网络安全技术08.ppt

《网络安全技术08.ppt》由会员分享，可在线阅读，更多相关《网络安全技术08.ppt（34页珍藏版）》请在一课资料网上搜索。

1、第八章 Windows操作系统安全,8,内容提要,Windows 系统架构。 Windows 安全模型 Windows 安全机制 Windows系统安全增强方法 Windows安全配置方案 Windows常见漏洞与解决方法 安全操作系统的研究发展,8.1 Windows系统架构,Windows XP的结构是层次结构和C/S结构的混合体,Windows XP的系统结构,8.2 Windows安全模型,Windows系统在安全设计上有专门的安全子系统。 安全子系统主要组成部分： 本地安全授权（LSA） 安全帐户管理（SAM） 安全参考监视器（SRM,Windows安全子系统,8.3 Windows

2、安全机制,Windows认证机制 Windows访问控制机制 Windows审计/日志机制 Windows协议过滤和防火墙 Windows文件加密系统,8.4 Windows系统安全增强方法,安全漏洞打补丁； 停止服务和卸载软件； 升级或更换程序； 修改配置或权限； 去除特洛伊等恶意代码； 安装专用的安全工具软件,8.5 Windows安全配置方案,Windows安全初级配置 安全初级配置主要介绍常规的操作系统安全配置，包括十二条基本配置原则： 物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区

3、运行防毒软件和确保备份盘安全,8.5 Windows安全配置方案,Windows安全中级配置 安全中级配置主要介绍操作系统的安全策略配置，包括十条基本配置原则： 操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新的补丁,8.5 Windows安全配置方案,Windows安全高级配置 高级篇介绍操作系统安全信息通信配置，包括十四条配置原则： 关闭DirectDraw、关闭默认共享 禁用Dump File、文件加密系统 加密Temp文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、使用智能卡、

4、使用IPSec 禁止判断主机类型、抵抗DDOS 禁止Guest访问日志和数据恢复软件,8.6 Windows常见漏洞与解决方法,Unicode漏洞 ISAPI缓冲区扩展溢出 IIS RDS（Remote Data Services） NetBIOS 空对话连接造成的信息泄露 SAM中的弱散列（LAN Manager hash） RPC漏洞,Unicode漏洞,Unicode漏洞描述 P132 漏洞解决方法： 下载Microsoft的最新补丁; 使用IIS Lockdown和URL Scan可以避免利用该漏洞进行的攻击,ISAPI缓冲区扩展溢出,漏洞描述 安装IIS后，就自动安装了多个ISAPI

5、扩展。 ISAPI，即Internet Services Application Programming Interface，允许开发人员使用DLL扩展IIS服务器的性能。一些动态链接库安全系统ppt，例如idq.dll，存在编程错误，做不正确的边界检查，特别是不阻塞超长字符串。因此攻击者可以利用这一点向DLL发送数据，造成缓冲区溢出，进而控制IIS服务。 漏洞解决方法： 安装最新的Microsoft补丁 检查并取消所有不需要的ISAPI扩展； 使用IIS Lockdown和URL Scan避免这类攻击,IIS RDS（Remote Data Services,漏洞描述 攻击者可以利用IIS RDS（Rem

6、ote Data Services）中的漏洞以Administrator权限在远端运行命令。 漏洞解决方法： 升级到2.1版的MDAC，下载地址： http:/ 遵循以下安全公告指南： http:/ http:/ http:/,NetBIOS,漏洞描述 SMB协议允许网络间的文件共享。攻击者利用Windows文件共享获取系统的敏感信息，用户和组信息、系统信息某种注册密钥都可以通过与NetBIOS对话服务连接的一个“空对话”过程获得。 漏洞解决方法： 在共享数据时，确保只共享所需目录； 为增加安全性，只对特定IP地址进行共享，因为DNS名可以欺诈； 只允许特定用户访问共享文件夹； 禁止通过“空对

7、话”连接对用户、组、系统配置和注册密钥进行匿名列举； 对主机或路由器上的NetBIOS会话服务（TCP 139），Microsoft CIFS（TCP/UDP 445）禁止不绑定的连接,空对话连接造成的信息泄露,漏洞描述 一个空对话连接（null session）也称为匿名登录，是一种允许匿名用户获取信息，或不需认证进行连接的机制。很多操作系统都使用SYSTEM账号，当一台主机需要从另一台主机上获取系统信息时， SYSTEM账号会为另一台主机建立一个空对话。 SYSTEM使用空对话连接进入，攻击者也可以以相同进入。 漏洞解决方法： 修改注册表； 禁用TCP/IP上的NetBIOS； 启用防火墙

