计算机安全技术第四章讲义资料
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/7/30
2020/7/30
Contents
1
Windows系统
2
UNIX系统
3
Linux系统
2020/7/30
4-1 Windows系统
Windows9X目前是在普通用户的PC机上使用的 最广泛的操作系统。尤其是Windows98,占 据了中国绝大多数PC用户的操作系统市场 。
Windows9X在具有众多优点的同时,它也有十 分明显的缺点。如稳定性和安全性都欠佳 。Windows95/98极易受到黑客的攻击和病 毒的侵犯,一般的网络用户都可以使用一 些特种软件工具轻而易举地让Windows9X蓝 屏和死机。 2020/7/30
安全设置
• 安全设置定义了系统的安全相关操作。其 中包括:
1. 管理员可使用安全模板管理单元定义和使 用安全模板
2. 管理员可以使用安全设置和分析管理单元 来设置和分析本地的安全性
3. 管理员可以使用组策略来设置Active Directory中的安全性
2020/7/30
Windows XP 的安全性
• 不是所有的安全问题都发生在桌面系统上。使用外部防火 墙/路由器来帮助保护你的计算机是个好想法,哪怕你只 有一台计算机。如果考虑低端产品,可以购买一个零售路 由器设备,比如Linksys、D-Link和Netgear等厂商的路由 器。如果考虑比较高端的产品,可以向思科、Networks等 企业级厂商购买管理型交换机、路由器和防火墙。
2020/7/30
2020/7/30
案例一:无法显示桌面图标 • 问题分析:大多数情况下,无法显示桌面
图标是因为系统启动的时候无法加载 explorer.exe或者Explorer.exe文件被破坏 了。
2020/7/30
• 解决方法:
• 1、在“开始”“运行”处输入regedit,启动 注册表,找到下面路径,如果shell下没有 explorer.exe那就自己鼠标右键新建一个 explorer.exe即可路径 :\HKEY_LOCAL_MACHINE\SOFTWARE\Mi crososft\Windows NT\CurrentVersion\Winlogon\Shell
2020/7/30
六、通过备份保护数据
• 对数据进行备份是你用来保护自己、避免 灾难的最重要的方法之一。确保数据冗余 的策略有很多,既有像定期把数据拷贝到 光盘上这样简单、基本的策略,也有像定 期自动备份到服务器上这样复杂的策略。
2020/7/30
七、不要信任外来ຫໍສະໝຸດ Baidu络
• 必须通过自己的系统来确保安全;不要相 信外来网络很安全、远离不怀好意的攻击 者。比如说在开放的无线网络上,使用加 密措施来保护敏感通信极其重要,包括连 接到这样的网站:使用登录会话cookie来自 动验证身份,或者输入用户名和密码。
• 2、如果手动加载也不行的话,可能是
2020/7/30
案例二:桌面图标显示速度很慢 • 都说Windows系统越用越慢,就拿桌面图
标来说,越来越多的快捷方式使桌面的显 示速度非常的慢,每次刷新桌面都会出现 迟滞。
2020/7/30
• 问题分析:系统用一块称为图标缓存的区 域来保存已经建立的快捷方式图标,刷新 桌面显示时就无需重新建立,只需从缓存 中读取即可,而Windows默认的缓存较小 ,建立的快捷方式过多后就超出了缓存的 存储范围,并影响了显示速度。可以通过 修改注册表来解决
• 代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于 提高边界的安全性。请记住:一般来说,交换机的安全功 能胜过集线器;使用网络地址转换(NAT)协议的路由器 胜过交换机;防火墙绝对是必不可少的设备。
2020/7/30
三、更新软件
• 如果长时间没有更新安全补丁,可能会导 致你使用的计算机很容易成为肆无忌惮的 攻击者的下手目标。
2020/7/30
五、使用数据加密
• 对关注安全的计算机用户或者系统管理员 来说,有不同级别的数据加密方法可供使 用;选择合理的加密级别以满足自己的需 要,这必须根本实际情况来决定。数据加 密方法有很多,从使用密码工具对文件逐 个加密,到文件系统加密,直到整个磁盘 的加密。
2020/7/30
