系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)

1、主講：黎培興主講：黎培興 博士博士二零零二年十月二零零二年十月第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.110.1Windows NTWindows NT系統(tǒng)的安全性系統(tǒng)的安全性10.210.2UNIXUNIX系統(tǒng)的安全性系統(tǒng)的安全性10.310.3WebWeb站點(diǎn)的安全站點(diǎn)的安全10.410.4反黑客技術(shù)反黑客技術(shù)第36課 第10章第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全本章學(xué)習(xí)目標(biāo)本章學(xué)習(xí)目標(biāo)（1）了解保證）了解保證Windows NT的的Registry的安全的安全性的三種辦法。性的三

2、種辦法。（2）理解）理解UNIX的系統(tǒng)安全和網(wǎng)絡(luò)安全要求及的系統(tǒng)安全和網(wǎng)絡(luò)安全要求及其安全措施。其安全措施。（3）熟悉）熟悉Web站點(diǎn)的主要安全問題、典型安全站點(diǎn)的主要安全問題、典型安全漏洞及其安全策略。漏洞及其安全策略。（4）掌握黑客的攻擊步驟、手法及防黑客的基）掌握黑客的攻擊步驟、手法及防黑客的基本技術(shù)和受到黑客攻擊的處理對策。本技術(shù)和受到黑客攻擊的處理對策。返回本章首頁第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1Windows NT系統(tǒng)的安全性系統(tǒng)的安全性10.1.1Windows NT的的Registry的安全性的安全性10.1.2NT服務(wù)器和工作站的安全漏洞及

3、解決建議服務(wù)器和工作站的安全漏洞及解決建議10.1.3NT與瀏覽器有關(guān)的安全漏洞及防范措施與瀏覽器有關(guān)的安全漏洞及防范措施10.1.4基于基于Windows NT操作系統(tǒng)的安全技術(shù)操作系統(tǒng)的安全技術(shù)10.1.5Windows操作系統(tǒng)的安全維護(hù)技術(shù)操作系統(tǒng)的安全維護(hù)技術(shù)返回本章首頁第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1.1Windows NT的的Registry的的安全性安全性1審核審核2對對Registry的不同部分設(shè)置不同的許可權(quán)的不同部分設(shè)置不同的許可權(quán)3保護(hù)保護(hù)Registry返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1.2N

4、T服務(wù)器和工作站的安全漏洞及服務(wù)器和工作站的安全漏洞及解決建議解決建議（1 1）安全漏洞）安全漏洞1 1安全賬戶管理數(shù)據(jù)庫由：安全賬戶管理數(shù)據(jù)庫由：AdministratorAdministrator賬戶、賬戶、AdministratorAdministrator組中的所有成員、備份操作員、組中的所有成員、備份操作員、服務(wù)器操作員，以及所有具有備份特權(quán)的人員。服務(wù)器操作員，以及所有具有備份特權(quán)的人員。（2 2）安全漏洞）安全漏洞2 2每次緊急修復(fù)盤（每次緊急修復(fù)盤（ERDERD：Emergency Repair DiskEmergency Repair Disk）在更新時，整個在更新時，整個S

5、AMSAM數(shù)據(jù)庫被復(fù)制為數(shù)據(jù)庫被復(fù)制為% %system%repairsam._system%repairsam._。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 3-4 3-4（3）安全漏洞）安全漏洞3SAM數(shù)據(jù)庫和其他數(shù)據(jù)庫和其他NT服務(wù)器文件可能被服務(wù)器文件可能被NT的的SMB讀取。讀取。（4）安全漏洞）安全漏洞4特洛伊木馬和病毒，可能依靠缺省權(quán)利作特洛伊木馬和病毒，可能依靠缺省權(quán)利作SAM的的備份，獲取訪問備份，獲取訪問SAM中的口令信息，或者通過訪中的口令信息，或者通過訪問緊急修復(fù)盤問緊急修復(fù)盤ERD的更新盤。的更新盤。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全

