操作system安全基本.ppt

中国期货业协会： 操作系统安全基础 主要内容 1 2 保护注册表 3 5 监视安全事件 端口和协议安全 用户帐户和密码管理 4 微软防漏洞攻击策略 1. 用户帐户和密码管理 设定安全的密码 至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长） 大小写、数字和符号的组合 不包含姓名、用户名或者常用单词 不与其他人共享 定期更换密码（1、2、3个月） 1 用户帐户和密码管理 SAM (Security Accounts Manager) 在独立的Windows计算机上，安全账户管理器负责保存用户账户名和口令的信息 口令通过散列并被加密，现有的技术不能将打乱的口令恢复(尽管如此，散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现 Windows安全登录过程 Winlogon GINA LSASS Security Account Management Netlogon Authentication Packages Security Support Provider SSPI 加载GINA，监视认证顺序 加载认证包 支持额外的验证机制 为认证建立安全通道 提供登陆接口 提供真正的用户校验 管理用户和用户证书的数据库 Winlogon GINA图形身份认证和验证动态链接库 LSA本地安全管理授权 Authentication Packages验证软件包 Netlogon服务 SAM安全帐户管理器 Windows安全登录过程 Windows的身份验证机制 不同身份验证机制： LanManager -- LM口令散列算法 win9X NTLM -- 更加强大的加密NT版 winNTSP3 NTLMv2 – 第二版 winNTSP4 Kerberos V5 – 用于windows的域环境 LM口令加密方案 LM对口令的处理方法 如果口令不足14位，就用0把口令补足14位 把所有的字母转成大写字母 将处理后的口令分成两组数字，每组是7位 由这两个7位的数字分别生成8位的DES KEY 每一个8位的DES KEY都使用一个魔法数字再进行散列加密形成64位的值 将两组64位的值串连在一起，这就是最终的128位口令散列 LanMan的缺陷与建议 缺陷 如果口令长度在8-13位之间，则后面的7字符先破解，对前7个字符的破解可以提供某些信息 建议：使用较长的口令 NTLM-加密NT版 NTLM(加密NT版)是将用户的口令转换成unicode编码，然后使用MD4算法将口令加密。 LAN manager口令使用了较弱的密钥和算法，比较容易破解。 相比较之下，使用较强加密算法的NTLM要安全，而NTLMv2更加安全。 1. 用户帐户和密码管理 设定安全的密码 至少包含8个字符（获得最高的安全性，至少15个字符，使强硬破解方式成指数倍增长） 大小写、数字和符号的组合 不包含姓名、用户名或者常用单词 不与其他人共享 定期更换密码（1、2、3个月） 1 用户帐户和密码管理 1. 用户帐户和密码管理 保护administrator帐户 修改名，不要使用它作为日常帐户 使用后不要保持登录状态 关闭此管理员帐户 1 用户帐户和密码管理 1. 用户帐户和密码管理 密码破解工具 Winternals locksmith Elcomsoft adanced nt security explorer L0phtcrack5 Offine NT passwordregistry editor Windows XP/2000/NT key John the ripper cains 1 用户帐户和密码管理 主要内容 1 2 保护注册表 3 5 监视安全事件 端口和协议安全 用户帐户和密码管理 4 微软防漏洞攻击策略 2. 保护注册表 键－子键－键值 键值项格式 键值名：数据类型：键值 键值类型 字符串 二进制值 双字节值（DWORD） 2 保护注册表 2. 保护注册表 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_ CURRENT_CONFIG 2 保护注册表 2. 保护注册表 限制注册表的访问权限 监控注册表的变化 RegMon 实时监视注册表的改变 Regsnap 获得注册表的快照 2 保护注册表 主要内容 1 2 保护注册表 3 5 监视安全事件 端口和协议安全 用户帐户和密码管理 4 微软防漏洞攻击策略 3. 监视安全事件 启用安全审核 本地安全策略