• 上述加密方法通常不包括引导分区,因为 那样需要专门硬件帮助解密;但是如果非 常需要加密引导分区以确保隐私、有必要 投入这笔开支,也可以获得这种整个系统 的加密。针对除了引导分区加密外的任何 应用,每一种所需的加密级别都有许多种 解决方案,包括可在各大桌面操作系统上 实现整个磁盘加密的商业化专有系统和开 源系统。
2020/7/30
组
• 组可以包含用户、联系人、计算机和其他 组的Active Directory或本机对象。使用组 可以做如下的工作:
1. 管理用户和计算机对共享资源的访问 2. 筛选组策略设置 3. 创建电子邮件通信组
2020/7/30
域
• 域是网络对象的分组。如用户、组和计算 机。
2020/7/30
• 维护操作系统的安全可以通过修改注册 表来完成。
2020/7/30
WindowsNT/2000/WindowsXP的 安全基础
1.WindowsNT/2000/WindowsXP系统安全模型
(1)用户登录管理
(2)资源访问管理
2.Windows NT/2000/WindowsXP的安全机制
(1)口令安全
2020/7/30
用户账号
• 用户账号能够让用户以授权的身份登录到 计算机和域中并访问其资源。 Windows2000 在安装时提供了两个预定义 用户账号。
1.Administrator 系统管理员账号 2.Guest account 临时账号
2020/7/30
计算机帐户
• 每一个运行Windows2000和WindowsNT的 计算机都需要一个计算机账号,就像用户 账号一样,被用来验证和审核计算机登录 过程和访问域资源。
(2) 文件系统安全
(3) NTFS分区安全
(4) Web服务器安全
2020/7/30
• Windows2000安全基础概念 • 在Windows2000中用户可以在活动用户和
计算机管理工具中实现建立用户账号、计 算机账号、组、安全策略等项。它可以用 于建立或编辑网络中的用户、计算机、组 、组织单位、域、域控制器以及发布网络 共享资源。
4-1-1 Windows95/98/ME的 安全
1. Windows98的登录机制
(1) Windows登录
2020/7/30
4-1-1 Windows95/98/ME的 安全(续)
(2) Microsoft网络用户
2020/7/30
如何利用注册表提高Windows的 安全性
• Windows操作系统并不是绝对安全的。 我们可以为它创建一个相对安全的操作 环境,这个相对“安全”的运行环境可 以在一定程度上防止非法用户随意操纵 用户的计算机。
• 别让安装在计算机上的软件迟迟没有打上 最新的安全补丁。同样的情况适用于任何 基于特征码的恶意软件保护软件,比如反 病毒软件(如果你的系统需要它们):只 有它们处于最新版本状态,添加了最新的 恶意软件特征码,才能发挥最佳的保护效 果。
2020/7/30
四、关闭没有使用的服务
• 计算机用户常常不知道自己的系统上运行 着哪些可以通过网络访问的服务。Telnet和 FTP是两种经常会带来问题的服务:如果你 的计算机不需要这两种服务,就应当关闭 。要了解在计算机上运行的每一种服务, 以便关闭实际上没有使用的服务。
2020/7/30
案例三:任务管理器被禁用
• 问题分析:这是由于任务管理器被管理员或 恶意代码禁用造成的。可通过组策略进行 恢复
• 解决方案:在“运行”中键入 “gpedit.msc”,启动“组策略”编辑器。 在“本地策略”中依次展开“用户配置→ 管理模板→系统→Ctrl+Alt+Del选项”分支 ,在右侧窗口中双击“删除任务管理器” 策略,在弹出的策略设置对话框中选择“ 202未0/7/3配0 置”选项,单击“确定”以后,按
2020/7/30
• 密码应当包含特殊字符和空格、使用大小 写字母,避免单纯的数字以及能在字典中 找到的单词。密码长度每增加一个字符, 可能出现的密码字符组合就会成倍增加。 一般来说,不到8个字符的任何密码都被认 为容易被破解。10个、12个甚至16个字符 作为密码比较安全。
2020/7/30
二、做好边界防御
2020/7/30
2020/7/30
2020/7/30
2020/7/30
• 不管你使用的是哪一种操作系统平台,系 统安全方面的一些重要考虑因素都是适用 的。如果你想保护系统,从而远离未经授 权的访问以及不幸的灾难,应当始终要考 虑下列防范措施:
2020/7/30
一、使用强密码
