09操作系统安全防范.pptx

第9章 操作系统安全防范 ;本章内容; 网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，控制用户对网络资源的访问，它提供高效的通信服务和网络存储、打印服务，它能运行客户机/服务器应用程序来扩充网络应用。由于网络操作系统扮演着服务提供着的角色，所以我们也把它称为服务器操作系统。 　　计算机网络飞速发展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和服务来满足人们的需要，做好网络的???制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择合适的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。 网络操作系统有以下几类： 　　● Windows系列中的Windows NT，Windows 2000/2003 Server操作系统； 　　● Unix系列中的Solaris和BSD等操作系统； 　　● Linux系列中的Red Hat、红旗等操作系统。 ;Windows 2003操作系统 ; Windows 2003的安全性相当复杂，它实现以下目标：实现企业中的单一登录，集成的安全服务，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核服务等等。这些目标由安全子系统来实现，安全子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他安全操作，占据着相当重要的地位。安全子系统主要由登录过程、本地安全认证、安全账号管理器和安全参考监视器等安全子组件组成。 ;Windows安全子系统 ;　　登录过程(Winlogon)：在交互式登录过程中负责登录相关的安全性工作，处理用户的登录与注销、启动用户Shell、更改密码、锁定与解锁工作站等。此外，WinLogon还必须保证其与安全相关的操作对其他进程不可见，防止其他进程获取登录密码。 　　图形标识和身份验证动态链接库(GINA)：GINA在用户登录时被WinLogon进程加载，用来实现用户的身份验证过程，实现Windows登录界面，提供用于标识和验证用户的输出函数，它允许被替换，以使用户定制自己的身份验证操作。 　　身份验证软件包：身份验证软件包位于一个动态链接库之中，它执行用户身份验证工作。它接收由GINA提供的用户证书凭证，经校验后，为用户创建一个LSA登录会话，并返回绑定到用户安全令牌中的安全标识符(SID） 　　本地安全授权(LSA)：LSA是Windows 2000/2003系统的核心安全组件，它负责在本地和远程用户登录过程中验证用户身份，产生安全令牌，并维护本地安全策略。它还控制审计方案，并将安全参考监视器产生的审计信息记入日志。 ;Windows安全子系统;1.用户账户和用户组账户 在Windows 2003中，有三种账户类型：本地用户账户、域本地组账户和域全局组账户。当系统刚安装完的时候，系统会默认地创建一批内置的本地用户和本地组账户，存放在本地计算机的SAM数据库中；而当Windows 2003系统升级为域控制器的时候，系统则会创建一批域组账号，用于域中的管理和活动。 Windows 2003系统默认创建两个账户：Administrator和Guest。Administrator是超级管理员账户，具有最高权限，它可以创建、删除其他用户和组，管理安全策略，更改系统设备，格式化硬盘等。Guest是来宾用户，默认是禁止的，它用于临时登录的一次性用户，具有最小权限。这两个默认账户均可以改名，但都不能删除。 ;　　● Administrators：该组的成员为系统管理员，可以控制整个系统，Administrator账号即属于该组。 　● Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。 　　● Guests：来宾组，具有系统最小权限，用于临时登录，Guest账户属于该组。 　　另外还有Backup Operators、Print Operators、Account Operators等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员 　　;我们可以通过用户管理器或者命令行工具来管理用户和账户和组账户。用户管理器在计算机管理中，依次打开“控制面板”―“管理工具”―“计算机管理”－“本地用户和组”，就能管理用户账户了 ;创建组;net user命令 创建组;Windows2003的权限大致分为两类：NTFS权限与共享权限。 ?NTFS权限：是windows2003的操作系统在NTFS分区上权限；用于控制资源的安全性，可作用的范围包