8、，进行边界端口过滤,SAM中的弱散列（LAN Manager hash,漏洞描述 微软在Windows NT和2000系统里默认安装了LAN Manager口令散列。由于LAN Manager 使用的加密机制比微软现在的方法脆弱，LAN Manager 的口令能在很短的时间内被破解。 漏洞解决方法： 取消LAN Manager 在整个网络的鉴定功能，使用NTLMv2（NT LanManager version 2）； 修改注册表的键值,RPC漏洞,漏洞描述 P141 漏洞解决方法： 下载安装最新的补丁程序； 使用防火墙阻断一些端口； 在上述两种方法不能实现时，可以考虑暂时禁用DCOM,8.7安

9、全操作系统的研究发展,操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用 没有操作系统提供的安全性，信息系统的安全性是没有基础的,国外安全操作系统的发展,Multics是开发安全操作系统最早期的尝试。1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统，其目标是要向大的用户团体提供对计算机的并发访问，支持强大的计算能力和数据存储，并具有很高的安全性。贝尔实验室中后来参加UNIX早期研究的许多人当时都参加了Multics的开发工作。 由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想。事实上连他们自己

10、也不清楚什么时候，开发到什么程度才算达到设计的目标。虽然Multics未能成功，但它在安全操作系统的研究方面迈出了重要的第一步，Multics为后来的安全操作系统研究积累了大量的经验，其中Mitre公司的Bell和La Padula合作设计的BLP安全模型首次成功地用于Multics，BLP安全模型后来一直都作为安全操作系统开发所采用的基础安全模型,国外安全操作系统的发展,Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50的安全控制的研究成果。安全Adept-50运行于IBM/360硬件平台，它以一个形式化的安全模型高水印模型（H

11、igh-Water-Mark Model）为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。在该系统中可以为客体标上敏感级别（Sensitivity Level）属性。系统支持的基本安全条件是，对于读操作不允许信息的敏感级别高于用户的安全级别（Clearance）；在授权情况下，对于写操作允许信息从高敏感级别移向低敏感级别,国外安全操作系统的发展,1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（Access Matrix）的思想第一次对访问控制问题进行了抽象。主体是访问操作中的主动实体，客体是

12、访问操作中被动实体，主体对客体进行访问。访问矩阵以主体为行索引、以客体为列索引，矩阵中的每一个元素表示一组访问方式，是若干访问方式的集合。矩阵中第i行第j列的元素Mij记录着第i个主体Si可以执行的对第j个客体Oj的访问方式，比如MijRead，Write表示Si可以对Oj进行读和写操作。 1972年，J.P.Anderson在一份研究报告中提出了访问监控器（Reference Monitor）、引用验证机制（Reference Validation Mechanism）、安全内核（Security Kernel）和安全建模等重要思想。J.P.Anderson指出，要开发安全系统，首先必须建立

13、系统的安全模型，完成安全系统的建模之后，再进行安全内核的设计与实现,国外安全操作系统的发展,1973年，B.W.Lampson提出了隐蔽通道的概念，他发现两个被限制通信的实体之间如果共享某种资源，那么它们可以利用隐蔽通道传递信息。同年，D.E.Bell和L.J.LaPadula提出了第一个可证明的安全系统的数学模型，即BLP模型。1976年Bell和LaPadula完成的研究报告给出了BLP模型的最完整表述，其中包含模型的形式化描述和非形式化说明，以及模型在Multics系统中实现的解释。 PSOS（Provably Secure Operating System）提供了一个层次结构化的基于权

14、能的安全操作系统设计，1975年前后开始开发。PSOS采用了层次式开发方法，通过形式化技术实现对安全操作系统的描述和验证，设计中的每一个层次管理一个特定类型的对象，系统中的每一个对象通过该对象的权能表示进行访问。 KSOS（Kernelized Secure operating System）是美国国防部研究计划局1977年发起的一个安全操作系统研制项目，由Ford太空通讯公司承担。KSOS采用了形式化说明与验证的方法，目标是高安全可信性,国外安全操作系统的发展,UCLA Secure Unix也是美国国防部研究计划局于1978年前后发起的一个安全操作系统研制项目，由加里福尼亚大学承担。UCL

15、A Secure Unix的系统设计方法及目标几乎与KSOS相同。 LINVS 是1984年开发的基于UNIX的一个实验安全操作系统，系统的安全性可达到美国国防部橘皮书的B2级。它以4.1BSD Unix为原型，实现了身份鉴别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功能。 Secure Xenix是IBM公司于1986年在SCO Xenix的基础上开发的一个安全操作系统，它最初是在IBM PC/AT平台上实现的。Secure Xenix对Xenix进行了大量的改造开发，并采用了一些形式化说明与验证技术。它的目标是TCSEC的B2到A1级。IBM公司的V.D.Gligor等