6、第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 5-6 5-6（5）安全漏洞）安全漏洞5能夠物理上訪問能夠物理上訪問Windows NT計(jì)算機(jī)的任何人，計(jì)算機(jī)的任何人，都可能利用某些工具程序來獲得都可能利用某些工具程序來獲得Administrator級別的訪問權(quán)。級別的訪問權(quán)。（6）安全漏洞）安全漏洞6重新安裝重新安裝 Windows NT軟件時，可以獲得軟件時，可以獲得Administrator級別的訪問權(quán)。級別的訪問權(quán)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 7-9 7-9（7）安全漏洞）安全漏洞7Windows NT域中的缺省賬戶域中的缺省賬戶Gue

7、st。（8）安全漏洞安全漏洞8某些系統(tǒng)程序的不適當(dāng)使用。某些系統(tǒng)程序的不適當(dāng)使用。（9）安全漏洞安全漏洞9所有用戶可能通過命令行方式，試圖連接管理系所有用戶可能通過命令行方式，試圖連接管理系統(tǒng)的共享資源。統(tǒng)的共享資源。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 10-11 10-11（10）安全漏洞）安全漏洞10由于沒有定義嘗試注冊的失敗次數(shù)，導(dǎo)致可以被由于沒有定義嘗試注冊的失敗次數(shù)，導(dǎo)致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。無限制地嘗試連接系統(tǒng)管理的共享資源。（11）安全漏洞）安全漏洞11如果系統(tǒng)里只有一個如果系統(tǒng)里只有一個Administrator賬戶

8、，當(dāng)注賬戶，當(dāng)注冊失敗的次數(shù)達(dá)到設(shè)置時，該賬戶也不可能被鎖冊失敗的次數(shù)達(dá)到設(shè)置時，該賬戶也不可能被鎖住。住。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 12-13 12-13（12）安全漏洞）安全漏洞12具有管理員特權(quán)的賬戶在達(dá)到注冊失敗次數(shù)時將具有管理員特權(quán)的賬戶在達(dá)到注冊失敗次數(shù)時將被鎖住，然而，被鎖住，然而，30分鐘后自動解鎖。分鐘后自動解鎖。（13）安全漏洞）安全漏洞13Windows NT缺省時，在注冊對話框中顯示最缺省時，在注冊對話框中顯示最近一次注冊的用戶名。近一次注冊的用戶名。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞

9、安全漏洞 14-15 14-15（14）安全漏洞）安全漏洞14Windows NT和和Windows 95的客戶可以在文的客戶可以在文件中保存口令，以便快速驗(yàn)證。件中保存口令，以便快速驗(yàn)證。（15）安全漏洞）安全漏洞15Windows NT口令可能被非口令可能被非NT平臺的口令所代平臺的口令所代替。替。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 16-18 16-18（16）安全漏洞）安全漏洞16管理員有能力從非安全的工作站上進(jìn)行遠(yuǎn)程登錄。管理員有能力從非安全的工作站上進(jìn)行遠(yuǎn)程登錄。（17）安全漏洞）安全漏洞17NT上的缺省上的缺省Registry權(quán)限設(shè)置有很

10、多不適當(dāng)之權(quán)限設(shè)置有很多不適當(dāng)之處。處。（18）安全漏洞）安全漏洞18有可能遠(yuǎn)程訪問有可能遠(yuǎn)程訪問NT平臺上的平臺上的Registry。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 19-20 19-20（19）安全漏洞）安全漏洞19通過訪問其他的并存操作系統(tǒng)，就有可能繞過通過訪問其他的并存操作系統(tǒng)，就有可能繞過NTFS的安全設(shè)置。的安全設(shè)置。（20）安全漏洞）安全漏洞20文件句柄可能從內(nèi)存中被讀取到，然后用來訪問文件句柄可能從內(nèi)存中被讀取到，然后用來訪問文件，而無須授權(quán)。文件，而無須授權(quán)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安

