2013计算机网络管理与安全技术.ppt

《2013计算机网络管理与安全技术.ppt》由会员分享，可在线阅读，更多相关《2013计算机网络管理与安全技术.ppt（105页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络管理与安全技术计算机网络管理与安全技术2023/1/151NETWORK SECURITY课题内容：操作系统安全（一）教学目的：掌握WIN2003系统服务的配置方法 掌握WIN2003常用进程的作用 掌握WIN2003注册表的结构、值类型及应用教学方法：讲授法、任务驱动法、演示法重 点：WIN2003系统服务的配置方法难 点：WIN2003常用进程的作用课堂类型：讲授课教 具：投影仪、多媒体设备 授课班级 计应1001班第 18次课 授课时间5月25日星期五 授课地点2023/1/152NETWORK SECURITY导入新课1、防火墙的体系结构2、操作系统常用进程与服务2023/1

2、/153NETWORK SECURITYWindows 2003 Windows 2003原名是Windows NT 5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、巩固的安全性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜 Windows 2003在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同2023/1/154NETWORK SECURITY主要内容操作系统安全基础 Windows 2003 安全结构 Windows 2003 文件系统安全Windows 2003 账

3、号安全GPO 的编辑活动目录安全性考察Windows 2003 缺省值的安全性评估Windows 2003 主机安全 2023/1/155NETWORK SECURITY8.1操作系统安全是系统安全的基础各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操作系统提供的系统软件基础。2023/1/156NETWORK SECURITY操作系统安全级别 级别 系统的安全可信性 D最低安全性 C1自主存取控制 C2较完善的自主存取控制（DAC）、审计 B1强制存取控制（MAC）B2良好的结构化设计、形式化安全模型 B3全面的访问

4、控制、可信恢复 A1形式化认证 2023/1/157NETWORK SECURITY常见操作系统安全级别 操作系统 安全级别 SCO OpenServer C2 OSF/1 B1Windows NT/2003 C2Solaris C2DOS DUnixWare 2.1/ES B22023/1/158NETWORK SECURITY常见威胁类型(一)威胁类型 示 例自然和物理的 水灾、火灾、风暴、地震、停电 无意的 不知情的员工、不知情的顾客 故意的 攻击者、恐怖分子、工业间谍、黑客、恶意代码 2023/1/159NETWORK SECURITY常见威胁类型（二）安全漏洞类型 示 例物理的 门窗

5、未锁 自然的灭火系统失灵 硬件和软件 防病毒软件过期 媒介 电干扰 通信 未加密协议 人为 不可靠的技术支持 2023/1/1510NETWORK SECURITY8.2 Windows 2003 安全结构n安全六要素2023/1/1511NETWORK SECURITY8.2.2 Windows 2003 安全组件（一）灵活的访问控制 Windows 2003支持C2级标准要求的灵活访问控制对象重用 Windows 2003很明确地阻止所有的应用程序不可以访问被另应用程序使用所占用资源内的信息（比如内存或磁盘）2023/1/1512NETWORK SECURITYWindows 2003 安

6、全组件（一）强制登录 Windows 2003用户在能访问任何资源前必须通过登录来验证他们的身份数据数据数据数据访问访问访问访问浏览浏览浏览浏览打印打印打印打印服务服务服务服务2023/1/1513NETWORK SECURITYWindows 2003 安全组件（二）审计因为Windows 2003采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动控制对象的访问Windows 2003不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键2023/1/1514NETWORK SECURITY安全的组成部分（一）安全标识符安全标识符（SID）是统计上地唯

7、一的数组分配给所有的用户、组、和计算机。每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID。每当Windows 2003安装完毕并启动的时候，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候。2023/1/1515NETWORK SECURITY安全的组成部分（二）访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时用户企图进行访问，都要向Windows NT出示访问令牌。2023/1/1516NETWOR

8、K SECURITY安全的组成部分（三）安全描述符Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。2023/1/1517NETWORK SECURITY安全的组成部分（四）访问控制列表灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝。访问控制条目每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE。访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问。2023

9、/1/1518NETWORK SECURITY8.2.5Windows 2003 安全机制（一）帐号安全计算机帐户活动目录用户帐户2023/1/1519NETWORK SECURITYWindows 2003 安全机制（二）文件系统安全NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特性。2023/1/1520NETWORK SECURITYWindows 2003 安全机制（三）认证 Kerberos 5 Kerberos是一种被证明为非常安全的双向身份认证技术。其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证。K

