《操作系統(tǒng)安全策略》PPT課件_第1頁(yè)
《操作系統(tǒng)安全策略》PPT課件_第2頁(yè)
《操作系統(tǒng)安全策略》PPT課件_第3頁(yè)
《操作系統(tǒng)安全策略》PPT課件_第4頁(yè)
《操作系統(tǒng)安全策略》PPT課件_第5頁(yè)
已閱讀5頁(yè),還剩35頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第4章 操作系統(tǒng)安全與策略,4.1 操作系統(tǒng)安全概述 4.2 Windows2000安全概述 4.3 Windows2000的用戶(hù)安全和管理策略 4.4 NTFS文件和文件夾的存取控制 4.5 使用審核資源 4.6 Windows2000的安全應(yīng)用,4.1 操作系統(tǒng)安全概述,返回本章首頁(yè),4.1.1 操作系統(tǒng)安全 4.1.2 操作系統(tǒng)的2000安全機(jī)制 4.1.3 操作系統(tǒng)的安全策略 4.1.4 操作系統(tǒng)的漏洞和威脅,1系統(tǒng)安全 不允許未經(jīng)核準(zhǔn)的用戶(hù)進(jìn)入系統(tǒng),從而可以防止他人非法使用系統(tǒng)的資源是系統(tǒng)安全管理的任務(wù)。 2用戶(hù)安全 操作系統(tǒng)中,用戶(hù)對(duì)文件訪問(wèn)權(quán)限的大小,是根據(jù)用戶(hù)分類(lèi)、需求和文件屬

2、性來(lái)分配的。 3資源安全 資源安全是通過(guò)系統(tǒng)管理員或授權(quán)的資源用戶(hù)對(duì)資源屬性的設(shè)置,來(lái)控制用戶(hù)對(duì)文件、打印機(jī)等的訪問(wèn)。 4通信網(wǎng)絡(luò)安全,4.1.1 操作系統(tǒng)安全,操作系統(tǒng)的安全機(jī)制主要有身份鑒別機(jī)制、訪問(wèn)控制和授權(quán)機(jī)制和加密機(jī)制。 1身份鑒別機(jī)制 身份鑒別機(jī)制是大多數(shù)保護(hù)機(jī)制的基礎(chǔ)。分為內(nèi)部和外部身份鑒別兩種。 2訪問(wèn)控制和授權(quán)機(jī)制 訪問(wèn)控制是確定誰(shuí)能訪問(wèn)系統(tǒng),能訪問(wèn)系統(tǒng)何種資源以及在何種程度上使用這些資源。 3加密機(jī)制 加密是將信息編碼成像密文一樣難解形式的技術(shù).,4.1.2 操作系統(tǒng)的安全機(jī)制,安全策略是根據(jù)組織現(xiàn)實(shí)要求所制定的一組經(jīng)授權(quán)使用計(jì)算機(jī)及信息資源的規(guī)則,它的目標(biāo)是防止信息安全事

3、故的影響降為最小,保證業(yè)務(wù)的持續(xù)性,保護(hù)組織的資源,防范所有的威脅。 1口令策略 2訪問(wèn)控制與授權(quán)策略 3系統(tǒng)監(jiān)控和審計(jì)策略 (1)建立并保存事件記錄 (2)對(duì)系統(tǒng)使用情況進(jìn)行監(jiān)控,4.1.3 操作系統(tǒng)的安全策略,1)以操作系統(tǒng)為手段,獲得授權(quán)以外或未授權(quán)的信息。它危害計(jì)算機(jī)及其信息系統(tǒng)的保密性和完整性。例如,“特洛伊木馬”、“邏輯炸彈”等都是如此。 2)以操作系統(tǒng)為手段,阻礙計(jì)算機(jī)系統(tǒng)的正常運(yùn)行或用戶(hù)的正常使用。 3)以操作系統(tǒng)為對(duì)象,破壞系統(tǒng)完成指定的功能。除了計(jì)算機(jī)病毒破壞系統(tǒng)運(yùn)行和用戶(hù)正常使用外,還有一些人為因素,如干擾、設(shè)備故障和誤操作也會(huì)影響軟件的正常運(yùn)行。 4)以軟件為對(duì)象,非法