11、全漏洞 21-22 21-22（21）安全漏洞）安全漏洞21缺省權(quán)限設(shè)置允許缺省權(quán)限設(shè)置允許“所有人所有人”對關(guān)鍵目錄具有對關(guān)鍵目錄具有“改變改變”級的訪問權(quán)。級的訪問權(quán)。（22）安全漏洞）安全漏洞22打印操作員組中的任何一個成員對打印驅(qū)動程序打印操作員組中的任何一個成員對打印驅(qū)動程序具有系統(tǒng)級的訪問權(quán)。具有系統(tǒng)級的訪問權(quán)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 23-24 23-24（23）安全漏洞）安全漏洞23通過通過FTP有可能進(jìn)行無授權(quán)的文件訪問。有可能進(jìn)行無授權(quán)的文件訪問。（24）安全漏洞）安全漏洞24基于基于NT的文件訪問權(quán)限對于非的文件訪問權(quán)

12、限對于非NT文件系統(tǒng)不可文件系統(tǒng)不可讀。讀。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 25-26 25-26（25）安全漏洞）安全漏洞25Windows NT文件安全權(quán)限的錯誤設(shè)置有可能文件安全權(quán)限的錯誤設(shè)置有可能帶來潛在的危險(xiǎn)。帶來潛在的危險(xiǎn)。（26）安全漏洞）安全漏洞26標(biāo)準(zhǔn)的標(biāo)準(zhǔn)的NTFS“讀讀”權(quán)限意味著同時具有權(quán)限意味著同時具有“讀讀”和和“執(zhí)行執(zhí)行”的權(quán)限。的權(quán)限。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 27-28 27-28（27）安全漏洞）安全漏洞27 Windows NT總是不正確地執(zhí)行總是不正確地執(zhí)行

13、“刪除刪除”權(quán)限。權(quán)限。（28）安全漏洞）安全漏洞28 缺省組的權(quán)利和能力不能被刪除。缺省組的權(quán)利和能力不能被刪除。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 29-30 29-30（29）安全漏洞）安全漏洞29NT的進(jìn)程定期處理機(jī)制有的進(jìn)程定期處理機(jī)制有Bug。 （30）安全漏洞）安全漏洞30如果一個帳戶被設(shè)置成同時具有如果一個帳戶被設(shè)置成同時具有Guest組和另一組和另一組的成員資格，那么組的成員資格，那么Guest組的成員資格可能會組的成員資格可能會失效，導(dǎo)致用戶失效，導(dǎo)致用戶Profiles和其他設(shè)置受到意想不和其他設(shè)置受到意想不到的損失。到的損失。第

14、十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 31-33 31-33（31）安全漏洞）安全漏洞31“所有人所有人”的缺省權(quán)利是，可以創(chuàng)建公共的缺省權(quán)利是，可以創(chuàng)建公共GUI組，不受組，不受最大數(shù)目的限制。最大數(shù)目的限制。（32）安全漏洞）安全漏洞32事件管理器中事件管理器中Security Log的設(shè)置，允許記錄被覆寫，的設(shè)置，允許記錄被覆寫，否則它將導(dǎo)致服務(wù)器掛起。否則它將導(dǎo)致服務(wù)器掛起。（33）安全漏洞）安全漏洞33審計(jì)文件是不完全的。審計(jì)文件是不完全的。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 34-35 34-35（34

15、）安全漏洞）安全漏洞34Security Log不是全部集成的。不是全部集成的。（35）安全漏洞）安全漏洞35屏幕保護(hù)有屏幕保護(hù)有Bug，它允許非授權(quán)用戶訪問閑置終它允許非授權(quán)用戶訪問閑置終端。端。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 36-37 36-37（36）安全漏洞）安全漏洞36任何用戶可以通過命令行方式，遠(yuǎn)程查詢?nèi)魏我蝗魏斡脩艨梢酝ㄟ^命令行方式，遠(yuǎn)程查詢?nèi)魏我慌_臺NT服務(wù)器上的已注冊的用戶名。服務(wù)器上的已注冊的用戶名。（37）安全漏洞）安全漏洞37使用使用SATAN掃描可使掃描可使Windows NT平臺崩潰。平臺崩潰。另外，使用另外，使用Sa

