《操作系統(tǒng)安全策略》PPT課件.ppt
《《操作系統(tǒng)安全策略》PPT課件.ppt》由會員分享,可在線閱讀,更多相關(guān)《《操作系統(tǒng)安全策略》PPT課件.ppt(40頁珍藏版)》請在裝配圖網(wǎng)上搜索。
第4章操作系統(tǒng)安全與策略 4 1操作系統(tǒng)安全概述4 2Windows2000安全概述4 3Windows2000的用戶安全和管理策略4 4NTFS文件和文件夾的存取控制4 5使用審核資源4 6Windows2000的安全應(yīng)用 4 1操作系統(tǒng)安全概述 返回本章首頁 4 1 1操作系統(tǒng)安全4 1 2操作系統(tǒng)的2000安全機制4 1 3操作系統(tǒng)的安全策略4 1 4操作系統(tǒng)的漏洞和威脅 1 系統(tǒng)安全不允許未經(jīng)核準的用戶進入系統(tǒng) 從而可以防止他人非法使用系統(tǒng)的資源是系統(tǒng)安全管理的任務(wù) 2 用戶安全操作系統(tǒng)中 用戶對文件訪問權(quán)限的大小 是根據(jù)用戶分類 需求和文件屬性來分配的 3 資源安全資源安全是通過系統(tǒng)管理員或授權(quán)的資源用戶對資源屬性的設(shè)置 來控制用戶對文件 打印機等的訪問 4 通信網(wǎng)絡(luò)安全 4 1 1操作系統(tǒng)安全 操作系統(tǒng)的安全機制主要有身份鑒別機制 訪問控制和授權(quán)機制和加密機制 1 身份鑒別機制身份鑒別機制是大多數(shù)保護機制的基礎(chǔ) 分為內(nèi)部和外部身份鑒別兩種 2 訪問控制和授權(quán)機制訪問控制是確定誰能訪問系統(tǒng) 能訪問系統(tǒng)何種資源以及在何種程度上使用這些資源 3 加密機制加密是將信息編碼成像密文一樣難解形式的技術(shù) 4 1 2操作系統(tǒng)的安全機制 安全策略是根據(jù)組織現(xiàn)實要求所制定的一組經(jīng)授權(quán)使用計算機及信息資源的規(guī)則 它的目標是防止信息安全事故的影響降為最小 保證業(yè)務(wù)的持續(xù)性 保護組織的資源 防范所有的威脅 1 口令策略2 訪問控制與授權(quán)策略3 系統(tǒng)監(jiān)控和審計策略 1 建立并保存事件記錄 2 對系統(tǒng)使用情況進行監(jiān)控 4 1 3操作系統(tǒng)的安全策略 1 以操作系統(tǒng)為手段 獲得授權(quán)以外或未授權(quán)的信息 它危害計算機及其信息系統(tǒng)的保密性和完整性 例如 特洛伊木馬 邏輯炸彈 等都是如此 2 以操作系統(tǒng)為手段 阻礙計算機系統(tǒng)的正常運行或用戶的正常使用 3 以操作系統(tǒng)為對象 破壞系統(tǒng)完成指定的功能 除了計算機病毒破壞系統(tǒng)運行和用戶正常使用外 還有一些人為因素 如干擾 設(shè)備故障和誤操作也會影響軟件的正常運行 4 以軟件為對象 非法復(fù)制和非法使用 5 以操作系統(tǒng)為手段 破壞計算機及其信息系統(tǒng)的安全 竊聽或非法獲取系統(tǒng)的信息 4 1 4操作系統(tǒng)的漏洞和威脅 4 2Windows2000安全概述 4 2 1安全登錄4 2 2訪問控制4 2 3安全審計4 2 4WINDOWS2000的安全策略 返回本章首頁 4 2 1安全登陸 要求在允許用戶訪問系統(tǒng)之前 輸入惟一的登錄標識符和密碼來標識自己 安全特性有 1 用戶帳號 2 組 3 Kerberos身份驗證協(xié)議 4 2 2訪問控制 允許資源的所有者決定哪些用戶可以訪問資源和他們可以如何處理這些資源 所有者可以授權(quán)給某個用戶或一組用戶 允許他們進行各種訪問 安全特性有 1 活動目錄 2 NTFS的權(quán)限 3 共享文件訪問許可 4 分布式文件系統(tǒng) 4 2 3安全審計 提供檢測和記錄與安全性有關(guān)的任何創(chuàng)建 訪問或刪除系統(tǒng)資源的事件或嘗試的能力 登錄標識符記錄所有用戶的身份 這樣便于跟蹤任何執(zhí)行非法操作的用戶 1 審計資源的使用 2 監(jiān)控網(wǎng)絡(luò)資源的訪問行為 4 2 4WINDOWS2000的安全策略 1 Windows2000安全策略的內(nèi)容安全策略主要包括如下3個方面 本地安全策略 域安全策略 域控制器安全策略 1 