第九章 操作系统安全

浙江大学计算机安全讲稿,非常好的课件.

第九章 操作系统安全性

浙江大学计算机安全讲稿,非常好的课件.

操作系统安全性 Windows NT/2000 UNIX 其他操作系统

操作系统漏洞 操作系统入侵检测

系统安全扫描软件

浙江大学计算机安全讲稿,非常好的课件.

Windows NT/2000 四种安全协议 – Windows NT LAN Manager(NTLM)验证协议 – KerberosV5验证协议 – DPA分布式密码验证协议 – 基于公共密钥的协议

浙江大学计算机安全讲稿,非常好的课件.

Windows NT/2000 Win NT登录 NT文件系统(NTFS) NT安全漏洞及其解决建议

Windows2000的分布式安全协议

浙江大学计算机安全讲稿,非常好的课件.

Win NT登录 Ctrl,Alt,Del三个键不能被屏蔽的 安全帐号管理器(Security Account

Manager)机制 针对域用户账号登陆的验证分别是通过 NTLM和Kerberos协议

浙江大学计算机安全讲稿,非常好的课件.

NT文件系统(NTFS) 最适合处理大磁盘的文件系统 支持保证文件和文件夹安全性的访问控

制列表(ACL)

浙江大学计算机安全讲稿,非常好的课件.

NT安全漏洞及其解决建议 Windows NT系统上的重大安全漏洞，主要包

括两大部分：– NT服务器和工作站的安全漏洞 – 关于浏览器和NT机器的两个严重安全漏洞。

更佳的解决方案是： 建设一个强壮的防火墙，精心地配置它，只授权给可信赖 的主机能通过防火墙。正象以上针对大多数安全漏洞的解 决建议一样，在防火墙上，截止所有从端口137到139的 TCP和UDP连接，这样做有助于对远程连接的控制。另外， 在内部路由器上，设置ACL,在各个独立子网之间，截止 从端口137到139的连接。这是一种辅助措施，以限制该安 全漏洞。值得注意的是，有些黑客程序可以具有选择端口 号的能力，它可能成功地攻击其它端口。

浙江大学计算机安全讲稿,非常好的课件.

Windows2000的分布式安全协议 在WindowsNT4。0中，主要的分布式安

全协议是NTLM(Windows NT LAN Manager)。 Windows2000里，微软采用了一个新的 安全系统。在这个新的安全系统中， Kerberos是缺省的分布式安全协议。当然， Windows2000仍然支持NTLM以及SSL协 议。

浙江大学计算机安全讲稿,非常好的课件.

Kerberos kerberos是以SSP(Security Service Provider)的方

式通过SSPI(Security Service Provider Interface) 来实现的。应用程序可以直接通过SSPI来获得 Kerberos的服务 KerberosSSP能够提供三种安全性服务– 认证：进行身份验证； – 数据完整性：保证数据在传送过程中不被篡改； – 数据保密性：保证数据在传送过程中不被获取

浙江大学计算机安全讲稿,非常好的课件.

操作系统安全性 Windows NT/2000 UNIX 其他操作系统

操作系统漏洞 操作系统入侵检测

系统安全扫描软件

浙江大学计算机安全讲稿,非常好的课件.

UNIX UNIX系统安全基础 Unix系统登录过程

浙江大学计算机安全讲稿,非常好的课件.

UNIX系统安全基础 口令安全 – UNIX系统中的/etc/passwd文件含有全部系统需要知 道的关于每个用户的信息(加密后的口令也可能存于 /etc/shadow文件中)。 文件许可权 – 第一个rwx:表示文件属主的访问权限。 – 第二个rwx:表示文件同组用户的访问权限。 – 第三个r

wx:表示其他用户的访问权限。 目录许可 – 在UNIX系统中，目录也是一个文件

浙江大学计算机安全讲稿,非常好的课件.

UNIX系统安全基础 umask命令– umask设置用户文件和目录的文件创建缺省屏蔽值

设置用户ID和同组用户ID许可– 用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执 行的目标文件

cp mv ln和cpio命令– cp拷贝文件时，若目的文件不存在则将同时拷贝源文件的存 取许可 – mv移文件时，新移的文件存取许可与原文件相同 – ln为现有文件建立一个链，即建立一个引用同一文件的新名 字 – cpio命令用于将目录结构拷贝到一个普通文件中，而后可再 用cpio命令将该普通文件转成目录结构

浙江大学计算机安全讲稿,非常好的课件.

UNIX系统安全基础 su和newgrp命令– su命令：可不必注销户头而将另一用户又登录进入系 统，作为另一用户工作 – newgrp命令：与su相似，用于修改当前所处的组名

文件加密– crypt命令可提供给用户以加密文件，使用一个关键词 将标准输入的信息编码为不可读的杂乱字符串，送到 输出设备

其他安全问题

浙江大学计算机安全讲稿,非常好的课件.

UNIX UNIX系统安全基础 Unix系统登录过程

浙江大学计算机安全讲稿,非常好的课件.

Unix系统登录过程 UNIX内核将被调入计算机内存 init程序调用getty程序在终端上显示login

等登录信息 若用户通过身份验证，login进程把用户 的home目录设置成当前目录并把控制交 给一系列setup程序