第3章 网络操作系统安全讲诉
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络操作系统安全
1
主要内容
操作系统的安全; 访问控制的概念、类型及措施; Windows NT/2000/XP系统的安全性;
2
2.1 网络操作系统的概念
网络操作系统(NOS)
建立在独立的操作系统基础上用以扩充网络功能的 系统(系统平台)。是整个网络的核心
操作系统的主要功能包括:
进程控制和调度、信息处理、存储器管理、文件管理、输 入/输出管理、资源管理等。
4
UNIX(Uniplexed Information and Computing System)
Ken Thompson、Dennis Ritchie(C)和Douglas McIlroy 于1969年在AT&T的贝尔实验室开发
强大的多用户、多任务的分时操作系统,支持多种处理器 架构
技术成熟、可靠性高、网络和数据库功能强、伸缩性突出 和开放性好,可满足各行各业的实际需要,特别能满足企 业重要业务的需要,已经成为主要的工作站平台和重要的 企业操作平台。
更安全、更稳定:病毒少 硬件占用资源少:200:1
6
Windows操作系统发展历程
Windows 3.x Windows 95/98/Me Windows NT 3.0/4.0 Windows 2000 (Windows NT 5.0)
Professional, Server, Data Center 在安全性、可操作性等方面都做了较大的改进,又增加了活动目录、分布式文件
• 若被黑客利用后果不堪设想
10
2. 2 操作系统的安全与访问控制
2.2.1 操作系统安全的概念
操作系统安全机制
隔离控制
物理(设备或部件)隔离 时间隔离 逻辑隔离 加密隔离
访问控制
11
2.2.2 访问控制的概念及含义
也叫授权,是对用户访问网络系统资源进行的控制过程。
只有被授予一定权限的用户,才有资格去访问相关资源。
输入/输出(I/O)非法访问。
在一些操作系统中,一旦I/O操作被检查通过后, 该操作系统就继续执行操作而不再进行检查,这 样就可能造成后续操作的非法访问。链接
操作系统陷门(后门)。
某些操作系统为了维护方便、使系统兼容性和开 放性更好,在设计时预留了一些端口或保留了某 些特殊的管理程序功能。链接
系统、智能镜像技术、管理咨询和强大的网络通信等新功能。
Windows XP
继承了Windows NT的稳定性和Windows 2000的安全性,已经得到广泛的应用。
Windows 2003 Windows Vista! Windows 7 2009, 10, 22
7
网络操作系统的两大类安全漏洞
8
Windows2000登录验证机制漏洞
Windows 2000启动后,在登录界面将光标移至用户名输入框,按键盘上的 Ctrl+ Shift键进行输入法切换。在“全拼”输入法中,将鼠标移至输入法状 态条右击鼠标,出现的选单中选择“帮助”,然后继续选择“输入法入门”,
单击窗口顶部的“选项”按钮,在出现的选单中选择“主页”,这时在帮助 窗口的右侧出现IE浏览器的“此页不可显示”页面,在其中单击“检测网络 设置”链接。任何人都可对网络进行设置,甚至在控制面板上做任何修改操 作;
访问控制具体包括两方面涵义, 一是指对用户进入系统的控制,
最简单最常用的方法是用户账户和口令限制, 其次还有一些身份验证措施;
二是用户进入系统后对其所能访问的资源进行的限制,
最常用的方法是访问权限和资源属性限制。
12
访问控制系统三要素:
主体(subject)。 指发出访问操作、存取请求的主动方,
开源
免费使用和自由传播的类Unix操作系统 是由世界各地的成千上万的程序员设计和实现的。其目的是建立不
受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容 产品。
优势(与Windows NT比较)
极大降低开发成本:
LAMP = Linux + Apache + MySQL + Perl/PHP/Python
或者单击 “选项”按钮,在出现的选单中选择进入“Internet选项”中,可 以对主页、连接、安全、高级选项等进行任何操作而不受限制;
或者单击 “选项”按钮,在出现的选单中选择“跳至URL”框,操作者可获得 系统管理员权限,对相关磁盘的数据做任何操作(修改、删除、重命名、设置 共享等)。
Windows 2000的这种登录漏洞可使操作者完全绕过了Windows 2000的登录 验证机制,并能以最高管理员身份访问整个系统。该漏洞的危害性很大!
