操作系统新的安全特性课件.pptx

《操作系统新的安全特性课件.pptx》由会员分享，可在线阅读，更多相关《操作系统新的安全特性课件.pptx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Windows Vista(Longhorn)Windows Vista(Longhorn)操作系统新的安全特性操作系统新的安全特性软件开发组长软件开发组长Windows Windows 提纲提纲安全启动安全启动安全启动安全启动代码完整性代码完整性代码完整性代码完整性设备驱动程序设备驱动程序设备驱动程序设备驱动程序系统服务保护（系统服务保护（系统服务保护（系统服务保护（Service HardeningService HardeningService HardeningService Hardening）用户帐号保护用户帐号保护用户帐号保护用户帐号保护 （User Account Protec

2、tionUser Account ProtectionUser Account ProtectionUser Account Protection）IEIEIEIE浏览器浏览器浏览器浏览器系统资源保护（系统资源保护（系统资源保护（系统资源保护（Windows Resource Protection)Windows Resource Protection)Windows Resource Protection)Windows Resource Protection)防火墙防火墙防火墙防火墙网络权限保护（网络权限保护（网络权限保护（网络权限保护（Network Access ProtectionN

3、etwork Access ProtectionNetwork Access ProtectionNetwork Access Protection）总结，与总结，与总结，与总结，与XPXPXPXP相比相比相比相比局限局限局限局限问问问问/答答答答安全启动：背景安全启动：背景CNN,2005/1/24CNN,2005/1/24：据估计，：据估计，20042004上半年，上半年，1130011300笔记本电脑，笔记本电脑，3140031400掌上电脑，和掌上电脑，和2000020000手机丢失，三倍于手机丢失，三倍于20012001年同期数目年同期数目密码恢复程序可针对密码恢复程序可针对XPXP

4、的数据安全保护机的数据安全保护机制进行系统离线攻击制进行系统离线攻击安全启动安全启动:目的目的即使物理设备丢失即使物理设备丢失即使物理设备丢失即使物理设备丢失,仍仍仍仍能提供对能提供对能提供对能提供对WindowsWindowsWindowsWindows客户客户客户客户端的安全保证端的安全保证端的安全保证端的安全保证特别针对他人以其他特别针对他人以其他特别针对他人以其他特别针对他人以其他OSOSOSOS启动试图非法获取启动试图非法获取启动试图非法获取启动试图非法获取对对对对WindowsWindowsWindowsWindows系统文件的系统文件的系统文件的系统文件的权限权限权限权限安全启动

5、安全启动基于基于Trusted Platform ModuleTrusted Platform Module（TPMTPM ）硬盘全加密（硬盘全加密（Full Volume Encryption:Full Volume Encryption:FVMFVM）用户登陆后，对文件系统的访问如常用户登陆后，对文件系统的访问如常FVM FVM 硬盘布局硬盘布局加密的加密的 OS OS卷，包括：卷，包括：OSOS，页面文件页面文件临时文件临时文件数据数据休眠（休眠（hibernationhibernation）文件）文件系统分区包括基本系统分区包括基本引导代码引导代码MBRMBR安全启动架构安全启动架构安

6、全启动：恢复安全启动：恢复笔记本突然坏了，怎么办？笔记本突然坏了，怎么办？恢复密钥恢复密钥 代码完整性（代码完整性（Code IntegrityCode Integrity）背景：系统文件可以被恶意篡改。背景：系统文件可以被恶意篡改。系统文件均有数字认证系统文件均有数字认证系统文件被装载内存的时候，会验证其文系统文件被装载内存的时候，会验证其文件的完整性件的完整性设备驱动程序设备驱动程序背景：有缺陷或恶意的驱动程序导致系统背景：有缺陷或恶意的驱动程序导致系统崩溃，不稳定，和安全问题崩溃，不稳定，和安全问题X64X64平台上，平台上，所有的设备驱动程序都必须有数字认证所有的设备驱动程序都必须有数

7、字认证所有的设备驱动程序都必须有数字认证所有的设备驱动程序都必须有数字认证不允许修改系统的核心状态（不允许修改系统的核心状态（不允许修改系统的核心状态（不允许修改系统的核心状态（Kernel StateKernel StateKernel StateKernel State）提供用户模式的驱动程序框架提供用户模式的驱动程序框架系统服务保护：系统服务保护：Service HardeningService Hardening背景：系统服务程序（背景：系统服务程序（System ServiceSystem Service）被攻击次数日益增多被攻击次数日益增多无需用户交互，即可自动运行无需用户交互，即