16、feSuite的的Internet Scanner同同樣可使樣可使NT平臺崩潰。平臺崩潰。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 38-39 38-39（38）安全漏洞）安全漏洞38Red Button程序允許任何人遠(yuǎn)程訪問程序允許任何人遠(yuǎn)程訪問NT服務(wù)器。服務(wù)器。（39）安全漏洞）安全漏洞39用用Ping命令可導(dǎo)致一臺命令可導(dǎo)致一臺NT計(jì)算機(jī)死機(jī)。計(jì)算機(jī)死機(jī)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞 40-41 40-41（40）安全漏洞）安全漏洞40NT計(jì)算機(jī)允許在安裝時輸入空白口令。計(jì)算機(jī)允許在安裝時輸入空白口令。

17、 （41）安全漏洞）安全漏洞41作為一個作為一個TCP連接的一部分，向連接的一部分，向Windows NT計(jì)計(jì)算機(jī)發(fā)送算機(jī)發(fā)送out-of-band數(shù)據(jù)，可使服務(wù)拒絕訪問數(shù)據(jù)，可使服務(wù)拒絕訪問的攻擊成為可能。的攻擊成為可能。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1.3NT與瀏覽器有關(guān)的安全漏洞及防范措施與瀏覽器有關(guān)的安全漏洞及防范措施（1）安全漏洞）安全漏洞1Internet Explorer在指定的情況下，隨意地向在指定的情況下，隨意地向Internet上發(fā)送用戶的名字和口令。上發(fā)送用戶的名字和口令。 （2）安全漏洞）安全漏洞2NT和和Windows 95計(jì)算機(jī)

18、上的所有瀏覽器，都計(jì)算機(jī)上的所有瀏覽器，都有一個相似的弱點(diǎn)，對于一個有一個相似的弱點(diǎn)，對于一個HTML頁上的超級頁上的超級鏈接，瀏覽器都首先假設(shè)該鏈接是指向本地計(jì)算鏈接，瀏覽器都首先假設(shè)該鏈接是指向本地計(jì)算機(jī)上的一個文件。機(jī)上的一個文件。 第37課 第10.1.3章第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞3-4（3）安全漏洞）安全漏洞3ASP數(shù)據(jù)流的弱點(diǎn)，它主要影響數(shù)據(jù)流的弱點(diǎn)，它主要影響IIS。（4）安全漏洞）安全漏洞4IE讀出本地文件，它主要影響讀出本地文件，它主要影響IE 4.0，4.01；SP1，Windows 98等系統(tǒng)。等系統(tǒng)。 第十章系統(tǒng)平臺與

19、網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全安全漏洞安全漏洞5-7（5）安全漏洞）安全漏洞5IIS的的FTP拒絕服務(wù)，它主要影響如下系統(tǒng)拒絕服務(wù)，它主要影響如下系統(tǒng)IIS 2.0，3.0，4.0。（6）安全漏洞）安全漏洞6IIS中的可執(zhí)行目錄，它主要影響中的可執(zhí)行目錄，它主要影響IIS 4.0。（7）安全漏洞）安全漏洞7RPC受到受到Snork拒絕服務(wù)攻擊。拒絕服務(wù)攻擊。返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1.4 基于基于Windows NT操作系統(tǒng)的安全技術(shù)（操作系統(tǒng)的安全技術(shù)（1）1登錄安全登錄安全（1）登錄過程：同時按下）登錄過程：同時按下CtrlA