4、復(fù)制和非法使用。 5)以操作系統(tǒng)為手段,破壞計(jì)算機(jī)及其信息系統(tǒng)的安全,竊聽(tīng)或非法獲取系統(tǒng)的信息。,4.1.4 操作系統(tǒng)的漏洞和威脅,4.2 Windows 2000安全概述,4.2.1 安全登錄 4.2.2 訪問(wèn)控制 4.2.3 安全審計(jì) 4.2.4 WINDOWS2000的安全策略,返回本章首頁(yè),4.2.1 安全登陸,要求在允許用戶(hù)訪問(wèn)系統(tǒng)之前,輸入惟一的登錄標(biāo)識(shí)符和密碼來(lái)標(biāo)識(shí)自己。安全特性有: (1)用戶(hù)帳號(hào) (2)組 (3)Kerberos 身份驗(yàn)證協(xié)議,4.2.2 訪問(wèn)控制,允許資源的所有者決定哪些用戶(hù)可以訪問(wèn)資源和他們可以如何處理這些資源。所有者可以授權(quán)給某個(gè)用戶(hù)或一組用戶(hù),允許他們

5、進(jìn)行各種訪問(wèn)。安全特性有: 1)活動(dòng)目錄: 2)NTFS的權(quán)限。 3)共享文件訪問(wèn)許可。 4)分布式文件系統(tǒng)。,4.2.3 安全審計(jì),提供檢測(cè)和記錄與安全性有關(guān)的任何創(chuàng)建、訪問(wèn)或刪除系統(tǒng)資源的事件或嘗試的能力。登錄標(biāo)識(shí)符記錄所有用戶(hù)的身份,這樣便于跟蹤任何執(zhí)行非法操作的用戶(hù)。 1)審計(jì)資源的使用。 2)監(jiān)控網(wǎng)絡(luò)資源的訪問(wèn)行為。,4.2.4 WINDOWS2000的安全策略,1Windows 2000安全策略的內(nèi)容 安全策略主要包括如下3個(gè)方面:本地安全策略,域安全策略,域控制器安全策略。 (1)本地組策略 使用這些對(duì)象,組策略設(shè)置可以存儲(chǔ)在個(gè)人計(jì)算機(jī)上,無(wú)論這些計(jì)算機(jī)是否為Active Dir

6、ectory環(huán)境或網(wǎng)絡(luò)環(huán)境的一部分。 (2)域安全策略和域控制器安全策略 域安全策略和域控制器安全策略應(yīng)用于域內(nèi),針對(duì)站點(diǎn)、域或組織單位設(shè)置組策略. 域安全策略與域控制器安全策略的配置內(nèi)容相似。,4.3 WINDOWS2000 的用戶(hù)安全和管理策略,4.3.1 用戶(hù)賬戶(hù)和組 4.3.2 WINDOWS 2000系統(tǒng)的用戶(hù)賬戶(hù)的管理 4.3.3 Windows 2000組管理與策略,返回本章首頁(yè),4.3.1 用戶(hù)賬戶(hù)和組,在網(wǎng)絡(luò)環(huán)境中,用戶(hù)帳戶(hù)能用來(lái)保證系統(tǒng)安全,防止用戶(hù)非法使用計(jì)算機(jī)資源。 用戶(hù)帳號(hào)最重要的組成部分是用戶(hù)名和密碼。 1用戶(hù)帳戶(hù) (1)用戶(hù)帳號(hào)的類(lèi)型 在Windows 2000中

7、有兩種用戶(hù)帳戶(hù):本地用戶(hù)帳戶(hù)和域用戶(hù)帳戶(hù)。 (2)內(nèi)置用戶(hù)帳戶(hù) 1)Administrator帳戶(hù) 2)Guest帳戶(hù) 2組 組是用戶(hù)帳戶(hù)的集合。通過(guò)組能夠極大地簡(jiǎn)化用戶(hù)帳戶(hù)的管理任務(wù)。,4.3.2 WINDOWS 2000系統(tǒng)的用戶(hù)賬戶(hù) 的管理,1管理的基本內(nèi)容 為使管理過(guò)程合理化和實(shí)現(xiàn)適當(dāng)?shù)陌踩胧?,在管理用?hù)賬戶(hù)時(shí)應(yīng)考慮如 下5個(gè)問(wèn)題: 1)命名約定; 2)密碼要求; 3)登錄時(shí)間與站點(diǎn)限制; 4)主文件夾的位置; 5)配置文件的設(shè)置。,2設(shè)置賬戶(hù)策略 為了增強(qiáng)用戶(hù)賬戶(hù)密碼的安全性和有效性,Windows2000將賬戶(hù)密碼的設(shè)置作為安全策略之一提供給管理員。 設(shè)置的方法是使用組策略編輯器

