【网络通信安全管理员认证－中级】第三章网络安全基础.ppt

第三章 网络安全基础3.1 操作系统安全n操作系统安全主要是利用安全手段防止操作系统本身被破坏，防止非法用户对计算器资源的窃取。n操作系统的安全机制n1 硬件安全机制 存储保护 I/O保护（特权指令）n2 操作系统安全标志和鉴别n3 访问控制操作系统的访问控制是操作系统安全控制保护中重要的一环，在身份识别的基础上，根据身份对提出的资源访问请求加以控制。在访问控制中，对其访问必须进行控制的资源称为客体，同理，必须控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进程，程序或用户。客体包括各种资源，如文件，设备，信号量等。每一主体（进程）都在一特定的保护域下工作。保护域规定了进程可以访问的资源。每一域定义了一组客体及可以对客体采取的操作。操作系统的某一合法用户可任意运行一段程序来修改该用户拥有的文件访问控制信息，而操作系统无法区别这种修改是用户自己的合法操作还是计算机病毒的非法操作；另外，也没有什么一般的方法能够防止计算机病毒将信息通过共享客体从一个进程传送给另一个进程。在强制访问控制中，系统对主体与客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。用户为某个目的而运行的程序，不能改变它自己及任何其它客体的安全属性，包括该用户自己拥有的客体。强制访问控制还可以阻止某个进程生成共享文件并通过这个共享文件向其它进程传递信息。所谓的自主访问控制是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其它用户共享他的文件。用户有自主的决定权。所谓强制访问控制是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。如果系统认为具有某一个安全属性的用户不适于访问某个文件，那么任何人（包括文件的拥有者）都无法使该用户具有访问该文件的仅力。n4 最小特权管理和可信通路3.1.2 WINDOWS系统安全n1 WINDOWS认证机制n2 访问控制机制n3 审计/日志机制n4 协议过滤和防火墙n5 文件加密系统Windows基本进程介绍ncsrss 或者 csrss.exe nMicrosoft Client/Server Runtime Subsystemn 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。n该进程管理Windows图形相关任务。nSMSSnSession Manager Subsystem n该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。nServices进程nservices.exe是微软是微软Windows操作系统的操作系统的一部分。用于管理启动和停止服务。该进一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。常重要的。终止进程后会重启。nExplorernexplorer.exe是是Windows程序管理器或者程序管理器或者Windows资源管理器资源管理器，它用于管理，它用于管理Windows图图形壳，包括开始菜单、任务栏、桌面和文件管理，形壳，包括开始菜单、任务栏、桌面和文件管理，删除该程序会导致删除该程序会导致Windows图形界面无法适用。图形界面无法适用。explorer.exe也有可能是也有可能是w32.Codered等病毒。等病毒。该病毒通过该病毒通过email邮件传播，当打开病毒发送的附邮件传播，当打开病毒发送的附件时，即被感染，会在受害者机器上建立件时，即被感染，会在受害者机器上建立SMTP服务，允许攻击者访问你的计算机、窃取密码和服务，允许攻击者访问你的计算机、窃取密码和个人数据。个人数据。nLsassnlsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。nSvchostnsvchost.exe是一个属于微软是一个属于微软Windows操作系统操作系统的系统程序，微软官方对它的解释是：的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库是从动态链接库(DLL)中运行的服中运行的服务的通用主机进程名称。这个程序对系统的正常务的通用主机进程名称。这个程序对系统的正常运行是非常重要运行是非常重要,而且是不能被结束的。而且是不能被结束的。nwin2000有两个有两个svchost进程，进程，winxp中则有四个中则有四个或四个以上的或四个以上的svchost进程，而进程，而win2003server中则更多中则更多。nwindows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot%system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？n原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。