《第九章操作系统安全性.ppt

第九章 操作系统安全性 程维 操作系统安全性 Windows NT/2000 UNIX 其他操作系统 操作系统漏洞 操作系统入侵检测 系统安全扫描软件 Windows NT/2000 四种安全协议 Windows NT LAN Manager(NTLM)验证协议 KerberosV5验证协议 DPA分布式密码验证协议 基于公共密钥的协议 Windows NT/2000 Win NT登录 NT文件系统（NTFS） NT安全漏洞及其解决建议 Windows2000的分布式安全协议 Win NT登录 Ctrl，Alt，Del三个键不能被屏蔽的 安全帐号管理器(Security Account Manager)机制 针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议 NT文件系统（NTFS） 最适合处理大磁盘的文件系统 支持保证文件和文件夹安全性的访问控制列表(ACL) NT安全漏洞及其解决建议 Windows NT系统上的重大安全漏洞，主要包括两大部分： NT服务器和工作站的安全漏洞 关于浏览器和NT机器的两个严重安全漏洞。 更佳的解决方案是： 建设一个强壮的防火墙，精心地配置它，只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样，在防火墙上，截止所有从端口137到139的TCP和UDP连接，这样做有助于对远程连接的控制。另外，在内部路由器上，设置ACL，在各个独立子网之间，截止从端口137到139的连接。这是一种辅助措施，以限制该安全漏洞。值得注意的是，有些黑客程序可以具有选择端口号的能力，它可能成功地攻击其它端口。 Windows2000的分布式安全协议 在WindowsNT4.0中，主要的分布式安全协议是NTLM（Windows NT LAN Manager）。 Windows2000里，微软采用了一个新的安全系统。在这个新的安全系统中，Kerberos是缺省的分布式安全协议。当然，Windows2000仍然支持NTLM以及SSL协议。 Kerberos kerberos是以SSP(Security Service Provider)的方式通过SSPI(Security Service Provider Interface)来实现的。应用程序可以直接通过SSPI来获得Kerberos的服务 KerberosSSP能够提供三种安全性服务 认证：进行身份验证； 数据完整性：保证数据在传送过程中不被篡改； 数据必威体育官网网址性：保证数据在传送过程中不被获取 操作系统安全性 Windows NT/2000 UNIX 其他操作系统 操作系统漏洞 操作系统入侵检测 系统安全扫描软件 UNIX UNIX系统安全基础 Unix系统登录过程 UNIX系统安全基础 口令安全 UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。 文件许可权 第一个rwx：表示文件属主的访问权限。 第二个rwx：表示文件同组用户的访问权限。 第三个rwx：表示其他用户的访问权限。 目录许可 在UNIX系统中，目录也是一个文件 UNIX系统安全基础 umask命令 umask设置用户文件和目录的文件创建缺省屏蔽值 设置用户ID和同组用户ID许可 用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件 cp mv ln和cpio命令 cp拷贝文件时，若目的文件不存在则将同时拷贝源文件的存取许可 mv移文件时，新移的文件存取许可与原文件相同 ln为现有文件建立一个链，即建立一个引用同一文件的新名字 cpio命令用于将目录结构拷贝到一个普通文件中，而后可再用cpio命令将该普通文件转成目录结构 UNIX系统安全基础 su和newgrp命令 su命令：可不必注销户头而将另一用户又登录进入系统，作为另一用户工作 newgrp命令：与su相似，用于修改当前所处的组名 文件加密 crypt命令可提供给用户以加密文件，使用一个关键词将标准输入的信息编码为不可读的杂乱字符串，送到输出设备 其他安全问题 UNIX UNIX系统安全基础 Unix系统登录过程 Unix系统登录过程 UNIX内核将被调入计算机内存 init程序调用getty程序在终端上显示login等登录信息 若用户通过身份验证，login进程把用户的home目录设置成当前目录并把控制交给一系列setup程序 操作系统安全性 Windows NT/2000 UNIX 其他操作系统 操作系统漏洞 操作系统入侵检测 系统安全扫描软件 其他操作系统 NetWare系统 NetWare操作系统经过NCSC测试，具有C2级安全标准 VAX/VMS VMS系统具有C2级安全