操作系统的安全管理课件

第四章操作系统安全四川交通职业技术学院4.1Windows系统安全系统安全1Windows2003的安全环境的安全环境2Windows2003的安全服务的安全服务3Windows2003的安全模式的安全模式4Windows2003Server的安全管理的安全管理5基于基于Windows2003建立安全的建立安全的Web站点站点6安全工具安全工具四川交通职业技术学院所有的安全服务并非均由操作系统完成，如：认所有的安全服务并非均由操作系统完成，如：认证或者数字签名等均由网络中的应用层来完成。证或者数字签名等均由网络中的应用层来完成。如何对如何对Windows2003网络操作系统进行安全管理，网络操作系统进行安全管理，一般是通过如下几个方面来进行的。一般是通过如下几个方面来进行的。l访问控制访问控制通过对特定的网段以服务建立的访通过对特定的网段以服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目问控制体系，将绝大多数攻击阻止在到达攻击目标以前。标以前。l检查安全漏洞检查安全漏洞通过对安全漏洞的周期检查，通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击即使攻击可到达攻击目标，也可使绝大多数攻击无效。无效。l监控系统监控系统通过对特定网段、服务建立的攻击通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。跟踪攻击源等）。四川交通职业技术学院l 加密通讯加密通讯 主动的加密通讯，可使攻击者不能了主动的加密通讯，可使攻击者不能了解、修改敏感信息。解、修改敏感信息。l 认证认证 良好的认证体系可防止攻击者假冒合法用良好的认证体系可防止攻击者假冒合法用户。户。l 备份和恢复备份和恢复 良好的备份和恢复机制，可在攻击良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。造成损失时，尽快地恢复数据和系统服务。l 多层防御，攻击者在突破第一道防线后，延缓多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。或阻断其到达攻击目标。l 隐藏内部信息隐藏内部信息 使攻击者不能了解系统内的基本使攻击者不能了解系统内的基本情况。情况。l 设立安全监控中心设立安全监控中心 为信息系统提供安全体系管为信息系统提供安全体系管理、监控、保护及紧急情况服务。理、监控、保护及紧急情况服务。四川交通职业技术学院4.1.1Windows2003的安全环境的安全环境一个安全的网络操作系统的安全性特征是贯穿于整个系一个安全的网络操作系统的安全性特征是贯穿于整个系统之中的，操作系统要安全就必须保证文件系统、用户统之中的，操作系统要安全就必须保证文件系统、用户帐户目录、用户确认系统、内存管理、环境子系统等的帐户目录、用户确认系统、内存管理、环境子系统等的安全性。安全性。Windows2003的安全环境就是将保密性溶入的安全环境就是将保密性溶入每一个组件的创建过程中，并且它的设计达到了每一个组件的创建过程中，并且它的设计达到了C2级认级认可的安全性系统的要求。可的安全性系统的要求。Windows2003Server的设计还的设计还能保护存储在计算机内存中的数据，使未授权的进程无能保护存储在计算机内存中的数据，使未授权的进程无法访问这些数据。如：用户法访问这些数据。如：用户Tom必须登录并由系统验证必须登录并由系统验证后才能进行数据访问，这时系统将验证它的身份和权限后才能进行数据访问，这时系统将验证它的身份和权限进行确认，这就能保证信息被完全保护并且只有被授权进行确认，这就能保证信息被完全保护并且只有被授权用户才能访问。用户才能访问。四川交通职业技术学院操作系统安全等级操作系统安全等级从从20世纪世纪80年代开始，国际上很多组织开始研年代开始，国际上很多组织开始研究并发布计算机系统的安全性评价等级，最具影响究并发布计算机系统的安全性评价等级，最具影响的是美国国防部制定的的是美国国防部制定的可信计算机系统安全评估可信计算机系统安全评估标准标准（Trusted Computer System Evaluation Criteria，简称，简称TCSEC），它将评价准则划分为四），它将评价准则划分为四类，每一类中又细分了不同的级别。类，每一类中又细分了不同的级别。D类：不细分级别；类：不细分级别；C类：类：C1级，级，C2级；级；B类：类：B1级，级，B2级，级，B3级；级；A类：类：A1级。其中，级。其中，D类的类的安全级别最低，安全级别最低，A类最高，高级别包括低级别的所类最高，高级别包括低级别的所有功能，同时又实现一些新的内容，实际工作中主有功能，同时又实现一些新的内容，实际工作中主要通过测试系统与安全的部分来确定这些系统的设要通过测试系统与安全的部分来确定这些系统的设计和实现是否正确与安全。计和实现是否正确与安全。四川交通职业技术学院1安全等级安全等级D1级级这是计算机安全的最低一级。整个计算机系统是不这是计算机安全的最低一级。整个计算机系统是不可信任的，硬可信任的，硬 件和操作系统很容易被侵袭。件和操作系统很容易被侵袭。D1级计算机级计算机系统标准规定对用户没有验系统标准规定对用户没有验 证，也就是任何人都可以使证，也就是任何人都可以使用该计算机系统而不会有任何障碍。系统用该计算机系统而不会有任何障碍。系统 不要求用户进不要求用户进行登记（要求用户提供用户名）或口令保护（要求用户行登记（要求用户提供用户名）或口令保护（要求用户 提供唯一字符串来进行访问）。任何人都可以坐在计算提供唯一字符串来进行访问）。任何人都可以坐在计算机前并开始使机前并开始使 用它。用它。