欢迎来到天天文库
浏览记录
ID:1515586
大小:714.00 KB
页数:32页
时间:2017-11-12
《重庆科创职业学院资料库网络管理与维护第7章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第7章操作系统安全本章要点操作系统安全的概念及安全评估Windows安全子系统的构成、身份验证及访问控制的实现Windows文件系统安全实现及注册表的访问控制Linux帐号管理机制及文件权限设置Windows及Linux系统日志的查看27.1操作系统安全概述7.1.1操作系统安全的概念操作系统是一组面向计算机和用户的程序,是应用软件同系统硬件的接口,其目标是高效地、最大限度地、合理地使用计算机资源。操作系统内的一切活动均可看作是主体对计算机内部各客体的访问活动。在进行操作系统设计时,操作系统的安全部分是按照安全模型进行设计
2、的,但由于设计时对安全性考虑不充分或在实现过程中由于各种原因,而产生了一些出乎设计者意图之外的性质,这些被称为操作系统的缺陷。37.1.1操作系统安全的概念理解操作系统安全这个概念时,通常具有三层含义:一是指使用具有有效的安全体系结构的操作系统;二是指充分利用操作系统在设计时提供的权限访问控制、信息加密保护、完整性鉴定等安全机制所实现的安全;三是指在操作系统使用过程中,通过系统配置,以确保操作系统尽量避免由于实现时的缺陷和具体应用环境因素而产生的不安全因素。47.1.2操作系统安全的评估1.国外安全评估标准(1)可信计算机
3、系统安全评估标准(TrustedComputerSystemEvaluationCriteria,TCSEC)又称为橘皮书(2)欧洲的安全评价标准(InformationTechnologySecurityEvaluationCriteria,ITSEC)是欧洲多国安全评价方法的综合产物(3)加拿大的评价标准(CanadianTrustedComputerProductEvaluationCriteria,CTCPEC)专门针对政府需求而设计(4)美国联邦准则(FederalCriteria,FC)是对TCSEC的升级,并
4、引入了“保护轮廓”(PP)的概念(5)国际通用准则(CommonCriteria,CC)是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则57.1.2操作系统安全的评估2.国内安全评估标准具体的安全考核指标与安全级别的对应关系如表7-2所示。标准第一级第二级第三级第四级第五级自主访问控制√√√√√身份认证√√√√√数据完整性√√√√√客体重用√√√√审计√√√√强制访问控制√√√安全标记√√√隐蔽信道分析√√可信路径√√可信恢复√67.2Windows安全技术从1983年Microsoft公司宣布Windows
5、的诞生到2006年底WindowsVista的推出,Windows已经走过了二十多年的历史,目前其在全球桌面操作系统市场上的占有率已达90%以上,在服务器操作系统市场上的占有率也达20%以上。本节主要介绍基于NT内核的Windows操作系统中常用的安全技术及安全实现,包括身份验证与访问控制、文件系统安全、注册表安全以及审核与日志等四个方面。77.2.1身份验证与访问控制1.基本概念1)用户帐户(Account)2)组(Group)3)强制登录(MandatoryLogon)4)安全标识符(SecurityIdentifie
6、rs)5)访问令牌(AccessTokens)6)安全描述符(SecurityDescriptors)7)访问控制列表(AccessControlLists)8)访问控制项(AccessControlEntries,ACE)87.2.1身份验证与访问控制2.Windows安全子系统Windows安全子系统(以WindowsServer2003为例)包括以下几部分。Windows登录服务(Winlogon)。图形化标识和验证组件(GraphicalIdentificationandAuthentication,GINA)。本
7、地安全授权(LocalSecurityAuthority,LSA)。安全支持提供者接口(SecuritySupportProviderInterface,SSPI)。验证包(AuthenticationPackages)。安全支持提供者(SecuritySupportProviders,SSP)。网络登录服务(NetlogonService)。安全帐户管理器(SecurityAccountManager,SAM)。97.2.1身份验证与访问控制各组成部分的关系如图7-4所示。107.2.1身份验证与访问控制3.NTLM验证
8、具体的NTLM安全验证过程如图7-5所示。117.2.1身份验证与访问控制4.帐户和密码安全设置1)将用户帐户指派到安全组2)保护Administrator帐户3)保护Guest帐户4)创建保险的密码5)设置密码策略5.控制登录及身份验证过程1)提高欢迎屏幕的安全性2)提高传统登录方式的安全性并控制自动
此文档下载收益归作者所有