安全生产操作系统安全Word格式文档下载.docx

资源描述

安全生产操作系统安全Word格式文档下载.docx

《安全生产操作系统安全Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《安全生产操作系统安全Word格式文档下载.docx（21页珍藏版）》请在冰豆网上搜索。

安全生产操作系统安全Word格式文档下载.docx

当出现安全性事件的时候采取的一组规则

3、安全管理：

系统安全管理：

管理计算机环境的安全性，包括定义策略，选择安全性机制，负责审核和恢复进程

安全服务管理：

安全机制管理：

实现具体的安全技术

二、NT的安全性：

当一个系统刚安装好的时候，处于一个最不安全的环境

1、NT的安全性组件：

随机访问控制：

允许对象的所有人制定别人的访问权限

对象的重复使用：

强制登陆：

通过对象来控制对资源的访问

对象：

将资源和相应的访问控制机制封装在一起，称之为对象，系统通过调用对象来提供应用对资源的访问，禁止对资源进行直接读取

包括：

文件（夹），打印机，I/O设备，视窗，线程，进程，内存

安全组件：

安全标识符：

SID，可变长度的号码，用于在系统中唯一标示对象，在对象创建时由系统分配，包括域的SID和RID。

创建时根据计算机明、系统时间、进程所消耗CPU的时间进行创建。

S-1-5-<

domain>

-500

Administrator

Auseraccountforthesystemadministrator.Thisaccountisthefirstaccountcreatedduringoperatingsysteminstallation.Theaccountcannotbedeletedorlockedout.ItisamemberoftheAdministratorsgroupandcannotberemovedfromthatgroup.

-501

Guest

Auseraccountforpeoplewhodonothaveindividualaccounts.Thisuseraccountdoesnotrequireapassword.Bydefault,theGuestaccountisdisabled.

S-1-5-32-544

Administrators

Abuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberofthegroupistheAdministratoraccount.Whenacomputerjoinsadomain,theDomainAdminsgroupisaddedtotheAdministratorsgroup.Whenaserverbecomesadomaincontroller,theEnterpriseAdminsgroupalsoisaddedtotheAdministratorsgroup.

TheAdministratorsgrouphasbuilt-incapabiltiesthatgiveitsmembersfullcontroloverthesystem.Thegroupisthedefaultownerofanyobjectthatiscreatedbyamemberofthegroup.

S-1-5-32-545

Users

Abuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberistheAuthenticatedUsersgroup.Whenacomputerjoinsadomain,theDomainUsersgroupisaddedtotheUsersgrouponthecomputer.

Userscanperformtaskssuchasrunningapplications,usinglocalandnetworkprinters,shuttingdownthecomputer,andlockingthecomputer.Userscaninstallapplicationsthatonlytheyareallowedtouseiftheinstallationprogramoftheapplicationsupportsper-userinstallation.

实验：

察看用户的SID

访问控制令牌：

包含

创建：

仅在用户登录的时候，刷新

作用：

访问资源的凭证

安全描述符：

每一个对象都具有，包括对象的SID，组的SID，随机访问控制列表和系统访问控制列表

访问控制列表：

进行访问控制和审核的方式，由一系列ACE构成

DACL：

控制资源的访问类型和深度

SACL：

控制对资源的审核

ACL

ACE：

表示一个用户对此资源的访问权限，拒绝优先于允许

访问过程：

安全子系统：

Figure6.1WindowsNTSecurityComponents

重要组件：

LSA

SAM：

存储用户密码

Netlogon：

在验证的双方之间建立安全通道

三、UNIX安全性：

1、病毒攻击：

2、缓存区溢出：

crond,wu-ftp,sendmail

3、/etc/passwd和/etc/shadow文件的安全

4、non-rootuseraccesstosensitivecommands:

poweroff,reboot,halt

Pluggableauthenticationmodules:

PAMs,createadditionalauthenticationparameterswithoutaffectingexistingauthenticationsystems

PAMdirectory:

/etc/pam.d/determinewhatmustoccurbeforeausercanloggedin

/etc/security/setlimitsconcerningusersanddaemonsoncetheyhaveloggedontothesystem

/lib/security/theactuallocationofthePAMmodules

PAMentryformat:

Moduletypeflagspathargs

Moduletype:

determineauthenticationtype

Flags:

determinemoduletypepriority

Path:

determinemodulelocationinthesystem

Args:

optional,customizePAMbehavior

/etc/securitydirectory:

access.conf:

determineswhocanaccessthemachineandfromwhere

group.conf:

determineswhichgroupcanlogin

time.conf:

setlogontimelimits

limits.conf:

setlimitsbaseduponpercentageofprocessorusageornumberofprocessesausercanrunsimultaneously

