1、2018/10/12,操作系统安全 共48页,1,第二章 操作系统安全,本章主要内容: 第一节 安全等级标准 第二节 漏洞 第三节 NetWare系统安全 第四节 Windows NT系统安全 第五节 UNIX系统的安全 第六节 Windows2000的安全,2018/10/12,操作系统安全 共48页,2,第一节 安全等级标准,计算机系统安全评价标准是一种技术性法规。在信息安全这一特殊领域,如果没有这一标准,与此相关的立法、执法就会有失偏颇,最终会给国家的信息安全带来严重后果。由于信息安全产品和系统的安全评价事关国家的安全利益,因此许多国家都在充分借鉴国际标准的前提下,积极制订本国的计算机安
2、全评价认证标准。,2018/10/12,操作系统安全 共48页,3,2018/10/12,操作系统安全 共48页,4,2018/10/12,操作系统安全 共48页,5,2018/10/12,操作系统安全 共48页,6,2018/10/12,操作系统安全 共48页,7,2018/10/12,操作系统安全 共48页,8,安全评估标准,2018/10/12,操作系统安全 共48页,9,2018/10/12,操作系统安全 共48页,10,2018/10/12,操作系统安全 共48页,11,2018/10/12,操作系统安全 共48页,12,2018/10/12,操作系统安全 共48页,13,2018/
3、10/12,操作系统安全 共48页,14,2018/10/12,操作系统安全 共48页,15,2.1.2 中国国家标准计算机信息安全保护等级划分准则,我国由公安部提出并组织制定的强制性国家标准计算机信息系统安全保护等级划分准则已于1999年9月13日经国家质量技术监督局发布,并于2000年1月1日起实施。该准则是针对当前我国计算机信息系统安全保护工作的现状和水平,充分借鉴国外评价计算机系统和安全产品的先进经验而制定的。该准则为安全产品的研制提供了技术支持,也为安全系统的建设和管理提供了技术指导。准则将计算机信息系统的安全等级划分为五级。,2018/10/12,操作系统安全 共48页,16,2.
4、1.2 中国国家标准计算机信息安全保护等级划分准则,1.用户自主保护级本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。,2018/10/12,操作系统安全 共48页,17,2.1.2 中国国家标准计算机信息安全保护等级划分准则,2.系统审计保护级 与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。,2018/10/12,操作系统安全 共
5、48页,18,3. 安全标记保护级本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息的能力;消除通过测试发现的任何错误。,2018/10/12,操作系统安全 共48页,19,4.结构化保护级 本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外,还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义,使其设计与实现能经受
6、更充分的测试和更完整的复审。加强了鉴别机制;支持系统管理员和操作员的职能;提供可信设施管理;增强了配置管理控制。系统具有相当的抗渗透能力。,2018/10/12,操作系统安全 共48页,20,5. 安全域级保护级本级的安全保护机制具备第4级的所有功能,本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的;必须足够小,能够分析和测试。为了满足访问监控器需求,计算机信息系统可信计算基在其构造时,排除那些对实施安全策略来说并非必要的代码;在设计和实现时,从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能;扩充审计机制,当发生与安全相关
7、的事件时发出信号;提供系统恢复机制。系统具有很高的抗渗透能力。,2018/10/12,操作系统安全 共48页,21,四、我国安全操作系统所面临的问题 1、长期以来,我国广泛应用的主流操作系统都是从国外引进直接使用的产品。从国外引进的操作系统,其安全性难以令人放心。 2、我国在安全操作系统方面已经开展了一些工作,但是缺乏理论基础,也就是缺乏对安全模型和安全评估准则的深入研究,使得安全操作系统方案缺乏整体性。 3、目前国内基本上都是利用国外的技术甚至是部分源代码,根据市场需要自己组合成的操作系统,这种系统不具有我们的自主版权。 4、以Linux为代表的国际自由软件的发展为我国发展具有自主版权的系统
8、软件提供了良好的机遇。但是Linux的内核设计缺乏模块化,从而导致基于Linux平台研制安全操作系统的做法缺乏科学的安全模型支持。,2018/10/12,操作系统安全 共48页,22,2.2.1 漏洞的概念,在计算机网络安全领域,“漏洞”是指硬件、软件或策略上的缺陷,这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限,非法用户就可以为所欲为,从而造成对网络安全的威胁。,2018/10/12,操作系统安全 共48页,23,2.2.2 漏洞的类型,一、 允许拒绝服务的漏洞1、何谓拒绝服务DOS攻击(Denial of Service)大量占用系统资源,消耗处理时间,