本地組策略使用這些對象 組策略設(shè)置可以存儲在個人計算機上 無論這些計算機是否為ActiveDirectory環(huán)境或網(wǎng)絡(luò)環(huán)境的一部分 2 域安全策略和域控制器安全策略域安全策略和域控制器安全策略應(yīng)用于域內(nèi) 針對站點 域或組織單位設(shè)置組策略 域安全策略與域控制器安全策略的配置內(nèi)容相似 4 3WINDOWS2000的用戶安全和管理策略 4 3 1用戶賬戶和組4 3 2WINDOWS2000系統(tǒng)的用戶賬戶的管理4 3 3Windows2000組管理與策略 返回本章首頁 4 3 1用戶賬戶和組 在網(wǎng)絡(luò)環(huán)境中 用戶帳戶能用來保證系統(tǒng)安全 防止用戶非法使用計算機資源 用戶帳號最重要的組成部分是用戶名和密碼 1 用戶帳戶 1 用戶帳號的類型在Windows2000中有兩種用戶帳戶 本地用戶帳戶和域用戶帳戶 2 內(nèi)置用戶帳戶1 Administrator帳戶2 Guest帳戶2 組組是用戶帳戶的集合 通過組能夠極大地簡化用戶帳戶的管理任務(wù) 4 3 2WINDOWS2000系統(tǒng)的用戶賬戶的管理 1 管理的基本內(nèi)容為使管理過程合理化和實現(xiàn)適當(dāng)?shù)陌踩胧?在管理用戶賬戶時應(yīng)考慮如下5個問題 1 命名約定 2 密碼要求 3 登錄時間與站點限制 4 主文件夾的位置 5 配置文件的設(shè)置 2 設(shè)置賬戶策略為了增強用戶賬戶密碼的安全性和有效性 Windows2000將賬戶密碼的設(shè)置作為安全策略之一提供給管理員 設(shè)置的方法是使用組策略編輯器中的賬戶策略設(shè)置功能 賬戶策略包括賬戶的密碼策略 賬戶的鎖定策略和Kerberos策略三個方面 1 密碼策略密碼策略中的設(shè)置是有關(guān)密碼的設(shè)置 如圖所示 密碼策略包括下列6項限制 1 密碼最長存留期 2 密碼最短存留期 密碼最短存留期限制不允許用戶頻繁更換密碼 默認設(shè)置0表示用戶可以任何時候更換密碼 3 最小密碼長度 這是設(shè)置用戶所使用的密碼的最小長度 4 強制密碼歷史 該項設(shè)置的目的是為了避免用戶在短時間內(nèi)重復(fù)使用相同的密碼 默認情況下系統(tǒng)不會記錄密碼歷史 允許用戶不斷使用相同的密碼 5 密碼必須符合安裝的密碼篩選器的復(fù)雜性要求 6 用戶必須登錄以更改密碼 2 賬戶鎖定策略賬戶鎖定是用來設(shè)置用戶注冊失敗時的處理動作 在圖4 3中的賬戶鎖定區(qū)中 如果選擇了賬戶不鎖定策略的話 系統(tǒng)將對用戶的失敗注冊不做任何處理 為了防止他人猜中用戶的密碼 建議使用賬戶鎖定功能 4 3 3Windows2000組管理與策略 1 Windows2000組的形式從組的使用領(lǐng)域分為本地組 全局組和通用組三種形式 1 本地組在Professional和成員服務(wù)器中使用本地組 本地組給用戶訪問本地計算機上的資源提供權(quán)限 2 全局組全局組主要是用來組織用戶 也就是將多個網(wǎng)絡(luò)訪問權(quán)類似的用戶賬戶加人到同一個全局組內(nèi) 2 Windows2000組的規(guī)劃建立組應(yīng)按照下面準則進行 1 根據(jù)用戶的公共需求 邏輯上將用戶組織起來 2 在用戶賬戶駐留的每個域中 為每個用戶的邏輯組建立一個全局組 然后將適當(dāng)?shù)挠脩糍~戶添加到適當(dāng)?shù)娜纸M中 3 資源訪問需求為依據(jù)建立本地組 4 為本地組分配適當(dāng)?shù)臋?quán)限 5 將全局組添加到本地組中 6 作出組賬戶的規(guī)劃表 將組的信息列表 建立組賬戶規(guī)劃表 既便于清楚組及其關(guān)系 又有利于檢查和審計組賬戶的內(nèi)容 4 4NTFS文件和文件夾的存取控制 4 4 1Windows2000中的NTFS權(quán)限4 4 2在NTFS下用戶的有效權(quán)限4 4 3NTFS權(quán)限的規(guī)劃4 4 4共享文件和文件夾的存取控制 返回本章首頁 4 4 1Windows2000中的NTFS權(quán)限 NTFS NewTechnologyFileSystetm新技術(shù)文件系統(tǒng) 是微軟專為WindowsNT操作環(huán)境所設(shè)計的文件系統(tǒng) 