D1级的计算机系统包括：级的计算机系统包括：MS-Dos MS-Windows3.xe及及Windows95(不在工作组方式中）不在工作组方式中）Apple的的System7.x四川交通职业技术学院v2安全等级安全等级C1级（自主安全保护）级（自主安全保护）vC1级系统要求硬件有一定的安全机制（如硬件带锁装置和需级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥要钥 匙才能使用计算机等），用户在使用前必须登录到系统。匙才能使用计算机等），用户在使用前必须登录到系统。C1级系统还级系统还 要求具有完全访问控制的能力，经应当允许系统要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或管理员为一些程序或 数据设立访问许可权限。数据设立访问许可权限。C1级防护不足级防护不足之处在于用户直接访问操作系之处在于用户直接访问操作系 统的根。统的根。C1级不能控制进入系级不能控制进入系统的用户的访问级别，所以用户可以将统的用户的访问级别，所以用户可以将 系统的数据任意移走。系统的数据任意移走。v常见的常见的C1级兼容计算机系统如下所列：级兼容计算机系统如下所列：UNIX 系统系统 XENIX Novell3.x或更高版本或更高版本 Windows NT四川交通职业技术学院3安全等级安全等级C2级（可控访问保护）级（可控访问保护）vC2级在级在C1级的某些不足之处加强了几个特性，级的某些不足之处加强了几个特性，C2级引进了级引进了受控访受控访 问环境（用户权限级别）的增强特性。这一特性不仅问环境（用户权限级别）的增强特性。这一特性不仅以用户权限为基以用户权限为基 础，还进一步限制了用户执行某些系统指令。础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员授权分级使系统管理员 能够分用户分组，授予他们访问某些能够分用户分组，授予他们访问某些程序的权限或访问分级目录。程序的权限或访问分级目录。另一方面，用户权限以个人为另一方面，用户权限以个人为单位授权用户对某一程序所在目录的访单位授权用户对某一程序所在目录的访 问。如果其他程序和问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访数据也在同一目录下，那么用户也将自动得到访 问这些信息问这些信息的权限。的权限。C2级系统还采用了系统审计。审计特性跟踪所有级系统还采用了系统审计。审计特性跟踪所有 的的“安全事件安全事件”，如登录（成功和失败的），以及系统管理员，如登录（成功和失败的），以及系统管理员的工作，的工作，如改变用户访问和口令。如改变用户访问和口令。v常见的常见的C2级操作系统有：级操作系统有：UNIX 系统系统 XENIX Novell3.x或更或更高版本高版本 Windows NT 四川交通职业技术学院4安全等级安全等级B1级（表示安全保护）级（表示安全保护）B1级系统支持多级安全，多级是指这一安全保护安级系统支持多级安全，多级是指这一安全保护安装在不同级别装在不同级别 的系统中（网络、应用程序、工作站等），的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级它对敏感信息提供更高级 的保护。例如安全级别可以分的保护。例如安全级别可以分为解密、保密和绝密级别为解密、保密和绝密级别 5安全等级安全等级B2级（结构安全保护）级（结构安全保护）B2级标准要求计算机系统中所有对象加标签，而且级标准要求计算机系统中所有对象加标签，而且给设备（如工作站、终端给设备（如工作站、终端 和磁盘驱动器）分配安全级别。和磁盘驱动器）分配安全级别。如用户可以访问一台工作站，但可能如用户可以访问一台工作站，但可能 不允许访问装有人不允许访问装有人员工资资料的磁盘子系统。员工资资料的磁盘子系统。四川交通职业技术学院6安全等级安全等级B3级级B3级（安全域保护）标准：级（安全域保护）标准：B3级要求用户工作站或终端通过可信任途径连接网级要求用户工作站或终端通过可信任途径连接网络系统，这一络系统，这一 级必须采用硬件来保护安全系统的存储区。级必须采用硬件来保护安全系统的存储区。四川交通职业技术学院7安全等级安全等级A1级级A1级（验证安全保护）标准：级（验证安全保护）标准：这是橙皮书中的最高安全级别，与前面提到各级级这是橙皮书中的最高安全级别，与前面提到各级级别一样，这一级包括了它下面各别一样，这一级包括了它下面各 级的所有特性。级的所有特性。A级还级还附加一个安全系统受监视的设计要求，合格的附加一个安全系统受监视的设计要求，合格的 安全个体安全个体必须分析并通过这一设计。另外，必须采用严格的形式必须分析并通过这一设计。另外，必须采用严格的形式化方化方 法来证明该系统的安全性。而且在法来证明该系统的安全性。而且在A级，所有构成级，所有构成系统的部件的来源系统的部件的来源 必须安全保证，这些安全措施还必须必须安全保证，这些安全措施还必须担保在销售过程中这些部件不受担保在销售过程中这些部件不受 损害。例如，在损害。例如，在A级设级设置中，一个磁带驱动器从生产厂房直至计算机置中，一个磁带驱动器从生产厂房直至计算机 房都被严房都被严密跟踪。密跟踪。一般认为一般认为A1级已经基本实现各种安全需求，更级已经基本实现各种安全需求，更完美的系统就认为是超出完美的系统就认为是超出A1级的系统。级的系统。四川交通职业技术学院国内操作系统安全等级国内操作系统安全等级中国国家标准中国国家标准计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则（GB 17859-1999）规定了计算机系统）规定了计算机系统安全保护能力的五个等级，即：安全保护能力的五个等级，即：第一级：用户自主保护级；第一级：用户自主保护级；第二级：系统审计保护级；第二级：系统审计保护级；第三级：安全标记保护级；第三级：安全标记保护级；第四级：结构化保护级；第四级：结构化保护级；第五级：访问验证保护级。