20、ltDel鍵的鍵的歡迎窗口開始。尋問用戶名、口令及用戶希望存歡迎窗口開始。尋問用戶名、口令及用戶希望存取的服務(wù)器或域名。輸入傳遞給安全帳號管理器取的服務(wù)器或域名。輸入傳遞給安全帳號管理器安全子系統(tǒng)就創(chuàng)建一個訪問令牌。安全子系統(tǒng)就創(chuàng)建一個訪問令牌。（2）設(shè)置登錄安全：設(shè)置工作站登錄限制、）設(shè)置登錄安全：設(shè)置工作站登錄限制、）設(shè)置時間登錄限制、設(shè)置帳號失效日期、設(shè)置用設(shè)置時間登錄限制、設(shè)置帳號失效日期、設(shè)置用戶登錄失敗次數(shù)。戶登錄失敗次數(shù)。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全基于基于Windows NT操作系統(tǒng)的安全技術(shù)（操作系統(tǒng)的安全技術(shù)（2）2存取控制存取控制存取控制

21、項(xiàng)提供了一個用戶或一組用戶在對象的存取控制項(xiàng)提供了一個用戶或一組用戶在對象的訪問或?qū)徲?jì)許可權(quán)方面的信息。存取控制列表與訪問或?qū)徲?jì)許可權(quán)方面的信息。存取控制列表與文件系統(tǒng)一起保護(hù)著對象，使它們免受非法訪問文件系統(tǒng)一起保護(hù)著對象，使它們免受非法訪問的侵害。共有三種不同類型的存取控制項(xiàng)：系統(tǒng)的侵害。共有三種不同類型的存取控制項(xiàng)：系統(tǒng)審計(jì)、允許訪問、禁止訪問。審計(jì)、允許訪問、禁止訪問。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全基于基于Windows NT操作系統(tǒng)的安全技術(shù)（操作系統(tǒng)的安全技術(shù)（3）3存取控制存取控制1）從網(wǎng)絡(luò)上訪問某臺計(jì)算機(jī)。）從網(wǎng)絡(luò)上訪問某臺計(jì)算機(jī)。 2）備份系統(tǒng)啟

22、動時必須）備份系統(tǒng)啟動時必須登錄的某些服務(wù)程序帳號。登錄的某些服務(wù)程序帳號。4許可權(quán)許可權(quán)（1）NTFS文件系統(tǒng)目錄的許可權(quán)文件系統(tǒng)目錄的許可權(quán)（2）與打印機(jī)相關(guān)的許可權(quán)）與打印機(jī)相關(guān)的許可權(quán)5所有權(quán)所有權(quán)創(chuàng)建對象的用戶就不能把自己的對象顯示為別的用戶可創(chuàng)建對象的用戶就不能把自己的對象顯示為別的用戶可用，他們必須對自己創(chuàng)建的對象負(fù)責(zé)。用，他們必須對自己創(chuàng)建的對象負(fù)責(zé)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全訪問許可權(quán)訪問許可權(quán)6訪問許可權(quán)訪問許可權(quán)在共享一個對象時設(shè)置對它的訪問許可權(quán)，可以在共享一個對象時設(shè)置對它的訪問許可權(quán)，可以隨時修改這些許可權(quán)。隨時修改這些許可權(quán)。 7

23、共享許可權(quán)共享許可權(quán)提供一組規(guī)則，來控制用戶對文件和目錄的訪問。提供一組規(guī)則，來控制用戶對文件和目錄的訪問。共享許可權(quán)為網(wǎng)絡(luò)共享資源提供了另外一層的安共享許可權(quán)為網(wǎng)絡(luò)共享資源提供了另外一層的安全性保護(hù)。訪問共享資源的過程如圖全性保護(hù)。訪問共享資源的過程如圖10.1所示。所示。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全圖圖10.1訪問共享資源的過程訪問共享資源的過程訪問共享資源的過程訪問共享資源的過程第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全審計(jì)審計(jì)8審計(jì)審計(jì)審計(jì)系統(tǒng)可以確保系統(tǒng)的遵循性?？梢越衣恫⒏鷮徲?jì)系統(tǒng)可以確保系統(tǒng)的遵循性?？梢越衣恫⒏櫰髨D對系統(tǒng)進(jìn)行破

