计算机安全技术第四章.ppt

ASP.NET程序设计,王洪涛,第四章,操作系统安全基础,Contents,Windows系统,1,UNIX系统,2,Linux系统,3,计算机操作系统是计算机系统配置的最重要的软件，在整个计算机系统软件中处于中心地位。操作系统设计的好坏直接决定计算机系统的性能和计算机用户使用计算机的方便程度。本章主要讨论Windows95/98/ME、WindowsNT/2000/WindowsXP、Unix/Linux等操作系统的安全基础、系统安全模型安全管理、安全漏洞等，同时讨论WindowsNT/2000/WindowsXP、Unix/Linux操作系统的网络安全问题。,4-1 Windows系统,Windows9X目前是在普通用户的PC机上使用的最广泛的操作系统。尤其是Windows98，占据了中国绝大多数PC用户的操作系统市场。Windows9X在具有众多优点的同时，它也有十分明显的缺点。如稳定性和安全性都欠佳。Windows95/98极易受到黑客的攻击和病毒的侵犯，一般的网络用户都可以使用一些特种软件工具轻而易举地让Windows9X蓝屏和死机。,4-1-1 Windows95/98/ME的安全,1.Windows98的登录机制(1)Windows登录,4-1-1 Windows95/98/ME的安全(续),(2)Microsoft网络用户,如何利用注册表提高Windows的安全性,Windows操作系统并不是绝对安全的。我们可以为它创建一个相对安全的操作环境，这个相对“安全”的运行环境可以在一定程度上防止非法用户随意操纵用户的计算机。维护操作系统的安全可以通过修改注册表来完成。,WindowsNT/2000WindowsXP的安全基础,1.WindowsNT/2000/WindowsXP系统安全模型(1)用户登录管理(2)资源访问管理 2.WindowsNT/2000/WindowsXP的安全机制(1)口令安全(2)文件系统安全(3)NTFS分区安全(4)Web服务器安全,Windows2000安全基础概念在Windows2000中用户可以在活动用户和计算机管理工具中实现建立用户账号、计算机账号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器以及发布网络共享资源。,用户账号,用户账号能够让用户以授权的身份登录到计算机和域中并访问其资源。Windows2000 在安装时提供了两个预定义用户账号。Administrator 系统管理员账号Guest account 临时账号,计算机帐户,每一个运行Windows2000和WindowsNT的计算机都需要一个计算机账号，就像用户账号一样，被用来验证和审核计算机登录过程和访问域资源。,组,组可以包含用户、联系人、计算机和其他组的Active Directory或本机对象。使用组可以做如下的工作：管理用户和计算机对共享资源的访问筛选组策略设置创建电子邮件通信组,域,域是网络对象的分组。如用户、组和计算机。,身份验证,身份验证是系统安全性的一个基本方面。它负责确认试图登录域或网络资源的任何用户的身份。验证的过程是：在Windows2000计算环境中成功的用户身份验证包括两个独立的过程。交互式登录向域帐户或本地计算机确定用户的身份。网络身份证对改用户试图访问的任何网络服务确定用户身份在用户试图访问安全的Web服务器时使用。,授权,管理员可以指派特定权利组帐户或单个用户帐户,审核,安全审核负责见识各种域安全性有关的事件。这些事件包括：访问对象，例如文件和文件夹用户和组帐户的管理用户登录以及从系统注销时,安全设置,安全设置定义了系统的安全相关操作。其中包括：管理员可使用安全模板管理单元定义和使用安全模板管理员可以使用安全设置和分析管理单元来设置和分析本地的安全性管理员可以使用组策略来设置Active Directory中的安全性,Windows XP 的安全性,Windows XP的优越性：完善的用户管理功能透明的软件限制策略支持NTFS文件系统安全的网络访问特性,WindowsNT/2000/WindowsXP的安全防范措施,(1)加强物理安全管理(2)将系统管理员账号改名(3)控制授权用户的访问权限(4)文件系统用NTFS，不用FAT(5)确保注册表安全(6)打开审计系统,保护通用操作系统安全的方法,不管你使用的是哪一种操作系统平台，系统安全方面的一些重要考虑因素都是适用的。如果你想保护系统，从而远离未经授权的访问以及不幸的灾难，应当始终要考虑下列防范措施：,一、使用强密码,要提高安全性，最简单的方法之一就是使用不会被蛮力攻击轻易猜到的密码。蛮力攻击是指这样一种攻击：攻击者使用自动系统来尽快猜中密码，希望不用多久就能找出正确的密码。,密码应当包含特殊字符和空格、使用大小写字母，避免单纯的数字以及能在字典中找到的单词。密码长度每增加一个字符，可能出现的密码字符组合就会成倍增加。一般来说，不到8个字符的任何密码都被认为容易被破解。10个、12个甚至16个字符作为密码比较安全。