第五级：访问验证保护级。本标准中计算机信息系统安全保护能力随着安本标准中计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。全保护等级的增高，逐渐增强。四川交通职业技术学院4.2.2Windows2003的安全服务的安全服务所有的网络操作系统中的应用程序将被不同的用户进行访问（远程所有的网络操作系统中的应用程序将被不同的用户进行访问（远程访问或本地访问），操作系统首先必须具有验证能力，才能知道这访问或本地访问），操作系统首先必须具有验证能力，才能知道这个用户是不是合法的用户。个用户是不是合法的用户。验证一般有以下四种：验证一般有以下四种：l某个具体内容某个具体内容如：用户名、如：用户名、/密码等。密码等。l某个具体的设备某个具体的设备如：如：ATM卡、密钥等，这是一种需要对某个卡、密钥等，这是一种需要对某个唯一设备进行物理处理以确认用户的验证机制。唯一设备进行物理处理以确认用户的验证机制。l某种特征某种特征如：指纹、视网膜扫描、声音检测等等。这是一种可如：指纹、视网膜扫描、声音检测等等。这是一种可以提供很高安全性的生物验证机制。以提供很高安全性的生物验证机制。l某个位置某个位置如：网络适配卡地址等。如：基于全球卫星定位的系如：网络适配卡地址等。如：基于全球卫星定位的系统等。可以提供基于用户位置的的验证信息。统等。可以提供基于用户位置的的验证信息。操作系统的验证机制一般体现在如下几个方面：操作系统的验证机制一般体现在如下几个方面：l支持的验证方法的数量。支持的验证方法的数量。l方法的强度。方法的强度。l验证信息是否集成到所有安全操作中。验证信息是否集成到所有安全操作中。1验证验证四川交通职业技术学院2访问控制访问控制当操作系统确认连接的用户是合法的用户，接下来就必须知道该用户的权当操作系统确认连接的用户是合法的用户，接下来就必须知道该用户的权限，也就是访问控制，即可以指定读，写，修改，或者复制特定的系统对限，也就是访问控制，即可以指定读，写，修改，或者复制特定的系统对象的权限。象的权限。访问控制有不同的级别，从字节级别到系统级别，并且可以基于一组系统访问控制有不同的级别，从字节级别到系统级别，并且可以基于一组系统级别模型：级别模型：l托管访问控制要求进行集中的授权以决定对某人什么是可以访问的托管访问控制要求进行集中的授权以决定对某人什么是可以访问的-数数据所有者和创建者不可以修改访问控制。据所有者和创建者不可以修改访问控制。l自由选择访问控制允许对象的所有者定义和修改分配给对象的访问控自由选择访问控制允许对象的所有者定义和修改分配给对象的访问控制。制。l基于角色的访问控制，允许给用户分配角色，然后对角色应用访问规基于角色的访问控制，允许给用户分配角色，然后对角色应用访问规则。这样可简化访问规则的管理并且可以提供更高的一致性。则。这样可简化访问规则的管理并且可以提供更高的一致性。操作系统支持的访问控制可以根据可使用的粒度，用来强化控制的机操作系统支持的访问控制可以根据可使用的粒度，用来强化控制的机制强度，以及集成到系统管理机制的程度。制强度，以及集成到系统管理机制的程度。四川交通职业技术学院3责任责任最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能中很重要的一点就是责任，它确保任何实体的动作将唯一用该实体标识。中很重要的一点就是责任，它确保任何实体的动作将唯一用该实体标识。一个实体可以是一个人，一个操作系统资源，或者一个外部系统，例如计一个实体可以是一个人，一个操作系统资源，或者一个外部系统，例如计算机或者网络。算机或者网络。操作系统的责任服务把所有的安全相关事件同一个标识联系起来。根据以操作系统的责任服务把所有的安全相关事件同一个标识联系起来。根据以下两个指标评估责任：下两个指标评估责任：l机制用来分配责任的强度。机制用来分配责任的强度。l操作系统基于这个信息进行决策的能力。操作系统基于这个信息进行决策的能力。Windows2003责任服务责任服务Windows2003紧密绑定一个安全紧密绑定一个安全ID（SID，SecurityID），），SID唯一标识一唯一标识一个主机或者域上的用户。个主机或者域上的用户。SID是同一次用户登录连接的进程相联系的访问是同一次用户登录连接的进程相联系的访问记号的一部分。它自动成为系统产生的任何审核纪录的一部分。该服务提记号的一部分。它自动成为系统产生的任何审核纪录的一部分。该服务提供了所有的用户可以进行的动作的完整的责任供了所有的用户可以进行的动作的完整的责任-从文件访问到应用程序使用。从文件访问到应用程序使用。四川交通职业技术学院4审核审核从安全的观点看，审核是重现安全相关事件以支持对事件的原因和影响从安全的观点看，审核是重现安全相关事件以支持对事件的原因和影响的检查。审核跟踪或者系统日志信息可以被用来判断是否有违反政策的的检查。审核跟踪或者系统日志信息可以被用来判断是否有违反政策的事情发生或者是否有值得怀疑的事情。老练的侵入探测产品使用操作系事情发生或者是否有值得怀疑的事情。老练的侵入探测产品使用操作系统的审核踪迹作为分析的基础。审核踪迹还提供了跟踪复杂的安全性事统的审核踪迹作为分析的基础。审核踪迹还提供了跟踪复杂的安全性事故的来源和提供任何补救行动可能需要的证据的能力。故的来源和提供任何补救行动可能需要的证据的能力。可以根据下面的原则评估操作系统的安全审核能力：可以根据下面的原则评估操作系统的安全审核能力：l支持的安全相关事件的宽度和深度。支持的安全相关事件的宽度和深度。l可以用来保护审核踪迹的机制强度（黑客在闯入系统以后的第一步往可以用来保护审核踪迹的机制强度（黑客在闯入系统以后的第一步往往是关闭审核功能或者删除审核日志。）往是关闭审核功能或者删除审核日志。）l对处理大量由操作系统产生的审核数据的支持。对处理大量由操作系统产生的审核数据的支持。