8、中的賬戶(hù)策略設(shè)置功能,賬戶(hù)策略包括賬戶(hù)的密碼策略、賬戶(hù)的鎖定策略和Kerberos策略三個(gè)方面。,(1)密碼策略 密碼策略中的設(shè)置是有關(guān)密碼的設(shè)置,如圖所示,密碼策略包括下列6項(xiàng)限制。 1)密碼最長(zhǎng)存留期。 2)密碼最短存留期:密碼最短存留期限制不允許用戶(hù)頻繁更換密碼,默認(rèn)設(shè)置0表示用戶(hù)可以任何時(shí)候更換密碼。 3)最小密碼長(zhǎng)度:這是設(shè)置用戶(hù)所使用的密碼的最小長(zhǎng)度。4)強(qiáng)制密碼歷史:該項(xiàng)設(shè)置的目的是為了避免用戶(hù)在短時(shí)間內(nèi)重復(fù)使用相同的密碼,默認(rèn)情況下系統(tǒng)不會(huì)記錄密碼歷史,允許用戶(hù)不斷使用相同的密碼。 5)密碼必須符合安裝的密碼篩選器的復(fù)雜性要求。 6)用戶(hù)必須登錄以更改密碼。,(2)賬戶(hù)鎖定策略

9、 賬戶(hù)鎖定是用來(lái)設(shè)置用戶(hù)注冊(cè)失敗時(shí)的處理動(dòng)作。在圖4-3中的賬戶(hù)鎖定區(qū)中,如果選擇了賬戶(hù)不鎖定策略的話,系統(tǒng)將對(duì)用戶(hù)的失敗注冊(cè)不做任何處理。為了防止他人猜中用戶(hù)的密碼,建議使用賬戶(hù)鎖定功能。,4.3.3 Windows 2000組管理與策略,1 Windows 2000組的形式 從組的使用領(lǐng)域分為本地組、全局組和通用組三種形式。 (1)本地組 在Professional和成員服務(wù)器中使用本地組,本地組給用戶(hù)訪問(wèn)本地計(jì)算機(jī)上的資源提供權(quán)限。 (2)全局組 全局組主要是用來(lái)組織用戶(hù),也就是將多個(gè)網(wǎng)絡(luò)訪問(wèn)權(quán)類(lèi)似的用戶(hù)賬戶(hù)加人到同一個(gè)全局組內(nèi)。,2Windows 2000組的規(guī)劃 建立組應(yīng)按照下面準(zhǔn)則

10、進(jìn)行: 1)根據(jù)用戶(hù)的公共需求,邏輯上將用戶(hù)組織起來(lái); 2)在用戶(hù)賬戶(hù)駐留的每個(gè)域中,為每個(gè)用戶(hù)的邏輯組建立一個(gè)全局組,然后將適當(dāng)?shù)挠脩?hù)賬戶(hù)添加到適當(dāng)?shù)娜纸M中; 3)資源訪問(wèn)需求為依據(jù)建立本地組; 4)為本地組分配適當(dāng)?shù)臋?quán)限; 5) 將全局組添加到本地組中。 6)作出組賬戶(hù)的規(guī)劃表。 將組的信息列表,建立組賬戶(hù)規(guī)劃表,既便于清楚組及其關(guān)系,又有利于檢查和審計(jì)組賬戶(hù)的內(nèi)容。,4.4 NTFS文件和文件夾的存取控制,4.4.1 Windows 2000中的NTFS權(quán)限 4.4.2 在NTFS下用戶(hù)的有效權(quán)限 4.4.3 NTFS權(quán)限的規(guī)劃 4.4.4 共享文件和文件夾的存取控制,返回本章首頁(yè),4

11、.4.1 Windows 2000中的NTFS權(quán)限,NTFS(New Technology File Systetm 新技術(shù)文件系統(tǒng))是微軟專(zhuān)為Windows NT操作環(huán)境所設(shè)計(jì)的文件系統(tǒng),并且廣泛應(yīng)用在Windows NT操作環(huán)境環(huán)境所設(shè)計(jì)的文件系統(tǒng),并且廣泛應(yīng)用在Windows NT的后續(xù)版本W(wǎng)indows 2000與Windows XP中。與Windows系統(tǒng)過(guò)去使用的FAT/FAT32格式的文件系統(tǒng)相比,NTFS具有如下優(yōu)勢(shì)。 1)長(zhǎng)文件名支持 2)對(duì)文件目錄的安全控制。 3)先進(jìn)的容錯(cuò)能力。 4)不易受到病毒和系統(tǒng)崩潰的侵襲。.,返回本節(jié)目錄,(1)NTFS文件權(quán)限的類(lèi)型 NTFS文