8、可自动运行运行于运行于“System”“System”账号下账号下系统服务保护系统服务保护服务程序运行在最低权限服务程序运行在最低权限服务程序运行在最低权限服务程序运行在最低权限服务程序有相应的配置文服务程序有相应的配置文服务程序有相应的配置文服务程序有相应的配置文件，用以指定该服务可以件，用以指定该服务可以件，用以指定该服务可以件，用以指定该服务可以执行的文件，注册表和网执行的文件，注册表和网执行的文件，注册表和网执行的文件，注册表和网络行为络行为络行为络行为文件系统文件系统注册表注册表网络网络用户帐号保护用户帐号保护 UAP UAP以前称为以前称为LUA-Least-privileged

9、User LUA-Least-privileged User Account Account WC1262WC1262：Windows Vista Windows Vista 安全特性深入分安全特性深入分析析-用户帐号保护用户帐号保护 （UAP/LUAUAP/LUA）用户帐号保护：背景用户帐号保护：背景大部分用户以大部分用户以AdminAdmin权限登录权限登录许多应用程序需要许多应用程序需要AdminAdmin权限运行权限运行许多操作系统配置的修改需要许多操作系统配置的修改需要AdminAdmin权限权限计算机病毒，和间谍软件？计算机病毒，和间谍软件？用户帐号保护：综述用户帐号保护：综述用户

10、登陆后的缺省权限是非用户登陆后的缺省权限是非AdminAdmin身份身份必须通过相应的必须通过相应的UIUI才能将权限升为才能将权限升为AdminAdminUAPUAP兼容性兼容性应用程序和系统管理工具可在应用程序和系统管理工具可在Windows Windows VistaVista的的BetaBeta版本上测试版本上测试Visual StudioVisual Studio工具：工具：AppVerifier AppVerifier IEIE浏览器浏览器IE 7IE 7WCI311WCI311WCI311WCI311：最新版本：最新版本：最新版本：最新版本IE 7:IE 7:IE 7:IE 7:

11、先睹为快（上）先睹为快（上）先睹为快（上）先睹为快（上）WCI312WCI312WCI312WCI312：最新版本：最新版本：最新版本：最新版本IE 7:IE 7:IE 7:IE 7:先睹为快（下）先睹为快（下）先睹为快（下）先睹为快（下）IEIE浏览器：背景浏览器：背景IEIE的安全漏洞是病毒和间谍软件传播的主的安全漏洞是病毒和间谍软件传播的主要途径之一要途径之一针对普通用户的针对普通用户的PhishingPhishing攻击攻击IEIE浏览器：目的浏览器：目的IEIE运行于低权限模式下。以更安全访问互运行于低权限模式下。以更安全访问互联网，减少安全漏洞的影响范围联网，减少安全漏洞的影响范围

12、对对PhishingPhishing攻击向用户提出警告攻击向用户提出警告IEIE：低权限模式：低权限模式权限低于普通用户程序权限低于普通用户程序权限低于普通用户程序权限低于普通用户程序只能对文件系统的特定部分执行写操作只能对文件系统的特定部分执行写操作只能对文件系统的特定部分执行写操作只能对文件系统的特定部分执行写操作不能对高权限的其它进程操作不能对高权限的其它进程操作不能对高权限的其它进程操作不能对高权限的其它进程操作敏感操作由代理进程（敏感操作由代理进程（敏感操作由代理进程（敏感操作由代理进程（broker processbroker processbroker processbroker

13、 process）执行）执行）执行）执行 修改修改修改修改InternetInternetInternetInternet设置设置设置设置安装安装安装安装ActiveXActiveXActiveXActiveX控件控件控件控件IEIE：低权限模式架构：低权限模式架构IEIE低权限模式低权限模式IEIE代理进程代理进程缓存浏览页面临时文件目录安装驱动程序安装驱动程序安装驱动程序安装驱动程序修改配置修改配置修改配置修改配置管理员权限管理员权限管理员权限管理员权限普通用户权限普通用户权限普通用户权限普通用户权限PhishingPhishing复制一个官方网站的主复制一个官方网站的主页，诱使用户输入个

14、人页，诱使用户输入个人的机密信息，如银行账的机密信息，如银行账号，密码等等。号，密码等等。实例实例防止防止PhishingPhishing攻击攻击保护保护URLURL显示显示PhishingPhishing网页过滤器（网页过滤器（Filter Filter）系统资源保护（系统资源保护（Windows Resource Windows Resource Protection)Protection)保护重要的系统资源保护重要的系统资源替代替代SFPSFP:S:System ystem 只有系统信赖的专门安装程序才可以修改只有系统信赖的专门安装程序才可以修改WRPWRP保护的资源保护的资源操作系统的