Windows2003审核服务审核服务Windows2003提供了事件日志（提供了事件日志（Eve2003Logging）。事件日志可以被配）。事件日志可以被配置在系统级别和对象级别纪录安全相关事件。系统事件包括登录和退出置在系统级别和对象级别纪录安全相关事件。系统事件包括登录和退出登录，文件和对象访问，用户权利的使用，用户和组管理，安全政策改登录，文件和对象访问，用户权利的使用，用户和组管理，安全政策改变，重新启动和关机，系统错误，以及进程跟踪。文件和对象审核可以变，重新启动和关机，系统错误，以及进程跟踪。文件和对象审核可以被控制在单个文件，目录，或者如果需要的话，也可以是驱动器。被控制在单个文件，目录，或者如果需要的话，也可以是驱动器。四川交通职业技术学院5安全分区安全分区从安全性的角度看，每一个系统实体（用户或者计算机资源）从安全性的角度看，每一个系统实体（用户或者计算机资源）被分配一个安全分区，或者叫做域。一个安全域是一个逻辑结被分配一个安全分区，或者叫做域。一个安全域是一个逻辑结构，由实体被授权访问的所有对象组成。一个用户域也许包括构，由实体被授权访问的所有对象组成。一个用户域也许包括存储空间，存储空间，I/O设备，应用程序，以及其他元素。一个进程域设备，应用程序，以及其他元素。一个进程域只包含那些被授权使用的系统资源（数据，存储空间，只包含那些被授权使用的系统资源（数据，存储空间，I/O等等等）。等）。四川交通职业技术学院6完整性完整性完整性是确保对象内容不会被未经授权的实体修改的能力。访问控制可完整性是确保对象内容不会被未经授权的实体修改的能力。访问控制可以防止未授权修改，所有是一种完整性保护措施。其他的机制可以探测以防止未授权修改，所有是一种完整性保护措施。其他的机制可以探测未授权修改而不是阻止它们这样做。检查和（未授权修改而不是阻止它们这样做。检查和（Checksum）和轮询冗余检）和轮询冗余检查是早期完整性探测机制的例子。完整性在电子消息和商务系统中起着查是早期完整性探测机制的例子。完整性在电子消息和商务系统中起着至关重要的作用，在这种情况下，确保内容正确比保证消息的机密性更至关重要的作用，在这种情况下，确保内容正确比保证消息的机密性更重要。重要。在一个计算机系统中，完整性同时用于存储中的数据（系统文件，可执在一个计算机系统中，完整性同时用于存储中的数据（系统文件，可执行文件，等等）和运动中的文件（消息，事务，等等）。保护操作系统行文件，等等）和运动中的文件（消息，事务，等等）。保护操作系统的完整性是操作系统提供的一项基本服务。操作系统支持的完整性控制的完整性是操作系统提供的一项基本服务。操作系统支持的完整性控制可以根据使用的机制强度，应用的粒度以及提供的报告能力的级别来评可以根据使用的机制强度，应用的粒度以及提供的报告能力的级别来评估。估。四川交通职业技术学院7机密性机密性敏感信息在计算机中可能以几种形式存在：敏感信息在计算机中可能以几种形式存在：l存储在硬盘上或者其他永久存储介质上；存储在硬盘上或者其他永久存储介质上；l存储在移动式存储器或者别的临时存储装置上；存储在移动式存储器或者别的临时存储装置上；l在网络上传输；在网络上传输；l在系统总线上传输。在系统总线上传输。机密性确保信息只透露给授权的用户，而不管装载信息的容器的所有者机密性确保信息只透露给授权的用户，而不管装载信息的容器的所有者是谁。在计算机系统中最常用的机密性实现是利用加密来编码或者搞乱是谁。在计算机系统中最常用的机密性实现是利用加密来编码或者搞乱数据以确保只有知道解密钥匙的人才能读取这些数据。还有其他一些方数据以确保只有知道解密钥匙的人才能读取这些数据。还有其他一些方法可以实现机密性：物理安全，不透露协定，贸易伙伴协定，等等。法可以实现机密性：物理安全，不透露协定，贸易伙伴协定，等等。操作系统提供的加密机制可以根据下面指标进行评估：操作系统提供的加密机制可以根据下面指标进行评估：l保护机制的强度（通常是加密算法）；保护机制的强度（通常是加密算法）；l保护机制的透明度；保护机制的透明度；l该机制和其他系统安全控制的集成；该机制和其他系统安全控制的集成；l机制对系统操作的影响。机制对系统操作的影响。四川交通职业技术学院8可管理性可管理性很难管理的安全机制通常会降低系统安全性，不管底层机制实际上是多很难管理的安全机制通常会降低系统安全性，不管底层机制实际上是多么安全。安全性事故通常不是由于缺少安全性控制而是由于安全性控制么安全。安全性事故通常不是由于缺少安全性控制而是由于安全性控制没有被正确配置没有被正确配置-导致把机密信息放在不安全的系统上。导致把机密信息放在不安全的系统上。有许多因素决定了操作系统的可管理性。最重要的一个因素当然是系统有许多因素决定了操作系统的可管理性。最重要的一个因素当然是系统管理员能力和操作系统之间的匹配。经验丰富，有才能的管理员能力和操作系统之间的匹配。经验丰富，有才能的IT管理职员能管理职员能够增强系统安全。够增强系统安全。在所管理的特定系统上积累经验同样也很重要。但是，特定系统会在短在所管理的特定系统上积累经验同样也很重要。但是，特定系统会在短时间内升级或换代，所以不断的学习和认识也很重要。时间内升级或换代，所以不断的学习和认识也很重要。在本节的下面部分描述了操作系统安全方面的可管理性的非常关键的几在本节的下面部分描述了操作系统安全方面的可管理性的非常关键的几个因素。个因素。1.缺省配置缺省配置操作系统的缺省配置通常用作部署的基线。除非应用程序开发人员或者操作系统的缺省配置通常用作部署的基线。除非应用程序开发人员或者IT组织进行专门的安全性推荐，否则在操作系统上运行的易感服务都不组织进行专门的安全性推荐，否则在操作系统上运行的易感服务都不能完全阻止恶意攻击。考虑到应用程序开发和升级的周期缩短，操作系能完全阻止恶意攻击。考虑到应用程序开发和升级的周期缩短，操作系统的缺省安全配置就成为一个非常重要的考虑。统的缺省安全配置就成为一个非常重要的考虑。四川交通职业技术学院2.