9、造成系统瘫痪或合法用户无法访问。比喻:你家电话铃响,你拿起电话又无人讲话,于是挂电话,可时铃又响,又接又挂。经过几次你不再接电话,可铃声响个不停。第二天,你的一个朋友问你“我昨晚找你有急事,可是一直占线。”,2018/10/12,操作系统安全 共48页,24,一个最简单最广泛的DOS攻击(ping of death),攻击名称: ping of death 操作系统: 大多数操作系统协议: ICMP工具: ping 攻击原理: 发送大量的ping包或数据包的容量大于64KB 攻击后果: 造成系统死机或难以忍受的慢 防范措施: 1. 打补丁2. 封杀Ping3.在路由器上对ICMP数据包进行带宽
10、限制.,2018/10/12,操作系统安全 共48页,25,什么是ICMP协议 ?,ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。,201
11、8/10/12,操作系统安全 共48页,26,Ping命令主要功能及使用小技巧,懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段,Ping命令通过向计算机发送报文并且监听回应报文的返回,以校验连接情况。默认情况下,发送四个回应报文。,Ping命令的格式: Ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count -j host-list | -k host-list -w timeout destination-list,其中destination-list是目的计算机的地址。,2018/10/12,操
12、作系统安全 共48页,27,-t(不断向指定的计算机发送报文,ping对方主机,按 Ctrl+Break可以查看统计信息或继续运行,直到用户按Ctrl+C键中断);此功能没有什么特别的技巧,不过可以配合其他参数使用,将在下面提到。,示例1:C:ping -t 192.168.1.21,2018/10/12,操作系统安全 共48页,28,示例2:C:ping -a 192.168.1.21 Pinging 192.168.1.21 with 32 bytes of data: Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply fr
13、om 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Reply from 192.168.1.21: bytes=32 time10ms TTL=254 Ping statistics for 192.168.1.21: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum
14、 = 0ms, Average = 0ms -a 解析计算机名。 从上面就可以知道IP为192.168.1.21的计算机名为。,2018/10/12,操作系统安全 共48页,29,示例3:C:ping -n 50 202.103.96.68 Pinging 202.103.96.68 with 32 bytes of data: Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: by
15、tes=32 time=50ms TTL=241 Request timed out. Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Reply from 202.103.96.68: bytes=32 time=50ms TTL=241 Ping statistics for 202.103.96.68: Packets: Sent = 50, Received = 48, Lost = 2 (4% loss),Approximate round trip times in milli-seconds: Minimum = 40ms
16、, Maximum = 51ms, Average = 46ms,-n count 发送count指定的Echo数据包数。 在默认情况下,一般都只发送四个数据包,通过这个命令可以自己定义发送的个数,对衡量网络速度很有帮助。,2018/10/12,操作系统安全 共48页,30,示例4:C:ping -l 65501 -t 192.168.1.21 Pinging 192.168.1.21 with 65501 bytes of data: Reply from 192.168.1.21: bytes=65501 time10ms TTL=254 Reply from 192.168.1.21:
17、bytes=65501 time10ms TTL=254 ,此介绍带有危险性,仅用于试验,请勿轻易施于别人机器上,否则后果自负!,-l size 定义echo数据包大小。 在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt。如果你只有一台计算机也许没有什么效果,但如果有很多计算机那么就可以使对方完全瘫痪,我曾经就做过这样的试验,当我同时使用10台以上计算机ping一台Win2000系统的计算机时,不到5分钟对方的网络就已经完全瘫痪,由此可见威力非同小可。,2018/10/12,操作系统安全 共48
18、页,31,ping命令的其他技巧:在一般情况下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情况下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,当然TTL的值在对方的主机里是可以修改的,Windows系列的系统可以通过修改注册表以下键值实现: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters,2018/10/12,操作系统安全 共48页,32,2.