第二章账号安全性

账号安全性概述

NT账号的安全性

UNIX账号的安全性

一、账号安全性：

归根结底是保护密码的安全性

1、强力密码：

包含大小写，数字和特殊字符，不包含用户名和个人信息

2、赋予最低的权限和及时清理无用的账号

二、NT账号的安全性

1、定期检查账号数据库，掌握账号的变化；

同时定期察看系统的的调度任务

2、使用账号策略来强化密码的安全性：

在2000中账号策略必须在域的级别来进行设置

密码策略

账号锁定策略

Kerberos策略

区别：

2000最多支持127位密码，NT最多14位，在存储密码时以7位为单位，所以选择密码时应为7的整数倍

NT缺省不禁用管理员账户，2000可以远程禁用

在设置账号锁定时，要考虑会产生拒绝服务的攻击

3、激活密码复杂性需要

4、重命名管理员账户

5、限制管理员登录的工作站

6、限制账户的登录时间

7、使用SYSKEY加强对SAM的安全防护

三、UNIX账号的安全性

1、密码文件：

/etc/passwd：

everyonecanread,butonlyrootcanownitandchangeit

/etc/shadow：

onlyrootcanreadandwriteit

2、账号策略：

3、限制登录：

Solaris:

/etc/default/loginconsole=/dev/console

Linux:

/etc/securitylistthedevicenamewhererootcanlogin

Log:

/etc/default/sucanincludesulog=/var/adm/sulog

4、限制shell:

使用rksh来限制用户所能够完成的工作

限制输入输出的重定向

检查路径

限制更改路径

限制更改环境变量

5、监视账户：

wtmp

6、检查路径参数：

Windows2000:

looksincurrentdirectoryforapplication

looksatpathstatement

Unix:

onlylooksatpathstatement

DonotsetthecurrentdirectoryinthefirstplaceofthePATH

DonotallowwritepermissionfornormalusersaboutdirectoryinPATHofroot

7、使用系统级别的日志

syslogd:

使用/etc/syslog.conf进行配置

inetd:

使用-t选项激活日志功能，可以记录相应服务的运行情况

第三章文件系统安全性

windows文件安全性

Linux文件安全性

一、windows文件系统安全：

1、所支持的文件系统：

FAT16,FAT32,NTFS4.0,NTFS5.0,CDFS

2、NTFS权限：

标准的权限

权限单元

权限的继承：

ACL列表的拷贝

权限的迁移：

移动和拷贝

磁盘的分区：

系统，程序和数据

注意：

erveryone和authenticatedusers的区别

缺省，新建的文件权限为everyonefullcontrol

新添加用户的权限位readonly

3、EFS:

作用：

利用公钥技术，对磁盘上存储的静态数据进行加密保护的措施。

原理：

根据用户的身份为每个用户构建一对密钥

实现：

恢复代理：

为了防止出现由于密钥损坏造成数据不能正常解密而构建的一种补救措施。

如何恢复：

如何添加恢复代理：

注意事项：

只有被授权的用户或恢复代理才能访问加密的文件

加密和压缩是相斥的

对文件的重命名，移动不会影响加密属性

至少需要一个恢复代理

仅能对静态存储的数据进行加密，若需要网络中传输的数据提供安全性，可使用IPSec和PPTP

对一个文件夹加密，则此文件夹内所有新创建的文件均会被加密

若将一个加密后的文件移动一个非NTFS文件系统上，则加密属性丢失，除Backup外,所以应该分别分配备份和恢复的权利并谨慎分配恢复的权利

4、磁盘限额：

基于文件和文件夹的所有权来统计用户所使用的磁盘空间

对于压缩状态的文件按非压缩状态统计磁盘空间的使用量

基于分区水平上的

剩余空间是指可供用户使用的磁盘限额内剩余空间的大小

可以设置当用户超出限额时是仅仅提出警告还是拒绝提供空间

可以针对所有用户也可针对个别用户设置

设置限额后，对已有的用户存储不进行限额，但可对老用户添加限额

管理员组的成员不受限额的影响

仅管理员组的成员有权利设置限额

5、共享安全性：

谨对网络访问生效

仅能对文件夹设置共享，不能针对文件设置缺省

Administrators、ServerOperators、PowerUsersgroup有权利设置共享

新建共享后，Everyonegroup是FC

所能接受的最大用户数：

Win2kProfessional10Win2kServeCAL

Permission：

Read、Change、FC

Deny优先于Allow的权限若用户属于多个组，则sharesecurity取并集

可以在FAT、FAT32、NTFS上设置共享

6、联合NTFS安全性和共享安全性：

网络访问取交集

本地访问仅考虑NTFS安全性

隐藏文件：

attrib+Hdirectory

NTFS文件分流：

不需要重新共建文件系统就能够给一个文件添加属性和信息的机制，Macintosh的文件兼容特性。

需使用NTRK中POSIX的工具cp

cpnc.exeoso001.009:

nc.exe

反分流：

cposo001.009:

nc.exenc.exe

分流后oso001.009大小没有变化，但修改日期可能会有变化

分流后不能直接执行：

startoso001.009:

删除：

需把文件拷贝到FAT分区，在拷贝会NTFS分区

搜索：

唯一可靠的工具是ISS的Streamfinder.

二、linuxfilesystemsecurity:

ls–loutput:

drwxrwxrwx5jamesjames120Mar2117:

22account