工具和接口工具和接口操作系统的复杂性给用户界面和其他相关的软件程序和工具带来了很大操作系统的复杂性给用户界面和其他相关的软件程序和工具带来了很大的负担。在操作系统的安全管理方面，一致性和可审核性是基本的问题，的负担。在操作系统的安全管理方面，一致性和可审核性是基本的问题，而管理安全控制的用户界面也起着一个关键的作用。安全政策需要在所而管理安全控制的用户界面也起着一个关键的作用。安全政策需要在所有部署的服务器上一致应用。另外，还必须有配置和审核系统的工具和有部署的服务器上一致应用。另外，还必须有配置和审核系统的工具和界面。界面。软件工具支持定义全公司范围的操作系统缺省安全配置的能力，同时能软件工具支持定义全公司范围的操作系统缺省安全配置的能力，同时能快速检查操作系统是否符合公司标准，这些因素是评估候选操作系统的快速检查操作系统是否符合公司标准，这些因素是评估候选操作系统的最重要的因素。界面的选择在某种程度上带有很大的主观性，但是最起最重要的因素。界面的选择在某种程度上带有很大的主观性，但是最起码应该同码应该同IT人员需要管理的其他应用程序或者系统保持界面的一致性。人员需要管理的其他应用程序或者系统保持界面的一致性。Windows2003（SP3或者更高）包括一系列的安全管理工具或者更高）包括一系列的安全管理工具-系统政策编系统政策编辑器（辑器（SystemPolicyEditor），安全配置编辑器），安全配置编辑器（SecurityConfigurationEditor）（）（SP4），以及微软管理控制台），以及微软管理控制台（MicrosoftManageme2003Console）。这些工具提供了一个一致，简单）。这些工具提供了一个一致，简单界面管理操作系统提供的安全服务。用户界面是标准的界面管理操作系统提供的安全服务。用户界面是标准的WindowsGUI，对大多数对大多数IT人员来说都非常熟悉。人员来说都非常熟悉。四川交通职业技术学院4.3.1Windows2003的用户安全策略的用户安全策略对终端用户来说，对终端用户来说，Windows2003有以下一些管理手段，这些对有以下一些管理手段，这些对安全性有着极大的影响：安全性有着极大的影响：l用户帐号和用户密码用户帐号和用户密码l域名管理域名管理l用户组权限用户组权限l共享资源的权限共享资源的权限四川交通职业技术学院v1.用户帐号和用户密码用户帐号和用户密码vWindows 2003的安全机制通过请求分配用户帐号和用户的安全机制通过请求分配用户帐号和用户密码来帮助保护计算机及其资源。给值得信任的使用者，密码来帮助保护计算机及其资源。给值得信任的使用者，按其使用的要求和网络所能给与的服务分配合适的用户按其使用的要求和网络所能给与的服务分配合适的用户帐号，并且给其容易记住的帐号密码。使用对帐号的用帐号，并且给其容易记住的帐号密码。使用对帐号的用户权力的限制以及对文件的访问管理权限的策略，可以户权力的限制以及对文件的访问管理权限的策略，可以达到对服务器的数据的保护。达到对服务器的数据的保护。v用户帐号有用户名、全名、描述三个部分。用户名是用用户帐号有用户名、全名、描述三个部分。用户名是用户帐号的标识，全名是对应用户名的全称，描述是对用户帐号的标识，全名是对应用户名的全称，描述是对用户所拥有的权限的较具体的说明。组有组名和描述两个户所拥有的权限的较具体的说明。组有组名和描述两个部份，组名是标识，描述是说明。一定的用户帐号对应部份，组名是标识，描述是说明。一定的用户帐号对应一定的权限，一定的权限，2003对权限的划分比较细，例如：备份、对权限的划分比较细，例如：备份、远程管理、更改系统时间等等，通过对用户的授权（在远程管理、更改系统时间等等，通过对用户的授权（在规则菜单中）可以细化一个用户或组的权限。用户的帐规则菜单中）可以细化一个用户或组的权限。用户的帐号和密码有一定的规则，包括帐号长度，密码的有效期，号和密码有一定的规则，包括帐号长度，密码的有效期，登录失败的锁定，登录的历史记录等等，通过对这些的登录失败的锁定，登录的历史记录等等，通过对这些的综合修改可以保证用户帐号的安全使用。综合修改可以保证用户帐号的安全使用。四川交通职业技术学院2.域名管理域名管理以以Windows2003组建的网络是一个局域网范围的网。所谓组建的网络是一个局域网范围的网。所谓“域域”是指网是指网络服务器和其他计算机的逻辑分组，凡是在共享域范围内的用户都使用络服务器和其他计算机的逻辑分组，凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。每个用户有一个帐号，每次登录的是公共的安全机制和用户帐号信息。每个用户有一个帐号，每次登录的是整个域，而不是某一个服务器。即使在物理上相隔较远，但在逻辑上可整个域，而不是某一个服务器。即使在物理上相隔较远，但在逻辑上可以在一个域上，这样便于管理。在网络环境下，使用域的管理就显得更以在一个域上，这样便于管理。在网络环境下，使用域的管理就显得更为有效。这里我们应该注意到在为有效。这里我们应该注意到在Windows2003中，关于域的所用的安全中，关于域的所用的安全机制信息或用户帐号信息都存放在目录数据库中（称为安全帐号管理器机制信息或用户帐号信息都存放在目录数据库中（称为安全帐号管理器（SAM）数据库）。目录数据库存放在服务器中，并且复制到备份服务）数据库）。目录数据库存放在服务器中，并且复制到备份服务器中。通过有规律的同步处理，可以保证数据库的安全性、有效性。在器中。通过有规律的同步处理，可以保证数据库的安全性、有效性。在用户每次登录时，通过目录数据库检查用户的帐号和密码。所以在对用户每次登录时，通过目录数据库检查用户的帐号和密码。所以在对Windows2003进行维护时应该特别小心目录数据库的完整性，一般来讲进行维护时应该特别小心目录数据库的完整性，一般来讲只有管理员才具有对此的编辑权限。只有管理员才具有对此的编辑权限。四川交通职业技术学院3.