文章目录
- 1.操作系统的功能
- 2.操作系统安全目标
- 3.操作系统安全机制
- (1)标识与鉴别
- (2)访问控制
- (3)最小特权管理
- (4)信道保护
- (5)安全审计
- (6)内存存取保护
- (7)文件系统保护
- 4.Windows系统标识与鉴别
- 安全主体
- 安全标识
- 用户鉴别
- 5.Windows用户身份鉴别
- (1)帐号信息存储(SAM:安全账号管理)
- (2)Windows用户身份鉴别:本地登录
- (3)远程登录
- 6.Windows系统访问控制
- (1)访问控制列表(Access Control List,ACL)
- (2)用户帐户控制(User Account Control,UAC)
- (3)NTFS文件系统权限控制(ACL)
- (4)安全加密
- 7.Windows系统审计机制
- 8.Windows系统安全策略
- 9.Windows系统安全配置
1.操作系统的功能
(1)用户与计算机硬件之间的接口
(2)操作系统为用户提供了虚拟计算机,把硬件的复杂性与用户隔离
(3)计算机系统的资源管理者
CPU管理;存储管理;设备管理;文件管理;网络与通信管理;用户接口
2.操作系统安全目标
(1)标识系统中的用户和进行身份鉴别
(2)依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问
(3)监督系统运行的安全性
(4)保证系统自身的安全和完整性
3.操作系统安全机制
(1)标识与鉴别
①用户身份合法性鉴别
②操作系统登录
(2)访问控制
①防止对资源的非法使用
②限制访问主体对访问客体的访问权限
③DAC、MAC、RBAC
(3)最小特权管理
①限制、分割用户、进程对系统资源的访问权限
②“必不可少的”权限
(4)信道保护
①正常信道的保护
②可信通路(Trusted Path)
③安全键(SAK)
(5)安全审计
①对系统中有关安全的活动进行记录、检查以及审核
②审计一般是一个独立的过程
(6)内存存取保护
①进程间/系统进程内存保护
②段式保护、页式保护和段页式保护
(7)文件系统保护
①分区
②文件共享
③文件备份
4.Windows系统标识与鉴别
安全主体
(1)安全主体类型
①用户帐户:本地用户,域用户
②组帐户:everyone组,network组
③计算机
④服务;
安全标识
安全标识符(Security ldentifier,SID),安全主体的代表(标识用户、组和计算机账户的唯一编码)
用户鉴别
①账户信息管理机制
②登录验证:本地登录验证,远程登录验证
5.Windows用户身份鉴别
(1)帐号信息存储(SAM:安全账号管理)
①运行期锁定、存储格式加密
②仅对system帐号有权限,通过服务进行访问控制
(2)Windows用户身份鉴别:本地登录
①GINA(Graphical Identification and Authentication:图形化识别和验证)
②LSA(Local Security Authority:本地安全授权)
(3)远程登录
①远程登录鉴别协议
SMB(Server Message Block):口令明文传输
LM(LAN Manager):口令哈希传输,强度低
NTLM(NT LAN Manager) :提高口令散列加密强度、挑战/响应机制
Kerberos:为分布网络提供单一身份验证
6.Windows系统访问控制
(1)访问控制列表(Access Control List,ACL)
①NTFS文件系统支持
②权限存储流文件系统中
③自主访问控制
④灵活性高,安全性不高
(2)用户帐户控制(User Account Control,UAC)
①完全访问令牌
②标准受限访问令牌
(3)NTFS文件系统权限控制(ACL)
文件、文件夹、注册表键值、打印机等对象
(4)安全加密
①EFS(EFS(Encrypting File System ):Windows内置,与文件系统高度集成,对windows用户透明;对称与非对称算法结合
②Bitlocker:对整个操作系统卷加密,解决设备物理丢失安全问题
7.Windows系统审计机制
(1)Windows日志
(2)应用程序和服务日志
(3)应用访问日志
①FTP访问日志
②IIS访问日志
8.Windows系统安全策略
①账户策略
②本地策略
9.Windows系统安全配置
(1)安全配置前置工作
(2)账号安全设置
(3)关闭自动播放
(4)远程访问控制
(5)本地安全策略
(6)服务运行安全设置
(7)使用第三方安全增强软件