12、件權(quán)限共有5種類(lèi)型 :讀取、寫(xiě)入、 讀取及運(yùn)行、修改、完全控制 (2)NTFS文件夾權(quán)限的類(lèi)型 Windows 2000中,NTFS文件夾的權(quán)限的類(lèi)型有6種: 讀取、寫(xiě)入、列出文件、夾 目 錄 、讀取及運(yùn)行 、修 改 、完全控制,4.4.2 在NTFS下用戶(hù)的有效權(quán)限,以下是用戶(hù)有效權(quán)限的使用規(guī)則: (1) 權(quán)限是可以累加的 (2) “拒絕”權(quán)限優(yōu)先于所有其他權(quán)限 (3) 文件權(quán)限優(yōu)先于文件夾的權(quán)限,4.4.3 NTFS權(quán)限的規(guī)劃,規(guī)劃NTFS權(quán)限要考慮以下問(wèn)題: (1)對(duì)資源是建立本地組,還是使用內(nèi)置本地組? (2)確定文件或文件夾需要什么權(quán)限,以及將它們分配給誰(shuí)。 1)對(duì)于程序文件夾,將“

13、完全控制”權(quán)限分配給Administrators組和升級(jí)或調(diào)試軟件的組。將“讀取”權(quán)限分配給Users組。 2)對(duì)于數(shù)據(jù)文件夾,只將“完全控制”權(quán)限分配給Administrators組和所屬權(quán)(Owner)組,為Users組分配“寫(xiě)入和讀取”權(quán)限。 3)應(yīng)用% username % 自動(dòng)將用戶(hù)賬戶(hù)名分配給主文件夾,并自動(dòng)將NTFS權(quán)限“完全控制”分配給各用戶(hù)。,4.4.4 共享文件和文件夾的存取控制,1 共享文件夾的概念 所謂共享文件夾,就是給定適當(dāng)權(quán)限后,用戶(hù)可以通過(guò)網(wǎng)絡(luò)來(lái)訪問(wèn)的文件和文件夾。 2 共享文件夾的權(quán)限 為了控制用戶(hù)對(duì)共享文件夾的訪問(wèn),可以利用共享文件夾的權(quán)限進(jìn)行。共享文件夾的權(quán)

14、限規(guī)定了用戶(hù)可以對(duì)共享文件夾進(jìn)行的操作。 3 共享文件夾的規(guī)劃 在開(kāi)始設(shè)置共享文件夾之前,需要對(duì)共享文件夾進(jìn)行規(guī)劃,以保證共享文件夾的安全與有效。,4.5 使用資源審核,4.5.1 審核事件 4.5.2 事件查看器 5.5.3 使用審核資源,返回本章首頁(yè),4.5.1 審核事件,審核功能用于跟蹤用戶(hù)訪問(wèn)資源的行為與Windows 2000的活動(dòng)情況,這些行為或活動(dòng),稱(chēng)為事件,會(huì)被記錄到日志文件內(nèi),利用“事件查看器”可以查看這些被記錄的審核數(shù)據(jù)。,在Windows 2000中,可以被審核并記錄在安全日志中的事件類(lèi)型有: 1)審核策略更改; 2)審核登錄事件; 3)審核對(duì)象訪問(wèn); 4)審核過(guò)程追蹤;

15、 5)審核目錄服務(wù)訪問(wèn); 6)審核特權(quán)使用; 7)審核系統(tǒng)事件; 8)審核賬戶(hù)登錄事件; 9)審核賬戶(hù)管理;,4.5.2 事件查看器,1 查看事件記錄 可以通過(guò)以下兩種方法來(lái)啟動(dòng)“事件查看器”: (1)用鼠標(biāo)右鍵單擊桌面上的“我的電腦” “管理”“系統(tǒng)工具” “事件查看器”; (2)“開(kāi)始” “程序” “管理工具” “事件查看器”。,2 設(shè)置日志文件的大小 可以針對(duì)每個(gè)日志文件(系統(tǒng)、安全、應(yīng)用程序等)來(lái)更改其設(shè)置,例如,日志文件容量的大小等。 9)審核賬戶(hù)管理; 3篩選事件日志中的事件 如果日志文件內(nèi)的事件太多,造成不易查找事件時(shí),可以利用篩選事件的方式,讓它只顯示特定的事件. 4 存儲(chǔ)日志