15、补丁操作系统的补丁安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证防火墙防火墙控制应用程序的对外网络连接控制应用程序的对外网络连接（application-aware outbound filtering）P2PP2PP2PP2P软件软件软件软件与系统服务保护集成与系统服务保护集成设置可由系统管理员通过设置可由系统管理员通过Group PolicyGroup Policy管管理理 网络权限保护（网络权限保护（Network access Network access protectionprotection）背景背景一台笔记本电脑

16、被病毒感染一台笔记本电脑被病毒感染一台笔记本电脑被病毒感染一台笔记本电脑被病毒感染当该笔记本接入到公司内部网络时，病毒可以当该笔记本接入到公司内部网络时，病毒可以当该笔记本接入到公司内部网络时，病毒可以当该笔记本接入到公司内部网络时，病毒可以通过此电脑感染整个内部网络通过此电脑感染整个内部网络通过此电脑感染整个内部网络通过此电脑感染整个内部网络网络权限保护：综述网络权限保护：综述任何电脑必须通过系统健康检查后才能接任何电脑必须通过系统健康检查后才能接入公司内部网络入公司内部网络确保机器时刻保持健康状态确保机器时刻保持健康状态未通过系统健康检查的机器会被隔离到一未通过系统健康检查的机器会被隔离到

17、一个受控网络个受控网络网络权限保护网络权限保护NAPNAP客户端程序包括在客户端程序包括在Windows VistaWindows Vista中中NAPNAP服务端程序包括在服务端程序包括在Longhorn ServerLonghorn Server中中安全运行安全运行安全运行安全运行安全运行安全运行用户帐号保护用户帐号保护用户帐号保护用户帐号保护用户帐号保护用户帐号保护 设备驱动程序设备驱动程序设备驱动程序设备驱动程序设备驱动程序设备驱动程序系统服务保护系统服务保护系统服务保护系统服务保护系统服务保护系统服务保护IEIEIEIEIEIE安全通讯安全通讯安全通讯安全通讯安全通讯安全通讯网络权限

18、保护网络权限保护网络权限保护网络权限保护网络权限保护网络权限保护防火墙防火墙防火墙防火墙防火墙防火墙安全维护安全维护安全维护安全维护安全维护安全维护系统资源保护系统资源保护系统资源保护系统资源保护系统资源保护系统资源保护代码完整性代码完整性代码完整性代码完整性代码完整性代码完整性安全启动安全启动安全启动安全启动安全启动安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动磁盘全加密磁盘全加密磁盘全加密磁盘全加密磁盘全加密磁盘全加密Version 1.0Version 1.0总结总结 Windows XPWindows XPUserK

19、ernelAdminSystem Services1.Few layers2.Mostly privileged3.Limited guards between layersWindows VistaWindows VistaSystem ServicesDDDUser Account Protection(LUA)Service HardeningAdminService 1DDDKernelService 2Service 3DDDLow Privilege ServicesLow rights programs1.Increase#layers2.Segment services3.Re

20、duce size of high risk layersLUA UserSvc 6Svc 7User mode drivers局限局限Windows VistaWindows Vista的改进不能解决所有的安全的改进不能解决所有的安全问题问题操作系统只是整个安全解决方案的一部分操作系统只是整个安全解决方案的一部分物理设备安全物理设备安全用户教育用户教育社会工程方式攻击社会工程方式攻击社会工程方式攻击社会工程方式攻击资源资源Windows Vista Security:Device DriverIE 7信息安全信息安全Blog欢迎大家的反馈！欢迎大家的反馈！1、有时候读书是一种巧妙地避开思考的

21、方法。3月-233月-23Monday,March 6,20232、阅读一切好书如同和过去最杰出的人谈话。22:57:1722:57:1722:573/6/2023 10:57:17 PM3、越是没有本领的就越加自命不凡。3月-2322:57:1722:57Mar-2306-Mar-234、越是无能的人，越喜欢挑剔别人的错儿。22:57:1722:57:1722:57Monday,March 6,20235、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2322:57:1722:57:17March 6,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。06三月20231

22、0:57:17下午22:57:173月-237、最具挑战性的挑战莫过于提升自我。三月2310:57下午3月-2322:57March 6,20238、业余生活要有意义，不要越轨。2023/3/622:57:1722:57:1706 March 20239、一个人即使已登上顶峰，也仍要自强不息。10:57:17下午10:57下午22:57:173月-2310、你要做多大的事情，就该承受多大的压力。3/6/2023 10:57:17 PM22:57:1706-3月-2311、自己要先看得起自己，别人才会看得起你。3/6/2023 10:57 PM3/6/2023 10:57 PM3月-233月-2312、这一秒不放弃，下一秒就会有希望。06-Mar-2306 March 20233月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Monday,March 6,202306-Mar-233月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。3月-2322:57:1706 March 202322:57谢谢大家谢谢大家