并且廣泛應(yīng)用在WindowsNT操作環(huán)境環(huán)境所設(shè)計的文件系統(tǒng) 并且廣泛應(yīng)用在WindowsNT的后續(xù)版本W(wǎng)indows2000與WindowsXP中 與Windows系統(tǒng)過去使用的FAT FAT32格式的文件系統(tǒng)相比 NTFS具有如下優(yōu)勢 1 長文件名支持2 對文件目錄的安全控制 3 先進的容錯能力 4 不易受到病毒和系統(tǒng)崩潰的侵襲 返回本節(jié)目錄 1 NTFS文件權(quán)限的類型NTFS文件權(quán)限共有5種類型 讀取 寫入 讀取及運行 修改 完全控制 2 NTFS文件夾權(quán)限的類型Windows2000中 NTFS文件夾的權(quán)限的類型有6種 讀取 寫入 列出文件 夾目錄 讀取及運行 修改 完全控制 4 4 2在NTFS下用戶的有效權(quán)限 以下是用戶有效權(quán)限的使用規(guī)則 1 權(quán)限是可以累加的 2 拒絕 權(quán)限優(yōu)先于所有其他權(quán)限 3 文件權(quán)限優(yōu)先于文件夾的權(quán)限 4 4 3NTFS權(quán)限的規(guī)劃 規(guī)劃NTFS權(quán)限要考慮以下問題 1 對資源是建立本地組 還是使用內(nèi)置本地組 2 確定文件或文件夾需要什么權(quán)限 以及將它們分配給誰 1 對于程序文件夾 將 完全控制 權(quán)限分配給Administrators組和升級或調(diào)試軟件的組 將 讀取 權(quán)限分配給Users組 2 對于數(shù)據(jù)文件夾 只將 完全控制 權(quán)限分配給Administrators組和所屬權(quán) Owner 組 為Users組分配 寫入和讀取 權(quán)限 3 應(yīng)用 username 自動將用戶賬戶名分配給主文件夾 并自動將NTFS權(quán)限 完全控制 分配給各用戶 4 4 4共享文件和文件夾的存取控制 1 共享文件夾的概念所謂共享文件夾 就是給定適當(dāng)權(quán)限后 用戶可以通過網(wǎng)絡(luò)來訪問的文件和文件夾 2 共享文件夾的權(quán)限為了控制用戶對共享文件夾的訪問 可以利用共享文件夾的權(quán)限進行 共享文件夾的權(quán)限規(guī)定了用戶可以對共享文件夾進行的操作 3 共享文件夾的規(guī)劃在開始設(shè)置共享文件夾之前 需要對共享文件夾進行規(guī)劃 以保證共享文件夾的安全與有效 4 5使用資源審核 4 5 1審核事件4 5 2事件查看器5 5 3使用審核資源 返回本章首頁 4 5 1審核事件 審核功能用于跟蹤用戶訪問資源的行為與Windows2000的活動情況 這些行為或活動 稱為事件 會被記錄到日志文件內(nèi) 利用 事件查看器 可以查看這些被記錄的審核數(shù)據(jù) 在Windows2000中 可以被審核并記錄在安全日志中的事件類型有 1 審核策略更改 2 審核登錄事件 3 審核對象訪問 4 審核過程追蹤 5 審核目錄服務(wù)訪問 6 審核特權(quán)使用 7 審核系統(tǒng)事件 8 審核賬戶登錄事件 9 審核賬戶管理 4 5 2事件查看器 1 查看事件記錄可以通過以下兩種方法來啟動 事件查看器 1 用鼠標右鍵單擊桌面上的 我的電腦 管理 系統(tǒng)工具 事件查看器 2 開始 程序 管理工具 事件查看器 2 設(shè)置日志文件的大小可以針對每個日志文件 系統(tǒng) 安全 應(yīng)用程序等 來更改其設(shè)置 例如 日志文件容量的大小等 9 審核賬戶管理 3 篩選事件日志中的事件如果日志文件內(nèi)的事件太多 造成不易查找事件時 可以利用篩選事件的方式 讓它只顯示特定的事件 4 存儲日志文件的格式存儲日志文件的格式可以是以下3種形式 1 事件日志 其擴展名為 evt 2 文本 以制表符分隔 其擴展名為 txt 3 CSV 逗號分隔 其擴展名為 csv 4 5 3使用審核資源 1制定審核策略制定審核策略時主要考慮以下問題 1 確定要審核的事件類型 如 1 訪問網(wǎng)絡(luò)資源 如文件 文件夾或打印機等 2 用戶登錄和注銷 3 關(guān)閉和重新啟動運行Windows2000Server的計算機 4 修改用戶賬戶和組 2 確定審核成功的事件還是審核失敗的事件 或者兩者都審核 推薦的審核是 1 賬戶管理 