用户组权限用户组权限管理员一般根据用户访问网络的类型和等级给用户分组。组有管理员一般根据用户访问网络的类型和等级给用户分组。组有“全局组全局组”和和“本地组本地组”和和“通用组通用组”。l全局组由一个域的几个用户帐号组成，所谓全局是指可以授与该组使全局组由一个域的几个用户帐号组成，所谓全局是指可以授与该组使用多个（全局）域资源的权力和权限。全局组只能在域中创建。用多个（全局）域资源的权力和权限。全局组只能在域中创建。内置的全局组：内置的全局组：domainadmins、domainguests、guests等等l本地组包含任何一个域内用户帐户、通用组、全局组，可以包含同一本地组包含任何一个域内用户帐户、通用组、全局组，可以包含同一个域内的本地组，但不包含其他域内的本地组。本地组只能访问同一个个域内的本地组，但不包含其他域内的本地组。本地组只能访问同一个域内的资源域内的资源。内置的本地组：内置的本地组：administrators、backupoperators、users、poweruserseveryone、authenticatedusers、createrowner、anonymounslogonl每一个内置本地组都有一套预先确定的权力，这些权力自动地应用于每一个内置本地组都有一套预先确定的权力，这些权力自动地应用于添加到该组中的每一个用户帐号，假若需要对组中的某些用户的权限做添加到该组中的每一个用户帐号，假若需要对组中的某些用户的权限做一些修改，可以在用户管理器中进行。建议在使用其默认权力时，对用一些修改，可以在用户管理器中进行。建议在使用其默认权力时，对用户进行仔细的筛选，防止在组员中有信用度不高的用户，而对网络资源户进行仔细的筛选，防止在组员中有信用度不高的用户，而对网络资源造成损坏。造成损坏。四川交通职业技术学院vAGDLP规则A，用户G，全局组DL，本地域组P，权限把A加入到G，把G加入到DL，为DL赋予权限v实例：v本地组、全局组、域本地组和通用组概念的区别以及应用四川交通职业技术学院4.共享资源权限共享资源权限lWindows2003允许指定他人共享的资源。资源共享后，可以通过网络允许指定他人共享的资源。资源共享后，可以通过网络限制某些用户对他的访问权限，这称为共享权限的限制。针对不同的用限制某些用户对他的访问权限，这称为共享权限的限制。针对不同的用户，可以利用资源共享及资源权限来创建不同的资源安全级别。户，可以利用资源共享及资源权限来创建不同的资源安全级别。Windows2003的较大特点在其文件系统（的较大特点在其文件系统（NTFS）。在）。在NTFS文件系统中，文件系统中，可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问和网络访问中。和网络访问中。l用于指定可以访问的组和用户以及允许的访问等级时，用于指定可以访问的组和用户以及允许的访问等级时，NTFS卷的共享卷的共享权限与文件及目录的权限共同起作用。权限与文件及目录的权限共同起作用。l文件属性有四种：只读、隐藏、存档、系统。这决定了文件的基本操文件属性有四种：只读、隐藏、存档、系统。这决定了文件的基本操作属性。资源的共享权限有五种：不共享、只读、安全、根据口令访问、作属性。资源的共享权限有五种：不共享、只读、安全、根据口令访问、WEB共享。文件的共享。文件的NTFS权限有很多。权限有很多。四川交通职业技术学院NTFS概述一、一、1.NTFS(New Technology File System)是是 Windows NT 操作环境和操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统。高级服务器网络操作系统环境的文件系统。2.NTFS 的目标是提供：可靠性，通过可恢复能力的目标是提供：可靠性，通过可恢复能力(事件跟踪事件跟踪)和热定位的容和热定位的容错特征实现；增加功能性的一个平台；错特征实现；增加功能性的一个平台；3.windows中常用的系统文件有：中常用的系统文件有：FAT、FAT32、NTFS4.支持支持NTFS的系统：的系统：NT、windows200 2003 XP 及其以后的版本及其以后的版本5.NTFS的优点的优点:1）可以对单个文件或者文件夹设置权限）可以对单个文件或者文件夹设置权限 2）支持跟大的磁盘容量）支持跟大的磁盘容量（FAT最多只能支持最多只能支持32G）3)有压缩功能，包括压缩或解压驱动器，文件夹或指定文件的功能有压缩功能，包括压缩或解压驱动器，文件夹或指定文件的功能 4）文件加密（压缩和文件加密不能同时用）文件加密（压缩和文件加密不能同时用）5）支持活动目录）支持活动目录 6）磁盘配额）磁盘配额6.获得获得NTFS文件系统的方法文件系统的方法:1）格式化磁盘时，选择）格式化磁盘时，选择NTFS 2）cmd中中 convert 盘符盘符/fs:ntfs 四川交通职业技术学院二、设置二、设置NTFS权限权限1.设置方法：右击文件（夹）设置方法：右击文件（夹）属性属性安全安全2.设置的内容设置的内容:（1）访问控制列表（）访问控制列表（ACL）列出的是和当前文件权限有关的用户与组）列出的是和当前文件权限有关的用户与组 （2）范围控制项）范围控制项(ACE)选中组或用户后，列出的是相关的权限选中组或用户后，列出的是相关的权限3.常用的权限常用的权限:1）完全控制：对文件可执行所以的操作）完全控制：对文件可执行所以的操作 2）修改：修改权）修改：修改权 3）读取和运行：读取内容，运行程序）读取和运行：读取内容，运行程序 4）列出文件夹目录：列出文件夹的内容，只对文件夹）列出文件夹目录：列出文件夹的内容，只对文件夹 5）读取：读取文件或文件夹的内容）读取：读取文件或文件夹的内容 6）写入：创建和修改文件）写入：创建和修改文件 7）特别的权限：与文件和文件夹无关，与）特别的权限：与文件和文件夹无关，与“安全安全”选项卡的读取、选项卡的读取、更改有关。