操作系统安全防范.pptVIP

第9章 操作系统安全防范 本章内容 网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，控制用户对网络资源的访问，它提供高效的通信服务和网络存储、打印服务，它能运行客户机/服务器应用程序来扩充网络应用。由于网络操作系统扮演着服务提供着的角色，所以我们也把它称为服务器操作系统。 　　计算机网络飞速发展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和服务来满足人们的需要，做好网络的控制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择合适的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。 网络操作系统有以下几类： 　　● Windows系列中的Windows NT，Windows 2000/2003 Server操作系统； 　　● Unix系列中的Solaris和BSD等操作系统； 　　● Linux系列中的Red Hat、红旗等操作系统。 Windows 2003操作系统 Windows 2003是微软公司开发的新一代高性能、高可靠性和高安全性的网络操作系统。它是Windows NT系列中的一员，在Windows 2000操作系统上做了许多重大改进，特别的，为了适应Internet分布式网络环境的需要，Windows 2003集成了.Net框架平台，简化了Web应用程序的开发，并提供良好的支持和可缩放的服务端运行环境。同时为了配合.net运行环境，Windows 2003中集成了IIS 6.0版Web服务器，相比IIS 5.0，它在可靠性、安全性和可管理性方面有长足进步，支持ASP.NET和XML技术，使得Windows 2003成为一个优秀的Web平台。另外，它的安全性相比Windows 2000大大增加，它除了堵完已发现的所有安全漏洞，还重新设计了安全子系统，改进了安全算法。 Windows Server 2003针对不同的应用级别提供了四种版本，它们分别是Web、Standard、Enterprise和Datacenter。目前企业中使用较多的是Enterprise版，它可满足各种规模的企业的一般用途，是各种网络应用程序、Web服务和基础结构的理想平台，具有出色的商业价值。它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB，具有优异的伸缩性。它功能强大，易于配置和管理，界面友好美观，操作方便容易，所以迅速成为主流的网络服务器操作系统之一。 Windows 2003的安全性相当复杂，它实现以下目标：实现企业中的单一登录，集成的安全服务，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核服务等等。这些目标由安全子系统来实现，安全子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他安全操作，占据着相当重要的地位。安全子系统主要由登录过程、本地安全认证、安全账号管理器和安全参考监视器等安全子组件组成。 Windows安全子系统 Windows安全子系统 网络登录(Netlogon)：Netlogon服务维护计算机到所在域内的域控制器的安全信道，然后传送用户的证书凭证穿过此安全信道，再为安全主体返回一个带有SID和用户权力的访问权标。 安全账号管理器(SAM)：安全账号管理器维护安全账号数据库，即SAM数据库，该数据库包含用户和组的账号信息。在工作组模式下，SAM数据库存放在本地系统中，在域模式下，存放在域控制器中。 安全参考监视器(SRM)：安全参考监视器运行在内核模式，它负责访问控制和审核，通过将安全主体的访问令牌与客体的访问控制板(ACL)相比较，确定是否具有访问权限，阻止非授权用户访问对象。同时它还负责实施审计操作，对落入审计范围内的操作产生审计信息。 9.2.2　Windows 2003的账户管理 　　● Administrators：该组的成员为系统管理员，可以控制整个系统，Administrator账号即属于该组。 　● Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。 　　● Guests：来宾组，具有系统最小权限，用于临时登录，Guest账户属于该组。 　　另外还有Backup Operators、Print Operators、Account Operators等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员 　　 创建组 创建组的方法与创建