cisp0205操作系统安全_v30.pptVIP

操作系统安全 培训机构名称 讲师名称 版本：3.0 发布日期：2014-12-1 生效日期：2015-1-1 课程内容 2 操作系统与数据库安全 知识体 知识域 操作系统安全 知识子域 数据库安全 知识域：操作系统安全 知识子域：操作系统安全概念 了解操作系统的作用与功能 了解操作系统的主要安全设计机制 理解操作系统的安全配置要点 3 操作系统的功能 用户与计算机硬件之间的接口 操作系统为用户提供了虚拟计算机，把硬件的复杂性与用户隔离 计算机系统的资源管理者 CPU管理 存储管理 设备管理 文件管理 网络与通信管理 用户接口 4 硬件：CPU、内存、硬盘、网络硬件等 内核 系统调用接口 用户进程 操作系统安全目标 操作系统安全目标 标识系统中的用户和进行身份鉴别 依据系统安全策略对用户的操作进行访问控制，防止用户和外来入侵者对计算机资源的非法访问 监督系统运行的安全性 保证系统自身的安全和完整性 5 操作系统安全机制（一） 标识与鉴别 用户身份合法性鉴别 操作系统登录 访问控制 防止对资源的非法使用 限制访问主体对访问客体的访问权限 DAC、MAC、RBAC 最小特权管理 限制、分割用户、进程对系统资源的访问权限 “必不可少的”权限 6 操作系统安全机制（二） 信道保护 正常信道的保护 可信通路（Trusted Path） 安全键（SAK） 7 操作系统安全机制（三） 安全审计 对系统中有关安全的活动进行记录、检查以及审核 审计一般是一个独立的过程 内存存取保护 进程间/系统进程内存保护 段式保护、页式保护和段页式保护 文件系统保护 分区 文件共享 文件备份 8 知识域：操作系统安全 知识子域：Windows系统安全机制 理解Windows系统标识与鉴别、访问控制、用户账户控制、安全审计、文件系统的安全机制和安全策略 掌握Windows系统的安全配置方法 9 Windows系统标识与鉴别-安全主体 安全主体类型 用户帐户 本地用户 域用户 组帐户 everyone组 network组 计算机 服务 10 Windows系统标识与鉴别-安全标识 安全标识符（Security Identifier，SID） 安全主体的代表（标识用户、组和计算机账户的唯一编码） 范例：S-1-5-21-1736401710-1141508419-1540318053-1000 11 Windows系统标识与鉴别-用户鉴别 12 账户信息管理机制 登录验证 本地登录验证 远程登录验证 Windows用户身份鉴别 帐号信息存储（SAM:安全账号管理） 运行期锁定、存储格式加密 仅对system帐号有权限，通过服务进行访问控制 Windows用户身份鉴别：本地登录 GINA（Graphical Identification and Authentication:图形化识别和验证) LSA（Local Security Authority：本地安全授权） 13 SAM 账户信息库 GINA LSA Windows系统身份鉴别：远程登录 远程登录鉴别协议 SMB（Server Message Block）:口令明文传输 LM（LAN Manager）：口令哈希传输，强度低 NTLM（NT LAN Manager）：提高口令散列加密强度、挑战/响应机制 Kerberos：为分布网络提供单一身份验证 14 Windows系统访问控制-ACL 访问控制列表（Access Control List，ACL） NTFS文件系统支持 权限存储流文件系统中 自主访问控制 灵活性高，安全性不高 15 Windows系统访问控制-用户账户控制 用户帐户控制（User Account Control，UAC） 完全访问令牌 标准受限访问令牌 16 Windows文件系统安全 NTFS文件系统权限控制（ACL） 文件、文件夹、注册表键值、打印机等对象 安全加密 EFS(EFS(Encrypting File System ) Windows内置，与文件系统高度集成 对windows用户透明 对称与非对称算法结合 Bitlocker 对整个操作系统卷加密 解决设备物理丢失安全问题 17 Windows系统审计机制 Windows日志 系统 应用程序 安全 设置 应用程序和服务日志 应用访问日志 FTP访问日志 IIS访问日志 18 Windows系统安全策略 账户策略 密码策略 账户锁定策略 本地策略 审核策略 用户权限分配 安全选项 …… 19 Windows系统安全配置 1、安全配置前置工作 2、账号安全设置 3、关闭自动播放 4、远程访问控制 5、本地安全策略 6、服务运行安全设置 7、使用第三方安全增强软件 20 Windows安全设置1-前置工作 安全的安装 分区设置