更改有关。在在“安全安全”“高级高级”有效权限：读取权限、更改权限、取得有效权限：读取权限、更改权限、取得所有权所有权四川交通职业技术学院三、权限的一些规则三、权限的一些规则1.权限的组合，当一个用户属于多个组，为不同的组设置不同权限。权限的组合，当一个用户属于多个组，为不同的组设置不同权限。规则：拒绝优先规则：拒绝优先2.权限的继承：即新建的子文件夹或文件会继承父一级的权限文件或文件夹权限的继承：即新建的子文件夹或文件会继承父一级的权限文件或文件夹的默认权限是继承上一级文件夹的权限，如果是根目录下的文件夹灰色）的默认权限是继承上一级文件夹的权限，如果是根目录下的文件夹灰色）规则：可以拒绝继承父一级的权限规则：可以拒绝继承父一级的权限 可以强制下级继承可以强制下级继承 显示权限（黑色）优先于继承权限（灰色）显示权限（黑色）优先于继承权限（灰色）3.文件或文件夹的文件或文件夹的“所有权所有权”谁创建的谁具有谁创建的谁具有“所有权所有权”，可以更改权限，可以更改权限 管理员可以取得所有文件或文件夹的所有权管理员可以取得所有文件或文件夹的所有权4.复制和移动对权限的影响复制和移动对权限的影响 只有在相同分区移动时权限不变，其他情况都继承目的文件夹的权限只有在相同分区移动时权限不变，其他情况都继承目的文件夹的权限四川交通职业技术学院四、权限的简单应用四、权限的简单应用1.管理员取得文件和文件夹的所有权管理员取得文件和文件夹的所有权 1）以管理员身份登录，找到要更改文件夹）以管理员身份登录，找到要更改文件夹 2）右击文件）右击文件属性属性安全安全高级高级所有者所有者选择选择Administrator勾选勾选“替换子容器及对象的所有者替换子容器及对象的所有者”3）关闭后再次打开就可以设置权限了）关闭后再次打开就可以设置权限了2.取消取消NTFS权限的继承权限的继承 1）安全）安全高级高级权限权限 2)在权限选项项卡中在权限选项项卡中 去掉去掉“允许父项的继承权限传播到给对象和所有子允许父项的继承权限传播到给对象和所有子对象对象”3)出现选项出现选项复制：以前的权限保留下来并可以修改复制：以前的权限保留下来并可以修改 删除：所有权限都删除，可以自行添加删除：所有权限都删除，可以自行添加3.强制子文件夹继承强制子文件夹继承NTFS权限权限 1）安全）安全高级高级权限权限 2）在权限选项卡中）在权限选项卡中 勾选勾选“用在此显示的可以应用到子对象的项目替代用在此显示的可以应用到子对象的项目替代所有子对象的权限项目所有子对象的权限项目”四川交通职业技术学院l权限权限设置的四个原则：拒绝优于允许；权限最小化、累加原则和权限继承原则。v实例：v深入理解NTFS磁盘中共享资源权限设置四川交通职业技术学院4.4Windows2003Server的安全管理的安全管理管理员在管理管理员在管理Windows2003Server时，一定要从从物理安全、登录安全、时，一定要从从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、安全、数据安全、各应用系统安全等方面制定强化安全的措施。各应用系统安全等方面制定强化安全的措施。3.4.1Windows2003Server安全管理采用的对策安全管理采用的对策Windows2003Server的安全管理的对策如下：的安全管理的对策如下：1.物理安全管理物理安全管理去掉或锁死软盘驱动器，禁止去掉或锁死软盘驱动器，禁止DOS或其他操作系统访问或其他操作系统访问2003FS分区；分区；在服务器上设置系统启动口令，设置在服务器上设置系统启动口令，设置BIOS禁用软盘引导系统；禁用软盘引导系统；不创建任何不创建任何DOS分区；分区；保证机房的物理安全。保证机房的物理安全。2.及时更新补丁及时更新补丁用最新的用最新的ServicePack升级升级Windows2003Server，因为服务包包括所有补，因为服务包包括所有补丁程序和后来发表的很多安全补丁程序。丁程序和后来发表的很多安全补丁程序。四川交通职业技术学院3.掌握所有未设置的安全功能掌握所有未设置的安全功能在缺省安装时未禁用在缺省安装时未禁用Guest账号；账号；给给Everyone（每个人）工作组授予（每个人）工作组授予“完全控制完全控制”权限；权限；没有实施口令策略。没有实施口令策略。4.控制授权用户的访问控制授权用户的访问在域里配置适当的在域里配置适当的2003FS访问控制可以增强网络的安全。取消或更改缺访问控制可以增强网络的安全。取消或更改缺省情况下的省情况下的Everyone组的组的“完全控制完全控制”权限，要始终设置用户所能允许权限，要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外，不要共享任何一个的最小的文件夹和文件的访问权限。另外，不要共享任何一个FAT卷。卷。5.避免给用户定义特定的访问控制避免给用户定义特定的访问控制将用户以将用户以“组组”的方式进行管理是一个用户管理的有效方法。如果一个的方式进行管理是一个用户管理的有效方法。如果一个用户在公司里的角色变了，很难跟踪并更改他的访问权。为每个用户指用户在公司里的角色变了，很难跟踪并更改他的访问权。为每个用户指定一个工作组，为工作组指定文件、文件夹访问权。如果要收回或更改定一个工作组，为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权，只要把该用户从工作组中删除或指定另一个工作组。某个用户的访问权，只要把该用户从工作组中删除或指定另一个工作组。6.实施账号及口令策略实施账号及口令策略四川交通职业技术学院7.控制远程访问服务控制远程访问服务远程访问是入侵者攻击远程访问是入侵者攻击Windows2003系统的常用手段，系统的常用手段，Windows2003集集成的防止外来入侵最好的功能是认证系统。成的防止外来入侵最好的功能是认证系统。