9
Windows2000奇怪的系统崩溃漏洞
• 用户可以通过按住右Ctrl键,同时再按两次Scroll Lock键,就可使整个Windows 2000系统完全崩溃。 且同时又在C:\WinNT\目录下删除完整的当前系统内 存记录,内存记录文件名为Memory.dmp。
• 该奇怪特性在默认状态下是关闭的,但可通过修改 注册表的方法将其激活。
网络功能包括:
如文件服务、打印服务、数据库服务,以及支持Internet和 Intranet服务。
3
常用的网络操作系统有
Windows Server系列
NT、2000 Server、2003 Server、2008 Server
NetWare
Novell LAN的核心,1980s
UNIX Linux
包括用户、用户组、主机、终端或应用进程等。
客体(object)。 指被调用的程序或要存取的数据,
包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理 介质等。
安全访问策略 是一套规则,可用于确定一个主体是否对客体拥有访问能力。
AT&T Berkeley BSD(Berkeley Software Design) Bill Joy Novell IBM AIX、HP HPUX、Sun Solaris
5
Linux(Linus Mຫໍສະໝຸດ Baidunix)
Linus Torvalds,芬兰赫尔辛基大学学生。他的目的是想设计一 个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授 编写的一个操作系统示教程序)的操作系统。
1
主要内容
操作系统的安全; 访问控制的概念、类型及措施; Windows NT/2000/XP系统的安全性;
2
2.1 网络操作系统的概念
网络操作系统(NOS)
建立在独立的操作系统基础上用以扩充网络功能的 系统(系统平台)。是整个网络的核心
操作系统的主要功能包括:
进程控制和调度、信息处理、存储器管理、文件管理、输 入/输出管理、资源管理等。
4
UNIX(Uniplexed Information and Computing System)
Ken Thompson、Dennis Ritchie(C)和Douglas McIlroy 于1969年在AT&T的贝尔实验室开发
强大的多用户、多任务的分时操作系统,支持多种处理器 架构
技术成熟、可靠性高、网络和数据库功能强、伸缩性突出 和开放性好,可满足各行各业的实际需要,特别能满足企 业重要业务的需要,已经成为主要的工作站平台和重要的 企业操作平台。
更安全、更稳定:病毒少 硬件占用资源少:200:1
6
Windows操作系统发展历程
Windows 3.x Windows 95/98/Me Windows NT 3.0/4.0 Windows 2000 (Windows NT 5.0)
Professional, Server, Data Center 在安全性、可操作性等方面都做了较大的改进,又增加了活动目录、分布式文件
• 若被黑客利用后果不堪设想
10
2. 2 操作系统的安全与访问控制
2.2.1 操作系统安全的概念
操作系统安全机制
隔离控制
物理(设备或部件)隔离 时间隔离 逻辑隔离 加密隔离
访问控制
11
2.2.2 访问控制的概念及含义
也叫授权,是对用户访问网络系统资源进行的控制过程。
只有被授予一定权限的用户,才有资格去访问相关资源。
输入/输出(I/O)非法访问。
在一些操作系统中,一旦I/O操作被检查通过后, 该操作系统就继续执行操作而不再进行检查,这 样就可能造成后续操作的非法访问。链接
操作系统陷门(后门)。
某些操作系统为了维护方便、使系统兼容性和开 放性更好,在设计时预留了一些端口或保留了某 些特殊的管理程序功能。链接
系统、智能镜像技术、管理咨询和强大的网络通信等新功能。
Windows XP
继承了Windows NT的稳定性和Windows 2000的安全性,已经得到广泛的应用。
Windows 2003 Windows Vista! Windows 7 2009, 10, 22
7
网络操作系统的两大类安全漏洞
8
Windows2000登录验证机制漏洞
Windows 2000启动后,在登录界面将光标移至用户名输入框,按键盘上的 Ctrl+ Shift键进行输入法切换。在“全拼”输入法中,将鼠标移至输入法状 态条右击鼠标,出现的选单中选择“帮助”,然后继续选择“输入法入门”,
单击窗口顶部的“选项”按钮,在出现的选单中选择“主页”,这时在帮助 窗口的右侧出现IE浏览器的“此页不可显示”页面,在其中单击“检测网络 设置”链接。任何人都可对网络进行设置,甚至在控制面板上做任何修改操 作;
访问控制具体包括两方面涵义, 一是指对用户进入系统的控制,
最简单最常用的方法是用户账户和口令限制, 其次还有一些身份验证措施;
二是用户进入系统后对其所能访问的资源进行的限制,
最常用的方法是访问权限和资源属性限制。
12
访问控制系统三要素:
主体(subject)。 指发出访问操作、存取请求的主动方,
开源
免费使用和自由传播的类Unix操作系统 是由世界各地的成千上万的程序员设计和实现的。其目的是建立不
受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容 产品。
优势(与Windows NT比较)
极大降低开发成本:
LAMP = Linux + Apache + MySQL + Perl/PHP/Python
或者单击 “选项”按钮,在出现的选单中选择进入“Internet选项”中,可 以对主页、连接、安全、高级选项等进行任何操作而不受限制;
或者单击 “选项”按钮,在出现的选单中选择“跳至URL”框,操作者可获得 系统管理员权限,对相关磁盘的数据做任何操作(修改、删除、重命名、设置 共享等)。
Windows 2000的这种登录漏洞可使操作者完全绕过了Windows 2000的登录 验证机制,并能以最高管理员身份访问整个系统。该漏洞的危害性很大!
9
Windows2000奇怪的系统崩溃漏洞
• 用户可以通过按住右Ctrl键,同时再按两次Scroll Lock键,就可使整个Windows 2000系统完全崩溃。 且同时又在C:\WinNT\目录下删除完整的当前系统内 存记录,内存记录文件名为Memory.dmp。
• 该奇怪特性在默认状态下是关闭的,但可通过修改 注册表的方法将其激活。
网络功能包括:
如文件服务、打印服务、数据库服务,以及支持Internet和 Intranet服务。
3
常用的网络操作系统有
Windows Server系列
NT、2000 Server、2003 Server、2008 Server
NetWare
Novell LAN的核心,1980s
UNIX Linux
包括用户、用户组、主机、终端或应用进程等。
客体(object)。 指被调用的程序或要存取的数据,
包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理 介质等。
安全访问策略 是一套规则,可用于确定一个主体是否对客体拥有访问能力。
AT&T Berkeley BSD(Berkeley Software Design) Bill Joy Novell IBM AIX、HP HPUX、Sun Solaris
5
Linux(Linus Mຫໍສະໝຸດ Baidunix)
Linus Torvalds,芬兰赫尔辛基大学学生。他的目的是想设计一 个代替Minix(是由一位名叫Andrew Tannebaum的计算机教授 编写的一个操作系统示教程序)的操作系统。