16、文件的格式 存儲(chǔ)日志文件的格式可以是以下3種形式: 1)事件日志,其擴(kuò)展名為.evt 。 2)文本(以制表符分隔) ,其擴(kuò)展名為txt。 3)CSV(逗號(hào)分隔) ,其擴(kuò)展名為csv。,4.5.3 使用審核資源,1 制定審核策略 制定審核策略時(shí)主要考慮以下問(wèn)題; (1)確定要審核的事件類(lèi)型,如: 1)訪問(wèn)網(wǎng)絡(luò)資源,如文件、文件夾或打印機(jī)等。 2)用戶(hù)登錄和注銷(xiāo)。 3)關(guān)閉和重新啟動(dòng)運(yùn)行Windows 2000 Server的計(jì)算機(jī)。 4)修改用戶(hù)賬戶(hù)和組。,(2)確定審核成功的事件還是審核失敗的事件,或者兩者都審核。推薦的審核是: 1)賬戶(hù)管理:成功、失敗; 2)登錄事件:成功、失?。?3)對(duì)象

17、訪問(wèn):失敗; 4)策略更改:成功、失?。?5)特權(quán)使用:失?。?6)系統(tǒng)事件:成功、失敗; 7)目錄服務(wù)訪問(wèn):失??; 8)賬戶(hù)登錄事件:成功、失敗。,4.6 WINDOWS2000的安全應(yīng)用,在應(yīng)用Windows 2000 Server操作系統(tǒng)的過(guò)程中,應(yīng)對(duì)Windows 2000 Server操作系統(tǒng)進(jìn)行安全地配置與應(yīng)用,主要從下面幾點(diǎn)出發(fā)。 1服務(wù)器的安全 服務(wù)器應(yīng)該安放在安裝有監(jiān)視器的隔離房間內(nèi),并且監(jiān)視器要保留15天以上的攝像記錄。另外,機(jī)箱、鍵盤(pán)、電腦桌抽屜要上鎖,以確保即使旁人進(jìn)入房間也無(wú)法使用計(jì)算機(jī),鑰匙要放在安全的地方。 2用戶(hù)安全設(shè)置 (1)禁用Guest賬號(hào) 在計(jì)算機(jī)管理的

18、用戶(hù)里面將Guest賬號(hào)禁用。,(2)限制不必要的用戶(hù) 去掉所有的Duplicate User用戶(hù)、測(cè)試用戶(hù)、共享用戶(hù)等等。 (3)創(chuàng)建兩個(gè)或多個(gè)管理員賬號(hào) 創(chuàng)建一個(gè)一般權(quán)限用戶(hù),用來(lái)收信并處理一些日常事務(wù),另一個(gè)擁有Administrators權(quán)限的用戶(hù)只在需要的時(shí)候使用。 (4)將系統(tǒng)Administrator賬號(hào)改名 (5)創(chuàng)建一個(gè)陷阱用戶(hù) 陷阱用戶(hù)就是創(chuàng)建一個(gè)名為“Administrator”的本地用戶(hù),把它的權(quán)限設(shè)置成最低,并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些H acker們忙上一段時(shí)間,借此發(fā)現(xiàn)他們的人侵企圖。,(6)將共享文件的權(quán)限從Everyone組改成授權(quán)用戶(hù) 任何時(shí)候都不要把共享文件的用戶(hù)設(shè)置成“Everyone”組,包括打印機(jī),默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改。 (7)開(kāi)啟用戶(hù)策略 使用用戶(hù)策略,分別設(shè)置復(fù)位用戶(hù)鎖定計(jì)數(shù)器時(shí)間為20 min,用戶(hù)鎖定時(shí)間為20 min,戶(hù)鎖定閾值為3次。 (8)不讓系統(tǒng)顯示上次登錄的用戶(hù)名 (9) 密碼安全設(shè)置,3應(yīng)用程序安全策略 創(chuàng)建一個(gè)只有系統(tǒng)管理員才有訪問(wèn)及運(yùn)行權(quán)限的目錄,將

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論