16、在发表Secure Xenix系统的设计与开发成果中，把Unix类的安全操作系统开发方法划分成仿真法和改造/增强法两种方式。Secure Xenix系统采用的是改造/增强法。另外值得指出的是Secure Xenix系统基于安全注意键（SAK，Secure Attention Key）实现了可信通路（Trusted Path），并在安全保证方面重点考虑了3个目标：系统设计与BLP模型之间的一致性；实现的安全功能的测试；软件配置管理工具的开发,国外安全操作系统的发展,1987年，美国Trusted Information Systems公司以Mach操作系统为基础开发了B3级的Tmach（Trus

17、ted Mach）操作系统。除了进行用户标识和鉴别及命名客体的存取控制外，它将BLP模型加以改进，运用到对MACH核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制和对端口、存储对象、任务等的安全标识来加强微核心的安全机制。 1989年，加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。在实现中安全TUNIS改进了BLP模型,并用Turing Plus语言（而不是C）重新实现了Unix内核，模块性相当好。Turing Plus是一种强类型高级语言，其大部分语句都具有用于正确性证明的形式语义。在发表安全TUNIS设计开发成果中，Gernier等指出，如果不进行系统的重新

18、设计，以传统Unix系统为原型，很难开发出高于TCSEC标准的B2级安全操作系统，这一方面是因为用于编写Unix系统的C语言是一个非安全的语言，另一方面是因为Unix系统内部的模块化程度不够。安全TUNIS系统的设计目标是B3-A1级，支持这个目标的关键也在于：第一其采用了Turing Plus语言，第二其采用了安全策略与安全机制相分离的方法，并提供了一个简单而结构规范的TCB，从而简化了TCB的验证工作,国外安全操作系统的发展,ASOS（Army Secure Operating System）是针对美军的战术需要而设计的军用安全操作系统，由TRW公司1990年发布完成。ASOS由两类系统组

19、成，其中一类是多级安全操作系统，设计目标是TCSEC的A1级；另一类是专用安全操作系统，设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序，都能根据不同的战术应用需求进行配置，都可以很容易地在不同硬件平台间移植，两类系统还提供了一致的用户界面。从具体实现上来看，ASOS操作系统还具有5个主要特点：ASOS操作系统本身也主要是用Ada语言实现的；ASOS采用访问控制列表（Access Control List，ACL）实现了细粒度的自主访问控制；ASOS依据BLP模型实现了防止信息泄露的强制访问控制，依据Biba模型实现了确保数据完整性的强制访问控制；ASOS在形式化验

20、证中建立了两个层次的规范和证明，一个层次用于抽象的安全模型，另一个层次用于形式化顶层规范；用于证明系统安全性的主要工具是Gypsy验证环境（GVE），ASOS开发了一个在GVE中工作的流分析工具，用于分析系统设计中潜在的隐蔽通道,国外安全操作系统的发展,OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现4个方面：系统标识；口令管理；强制存取控制和自主存取控制；审计。 UNIX SVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合T

21、CSEC的B2级，除OSF/1外的安全性主要表现在4个方面：更全面的存取控制；最小特权管理；可信通路；隐蔽通道分析和处理。 1991年，在欧洲共同体的赞助下，英、德、法、荷四国制定了拟为欧共体成员国使用的共同标准信息技术安全评定标准（ITSEC）。随着各种标准的推出和安全技术产品的发展，美国和同加拿大及欧共体国家一起制定通用安全评价准则（Common Criteria for IT Security Evaluation，CC），1996年1月发布了CC的1.0版。CC标准的2.0版已于1997年8月颁布，并于1999年7月通过国际标准组织认可，确立为国际标准，即ISO/IEC 15408,国

22、外安全操作系统的发展,在1992到1993年之间，美国国家安全局（NSA）和安全计算公司（SCC）的研究人员在TMach项目和LOCK项目的基础上，共同设计和实现了分布式可信Mach系统（Distributed Trusted Mach，DTMach）。DTMach项目的后继项目是分布式可信操作系统（Distributed Trusted Operating System，DTOS）。DTOS项目改良了早期的设计和实现工作，产生了一些供大学研究的原型系统，例如Secure Transactional Resources、DX等。此外DTOS项目产生了一些学术报告、系统形式化的需求说明书、安全策

23、略和特性的分析、组合技术的研究和对多种微内核系统安全和保证的研究。当DTOS项目快要完成的时候，NSA、SCC和犹他州大学的Flux项目组联合将DTOS安全结构移植到Fluke操作系统研究中去。在将结构移植到Fluke的过程中，他们改良了结构以更好地支持动态安全策略。这个改良后的结构就叫Flask。一些Flask的接口和组件就是从Fluke到OSKit中的接口和组件中继承下来的,国外安全操作系统的发展,2001年，Flask由NSA在Linux操作系统上实现，并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux（SELinux）包括代码和所有文档。 与传统的基于TCSEC标准的开