Windows95、Windows98和和Windows2003Workstation客户机不仅可以交换加密用户客户机不仅可以交换加密用户ID和口令数据，和口令数据，而且还使用而且还使用Windows专用的挑战响应协议专用的挑战响应协议(challenge/responseprotocol)，这可以确保决不会多次出现相同的认证数据，它还可以有效阻止内部黑这可以确保决不会多次出现相同的认证数据，它还可以有效阻止内部黑客捕捉网络信息包。同时，如条件允许，应该使用回叫安全机制，并尽客捕捉网络信息包。同时，如条件允许，应该使用回叫安全机制，并尽量采用数据加密技术，保证数据安全。量采用数据加密技术，保证数据安全。8.启动审查功能启动审查功能为防止未经授权的访问，可以利用域用户管理器启用安全审查功能，以为防止未经授权的访问，可以利用域用户管理器启用安全审查功能，以便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安全漏洞，但要结合工作实际，设置合理的审计规则，切忌审查事件太多，全漏洞，但要结合工作实际，设置合理的审计规则，切忌审查事件太多，以免无时间全部审查安全问题。以免无时间全部审查安全问题。9.确保注册表安全确保注册表安全首先，取消或限制对首先，取消或限制对regedit.exe、regedit32.exe的访问；其次，利用的访问；其次，利用regedit.exe或文件管理器设置只允许管理员访问注册表，其他任何用户或文件管理器设置只允许管理员访问注册表，其他任何用户不得访问注册表不得访问注册表四川交通职业技术学院10.应用系统的安全应用系统的安全在在Windows2003上运行的应用系统如：上运行的应用系统如：Web服务器、服务器、FTP服务器、服务器、Email服务器，服务器，InternetExplorer、IIS等，应及时通过各种途径（如：等，应及时通过各种途径（如：Web站点）获得其补丁程序包，以解决其安全问题。把站点）获得其补丁程序包，以解决其安全问题。把IIS中的中的sample,scripts,iisadmin和和msadc等等web目录设置为禁止匿名访问并限制目录设置为禁止匿名访问并限制IP地址，把地址，把FTP,Telnet的的TCP端口改为非标准端口；端口改为非标准端口；web目录目录,CGI目录、目录、scripts目录和目录和win2003目录等重要目录要用目录等重要目录要用2003FS的特性设置详细的安的特性设置详细的安全权限全权限,包含注册表信息的包含注册表信息的Win2003目录只允许管理员完全控制；凡是与目录只允许管理员完全控制；凡是与系统有关的重要文件系统有关的重要文件,除了除了Administrator,其它帐号都应该设置为只读权其它帐号都应该设置为只读权限限,而不是而不是everyone/完全控制。完全控制。四川交通职业技术学院v11.共享权限的修改共享权限的修改v在系统默认情况下，每建立一个新的共享，在系统默认情况下，每建立一个新的共享，Everyone用户就用户就享有享有“完全控制完全控制”的共享权限，因此，在建立新的共享后应的共享权限，因此，在建立新的共享后应该立即修改该立即修改Everyone的缺省权限。的缺省权限。v12.取消取消TCP/IP上的上的NetBIOS绑定绑定v2003系统管理员可以通过构造目标站系统管理员可以通过构造目标站NetBIOS名与其名与其IP地址地址之间的映像，对之间的映像，对Internet或或Intranet上的其他服务器进行管理，上的其他服务器进行管理，但非法用户也可从中找到可乘之机。如果这种远程管理不是但非法用户也可从中找到可乘之机。如果这种远程管理不是必须的，就应该立即取消（通过网络属性的绑定选项，取消必须的，就应该立即取消（通过网络属性的绑定选项，取消NetBIOS与与TCP/IP之间的绑定）。如之间的绑定）。如NetBios端口端口139，要禁，要禁止这样的端口。止这样的端口。四川交通职业技术学院4.5Windows2003常用安全配置常用安全配置1.帐号策略帐号策略帐号尽可能少，且尽可能少用来登录帐号尽可能少，且尽可能少用来登录网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。帐号就会多一份被攻破的危险。除过除过Administrator外，有必要再增加一个属于管理员组的帐号；外，有必要再增加一个属于管理员组的帐号；两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。还有有机会重新在短期内取得控制权。l所有帐号权限需严格控制，轻易不要给帐号以特殊权限；所有帐号权限需严格控制，轻易不要给帐号以特殊权限；l将将Administrator重命名，改为一个不易猜的名字。其他一般帐号也重命名，改为一个不易猜的名字。其他一般帐号也应尊循着一原则。这样可以为入侵者攻击增加一层障碍。应尊循着一原则。这样可以为入侵者攻击增加一层障碍。l将将Guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从它从Guest组删掉；组删掉；l有的入侵工具正是利用了有的入侵工具正是利用了guest的弱点，可以将帐号从一般用户提到的弱点，可以将帐号从一般用户提到管理员组。管理员组。l给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位位以上，且必须同时包含字母、数字、特殊字符。以上，且必须同时包含字母、数字、特殊字符。四川交通职业技术学院2.解除解除NetBIOS与与TCP/IP协议的绑定协议的绑定NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。工具的首选目标。在在Windows2003系统中，双击系统中，双击“控制面版控制面版”“网络网络”“绑定绑定”“NetBi