4操作系统的安全探究.ppt

4.3.4 UNIX网络服务的安全管理 1．网络访问控制 （1）关闭不必要的服务 /etc/services /etc/inetd.conf /etc/services （2）有选择地允许主机建立连接 /etc/hosts.allow /etc/hosts.deny 4.3.5 UNIX的安全审计 系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。 （1）连接时间日志 （2）进程统计日志 （3）错误日志 最常用的大多数版本的UNIX都具备的审计服务程序是syslogd 复习题： 1、对操作系统安全构成威胁的主要有哪几种？ 2、简述操作系统安全性设计的基本原则。 3、简述NTFS文件系统的安全性。 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 图4.8 安全性描述符的构成 图4.7 Windows NT的客体访问示意图 2．NTFS文件系统 NTFS主要采用两种措施对文件系统进行安全性保护：一是对文件和目录的权限设置，二是对文件和目录进行加密。 （1）文件和目录的权限 NTFS文件系统上的每个文件和目录在创建时创建人就被指定为拥有者。拥有者控制着文件或目录权限设置，并能赋予其他用户的访问权限。 NTFS为了保证文件和目录的安全性和可靠性，制定了以下的权限设置规则。 ① 只有用户在被赋予权限或是属于拥有这种权限的组，才能对文件或目录进行访问。 ② “拒绝访问”权限优先级高于其他所有权限。 ③ 权限是积累的。 ④ 文件权限始终优先于目录权限。 ⑤ 当用户在相应权限的目录中创建新的文件和子目录时，创建的文件和子目录继承该目录的权限。 ⑥ 创建文件和目录的拥有者，总是可以随时更改对文件或目录的权限设置来控制其他用户对该文件或目录的访问。 （2）文件内容的加密 Windows 2000增强了文件系统的安全性，采用了加密文件系统（Encrypted File System，EFS）技术。加密文件系统提供的文件加密技术可以将加密的NTFS文件存储到磁盘上。 4.2.4 Windows NT/2000的安全管理 1．用户和用户组 在Windows NT/2000中，每个用户必须有一个账号。用户账号是系统安全的核心，系统网络中发生的一切活动都可以以此账号追溯到特定的授权用户。 Windows NT/2000还支持用户组，通过用户组为一组相关的用户同时设定权利和权限。 2．域和委托 在Windows NT中，有两种类型的网络配置：工作组和域。工作组是单独的系统，在工作组中系统各自独立管理自己的用户账号和组账号以及它们的安全账号管理数据库，不与别的系统共享这些信息。工作组适用于小型网络环境。域模型是Windows NT网络系统的核心，所有Windows NT的相关内容都是围绕着域来组织，而且大部分Windows NT的网络都基于域模型。 域是一些服务器的集合，这些服务器被归为一组并共享同一个安全策略和用户账号数据库。域的集中化用户账号数据库和安全策略使得系统管理员可以用一个简单而有效的方法维护整个网络的安全。域由主域服务器、备份域服务器、服务器和工作站组成。 域是由主域控制器或备份域控制器来控制的。每一个域中只能有一个主域控制器，而备份域控制器可以有一个或数个。 Windows NT的域间可以建立委托关系。委托是一种管理方法，它将两个域连接在一起，并允许域中的用户相互访问。 域之间的委托关系可以有两种：单向的和双向的。 3．活动目录（Active Directory） 活动目录是Windows 2000的核心。它是Windows 2000网络体系机构必不可少、不可分割的重要组件。它是在Windows NT 4.0操作系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录包括两个方面：目录和目录相关服务。 （1）活动目录的结构 活动目录允许组织机构按照层次式的，面向对象的方式存储信息，并且提供支持分布式网络环境的多主复制机制。 ① 层次式组织 ② 面向对象存储 ③ 多主复制 ① 层次式组织 活动目录是由对象、容器、树和森林构成的层次结构