24、发方法不同，1997年美国国家安全局和安全计算公司完成的DTOS安全操作系统采用了基于安全威胁的开发方法。设计目标包括3个方面： （1）策略灵活性：DTOS内核应该能够支持一系列的安全策略，包括诸如国防部的强制存取控制多级安全策略； （2）与Mach兼容，现有的Mach应用应能在不做任何改变的情况下运行； （3）性能应与Mach接近,SELinux以Flask安全体系结构为指导，通过安全判定与安全实施的分离实现了安全策略的独立性，借助访问向量缓存（AVC）实现了对动态策略的支持。SELinux定义了一个类型实施（TE）策略，基于角色的访问控制（RBAC）策略和多级安全（MLS）策略组合的安全策

25、略，其中TE和RBAC策略总是系统实现的安全策略的有机组成。 EROS（Extremely Reliable Operating System）是一种基于权能（Capability，权能）的高性能微内核实时安全操作系统，是GNOSIS（后命名为KeyKOS）体系结构的第三代实现。EROS最初由美国宾西法尼亚大学开发，此项目现已转入约翰霍普金斯大学。目前，EROS仍处在研究开发阶段，只支持Intel 486以上的系列芯片。第一个EROS内核已在1999年完成，现在开发的版本是EROS 2.0，不久就会发布。EROS的源代码遵守GPL规范，可在其网站（http:/www.eros-os.org）获

26、得。 其他还有一些安全操作系统开发项目，如Honeywell的STOP、Gemini的GEMSOS、DEC的VMM(Virtual Machine Monitor)等，以及HP和Data General等公司开发的安全操作系统,国内安全操作系统的发展,国内也进行了许多有关安全操作系统的开发研制工作，并取得了一些研究成果。1990年前后，海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面的探讨，他们都是参照美国TCSEC标准的B2级安全要求，基于UNIX System V3.2进行安全操作系统的研究与开发。 1993年，海军计算技术研究所继续按照美国TCSEC标准的B2级安全要

27、求，围绕Unix SVR4.2/SE，实现了国产自主的安全增强包。 1995年，在国家“八五”科技攻关项目“COSA国产系统软件平台”中，围绕UNIX类国产操作系统COSIX V2.0的安全子系统的设计与实现，中国计算机软件与技术服务总公司、海军计算技术研究所和中国科学院软件研究所一起参与了研究工作。COSIX V2.0安全子系统的设计目标是介于美国TCSEC的B1和B2级安全要求之间，当时定义为B1，主要实现的安全功能包括安全登录、自主访问控制、强制访问控制、特权管理、安全审计和可信通路等,国内安全操作系统的发展,1996年，由中国国防科学技术工业委员会发布了军用计算机安全评估准则GJB26

28、4696（一般简称为军标），它与美国TCSEC基本一致。 1998年，电子工业部十五所基于UnixWare V2.1按照美国TCSEC标准的B1级安全要求，对Unix操作系统的内核进行了安全性增强。 1999年10月19日，我国国家技术监督局发布了国家标准GB178591999计算机信息系统安全保护等级划分准则，为计算机信息系统安全保护能力划分了等级。该标准已于2001年起强制执行。Linux自由软件的广泛流行对我国安全操作系统的研究与开发具有积极的推进作用。2001年前后，我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。这包括,国内安全操作系统的发展,中国科学院信

29、息安全技术工程研究中心基于Linux资源，开发完成了符合我国GB178591999第三级（相当于美国TCSEC B1）安全要求的安全操作系统SecLinux。SecLinux系统提供了身份标识与鉴别、自主访问控制、强制访问控制、最小特权管理、安全审计、可信通路、密码服务、网络安全服务等方面的安全功能。 依托南京大学的江苏南大苏富特软件股份有限公司开发完成了基于Linux的安全操作系统SoftOS，实现的安全功能包括：强制访问控制、审计、禁止客体重用、入侵检测等。 信息产业部30所控股的三零盛安公司推出的强林Linux安全操作系统，达到了我国GB178591999第三级的安全要求,国内安全操作系统的发展,中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统，实现了符合我国GB178591999第三级要求的安全功能。中国计算机软件与技术服务总公司以美国TCSEC标准的B1级为安全目标，对其COSIX V2.0进行了安全性增强改造。 此外，国防科技大学、总参56所等其他单位也开展了安全操作系统的研究与开发工作。2001年3月8日，我国国家技术监督局发布了国家标准GB/T183362001信息技术安全技术 信息技术安全性评估准则，它基本上等同采用了国际通用安全评价准则CC。该标准已于2001年12月1日起推荐执行，这将对我国安全操作系统研究与开发产生进一步的影响

（编辑：天瑞地安资讯网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!