10、erberos有效地防止了来自服务器端身份冒领的欺骗。2023/1/1521NETWORK SECURITYWindows 2003 安全机制（四）NTLM 认证Windows 2003中仍然保留NTLM（NT-LanMan）认证，以便向后兼容。运行DOS、Windows 3.x、Windows 95、Windows 98、Windows NT 3.5和Windows NT 4.0的客户仍然需要LM和NTLM支持。但LanManager中的哈希算法有漏洞。l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack。Windows 2003已支持新的更安全的认证协议NTLM 2。2

11、023/1/1522NETWORK SECURITYWindows 2003 安全机制（五）Active Directory管理员可以浏览活动目录，对域用户、用户组和网络资源进行管理可以通过活动目录指定局部管理员，每人以自己的安全性及许可权限进行管理分类 管理员管理员域用户域用户用户组用户组网络资源网络资源2023/1/1523NETWORK SECURITY8.3 Windows 2003文件系统安全NTFS权限基于目录 基于文件读取（R）显示目录名，属性，所有者及权限 显示文件数据，属性，所有者及权限 写入（W）添加文件和目录，改变一个属性以及显示所有者和权限 显示所有者和权限、改变文件的

12、属性、在文件内加入数据 执行（X）显示属性，可进入目录中的目录，显示所有者利权限显示文件属性、所有者和权限、如果是可执行文件可运行删除（D）可删除目录 可删除文件改变权限（P）改变目录的权限改变文件的权限取得所有权（O）取得目录的所有权 取得文件的所有权2023/1/1524NETWORK SECURITYNT有关权限的标准标准权限标准权限基于目录基于目录 基于文件基于文件不可访问不可访问无无无无列出列出 RX RX 不适用不适用读取读取RXRXRXRX添加添加 WX WX 不适用不适用 添加和读取添加和读取RWS-X?RWS-X?RX RX 更改更改RWXD RWXD RWXD RWXD 完

13、全控制完全控制 ALL ALL ALL ALL 2023/1/1525NETWORK SECURITYNT共享权限列表权限允许完全控制改变文件的权限；在NTFS卷上取得文件的所有权；能够完成所有有更改权限所执行的任务更改创建目录和添加文件；更改文件内的数据；更改文件的属性能够完成所有有更改权限所执行的任务读取显示目录和文件名：文件数据和属性；运行应用程序文件不可访问只能建立连接，不能访问目录中的内容2023/1/1526NETWORK SECURITY8.3.2 文件系统类型Fat16文件系统 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统。标准文件分配表（FAT），在计算机管理共

14、享文件夹共享，在相应的共享文件夹上按右键，点停止共享即可，如图7-19所示。2023/1/1578NETWORK SECURITY3 禁用Dump文件n在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等n需要禁止它，打开控制面板系统属性高级启动和故障恢复，把写入调试信息改成无，如图7-20所示。2023/1/1579NETWORK SECURITY4 文件加密系统nWindows2003强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。n微软公司为了

15、弥补Windows NT 4.0的不足，在Windows 2003中，提供了一种基于新一代NTFS：NTFS V5（第5版本）的加密文件系统（Encrypted File System，简称EFS）。nEFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2003中的CryptoAPI结构。2023/1/1580NETWORK SECURITY5 加密Temp文件夹n一些应用程序在安装和升级的时候，会把一些东西拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。n所以，给Temp文件夹加密可以给你的文件多一层保护。2023/1/1581NET

16、WORK SECURITY6 锁住注册表n在Windows2003中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键nSoftwaremicrosoftwindowscurrentversionPoliciessystem n把DisableRegistryTools的值该为0，类型为DWORD，如图7-21所示。2023/1/1582NETWORK SECURITY7 关机时清除文件n页面文件也就是调度

17、文件，是Windows 2003用来存储没有装入内存的程序和数据文件部分的隐藏文件。n一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清楚页面文件，可以编辑注册表 修改主键HKEY_LOCAL_MACHINE下的子键：nSYSTEMCurrentControlSetControlSession ManagerMemory Managementn把ClearPageFileAtShutdown的值设置成1，如图7-22所示。2023/1/1583NETWORK SECURITY8 禁止软盘光盘启动n一些第三方的工具能通过引导系统来绕过原有

18、的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。n如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。2023/1/1584NETWORK SECURITY9 使用智能卡n对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。n如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。2023/1/1585NETWORK SECURITY10 使用IPSecn正如其名字的含义，正如其名字的含义，IPSec提供提供IP数据包的安全性。数据包的

