操作系统安全

《操作系统安全》是由北京邮电大学出版社出版的图书，作者是林果园。本书深入浅出，注重操作系统安全的基本理论和基本概念与实际操作系统安全技术相结合，注意吸收最新的操作系统安全研究成果。

作者

林果园

ISBN

9787563523054

定价

22.00元

出版社

北京邮电大学出版社

出版时间

2010-7-1

开本

16开

目录

1简介

2内容简介

3图书目录

折叠编辑本段简介

折叠安全特性

过去，微软一直以在操作系统上捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式，使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。

在Windows 2003中，两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装，并且这两个服务是在两个新的账户下运行，新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时，这种革新将直接改善服务器的安全性。

与IIS和Telnet上的服务账户改进一起，Windows 2003还包含了大量的新的安全特性，也许，这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。

折叠新安全特性

1.Internet连接防火墙(ICF)ICF是一个软件防火墙，它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作，给用户的关键的基础设施增加了一层保护。

2.软件限制策略软件限制策略使用策略和强制执行机制，来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些不是该公司标准用户软件套件中的程序。

3.网页服务器的安全性当装载了IIS 6.0的默认安装时，网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务，高级的摘要认证以及可配置的过程访问控制。

4.新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录(AD)提供了更高级的保护。

5.改善了以太局域网和无线局域网的安全性不论连接的介质是什么，基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性，促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册，使得能够对传统的位于或者横跨公共场所的网络进行访问控制，例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)。

6.凭证管理器对于所有的用户凭证，包括口令密码和X.509证书，凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。

7.Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问。对于不同的连接类型，例如拨号上网，虚拟专用网(VPNs)以及防火墙连接，该服务都是很实用的。

8.FIPS--广为认可的内核模式加密算法联邦信息处理标准(FIPS)算法支持SHA-1、DES、3DES和一个随机数发生器。这种政府级的加密模式用于加密通过VPN使用第二层隧道协议(L2TP)和IP安全(IPSec)建立的连接，这种连接或是从客户端到服务器，或是从服务器到服务器，或是从网关到网关。

9.改进的SSL客户端认证安全套接字层(SSL)客户端认证的改进使得会话速度可以提高35%，而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证，从而减少应用程序服务器上的网络通信量和CPU工作周期。

10.增强的EFS加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。

除了这些新的安全特性之外，微软已经发行了一个安全配置管理器，用于将整个操作系统的安全选项集合成一个管理控制台。

折叠安全配置规则

一、物理安全

服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。

二、停止Guest帐号

在[计算机管理]中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。

三、限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。

很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。

四、多个管理员帐号

管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。

同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。

五、管理员帐号改名

在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。

不要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。

六、陷阱帐号

和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。

七、更改文件共享的默认权限

将共享文件的权限从"Everyone"更改为"授权用户"，"Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。

八、安全密码

安全密码的定义是:安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码，如果设置了的话)。

九、屏幕保护 / 屏幕锁定 密码

防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。

十、使用NTFS分区

比起FAT文件系统，NTFS文件系统可以提供权限设置、加密等更多的安全功能。

十一、防病毒软件

Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !

十二、备份盘的安全

一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把备份放置在当前服务器上，那样的话还不如不做备份。(二) Windows Server 2003的安全结构体系 Windows Server 2003是目前最为成熟的网络服务器平台，安全性相对于Windows 2000有很大的提高，本节就从Windows 2003的安全结构体系入手，带领大家学习Windows 2003的安全结构特性。

LSA组件概述身份验证

1.LSA组件概述身份验证是通过基于密码的事务处理来实现的，其中涉及Kerberos或者经典NT LanMan(NTLM)Challenge-Response(质询-响应)。Windows 2003使用名为"安全描述符"的特殊数据结构来保护资源。安全描述符指出谁能访问一个资源，以及他们能对这个资源采取什么操作。所有进程都由定义了用户安全上下文的"访问令牌"来进行标识。审核由安全系统中的特殊功能完成，它们能记录对安全记录的访问。

在本地安全机构(Local Security Authority，LSA)组件中，包含作为Windows Executive一部分来执行的"核心模式"服务，以及对客户端-服务进程(比如交互式登录和网络访问权限的授予)进行控制的"用户模式"服务。LSA中的用户模式安全服务包含在两个可执行程序中，即"本地安全机构子系统(Local Security Subsystem，LSASS.EXE)"以及Winlogon.exe。LSASS容纳着以下进程:

(1)Kerberos KDC。该服务提供Kerberos身份验证和票证授予服务。它使用AD来存储安全身份凭据。

(2)NTLM安全性支持提供者。它支持所有下级客户端以及非域成员的现代Windows客户端。

(3)Netlogon。处理来自下级客户的"直通(Pass-Through)"式身份验证，从而提供对经典NT身份验证的支持。但不支持Kerberos事务处理。在基于AD的域控制器上，它负责注册DNS记录。