24、壞的行為。審計(jì)按照機(jī)構(gòu)的蹤企圖對系統(tǒng)進(jìn)行破壞的行為。審計(jì)按照機(jī)構(gòu)的安全策略和實(shí)施安全標(biāo)準(zhǔn)的適應(yīng)性平臺來對系統(tǒng)安全策略和實(shí)施安全標(biāo)準(zhǔn)的適應(yīng)性平臺來對系統(tǒng)進(jìn)行評估。進(jìn)行評估。返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.1.5Windows操作系統(tǒng)的安全維護(hù)技術(shù)操作系統(tǒng)的安全維護(hù)技術(shù)1備份系統(tǒng)初始化文件備份系統(tǒng)初始化文件2備份程序組文件備份程序組文件3給給Win.ini和和System.ini注釋注釋4刪除帶擴(kuò)展名的刪除帶擴(kuò)展名的.pwl文件文件5避免設(shè)置好的配置被別人修改避免設(shè)置好的配置被別人修改6隱藏共享目錄隱藏共享目錄7避免未經(jīng)授權(quán)的訪問避免未經(jīng)授權(quán)的訪問返回本節(jié)

25、第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.2UNIX系統(tǒng)的安全性系統(tǒng)的安全性返回本章首頁10.2.1UNIX系統(tǒng)安全系統(tǒng)安全10.2.2 UNIX網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.2.1UNIX系統(tǒng)安全（系統(tǒng)安全（1）1口令安全口令安全2文件許可權(quán)文件許可權(quán)3目錄許可目錄許可4umask命令命令5設(shè)置用戶設(shè)置用戶ID和同組用戶和同組用戶ID許可許可6cp、mv、ln和和cpio命令命令第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全UNIX系統(tǒng)安全（系統(tǒng)安全（2） 7su和和newgrp命令命令 8文件加密文件

26、加密 9其他安全問題其他安全問題10. 確保戶頭安全的要點(diǎn)確保戶頭安全的要點(diǎn)返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.2.2 UNIX網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1UUCP系統(tǒng)概述系統(tǒng)概述2UUCP的安全問題的安全問題3HONEYDANBER UUCP的新特性的新特性第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全1UUCP系統(tǒng)概述（系統(tǒng)概述（1）（1）UUCP命令命令:該命令用于兩系統(tǒng)間的文件傳該命令用于兩系統(tǒng)間的文件傳輸輸 。命令的一般格式如下：命令的一般格式如下：uucp source_file destination_file（2）uux命令：命令：uu

27、x最通常的用處是在系統(tǒng)之間最通常的用處是在系統(tǒng)之間發(fā)送郵件發(fā)送郵件。典型的典型的uux請求如下：請求如下：pr listing| uux - remote1!lp -d prl第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全UUCP系統(tǒng)概述（系統(tǒng)概述（2）（3）uucico程序：程序：uucico完成數(shù)據(jù)的發(fā)送和接完成數(shù)據(jù)的發(fā)送和接收。收。 （4）uuxqt程序：程序：執(zhí)行遠(yuǎn)程命令請求。執(zhí)行遠(yuǎn)程命令請求。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全（1）USERFILE 文件：文件： uucico用文件用文件/usr/lib/uucp/USERFILE確定遠(yuǎn)程系確

28、定遠(yuǎn)程系統(tǒng)發(fā)送或接收什么文件，其格式為：統(tǒng)發(fā)送或接收什么文件，其格式為：login，sysc path_namepath_name （ 2 ） L . c m d s 文 件 ：文 件 ： u u x q t 利 用利 用/usr/lib/uucp/L.cmds文件確定要執(zhí)行文件確定要執(zhí)行的遠(yuǎn)程執(zhí)行請求命令。該文件的格式是每的遠(yuǎn)程執(zhí)行請求命令。該文件的格式是每行一條命令。行一條命令。2UUCP的安全問題（的安全問題（1）第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全UUCP的安全問題（的安全問題（2）（3）uucp登錄：登錄：UUCP系統(tǒng)需要兩個登錄戶頭，系統(tǒng)需要兩個登錄戶頭，一