成功 失敗 2 登錄事件 成功 失敗 3 對象訪問 失敗 4 策略更改 成功 失敗 5 特權(quán)使用 失敗 6 系統(tǒng)事件 成功 失敗 7 目錄服務(wù)訪問 失敗 8 賬戶登錄事件 成功 失敗 4 6WINDOWS2000的安全應(yīng)用 在應(yīng)用Windows2000Server操作系統(tǒng)的過程中 應(yīng)對Windows2000Server操作系統(tǒng)進行安全地配置與應(yīng)用 主要從下面幾點出發(fā) 1 服務(wù)器的安全服務(wù)器應(yīng)該安放在安裝有監(jiān)視器的隔離房間內(nèi) 并且監(jiān)視器要保留15天以上的攝像記錄 另外 機箱 鍵盤 電腦桌抽屜要上鎖 以確保即使旁人進入房間也無法使用計算機 鑰匙要放在安全的地方 2 用戶安全設(shè)置 1 禁用Guest賬號在計算機管理的用戶里面將Guest賬號禁用 2 限制不必要的用戶去掉所有的DuplicateUser用戶 測試用戶 共享用戶等等 3 創(chuàng)建兩個或多個管理員賬號創(chuàng)建一個一般權(quán)限用戶 用來收信并處理一些日常事務(wù) 另一個擁有Ad ministrators權(quán)限的用戶只在需要的時候使用 4 將系統(tǒng)Administrator賬號改名 5 創(chuàng)建一個陷阱用戶陷阱用戶就是創(chuàng)建一個名為 Administrator 的本地用戶 把它的權(quán)限設(shè)置成最低 并且加上一個超過10位的超級復(fù)雜密碼 這樣可以讓那些Hacker們忙上一段時間 借此發(fā)現(xiàn)他們的人侵企圖 6 將共享文件的權(quán)限從Everyone組改成授權(quán)用戶任何時候都不要把共享文件的用戶設(shè)置成 Everyone 組 包括打印機 默認的屬性就是 Everyone 組的 一定不要忘了改 7 開啟用戶策略使用用戶策略 分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20min 用戶鎖定時間為20min 戶鎖定閾值為3次 8 不讓系統(tǒng)顯示上次登錄的用戶名 9 密碼安全設(shè)置 3 應(yīng)用程序安全策略創(chuàng)建一個只有系統(tǒng)管理員才有訪問及運行權(quán)限的目錄 將 system system32目錄下的網(wǎng)絡(luò)應(yīng)用程序及對文件 目錄 注冊表操作的文件移到新建的目錄中 4 使用syskey exe對系統(tǒng)口令數(shù)據(jù)庫存進行加密SAM加密算法強度不夠 使得密碼很容易就被入侵者猜出來 syskey exe是WindowsNT4 0從sp3開始提供的小工具 它對賬號數(shù)據(jù)庫提供附加保護 防止Crack工具直接提取用戶信息 5 刪除 system repair目錄 6 審計日志7 掃描程序評估一個系統(tǒng)的安全與否最基本的方法就是使用掃描程序 8 口令攻擊程序口令攻擊程序并不完全只是一種安全威脅 也可以是一個有用的工具 9 防火墻10 日志及審計工具12 安全恢復(fù)11 建立好的安全恢復(fù)機制 1 創(chuàng)建系統(tǒng)緊急修復(fù)盤 2 定期將系統(tǒng)中的重要數(shù)據(jù)進行備份 本章小結(jié) 操作系統(tǒng)是信息系統(tǒng)最基本 最關(guān)鍵的系統(tǒng)軟件 它為用戶及其應(yīng)用程序和硬件之間提供了一個接口 對計算機的有效 合理使用 對資源的管理和保護是十分重要的 操作系統(tǒng)的安全表現(xiàn)在系統(tǒng)安全 用戶安全 資源安全和通信安全等方面 其保證機制就是用戶身份驗證 授權(quán)訪問和審計 本章主要講述了操作系統(tǒng)的安全性及安全配置 Windows2000server中的用戶管理及其策略 Windows2000server中的文件訪問權(quán)限及其策略 Windows2000server中的資源審計 Thankyouverymuch 返回本章首頁 退出- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 操作系統(tǒng)安全策略 操作系統(tǒng) 安全策略 PPT 課件
鏈接地址:http://www.szxfmmzy.com/p-8153865.html