windows系统安全与加固技术验V-10.ppt

1 Windows系统安全与加固技术 高平 信息与电子学院信息安全与对抗技术实验室 2 参考书目 教材《信息系统安全与对抗技术实验教程》北京理工大学出版发行，罗森林、高平编著。 3 一、网络安全概述 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 4 1-1 网络安全特征 （1）保密性：信息不泄露给非授权的用户、实体或过程，或供其利用的特性。 （2）完整性：数据未经授权不能进行改变的特性。 （3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。 （4）可控性：对信息的传播及内容具有控制能力。 5 1-2 网络安全的威胁 （1）非授权访问：指一个非授权用户的入侵。 （2）信息泄露：指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。 （3）拒绝服务：指使系统难以或不能继续执行任务的所有问题。 6 1-3 网络安全分类 计算机的安全可分为三类： （1）实体安全，包括机房、线路、主机等。 （2）网络与信息安全，包括网络的畅通、准确以及网上信息的安全。 （3）应用安全，包括程序开发运行、I/O、数据库等的安全。 7 网络信息安全可分为四类： （1）基本安全类 （2）管理与记账 （3）互连设备安全类 （4）连接控制类 8 9 1-4 安全级别 (1)D级 D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人可以自由进出，是完全不可信的。 10 (2)C1级： 这种级别的系统对硬件有某种程度的保护：用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。 11 (3)C2级 C2级别应具有访问控制环境（controlled-access environment）权力。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，而且还加入了身份认证级别。 12 (4)B1级 B1级即标志安全保护（labeled securityprotection），是支持多级安全（例如秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。 13 (5)B2级 又叫做结构保护（structured protection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或多个安全级别。它是提供较高安全级别的对象与较低安全级别的对象相通信的第一个级别。 14 (6)B3级 称安全域级别（security domain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。 15 (7)A级 A级或又称验证设计（verity design）是当前橙皮书的最高级别，它包括了一个严格的设计、控制和验证过程。与前面所提到的各级别一样，该级别包含了较低级别的所有特性。 16 二、Windows 的安全性 2.1 Windows的安全体系 1、系统安全体系结构 用户通过输入一个惟一的登录名和密码证明自己的身份后才能登录系统，系统使用这个证明来跟踪用户的动作。 17 2、系统安全体系结构 在系统中，用户通过输入一个惟一的登录名和密码证明自己的身份后才能登录系统，系统使用这个证明来跟踪用户的动作。 18 19 身份验证 用户登录时，弹出登录对话框，让用户输入账号名及口令。登录进程查找安全账户数据库中的信息。 口令无效，则拒绝用户登录。若账号及口令有效，则把安全账户管理（SAM）数据库中有关该账号的信息收集在一起，形成一个存取标识。 20 表1 用户的特定权力 Access this computer from network 可使用户通过网络访问该计算机 Add workstation to a domain 允许用户将工作站添加到域中 Backup files and directories 授权用户对计算机的文件和目录进行备份 Change the system time 用户可以设置计算机的系统时钟 Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序 Restore files and directories 允许用户恢复以前备份的文件和目录 Shutdown the system 允许用户关闭系统 21 表2 目录权限 权限级别 RXWDPO 允许的用户动作 No Access 用户不能访问该目录 List RX 可查看目录中的子目录和文件名，也可以进入子目录 Read RX 具有List权限，用户可读取目录中的