,二、做好边界防御,不是所有的安全问题都发生在桌面系统上。使用外部防火墙/路由器来帮助保护你的计算机是个好想法，哪怕你只有一台计算机。如果考虑低端产品，可以购买一个零售路由器设备，比如Linksys、D-Link和Netgear等厂商的路由器。如果考虑比较高端的产品，可以向思科、Networks等企业级厂商购买管理型交换机、路由器和防火墙。代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于提高边界的安全性。请记住：一般来说，交换机的安全功能胜过集线器；使用网络地址转换（NAT）协议的路由器胜过交换机；防火墙绝对是必不可少的设备。,三、更新软件,如果长时间没有更新安全补丁，可能会导致你使用的计算机很容易成为肆无忌惮的攻击者的下手目标。别让安装在计算机上的软件迟迟没有打上最新的安全补丁。同样的情况适用于任何基于特征码的恶意软件保护软件，比如反病毒软件（如果你的系统需要它们）：只有它们处于最新版本状态，添加了最新的恶意软件特征码，才能发挥最佳的保护效果。,四、关闭没有使用的服务,计算机用户常常不知道自己的系统上运行着哪些可以通过网络访问的服务。Telnet和FTP是两种经常会带来问题的服务：如果你的计算机不需要这两种服务，就应当关闭。要了解在计算机上运行的每一种服务，以便关闭实际上没有使用的服务。,五、使用数据加密,对关注安全的计算机用户或者系统管理员来说，有不同级别的数据加密方法可供使用；选择合理的加密级别以满足自己的需要，这必须根本实际情况来决定。数据加密方法有很多，从使用密码工具对文件逐个加密，到文件系统加密，直到整个磁盘的加密。,上述加密方法通常不包括引导分区，因为那样需要专门硬件帮助解密；但是如果非常需要加密引导分区以确保隐私、有必要投入这笔开支，也可以获得这种整个系统的加密。针对除了引导分区加密外的任何应用，每一种所需的加密级别都有许多种解决方案，包括可在各大桌面操作系统上实现整个磁盘加密的商业化专有系统和开源系统。,六、通过备份保护数据,对数据进行备份是你用来保护自己、避免灾难的最重要的方法之一。确保数据冗余的策略有很多，既有像定期把数据拷贝到光盘上这样简单、基本的策略，也有像定期自动备份到服务器上这样复杂的策略。,七、不要信任外来网络,必须通过自己的系统来确保安全；不要相信外来网络很安全、远离不怀好意的攻击者。比如说在开放的无线网络上，使用加密措施来保护敏感通信极其重要，包括连接到这样的网站：使用登录会话cookie来自动验证身份，或者输入用户名和密码。,八、使用不间断电源（UPS）,UPS的作用不仅仅是停电时可以避免丢失文件。使用UPS还有更重要的原因，比如功率调节、避免文件系统受到损坏。由于这个原因，就要确保购买的UPS能够与操作系统协同运行，以便通知操作系统什么时候UPS需要关闭，免得电源用尽时你不在家；还要确保购买的UPS可提供电池供电和功率调节功能。,Windows常见问题,及解决方案,案例一：无法显示桌面图标,问题分析：大多数情况下，无法显示桌面图标是因为系统启动的时候无法加载explorer.exe或者Explorer.exe文件被破坏了。,解决方法：1、在“开始”“运行”处输入regedit，启动注册表，找到下面路径,如果shell下没有explorer.exe那就自己鼠标右键新建一个explorer.exe即可路径:HKEY_LOCAL_MACHINESOFTWAREMicrososftWindows NTCurrentVersionWinlogonShell2、如果手动加载也不行的话，可能是Explorer.exe文件坏了，到别人的电脑上复制一个回来就行了。3、可能是病毒损坏了explorer.exe文件。,案例二：桌面图标显示速度很慢,都说Windows系统越用越慢，就拿桌面图标来说，越来越多的快捷方式使桌面的显示速度非常的慢，每次刷新桌面都会出现迟滞。,问题分析：系统用一块称为图标缓存的区域来保存已经建立的快捷方式图标，刷新桌面显示时就无需重新建立，只需从缓存中读取即可，而Windows默认的缓存较小，建立的快捷方式过多后就超出了缓存的存储范围，并影响了显示速度。可以通过修改注册表来解决,解决方法：在注册表中加大图标缓存的大小，首先打开“注册表编辑器”，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer,在右侧窗格创建一个名为“Max Cached Icons”的字符串值，设置它的值为“8192”(注意:最大只能为8192)重启系统后即可生效。,案例三：任务管理器被禁用,问题分析:这是由于任务管理器被管理员或恶意代码禁用造成的。可通过组策略进行恢复 解决方案：在“运行”中键入“gpedit.msc”，启动“组策略”编辑器。在“本地策略”中依次展开“用户配置管理模板系统Ctrl+Alt+Del选项”分支，在右侧窗口中双击“删除任务管理器”策略，在弹出的策略设置对话框中选择“未配置”选项，单击“确定”以后，按“Ctrl+Alt+Del”组合键就可以调出“任务栏管理器”了。,Thank You!,