• 要提高安全性,最简单的方法之一就是使 用不会被蛮力攻击轻易猜到的密码。蛮力 攻击是指这样一种攻击:攻击者使用自动 系统来尽快猜中密码,希望不用多久就能 找出正确的密码。
2020/7/30
• 解决方法:在注册表中加大图标缓存的大 小,首先打开“注册表编辑器”,找到 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explor er],在右侧窗格创建一个名为“Max Cached Icons”的字符串值,设置它的值为 “8192”(注意:最大只能为8192)重启系统后 即可生效。
• Windows XP的优越性: 1. 完善的用户管理功能 2. 透明的软件限制策略 3. 支持NTFS文件系统 4. 安全的网络访问特性
2020/7/30
WindowsNT/2000/WindowsXP的安 全
防范措施
(1) 加强物理安全管理 (2) 将系统管理员账号改名 (3) 控制授权用户的访问权限 (4) 文件系统用NTFS,不用FAT (5) 确保注册表安全 (6) 打开审计系统
身份 4. 在用户试图访问安全的Web服务器时使用。
2020/7/30
授权
• 管理员可以指派特定权利组帐户或单个用 户帐户
2020/7/30
审核
• 安全审核负责见识各种域安全性有关的事 件。这些事件包括:
1. 访问对象,例如文件和文件夹 2. 用户和组帐户的管理 3. 用户登录以及从系统注销时
2020/7/30
身份验证
• 身份验证是系统安全性的一个基本方面。 • 它负责确认试图登录域或网络资源的任何用户的身份。
验证的过程是: 1. 在Windows2000计算环境中成功的用户身份验证包括两
个独立的过程。 2. 交互式登录向域帐户或本地计算机确定用户的身份。 3. 网络身份证对改用户试图访问的任何网络服务确定用户
2020/7/30
八、使用不间断电源(UPS)
• UPS的作用不仅仅是停电时可以避免丢失 文件。使用UPS还有更重要的原因,比如 功率调节、避免文件系统受到损坏。由于 这个原因,就要确保购买的UPS能够与操 作系统协同运行,以便通知操作系统什么 时候UPS需要关闭,免得电源用尽时你不 在家;还要确保购买的UPS可提供电池供 电和功率调节功能。
2020/7/30
Contents
1
Windows系统
2
UNIX系统
3
Linux系统
2020/7/30
4-1 Windows系统
Windows9X目前是在普通用户的PC机上使用的 最广泛的操作系统。尤其是Windows98,占 据了中国绝大多数PC用户的操作系统市场 。
Windows9X在具有众多优点的同时,它也有十 分明显的缺点。如稳定性和安全性都欠佳 。Windows95/98极易受到黑客的攻击和病 毒的侵犯,一般的网络用户都可以使用一 些特种软件工具轻而易举地让Windows9X蓝 屏和死机。 2020/7/30
安全设置
• 安全设置定义了系统的安全相关操作。其 中包括:
1. 管理员可使用安全模板管理单元定义和使 用安全模板
2. 管理员可以使用安全设置和分析管理单元 来设置和分析本地的安全性
3. 管理员可以使用组策略来设置Active Directory中的安全性
2020/7/30
Windows XP 的安全性
• 不是所有的安全问题都发生在桌面系统上。使用外部防火 墙/路由器来帮助保护你的计算机是个好想法,哪怕你只 有一台计算机。如果考虑低端产品,可以购买一个零售路 由器设备,比如Linksys、D-Link和Netgear等厂商的路由 器。如果考虑比较高端的产品,可以向思科、Networks等 企业级厂商购买管理型交换机、路由器和防火墙。
2020/7/30
2020/7/30
案例一:无法显示桌面图标 • 问题分析:大多数情况下,无法显示桌面
图标是因为系统启动的时候无法加载 explorer.exe或者Explorer.exe文件被破坏 了。
2020/7/30
• 解决方法:
• 1、在“开始”“运行”处输入regedit,启动 注册表,找到下面路径,如果shell下没有 explorer.exe那就自己鼠标右键新建一个 explorer.exe即可路径 :\HKEY_LOCAL_MACHINE\SOFTWARE\Mi crososft\Windows NT\CurrentVersion\Winlogon\Shell
