[工学]计算机与网络安全实用技术中ppt280.ppt

1.怎样进入本地安全策略 在Windows XP下点击“开始-控制面版-管理工具-本地安全策略”，即进入本地安全策略设置窗口，如图7-10所示。 7.3.4 基于Windows XP环境下本地安全策略 2.本地安全策略的设置 从图7-10可看出，本地安全策略设置窗口一分为二，左边窗口是一个可展开的功能菜单，右边窗口是选中子项的安全策略内容。 在这里，以“密码策略”的设置为例，介绍基于Windows XP环境下本地安全策略的设置。 在图7-10所示的本地安全设置主窗口下，点击左窗口中的“帐户策略-密码策略”子项，进入密码策略设置窗口，如图7-11所示。 如图7-11，密码策略共有“密码复杂性、密码长度、密码最长存留期、密码最短存留期、强制历史密码、用户还原”等设置项。 (1)密码复杂性设置 密码复杂性设置用以确认密码是否要求符合复杂性要求。 在图7-11中，选择右窗口的“密码必须符合复杂性要求”设置项，按下鼠标右键，系统弹出一个下拉式菜单，在该下拉菜单中选择“属性”功能，得到一个如图7-12所示的对话框。 根据要求选择“已启用”或“已禁用”选项并单击“确定”按钮。 (2)密码长度的设置 密码长度设置用以指定密码的位数，根据现代密码学的要求，安全密码长度至少应在6位以上，最好是8位或8位以上。 在图7-11中，选择右窗口的“密码长度最小值”设置项，按下鼠标右键，系统弹出一个下拉式菜单，在该下拉菜单中选择“属性”功能，得到一个如图7-13所示的对话框。 3.目录许可 在Unix系统中，目录也是一个文件，用ls　-l列出时，目录文件的属性前面带一个d，目录许可也类似于文件许可，用ls列目录要有读许可，在目录中增删文件要有写许可，进入目录或将该目录作路径分量时要有执行许可。因之，若要使用一个文件，必须具有该文件及找到该文件的路径上所有目录分量的相应许可。仅当要打开一个文件时，文件的许可才开始起作用，而rm，mv只要有目录的搜索和写许可，不需文件的许可，这一点应注意。 4.umask命令　 umask设置用户文件和目录的文件创建缺省屏蔽值，若将此命令放入“.profile”文件，就可控制该用户后续所建文件的存取许可“.umask”命令与“chmod”命令的作用正好相反，它告诉系统在创建文件时不给予什么样的存取许可。 5.设置用户ID和同组用户ID 用户ID许可(SUID)和同组用户ID许可(SGID)可给赋予可执行的目标文件，因为只有可执行文件才有意义，当一个进程执行时就被赋于4个编号，以标识该进程隶属于谁，分别为实际和有效的UID，实际和有效的GID。有效的UID和GID一般和实际的UID和GID相同，有效的UID和GID用于系统确定该进程对于文件的存取许可。而设置可执行文件的SUID许可将改变上述情况，当设置了SUID时，进程的有效UID为该可执行文件的所有者的有效UID，而不是执行该程序的用户的有效UID，因此，由该程序创建的都有与该程序所有者相同的存取许可。这样，程序的所有者将可通过程序的控制在有限的范围内向用户发布不允许被公众访问的信息。同样，SGID是设置有效GID。可用chmod　u+s文件名和chmod　u-s文件名来设置和取消SUID设置，用chmod　g+s文件名和chmod　g-s文件名来设置和取消SGID设置。当文件设置了SUID和SGID后，chown和chgrp命令将全部取消这些许可。 6.su和newgrp命令 (1)su命令 Unix系统允许在不注销用户的情况下而允许另一用户登录进入系统，新登录的用户将启动新的shell，并将有效和实际的UID和GID设置给该用户，因此必须严格将root口令保密。 (2)newgrp命令 与su相似，用于修改当前所处的组名。 7.文件加密 crypt命令可提供给用户用以加密文件，使用一个关键词将标准输入的信息编码为不可读的杂乱字符串，送到标准输出设备。再次使用该命令，用同一关键词作用于加密后的文件，可恢复文件内容。一般来说，在文件加密后，应删除原始文件，只留下加密后的版本，且不能忘记加密关键词。在vi中一般都有加密功能，用vi　-x命令可编辑加密后的文件。关于加密关键词的选取规则与口令的选取规则相同。由于crypt程序可能被做成特洛依木马，故不宜用口令做为关键词。最好在加密前用pack或compress命令对文件进行压缩后再加密。 7.2.3 Unix安全体系结构 Unix的安全体系结构可以按照ISO/OSI网络模型的层次结构将它分成七