19、 允许有限权限的本地用户未经授权提高其权限的漏洞。 3. 允许外来团体(在远程主机上)未经授权访问网络的漏洞。,2018/10/12,操作系统安全 共48页,33,2.2.3 漏洞对网络安全的影响,1. 漏洞影响Internet的可靠性和可用性 2. 漏洞导致Internet上黑客入侵和计算机犯罪 3漏洞致使Internet遭受网络病毒和其它软件的攻击,2018/10/12,操作系统安全 共48页,34,2.2.4 漏洞与后门的区别,漏洞与后门是不同的,漏洞是难以预知的,后门则是人为故意设置的。后门是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令,这些口令无论是被攻破,还是只掌
20、握在制造者手中,都对使用者的系统安全构成严重的威胁。,2018/10/12,操作系统安全 共48页,35,第三节 NetWare系统安全,本节将讨论如下内容:NetWare系统安全等级NetWare系统的安全性NetWare系统安全性增强NetWare系统的安全漏洞,2018/10/12,操作系统安全 共48页,36,2.3.1 NetWare系统安全等级,NetWare系统符合C2级安全标准。,2018/10/12,操作系统安全 共48页,37,2.3.2 NetWare系统的安全性,NetWare系统目录服务在访问控制方面,NetWare使用NetWare目录服务(NetWare Dire
21、ctory Services,NDS)提供层次式的分配和管理网络访问权的办法。它可以使用一个控制台实现对整个网络环境的管理。NDS还提供了十分详细的用户对网络资源访问的分级控制。,2018/10/12,操作系统安全 共48页,38,2. 账户管理器NetWare账户管理非常容易,可以使用nwadmn95实用程序来完成。也可以直接从服务器中使用ConsoleOne管理账户。账户管理员对用户的管理可以包括非常具体的情况,通过选择用户的(Details)。管理员可以在这个控制台中实现对用户的各种管理。,2018/10/12,操作系统安全 共48页,39,3. 文件系统NetWare系统对文件的管理一
22、般是通过nwadmn95进行控制的。这样可以保证NDS管理员快速识别分配给每个用户的访问权限。在NetWare系统中,有一个名叫Filer的实用程序,它允许管理员以递归方式控制目录的访问权限系列。这种访问权限系列可以使用继承式权限屏蔽进行控制。 所谓继承式权限屏蔽:是指在正常情况下,如果一个用户获得了对特定目录的读许可权,将会获得对其下所有子目录中文件的读许可权。NetWare系统提供了继承权式权限屏蔽对这种权限进行限制,使之不再向下延续包括所有子目录。这使得管理员可以准确地分配任何一级目录的访问权限。,2018/10/12,操作系统安全 共48页,40,4. 日志记录和审核NetWare服务
23、器可以生成两类日志,一种是由console.nlm生成的控制台日志,该日志记录着所有控制台活动和出错的信息;另一种是由auditcon实用程序生成的审核日志。Auditcon程序不仅允许系统管理员监视包括从用户登录到口令修改和特定文件的访问等一系列情况,可以监视约束多达70个事件。而且它还允许系统管理员指定的用户监视服务器的情况。,2018/10/12,操作系统安全 共48页,41,5. 网络安全NetWare系统本身具有一套较为完善的网络安全体系,例如对目录和文件的控制;管理员还可以限定用户登陆的物理位置等等。NetWare系统被认为是优秀Web服务器平台的最佳选择之一,因为即使有远程黑客的
24、侵入,它也只能危害系统的一个区域,很难访问整个系统。,2018/10/12,操作系统安全 共48页,42,2.3.3 NetWare系统安全性增强,远程控制台访问安全保护 使用Telnet访问控制台,2018/10/12,操作系统安全 共48页,43,2.3.4 NetWare系统的安全漏洞,1.获取账号 2.查阅合法账号 3.获得超级用户的账号,2018/10/12,操作系统安全 共48页,44,本节主要内容:Windows NT的安全等级Windows NT的安全性Windows NT的安全漏洞,第四节 Windows NT系统安全,2018/10/12,操作系统安全 共48页,45,2.
25、4.1 Windows NT的安全等级,作为一个标准的系统,Windows NT Server 自3.5版就已达到了国家计算机安全中心的C2级安全级的要求。部分程序,如身份确认、审计和把操作者账号与管理员账号分开的功能,甚至达到了更高的安全级(即B2级)要求。,2018/10/12,操作系统安全 共48页,46,2.4.2 Windows NT的安全性,Kerberos和Windows NT Kerberos是一种验证协议,该验证协议定义了一个客户端和一个密钥分配中心的网络验证服务之间的接口。Windows NT 5.0的密钥分配中心在域中的每个域控制器上进行验证服务。Kerberos客户端的
26、运行是通过一个基于SSPI(一个Win32的安全性系统API)的Windows NT安全性接口来实现的。 Kerberos验 证过程的初始化集成到了WinLogon单一登录的结构中。,2018/10/12,操作系统安全 共48页,47,2.加密文件系统Windows NT 5.0中,提供了一种基于新一代NTFS:NTFS V5(第版本)的加密文件系统(Encrypted File System,简称EFS)。一个文件在使用之前不需要手工解密,因为加密和解密对用户是透明的,加密和解密自动地发生在从硬盘中读取数据以及向硬盘中写人数据时。当发生磁盘I/O时,EFS能够自动地检测对象文件是否为加密过的
