《网络安全技术资料》第10章-操作系统和站点安全-课件

Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,主编贾铁军 副主编陈国秦 苏庆刚 沈学东编著 王坚 王小刚 宋少婷,上海教育高地建设项目,高等院校规划教材,网络安全技术及应用,（第,2,版）,第,10,章,操作系统和站点安全,上海市精品课程,网络安全技术,主编贾铁军 副主编陈国秦 苏庆刚 沈学东上海教育高地建设项目,目 录,10.2 UNIX,操作系统的安全,2,10.3 Linux,操作系统的安全,3,10.4 Web,站点的安全,4,10.1 Windows,操作系统的安全,1,10.5,系统的恢复,5,10.6 Windows Server2019,安全配置,实验,6,10.7,本章小结,7,目 录 10.2 UNIX操作系统的安全210.3 L,2,目 录,教学目标,理解,网络操作系统安全面临的威胁及脆弱性,掌握,网络操作系统安全的概念和,措施,掌握,网络站点安全技术相关概念,掌握,Windows Server2019,安全配置,实验,重点,重点,目 录教学目标重点重点,3,10.1 Windows操作系统的安全,10.1.1 Windows,系统的安全性,1.Windows,系统简介,自微软公司,1993,年推出,WindowsNT3.1,相继又推出,WindowsNT3.5,和,NT 4.0,Windows 7,（,NT6.1,）,以,性能强,方便管理,的,突出优势,很快被接受,.,Windows 2000,是微软,Windows NT,后推出的网络操作系统,其,应用、界面和安全性,都,有,很大改动,是,Windows,发展过程中巨大的革新和飞跃。,Windows server 2019,是一款应用于网络和服务器的,操作系统,。该操作系统延续微软的经典,视窗,界面，同时作为,网络操作系统,或,服务器操作系统,，力求,高性能、高可靠性和高安全性,是其必备要素，尤其是日趋复杂的,企业,应用和,Internet,应用，对其提出了更高的要求。,Windows Server 2019,是建立在,Windows Server 2019,版本之上，具有,先进的网络、应用程序和,Web,服务功能的,服务器操作系统,为用户,提供,高度安全的网络基础架构，,超高的技术效率,与,应用价值,。,Windows Server 2019,(,开发代号,Windows Server8),是微软一个,服务器系统,.,是,Windows 8,服务器版本,Windows Server 2019 R2,的继任者,.,中国自主研发操作系统解决安全问题,。中国科学院软件研究所与上海联彤网络通讯技术有限公司在北京钓鱼台国宾馆联合发布了具有自主知识产权的操作系统,COS(China Operating System),。意在打破国外在基础软件领域的垄断地位，引领并开发具有中国自主知识产权和中国特色的操作系统，更好地解决有关的安全问题。,案例,10-1,10.1 Windows操作系统的安全10.1.1 Wind,4,10.1 Windows操作系统的安全,2.Windows,系统安全,1,）,Windows NT,文件系统,NTFS,保护文件和目录数据基础上，安全存取控制及容错,.,2,）工作组（,Workgroup,）,对等网,3,）域（,Domain,）,由网络连接的计算机,组群,Win,安全,-,集中管理基本单位,.,4,）用户和用户组,-,账号,-,安全账号管理器,SAM-,安全标识符,SID,5,）身份验证,-,2,种：交互式登录过程，网络身份验证,6,）访问控制,-,2,种：自主访问控制，强制访问控制,7,）组策略,-,注册表，组策略,用户权限,身份验证,访问控制,数据,10.1 Windows操作系统的安全2.Windows,5,10.1 Windows操作系统的安全,10.1.2 Windows,安全配置,1.,设置和管理账户,2.,删除所有网络资源共享,(管理工具,),3.,关闭不需要的服务,(我电脑,-,管理,),4.,打开相应的审核策略,5.,安全管理网络服务,6.,清除页面交换文件,7.,文件和文件夹加密,Windows Server 8,服务器管理和安全性,运行,gpedit.msc,运行,gpedit.msc,运行,gpedit.msc,运行,Regedit,资源管理器,-,属性,-,常规,-,高级,-,加密内容以保护数据,(,网络,),动画视频,动画视频,讨论思考：,（,1,）微软在,Windows Server 2019,中采用什么文件系统，主要满足什么需求？,（,2,）,Windows Server 2019,在安全和身份标识管理方面新增和改进了哪些功能？,10.1 Windows操作系统的安全10.1.2 Wind,6,10.2 UNIX操作系统的安全,10.2.1 UNIX,系统的安全性,1.UNIX,安全基础,UNIX,系统,不仅因为其,精炼,、,高效,的,内核,和,丰富,的,核外程序,而著称，而且在防止,非授权访问,和,防止信息泄密,方面也很成功。,UNIX,系统设置了,3,道,安全屏障,用于,防止,非授权访问,。首先，必须通过,口令认证,，确认用户身份合法后才能允许访问系统；但是，对系统内任何资源的访问还必须越过第,2,道屏障，即必须,获得,相应,访问权限,；对系统中的重要信息，,UNIX,系统,提供,第,3,道屏障,：,1）标识和口令,2）文件权限,3）文件加密,10.2 UNIX操作系统的安全10.2.1 UNIX系统的,7,10.2 UNIX操作系统的安全,1,）标识和口令,UNIX,系统通过,注册用户,和,口令,对,用户身份,进行,认证,。因此，设置,安全,的,账户,并确定其,安全性,是,系统管理,的一项重要工作。