2020/7/30
六、通过备份保护数据
• 对数据进行备份是你用来保护自己、避免 灾难的最重要的方法之一。确保数据冗余 的策略有很多,既有像定期把数据拷贝到 光盘上这样简单、基本的策略,也有像定 期自动备份到服务器上这样复杂的策略。
2020/7/30
七、不要信任外来ຫໍສະໝຸດ Baidu络
• 必须通过自己的系统来确保安全;不要相 信外来网络很安全、远离不怀好意的攻击 者。比如说在开放的无线网络上,使用加 密措施来保护敏感通信极其重要,包括连 接到这样的网站:使用登录会话cookie来自 动验证身份,或者输入用户名和密码。
• 2、如果手动加载也不行的话,可能是
2020/7/30
案例二:桌面图标显示速度很慢 • 都说Windows系统越用越慢,就拿桌面图
标来说,越来越多的快捷方式使桌面的显 示速度非常的慢,每次刷新桌面都会出现 迟滞。
2020/7/30
• 问题分析:系统用一块称为图标缓存的区 域来保存已经建立的快捷方式图标,刷新 桌面显示时就无需重新建立,只需从缓存 中读取即可,而Windows默认的缓存较小 ,建立的快捷方式过多后就超出了缓存的 存储范围,并影响了显示速度。可以通过 修改注册表来解决
• 代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于 提高边界的安全性。请记住:一般来说,交换机的安全功 能胜过集线器;使用网络地址转换(NAT)协议的路由器 胜过交换机;防火墙绝对是必不可少的设备。
2020/7/30
三、更新软件
• 如果长时间没有更新安全补丁,可能会导 致你使用的计算机很容易成为肆无忌惮的 攻击者的下手目标。
2020/7/30
五、使用数据加密
• 对关注安全的计算机用户或者系统管理员 来说,有不同级别的数据加密方法可供使 用;选择合理的加密级别以满足自己的需 要,这必须根本实际情况来决定。数据加 密方法有很多,从使用密码工具对文件逐 个加密,到文件系统加密,直到整个磁盘 的加密。
2020/7/30
• 上述加密方法通常不包括引导分区,因为 那样需要专门硬件帮助解密;但是如果非 常需要加密引导分区以确保隐私、有必要 投入这笔开支,也可以获得这种整个系统 的加密。针对除了引导分区加密外的任何 应用,每一种所需的加密级别都有许多种 解决方案,包括可在各大桌面操作系统上 实现整个磁盘加密的商业化专有系统和开 源系统。
2020/7/30
组
• 组可以包含用户、联系人、计算机和其他 组的Active Directory或本机对象。使用组 可以做如下的工作:
1. 管理用户和计算机对共享资源的访问 2. 筛选组策略设置 3. 创建电子邮件通信组
2020/7/30
域
• 域是网络对象的分组。如用户、组和计算 机。
2020/7/30
• 维护操作系统的安全可以通过修改注册 表来完成。
2020/7/30
WindowsNT/2000/WindowsXP的 安全基础
1.WindowsNT/2000/WindowsXP系统安全模型
(1)用户登录管理
(2)资源访问管理
2.Windows NT/2000/WindowsXP的安全机制
(1)口令安全
2020/7/30
用户账号
• 用户账号能够让用户以授权的身份登录到 计算机和域中并访问其资源。 Windows2000 在安装时提供了两个预定义 用户账号。
1.Administrator 系统管理员账号 2.Guest account 临时账号
2020/7/30
计算机帐户
• 每一个运行Windows2000和WindowsNT的 计算机都需要一个计算机账号,就像用户 账号一样,被用来验证和审核计算机登录 过程和访问域资源。
(2) 文件系统安全
(3) NTFS分区安全
(4) Web服务器安全
2020/7/30
• Windows2000安全基础概念 • 在Windows2000中用户可以在活动用户和
计算机管理工具中实现建立用户账号、计 算机账号、组、安全策略等项。它可以用 于建立或编辑网络中的用户、计算机、组 、组织单位、域、域控制器以及发布网络 共享资源。
4-1-1 Windows95/98/ME的 安全
1. Windows98的登录机制
(1) Windows登录
2020/7/30
4-1-1 Windows95/98/ME的 安全(续)
(2) Microsoft网络用户
