CISP培训课件操作系统安全.pptx

操作系统安全版本：3.0发布日期：2014-12-1生效日期：2015-1-1 讲师姓名：Windows系统安全机制安全操作系统Linux系统安全机制操作系统安全概述课程内容操作系统安全操作系统与数据库安全数据库安全知识体知识域知识子域知识域：操作系统安全知识子域：操作系统安全概念了解操作系统的作用与功能了解操作系统的主要安全设计机制理解操作系统的安全配置要点操作系统的功能用户进程系统调用接口内核硬件：CPU、内存、硬盘、网络硬件等用户与计算机硬件之间的接口操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离计算机系统的资源管理者CPU管理存储管理设备管理文件管理网络与通信管理用户接口操作系统安全目标操作系统安全目标标识系统中的用户和进行身份鉴别依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问监督系统运行的安全性保证系统自身的安全和完整性操作系统安全机制（一）标识与鉴别用户身份合法性鉴别操作系统登录访问控制防止对资源的非法使用限制访问主体对访问客体的访问权限DAC、MAC、RBAC最小特权管理限制、分割用户、进程对系统资源的访问权限“必不可少的”权限操作系统安全机制（二）信道保护正常信道的保护可信通路（Trusted Path）安全键（SAK）操作系统安全机制（三）安全审计对系统中有关安全的活动进行记录、检查以及审核审计一般是一个独立的过程内存存取保护进程间/系统进程内存保护段式保护、页式保护和段页式保护文件系统保护分区文件共享文件备份知识域：操作系统安全知识子域：Windows系统安全机制理解Windows系统标识与鉴别、访问控制、用户账户控制、安全审计、文件系统的安全机制和安全策略掌握Windows系统的安全配置方法Windows系统标识与鉴别-安全主体安全主体类型用户帐户本地用户域用户组帐户everyone组network组计算机服务Windows系统标识与鉴别-安全标识安全标识符（Security Identifier，SID）安全主体的代表（标识用户、组和计算机账户的唯一编码）范例：S-1-5-21-1736401710-1141508419-1540318053-1000Windows系统标识与鉴别-用户鉴别账户信息管理机制登录验证本地登录验证远程登录验证Windows用户身份鉴别帐号信息存储（SAM:安全账号管理）运行期锁定、存储格式加密仅对system帐号有权限，通过服务进行访问控制Windows用户身份鉴别：本地登录GINA（Graphical Identification and Authentication:图形化识别和验证)LSA（Local Security Authority：本地安全授权）账户信息库 GINA LSASAMWindows系统身份鉴别：远程登录远程登录鉴别协议SMB（Server Message Block）:口令明文传输LM（LAN Manager）：口令哈希传输，强度低NTLM（NT LAN Manager）：提高口令散列加密强度、挑战/响应机制Kerberos：为分布网络提供单一身份验证Windows系统访问控制-ACL访问控制列表（Access Control List，ACL）NTFS文件系统支持权限存储流文件系统中自主访问控制灵活性高，安全性不高Windows系统访问控制-用户账户控制用户帐户控制（User Account Control，UAC）完全访问令牌标准受限访问令牌Windows文件系统安全NTFS文件系统权限控制（ACL）文件、文件夹、注册表键值、打印机等对象安全加密EFS(EFS(Encrypting File System )Windows内置，与文件系统高度集成对windows用户透明对称与非对称算法结合Bitlocker对整个操作系统卷加密解决设备物理丢失安全问题Windows系统审计机制Windows日志系统应用程序安全设置应用程序和服务日志应用访问日志FTP访问日志IIS访问日志Windows系统安全策略账户策略密码策略账户锁定策略本地策略审核策略用户权限分配安全选项……Windows系统安全配置1、安全配置前置工作2、账号安全设置3、关闭自动播放4、远程访问控制5、本地安全策略6、服务运行安全设置7、使用第三方安全增强软件Windows安全设置1-前置工作安全的安装分区设置：不要只使用一个分区系统补丁：SP+Hotfix补丁更新设置：检查更新自动下载安装或手动Windows安全配置2-账号安全设置账号安全设置系统账号策略设置账号安全选项设置账号安全设置-保护账号安全稍作变形：单数字母大写，最后加个感叹号默认管理账户administrator更名设置“好”的口令自己容易记、别人不好猜不安全口令实例：ZAQ!@