29、個是其他系統(tǒng)登錄的戶頭，另一個是系統(tǒng)管理一個是其他系統(tǒng)登錄的戶頭，另一個是系統(tǒng)管理使用的戶頭。使用的戶頭。 （4）uucp使用的文件和目錄：使用的文件和目錄：uucp用用/usr/spool/uucp目錄存放工作文件。目錄存放工作文件。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全3HONEYDANBER UUCP 的新特性（的新特性（1）（1）HONEYDANBER UUCP較之老較之老UUCP的的改進(jìn)：改進(jìn)：1）支持更多的撥號和網(wǎng)絡(luò)。）支持更多的撥號和網(wǎng)絡(luò)。2）重新組織了）重新組織了/usr/spool/uucp目錄，在該目目錄，在該目錄下，對每個遠(yuǎn)程系統(tǒng)有一個目錄。錄下，

30、對每個遠(yuǎn)程系統(tǒng)有一個目錄。3）加強(qiáng)了安全。）加強(qiáng)了安全。 第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全HONEYDANBER UUCP 的新特性（的新特性（2）（2）HONEYDANBER UUCP與老與老UUCP的差的差別：別： HONEYDANBER UUCP中的中的/usr/lib/uucp/Systems文件是原來文件是原來UUCP中中的的/usr/lib/uucp/L.sys。HONEYDANBER UUCP中，中，/usr/spool/uucp/.log 下的一個下的一個子目錄代替了老子目錄代替了老UUCP的文件的文件/usr/spool/uucp/logFILE。

31、第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全HONEYDANBER UUCP 的新特性（的新特性（3）（3）登錄名規(guī)則：）登錄名規(guī)則：LOGNAME規(guī)則用于控制作為登錄規(guī)則用于控制作為登錄shell啟動的啟動的uucico。 LOGNAMEnuucp指定對所有登錄到指定對所有登錄到nuucp戶頭下的系統(tǒng)加缺省限戶頭下的系統(tǒng)加缺省限制制。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全HONEYDANBER UUCP 的新特性（的新特性（4）（4）MACHINE規(guī)則規(guī)則MACHINE規(guī)則用于忽略缺省限制，規(guī)則用于忽略缺省限制，MYNAME選項(xiàng)所定義的必須與選項(xiàng)所定義的

32、必須與LOGNAME規(guī)則聯(lián)用，指定規(guī)則聯(lián)用，指定將賦給調(diào)用系統(tǒng)的名，該名僅當(dāng)調(diào)用所定義的系將賦給調(diào)用系統(tǒng)的名，該名僅當(dāng)調(diào)用所定義的系統(tǒng)時才用。統(tǒng)時才用。MACHINE規(guī)則的格式如下：規(guī)則的格式如下：MACHINE=zuul：gozur：enigma WRITE=/READ=/第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全HONEYDANBER UUCP 的新特性（的新特性（5）（5）組合）組合MACHINE和和LOGNAME規(guī)則：規(guī)則：確保確保一組系統(tǒng)的統(tǒng)一安全，而不管遠(yuǎn)程系統(tǒng)調(diào)用局域一組系統(tǒng)的統(tǒng)一安全，而不管遠(yuǎn)程系統(tǒng)調(diào)用局域系統(tǒng)還是局域系統(tǒng)調(diào)用用遠(yuǎn)程系統(tǒng)。系統(tǒng)還是局域系統(tǒng)調(diào)用用

33、遠(yuǎn)程系統(tǒng)。（6）uucheck命令：命令：一旦建立了一旦建立了Permissions文件，可用文件，可用uucheck -v 命令了解命令了解uucp如何解如何解釋該文件。輸出的前幾行是確認(rèn)釋該文件。輸出的前幾行是確認(rèn)HONEYDANBER UUCP使用的所有文件、目錄、使用的所有文件、目錄、命令都存在，然后是對命令都存在，然后是對Permissions文件的檢查。文件的檢查。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全網(wǎng)關(guān)網(wǎng)關(guān)（7）網(wǎng)關(guān)（）網(wǎng)關(guān)（Gateway）gateway是一個只轉(zhuǎn)送郵件給其他系統(tǒng)的系統(tǒng)。是一個只轉(zhuǎn)送郵件給其他系統(tǒng)的系統(tǒng)。有了有了gateway，可使許多用