在,UNIX,操作系统中，与,标识,和,口令,有关的信息存储在,/etc/passwd,文件中。每个用户的,信息,占一行,，并且系统正常工作必需的标准,系统标识,等同于用户。文件中每行的一般,格式为,：,LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL,每行,包含若干项，各项之间用,冒号,（：）分割。第,1,项是,用户名,，第,2,项加密后的,口令,，第,3,项是,用户标识,，第,4,项是,用户组标识,，第,5,项是系统管理员设置的,用户扩展信息,，第,6,项是用户工作,主目录,，最后一项是用户登录后将执行的,shell,全路径,（若为空格则缺省为,/bin/sh,）。,10.2 UNIX操作系统的安全1）标识和口令,8,10.2 UNIX操作系统的安全,2,）文件权限,文件系统,是整个,UNIX,系统的,“,物质基础,”,。,UNIX,以,文件形式,管理计算机上的,存储资源,，并且，以,文件形式,组织各种,硬件存储设备,如硬盘、,CD-ROM,、,USB,盘等。这些硬件设备存放在,/dev,以及,/dev/disk,目录下,，是设备的特殊文件。,文件系统,中对,硬件存储设备,的操作只涉及,“,逻辑设备,”,（物理设备的一种,抽象,，,基础,是,物理设备,上的一个个,存储区,）,而与,物理设备,。,10.2 UNIX操作系统的安全2）文件权限,9,10.2 UNIX操作系统的安全,3,）文件加密,文件权限,的正确设置在一定程度上可以,限制,非法用户的,访问,，但是，对于一些高明的入侵者和超级用户仍然不能完全限制读取文件。,UNIX,系统,提供,文件加密,的方式来增强,文件保护,，常用的,加密算法,有,crypt,（最早的加密工具）、,DES,（目前最常用的）、,IDEA,（国际数据加密算法）、,RC4,、,Blowfish,（简单高效的,DES,）、,RSA,。,crypt,命令,给用户提供对,文件加密,的工具。使用一个关键词将标准输入的信息编码为不可读的杂乱字符串，送到,标准输出设备,。再次使用此命令，用同一关键词作用于加密后的文件，可恢复文件内容。此外，,UNIX,系统中的一些应用程序也提供文件加,/,解密功能，如,ed,、,vi,和,emacs,。这类编辑器提供,-x,选项，具有生成并,加密文件,的能力：在文件,加载时,对文件解密，回写时,重新,进行加密。,10.2 UNIX操作系统的安全3）文件加密,10,10.2 UNIX操作系统的安全,利用,pack,压缩并加密文件,.,%pack example.txt,%cat example.txt.z|crypt out.file,解密时要对文件进行扩张（,unpack,），,此外，压缩后通常可节约原文件,20%,到,40%,的空间。,%cat out.file|crypt example.txt.z,%unpack example.txt.z,案例,10-2,10.2 UNIX操作系统的安全案例10-2,11,10.2 UNIX操作系统的安全,2,不安全因素,（,1,）口令,由于,UNIX,允许用户,不设置口令,，因而非法用户可以通过,查看,/etc/passwd,文件,获得,未设置口令的,用户,（或虽然设置口令但是泄露），并借合法用户名,进入系统,，,读取,或,破坏,文件。此外，,攻击者,通常使用口令,猜测程序,获取口令。攻击者通过,暴力破解,的方式不断,试验,可能的口令，并将加密后口令与,/etc/passwd,文件中口令,密文,进行,比较,。由于用户在,选择口令,方面的,局限性,，通常,暴力破解,成为获取口令的最,有效方式,。,（,2,）文件权限,某些,文件权限,（尤其是写权限）的,设置不当,将增加文件的,不安全因素,，对,目录,和使用调整位的,文件,来说更是危险。,UNIX,系统有一个,/dev/kmem,的,设备文件,，是一个,字符,设备文件，存储,核心程序,要访问的,数据,，包括,用户口令,。所以，该文件,不能,给,普通用户,读写,，权限设为：,cr-r-1 root system 2,1 May 25 2019 kmem,但,ps,等程序却需要读该文件而,ps,的,权限设置,如下：,-r-xr-sr-x 1 bin system 59346 Apr 05 2019 ps,10.2 UNIX操作系统的安全2不安全因素,12,10.2 UNIX操作系统的安全,（,3,）设备特殊文件,UNIX,系统的,两类设备,（,块设备,和,字符设备,）被看作文件，存放在,/dev,目录下。对于这类特别文件的访问，实际在访问,物理设备,，所以，这些特别文件是系统安全的一个重要方面。,（,1,）,内存,（,2,）,块设备,（,3,）,字符设备,（,4,）网络系统,在各种,UNIX,版本中，,UUCP,（,UNIX to UNIX Copy,）是唯一都可用的,标准网络系统,，并且是最便宜、广泛使用的网络实用系统。,UUCP,可以在,UNIX,系统之间完成,文件传输,、,执行系统之间的命令,、维护系统使用情况的,统计,、,保护安全,。但是，由于历史原因，,UUCP,也,可能是,UNIX,系统中,最不安全,的部分。,10.2 UNIX操作系统的安全（3）设备特殊文件,13,10.2 UNIX操作系统的安全,10.2.2 UNIX,系统安全配置,1,设定较高的安全级,UNIX,系统共有,4,种安全级别,：,High,（高级）,;,Improved,（改进）；,Traditional,（一般）；,Low,（低级），安全性,由高到低,。,High,级,别安全性,大于,美国国家,C2,级,标准，,Improved,级,别安全性,接近于,C2,级,。因此为,保证,系统具有,较高,的安全性，,最好,