第二章节操作系统安全机制幻灯片.pptVIP

5.管理和维护NT审计 通常情况下，Windows NT 不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具子菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击policies(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”audit thest events”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动Windows NT的审计功能时，需要仔细选择审计的内容。 审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。 最后介绍一下Windows NT的三个日志文件的物理位置。 系统日志：%systemroot%\system32\config\sysevent.evt 安全日志：%systemroot%\system32\config\secevent.evt 应用程序日志： %systemroot%\system32\config\appevent.evt 5.管理和维护NT审计 2.6 存储保护、运行保护和I/O保护 优秀的实体（硬件）保护设施是实现高效、安全、可靠的操作系统的基础，计算机硬件安全的目标是保证其自身的可靠性，并为操作系统提供基本的安全设施， 保护方法 ①隔离 操作系统的一个基本安全方法是隔离，把一个客体与其它客体隔离起来。 物理隔离：不同的处理使用不同的物理设备。如，不同安全级别的处理输出使用不同的打印机； 时间隔离： 不同安全级别的处理在不同的时间执行； 逻辑隔离： 用户的操作在没有其它处理存在的情况下执行。 操作系统限制程序的访问，以使该程序不能访问允许范围之外的客体。 虚拟机是软件是运行在硬件之上、操作系统之下的支撑软件，可以使一套硬件运行多个操作系统，分别执行不同密级任务。 密码隔离： 用密码加密数据，以其它处理不能理解的形式隐藏数据 然而隔离仅仅是问题的一半。我们除了要对用户和客体进行隔离外，我们还希望能够提供共享。例如，不同安全级别的处理能调用同一个的算法或功能调用。我们希望既能够提供共享，而又不牺牲各自的安全性。 ②隔绝 当操作系统提供隔绝时，并发运行的不同处理不能察觉对方的存在。每个处理有自己的地址空间、文件和其它客体。操作系统限制每个处理，使其它处理的客体完全隐蔽。 (1) 内存保护 常用的有：内存保护、运行保护和I/O保护等。 多道程序的最重要问题是阻止一个程序影响另一个程序的存储器。这种保护可以作成硬件机制，以保护存储器的有效使用，而且成本很低 1) 固定地址界限 设置地址界限，使操作系统在界限的一边，而用户程序在界限的另一边。主要是阻止用户程序破坏操作系统的程序。 这种固定界限方式的限制是死扳的，因为给操作系统预留的存储空间是固定的，不管是否需要。 操作系统 操作系统 硬件地址界限 操作系统 用户程序 0 n-1 n 高 2)浮动地址界限 界限寄存器（fence register）：它存储操作系统的端地址。 与固定界限方式不同，这里的界限是可以变化的。 每当用户程序要修改一个地址的数据时，则把该地址与界限地址进行比较，如果该地址在用户区则执行，如果该地址在操作系统区则产生错误信号、并拒绝执行。 操作系统 操作系统 界限寄存器 操作系统 用户程序 0 n-1 n 高 一个界限寄存器的保护是单向的。换句话说，可保护用户不侵入操作系统区，但不能保护一个用户对另一用户区的侵入。 类似地，用户也不能隔离保护程序的代码区和数据区。 通常采用多对地址界限寄存器，其中一个为上界，另一个为下界（或一个为基址，另一个为界长）。把程序之间，数据之间，堆栈之间隔离保护起来。 操作系统 程序2 上界寄存器 操作系统 程序3 0 n-1 n 高 操作系统 程序1 下界寄存器 m m+1 基址寄存器 界长寄存器 3)内存块锁与进程钥匙配对法 PSW的其余部分 钥匙 内存锁 0110 块 1101 块 0101 块 0110 块 0110 进程 (2)支持虚拟内存的系统 进程的存储空间的隔离可以很容易地通过虚拟存储器的方法来实现，分段、分页或段页式，提供了管理和保护主存的有效方法，这类系统通过段表、页表和段页表间接地访问虚拟内存的一个段或一个页。