19、安全性。nIPSec提供身份验证、完整性和可选择的机密性。发送提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。到数据之后解密数据。n利用利用IPSec可以使得系统的安全性能大大增强。可以使得系统的安全性能大大增强。2023/1/1586NETWORK SECURITY11 禁止判断主机类型n黑客利用TTL（Time-To-Live，活动时间）值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。n许多入侵者首先会Ping一下主机，因为攻击某一台

20、计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2003，如图7-23所示。2023/1/1587NETWORK SECURITYn从图中可以看出，TTL值为128，说明该主机的操作系统是Windows 2003操作系统。表7-6给出了一些常见操作系统的对照值。操作系操作系统类统类型型TTL返回返回值值Windows 2003128Windows NT107win9x128 or 127solaris252IRIX240AIX247Linux241 or 2402023/1/1588NETWORK SECURITYn修改TTL

21、的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键：nSYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSn新建一个双字节项，如图7-24所示。2023/1/1589NETWORK SECURITYn在键的名称中输入“defaultTTL”，然后双击改键名，选择单选框“十进制”，在文本框中输入111，如图7-25所示。2023/1/1590NETWORK SECURITYn设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了，如图7-26所示。2023/1/1591

22、NETWORK SECURITY12 抵抗DDOSn添加注册表的一些键值，可以有效的抵抗DDOS的攻击。在键值nHKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters下增加响应的键及其说明如表7-7所示。增加的键值键值说明EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000000KeepAliveTime=dword:00000000PerformRouterDiscovery=dword:00000000基本设置EnableICMPRed

23、irects=dword:00000000防止ICMP重定向报文的攻击SynAttackProtect=dword:00000002防止SYN洪水攻击TcpMaxHalfOpenRetried=dword:00000080仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施TcpMaxHalfOpen=dword:00000100IGMPLevel=dword:00000000不支持IGMP协议EnableDeadGWDetect=dword:00000000禁止死网关监测技术IPEnableRouter=dword:00000001

24、支持路由功能2023/1/1592NETWORK SECURITY13 禁止Guest访问日志n在默认安装的Windows NT和Windows 2003中，Guest帐号和匿名用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册表来禁止Guest访问事件日志。n禁止Guest访问应用日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n系统日志：nHKEY_LOCAL_MACHINESYSTEMCu

25、rrentControlSetServicesEventlogSystem下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。n安全日志nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：RestrictGuestAccess，类型为：DWORD，将值设置为1。2023/1/1593NETWORK SECURITY14 数据恢复软件n当数据被病毒或者入侵者破坏后，可以利用数据恢复软件可以找回部分被删除的数据，在恢复软件中一个著名的软件是Easy Recove

26、ry。软件功能强大，可以恢复被误删除的文件、丢失的硬盘分区等等。软件的主界面如图7-26所示。2023/1/1594NETWORK SECURITYn比如原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“Data Recovery”，然后选择左边的按钮“Advanced Recovery”，如图7-28所示。2023/1/1595NETWORK SECURITYn进入Advanced Recovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读取出来的，如图7-29所示。2023/1/1596NETWORK SECURITYn现在要恢复E盘上的文件，所以选择E盘

27、，点击按钮“Next”，如图7-30所示。2023/1/1597NETWORK SECURITYn软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图7-31所示。2023/1/1598NETWORK SECURITYn扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经被删除文件和文件夹，如图7-32所示。2023/1/1599NETWORK SECURITYn选中某个文件夹或者文件前面的复选框，然后点击按钮“Next”，就可以恢复了。如图7-33所示。2023/1/15100NETWORK SECURITYn在恢复的对话框中选择一个本地的文件夹，

28、将文件保存到该文件夹中，如图7-34所示。2023/1/15101NETWORK SECURITYn选择一个文件夹后，电击按钮“Next”，就出现了恢复的进度对话框，如图7-35所示。2023/1/15102NETWORK SECURITYWindows XP 的安全特性 Internet 连接防火墙 软件限制政策 2023/1/15103NETWORK SECURITYWindows XP 的安全特性 智能卡的支持 Kerberos V5鉴定协议 2023/1/15104NETWORK SECURITY本章小结本章从操作系统入手，着重讨论了Windows 的安全结构。随后，我们从Windows 2003的文件系统安全、账号安全等方面加强了对Windows 2003 的安全认识。2023/1/15105NETWORK SECURITY