34、可使許多用UNIX系統(tǒng)的部門或系統(tǒng)的部門或公司對其所有用戶只設(shè)一個電子郵件地址。所有公司對其所有用戶只設(shè)一個電子郵件地址。所有發(fā)來的郵件都通過發(fā)來的郵件都通過gateway轉(zhuǎn)送到相應(yīng)的計(jì)算轉(zhuǎn)送到相應(yīng)的計(jì)算機(jī)。機(jī)。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全登錄文件檢查登錄文件檢查（8）登錄文件檢查）登錄文件檢查HONEYDANBER UUCP自動地將登錄信息郵給自動地將登錄信息郵給uucp.login文件，應(yīng)當(dāng)定期地讀這個文件。還要檢查不文件，應(yīng)當(dāng)定期地讀這個文件。還要檢查不允許做的遠(yuǎn)程命令執(zhí)行請求。登錄信息都保存在在文件允許做的遠(yuǎn)程命令執(zhí)行請求。登錄信息都保存在在文件中，如果

35、要查看，可用中，如果要查看，可用grep命令查看。下面一行命令將命令查看。下面一行命令將打印出打印出uuxqt執(zhí)行的所有命令（執(zhí)行的所有命令（rmail除外）：除外）：grep -v rmail /usr/spool/uucp/.Log/uuxqt/*返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.3Web站點(diǎn)的安全站點(diǎn)的安全10.3.1Web站點(diǎn)安全概述站點(diǎn)安全概述10.3.2Web站點(diǎn)的安全策略站點(diǎn)的安全策略返回本章首頁第38課 10.3.1第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.3.1Web站點(diǎn)安全概述（站點(diǎn)安全概述（1）1Web站點(diǎn)的

36、五種主要安全問題站點(diǎn)的五種主要安全問題1）未經(jīng)授權(quán)的存取動作。）未經(jīng)授權(quán)的存取動作。2）竊取系統(tǒng)的信息。）竊取系統(tǒng)的信息。3）破壞系統(tǒng)。）破壞系統(tǒng)。4）非法使用。）非法使用。5）病毒破壞。）病毒破壞。第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全Web站點(diǎn)安全概述（站點(diǎn)安全概述（2）2Web站點(diǎn)的典型安全漏洞站點(diǎn)的典型安全漏洞（1）操作系統(tǒng)類安全漏洞）操作系統(tǒng)類安全漏洞（2）網(wǎng)絡(luò)系統(tǒng)的安全漏洞）網(wǎng)絡(luò)系統(tǒng)的安全漏洞（3）應(yīng)用系統(tǒng)的安全漏洞）應(yīng)用系統(tǒng)的安全漏洞（4）網(wǎng)絡(luò)安全防護(hù)系統(tǒng)不健全）網(wǎng)絡(luò)安全防護(hù)系統(tǒng)不健全（5）其他安全漏洞）其他安全漏洞返回本節(jié)第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全第十章系統(tǒng)平臺與網(wǎng)絡(luò)站點(diǎn)的安全10.3.2Web站點(diǎn)的安全策略（站點(diǎn)的安全策略（1）1安全策略制定原則安全策略制定原則（1）基本原則：每個）基本原則：每個Web站點(diǎn)都應(yīng)有一個安全策站點(diǎn)都應(yīng)有一個安全策略，這些策略因需而異。根據(jù)威脅程度的大小評略，這些策略因需而異。根據(jù)威脅程度的大小評價分析，以作為設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的基本依據(jù)。價分析，以作為設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的基本依據(jù)。（2）服務(wù)器記錄原則：大多數(shù)）服務(wù)器記錄原則：大多數(shù)Web服務(wù)器會記服務(wù)器會記錄錄IP地址、用戶名、地址、用戶名、