27、文件。如果是加密文件,EFS从系统的密钥存储区得到一个用户的私有密钥。如果访问加密文件的用户不是原来对文件进行加密的用户,他的私有密钥必然与进行加密的用户是不同的。这样,用私有密钥还原出来的FEK必然是不正确的,这时得到的是一个对文件的拒绝访问信息。所有这一切都不需要用户的参与,用户访问一个经过加密的文件或目录只可能得到两个结果:允许访问(与其它文件系统中的情况相同)或者拒绝访问。,2018/10/12,操作系统安全 共48页,48,3.Windows IP Security 安全性支持为了防止来自网络内部的攻击,Windows NT 5.0推出了一种新的网络安全性方案一IP Security
28、(IP安全性),它符合IETF宣布的IP安全性协议的标准,支持在网络层一级的验证、数据完整性和加密。它和Windows NT Server内置的安全性集成在一起,为维护安全的Internet和Intranet通信, Windows NT 5.0提供了一个理想的平台。,2018/10/12,操作系统安全 共48页,49,2.4.3 Windows NT的安全漏洞,(1) 紧急修复盘产生的安全漏洞 (2)被无限制地尝试连接 (3)最近登录的用户名显示问题 (4)打印机问题,2018/10/12,操作系统安全 共48页,50,第五节 UNIX系统的安全,本节内容: UNIX系统的安全等级UNIX系统
29、的安全性UNIX系统的安全漏洞,2018/10/12,操作系统安全 共48页,51,2.5.1 UNIX系统的安全等级,UNIX系统符合国家计算机安全中心的C2级安全标准,引进了受控访问环境(用户权限级别)的增强特性。进一步限制用户执行某些系统指令;审计特性跟踪所有的“安全事件”(如登录成功或失败)和系统管理员的工作(如改变用户访问权限和密码)。,2018/10/12,操作系统安全 共48页,52,2.5.2 UNIX系统的安全性,1控制台安全控制台安全是UNIX系统安全的一个重要方面,当用户从控制台登录到系统上时,系统会显示一些系统的有关信息,而后提示用户输入用户的使用账号,用户输入账号的内
30、容显示在终端屏幕上,而后提示用户输入密码,此时用户输入的密码则不会显示在终端屏幕上,这是为了安全起见。 可以对系统进行如下设置:如果用户输入口令超过三次后,系统将锁定用户,禁止其登录,这样可以有效防止外来系统的侵入,当然最重要的还是需要在口令安全方面做一下设计。,2018/10/12,操作系统安全 共48页,53,2口令安全任何登陆UNIX系统的人,都必须输入口令,而口令文件passwd只有超级用户可以读写,因此该文件能够被普通用户盗走,这也说明,在大多数情况下,系统的超级用户权限有可能被攻击者行使。攻击者的目的主要是通过破解口令文件,寻找出一些口令来,从而以后可以冒充合法用户访问主机,所以一
31、旦用户发现系统的口令文件被非法访问过,一定要及时更换所有用户的口令。,2018/10/12,操作系统安全 共48页,54,网络文件系统UNIX资源的访问是基于文件的,在UNIX系统中,各种硬件设备甚至系统内存都是以文件形式存在的,因此,为了维护系统的安全性,文件系统的安全甚为重要。系统的每一个文件都具有一定的访问权限,只有被授予这种权限的用户,才有对该文件行使其特定访问权限的权利。一般讲,对文件具有访问权的用户分为三种:用户本人;用户所在组的用户;系统中除上面两种用户外的其他用户。,2018/10/12,操作系统安全 共48页,55,4. FTP安全FTP(File Transfer Prot
32、ocol)是文件传输协议,网络上使用这种协议传送文件的功能称为FTP。由于担心FTP的安全许多公司禁止使用FTP。虽然匿名FTP却比较安全。但是在使用时仍需注意以下几点:使用最新的FTP版本; 确保没有任何文件及其所有者属于FTP账户或必须不与它在同一组内; 确保FTP目录及其下级子目录的所有者是root,以便对有关文件进行保护; 确保FTP的home目录下的passwd不是/etc/passwd的完全拷贝,否则易于给黑客破解整个系统的有关用户信息; 不要允许匿名用户在任何目录下创建文件或目录,除非特别需要。,2018/10/12,操作系统安全 共48页,56,2.5.3 UNIX系统的安全漏
33、洞,1. Sendmail漏洞 2. Passwd命令漏洞3. Ping命令问题4. telnet问题5. 网络监听6. yppasswd漏洞,2018/10/12,操作系统安全 共48页,57,第六节 Windows2000的安全,本节内容: Windows 2000的安全性Windows2000的安全漏洞,2018/10/12,操作系统安全 共48页,58,2.6.1 Windows 2000的安全性,2018/10/12,操作系统安全 共48页,59,2.6.2 Windows2000的安全漏洞,1资源共享漏洞 2资源共享密码漏洞 3concon漏洞 4Win2000的全拼输入法漏洞 5Win2000的账号泄露问题 6空登录问题,2018/10/12,操作系统安全 共48页,60,小结:,在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。本章主要介绍各种操作系统的漏洞和安全,包括:NetWare、Windows NT、UNIX、Windows2000的安全性和漏洞,并介绍了有关漏洞的概念和分类、安全等级的标准。,