2020/7/30
如何利用注册表提高Windows的 安全性
• Windows操作系统并不是绝对安全的。 我们可以为它创建一个相对安全的操作 环境,这个相对“安全”的运行环境可 以在一定程度上防止非法用户随意操纵 用户的计算机。
• 别让安装在计算机上的软件迟迟没有打上 最新的安全补丁。同样的情况适用于任何 基于特征码的恶意软件保护软件,比如反 病毒软件(如果你的系统需要它们):只 有它们处于最新版本状态,添加了最新的 恶意软件特征码,才能发挥最佳的保护效 果。
2020/7/30
四、关闭没有使用的服务
• 计算机用户常常不知道自己的系统上运行 着哪些可以通过网络访问的服务。Telnet和 FTP是两种经常会带来问题的服务:如果你 的计算机不需要这两种服务,就应当关闭 。要了解在计算机上运行的每一种服务, 以便关闭实际上没有使用的服务。
2020/7/30
案例三:任务管理器被禁用
• 问题分析:这是由于任务管理器被管理员或 恶意代码禁用造成的。可通过组策略进行 恢复
• 解决方案:在“运行”中键入 “gpedit.msc”,启动“组策略”编辑器。 在“本地策略”中依次展开“用户配置→ 管理模板→系统→Ctrl+Alt+Del选项”分支 ,在右侧窗口中双击“删除任务管理器” 策略,在弹出的策略设置对话框中选择“ 202未0/7/3配0 置”选项,单击“确定”以后,按
2020/7/30
• 密码应当包含特殊字符和空格、使用大小 写字母,避免单纯的数字以及能在字典中 找到的单词。密码长度每增加一个字符, 可能出现的密码字符组合就会成倍增加。 一般来说,不到8个字符的任何密码都被认 为容易被破解。10个、12个甚至16个字符 作为密码比较安全。
2020/7/30
二、做好边界防御
2020/7/30
2020/7/30
2020/7/30
2020/7/30
• 不管你使用的是哪一种操作系统平台,系 统安全方面的一些重要考虑因素都是适用 的。如果你想保护系统,从而远离未经授 权的访问以及不幸的灾难,应当始终要考 虑下列防范措施:
2020/7/30
一、使用强密码
• 要提高安全性,最简单的方法之一就是使 用不会被蛮力攻击轻易猜到的密码。蛮力 攻击是指这样一种攻击:攻击者使用自动 系统来尽快猜中密码,希望不用多久就能 找出正确的密码。
2020/7/30
• 解决方法:在注册表中加大图标缓存的大 小,首先打开“注册表编辑器”,找到 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explor er],在右侧窗格创建一个名为“Max Cached Icons”的字符串值,设置它的值为 “8192”(注意:最大只能为8192)重启系统后 即可生效。
• Windows XP的优越性: 1. 完善的用户管理功能 2. 透明的软件限制策略 3. 支持NTFS文件系统 4. 安全的网络访问特性
2020/7/30
WindowsNT/2000/WindowsXP的安 全
防范措施
(1) 加强物理安全管理 (2) 将系统管理员账号改名 (3) 控制授权用户的访问权限 (4) 文件系统用NTFS,不用FAT (5) 确保注册表安全 (6) 打开审计系统
身份 4. 在用户试图访问安全的Web服务器时使用。
2020/7/30
授权
• 管理员可以指派特定权利组帐户或单个用 户帐户
2020/7/30
审核
• 安全审核负责见识各种域安全性有关的事 件。这些事件包括:
1. 访问对象,例如文件和文件夹 2. 用户和组帐户的管理 3. 用户登录以及从系统注销时
2020/7/30
身份验证
• 身份验证是系统安全性的一个基本方面。 • 它负责确认试图登录域或网络资源的任何用户的身份。
验证的过程是: 1. 在Windows2000计算环境中成功的用户身份验证包括两
个独立的过程。 2. 交互式登录向域帐户或本地计算机确定用户的身份。 3. 网络身份证对改用户试图访问的任何网络服务确定用户
2020/7/30
八、使用不间断电源(UPS)
• UPS的作用不仅仅是停电时可以避免丢失 文件。使用UPS还有更重要的原因,比如 功率调节、避免文件系统受到损坏。由于 这个原因,就要确保购买的UPS能够与操 作系统协同运行,以便通知操作系统什么 时候UPS需要关闭,免得电源用尽时你不 在家;还要确保购买的UPS可提供电池供 电和功率调节功能。