。当系统刚安装完的时候，系统会默认地创建一批内置的本地用户和本地组账户，存放在本地计算机的SAM数据库中；而当Windows2003系统升级为域控制器的时候，系统则会创建一批域组账号，用于域中的管理和活动。Windows2003系统默认创建两个账户：Administrator和Guest。Administrator是超级管理员账户，具有最高权限，它可以创建、删除其他用户和组，管理安全策略，更改系统设备，格式化硬盘等。Guest是来宾用户，默认是禁止的，它用于临时登录的一次性用户，具有最小权限。这两个默认账户均可以改名，但都不能删除。9.2.2Windows2003的账户管理●Administrators：该组的成员为系统管理员，可以控制整个系统，Administrator账号即属于该组。●Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。●Guests：来宾组，具有系统最小权限，用于临时登录，Guest账户属于该组。另外还有BackupOperators、PrintOperators、AccountOperators等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员9.2.2Windows2003的账户管理我们可以通过用户管理器或者命令行工具来管理用户和账户和组账户。用户管理器在计算机管理中，依次打开“控制面板”―“管理工具”―“计算机管理”－“本地用户和组”，就能管理用户账户了账户管理工具创建组创建组的方法与创建用户相同，而且没有那么多选项。我们可以在组中添加成员，如图9-3。我们可以禁用用户，但不能禁用用户组。在删除一个组的时候，组中的账户并不删除。同样的，用户账户可以改名，而组不能。netuser命令创建组在“开始”－“运行”中输入“cmd”打开命令提示符窗口，然后输入“netuser/addPeter”。Windows2003的权限大致分为两类：NTFS权限与共享权限。NTFS权限：是windows2003的操作系统在NTFS分区上权限；用于控制资源的安全性，可作用的范围包括本地用户访问与网络用户访问。共享权限：是windwos2003的操作系统控制网络资源访问的一种权限，用于控制网络访问行为的安全性。只针对网络用户生效，不能作用于本地用户的资源访问行为。该权限方式可以在NTFS分区中存在，也可以在FAT分区中存在。区别NTFS权限与共享权限的关键是：NTFS权限只能是NTFS分区的安全特性，而共享权限可以存在于NTFS分区，也可以存在于FAT分区。NTFS权限即针对本地用户也针对网络用户；而共享权限只针对网络用户。这是两种不同的权限类型，但它们可以接合使用，达到更好的保护资源的目的。9.3windows2003的权限NTFS权限选择处于NTFS分区的某项资源（文件或文件夹）单击鼠标右键；选择【属性】，再选择【安全】选项卡：完全控制：对文件与文件夹拥有不受限制的完全访问。选中了“完全控制”，下面的五项属性将被自动被选中。该权限是所有NTFS权限中权力最高的选项。在使用时要小心。修改：除了具有“写入”和“读取与继承”的权限外，还有删除、重命名子文件夹的权限，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。读取和运行：允许读取和运行任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。列出文件夹目录：只能浏览该卷或目录下的子目录，不能读取，也不能运行。读取：能够读取分区或文件夹下的数据。写入：能够往该分区或文件夹下写入数据。特别的权限：对以上的六种权限进行了更详细分，这不在本书所描述的范围内。•NTFS权限的“写入”，通俗的讲只能向某个文件夹增加内容。但是不能删除内容。而“修改”除了可以增加内容外，还可以删除内容。“修改”的权限大于“写入”的权限。•使用NTFS权限的原则：•用户将继承用户所属组的NTFS权限。•NTFS权限是累加的结合。•文件的权限超越文件夹的权限。•NTFS权限中的DENY（拒绝）权限优先任何NTFS权限9.3.4共享权限选择处于任何分区的某项资源（文件夹）单击鼠标右键；选择【属性】，再选择【共享】选项卡：使用共享权限的原则：共享权限不受系统分区格式的限制，可以是NTFS分区也可以是FAT分区。共享权限只针对网络访问生效，对本地用户访问不生效。共享权限是累加的这与NTFS权限类似。共享权限的拒绝优先于任何权限，这与NTFS权限类似。windows2003各种权限的结合的复合应用：9.4windows2003各种权限的结合的复合应用windows2003NTFS权限与共享权限的复合应用实现第一步：打开“开始”－“程序”－“管理工具”－“计算机管理”，展开“本地用户和组”，在用户列表中创建两个新组，名称test1和test2，不做其他设置。windows2003NTFS权限与共享权限的复合应用实现第二步：创建用户，打开“开始”－“程序”－“管理工具”－“计算机管理”，展开“本地用户和组”，在用户列表中创建一个新用户user1。windows2003NTFS权限与共享权限的复合应用实现第三步：把user1用户加入到tset1的用户组与test2的用户组。打开“开始”－“程序”－“管理工具”－“计算机管理”展开“本地用户和组”，“user1”－“属性”－“隶属于”－“添加”－“高级”－“立即查找”－“test1”－“确定”。如下图9-11所示，用同样的步骤可以将user1加入到test2的用户组：windows2003NTFS