(4)IPSec。这个服务管理IP Security连接策略和IPSec Internet Key Exchange(IKE)。

(5)保护性存储(Protected Storge)。这个服务负责加密并安全存储与PKI子系统关联的证书。

LSA组件的"封装"

2.LSA组件访问一个服务器上的安全资源时，对这个所将发生的安全事务处理进行管理的服务称为"封装"或者"包"。有两种类型的封装:身份验证封装和安全性封装。

(1)身份验证封装。Microsoft提供了Kerberos和MSV1_0(质询-响应)两种身份验证封装。Windows支持源于DOS的客户端(Windows Me以下)所用的LanMan(LM)质询-响应，以及NT客户端和非域成员的现代Windows客户端所用的NT LanMan(NTLM)质询-响应。

(2)经典安全性数据库。NTLM身份验证将安全信息存储在注册表的3个数据库中。①builtin:这个数据库包含Administraotr和Guest两个默认的用户账户，另外还有各个默认组，如用于域的Domain Users及用于工作站和独立服务器的Power User组。Builtin账户包含在SAM注册表分支中。②安全账户管理器(SAM):这个数据库包含了本地用户和组账户。③LSA:这个数据库包含了计算机的密码规则、系统策略以及可信账户。LSA数据库包含在Security Registry分支中，这个分支也包含了SAM数据库的一个副本。

Windows的登录身份凭据

3.WINLOGONLSA需要某种机制从用户处获得登录身份凭据。负责获取这些身份凭据的可执行程序就是Windows exe，当按下Ctrl+Alt+Del组合键时，就调用 Winlogon exe。Winlogon所提供的窗口来源于一个名为"图形标识和身份验证"的DLL。用户登录时，LSA会构建一个访问令牌，用身份安全系统描述这个用户。由用户所有的一个进程在尝试访问一个安全对象时，安全性参考监视器(SRM)会将安全描述中的SID与用户访问令牌中的SID进行比较，并依此得出用户的访问权限集合。用户连接到一个服务器时，服务器上的LSASS必须建立代表该用户的一个本地访问令牌，并将令牌附加到用户的进程上。LSASS通过两种方式以获取构建这个本地访问令牌所需的信息:

· 如果是Kerberos身份验证，它从客户端出示的Kerberos会话票证的Authorization Data字段中获取信息。

· 如果是NTLM身份验证，它从一个域控制器获取信息，这是作为"直通"式身份验证过程的一部分来完成的。

LSA工作过程

4.LSA工作过程概述(1)Windows从用记收集登录身份信息。

(2)LSASS获取这些身份凭据，并在Kerberos或者NTLM的帮助(通过MSV1_))下使用这些凭据来验证用户的身份。这是"身份验证"阶段。

(3)LSASS构建一个访问令牌，它定义用户的访问权限和系统权限。

(4)安全性参考监视器(Security Reference Monitor，SRM)将这个令牌与对象的安全描述符中的访问控制列表(Access Control List，ACL)进行比较，判断是否允许用户访问。这是"授权"阶段。

(5)最后，LSASS和SRM配合，监视对安全对象的访问，并生成报告来记录部分或者全部事件。这是"审核"阶段。

Windows 2003的改进

Windows的安全性历来为人所诟病，直到Windows 2000才有较大改观，但依然难如人意:登录时的输入法漏洞、IIS特殊网址漏洞都是著名的例子。Windows 2000的补丁几乎全是安全补丁，以致有的网管一天不上微软网站心里就不踏实。Windows Server 2003在安全上下了大力气，不仅堵完了已发现的所有NT漏洞，而且还重新设计了安全子系统，增加了新的安全认证，改进了安全算法。处处设防，连访问一个新网站和运行一个新程序都有确认提示。

折叠关机和重启模块

1关机和重启模块首先应该特别提一下的是Windows Server 2003的关机和重启模块。在该模块中，Windows Server 2003增加了"关闭事件跟踪程序"选项，让你在关机前选一个原因并给出解释。这在桌面系统中纯属多此一举，但在服务器系统中却很重要。因为服务器是连续工作的，非计划的关机或重启意味着事故，所以必须记录在案。从这一小小的改变，可以看出微软确实在Windows Server 2003的安全上下足了功夫。

折叠IE安全模块

2IE安全模块Windows 2003的安全性比微软以往的操作系统有了大幅提高，内置IE 6.0的安全设置的默认值也被提到了"高"，这无疑是比较保险的办法。但每次浏览不同的网页都会弹出确认窗口，实在有些大煞风景。有些朋友在IE的"工具"→"安全"→"Internet区域的安全级别"中把安全等级降为"中"或者"中低"来解决。但这必须具有系统管理员级别的用户才能修改，其他用户不能修改，只能忍受微软不厌其烦的安全警告提示。

其实大家只要在组策略中把相关的安全设置功能打开就能解决上述问题。首先利用系统管理员身份登录，在运行框中输入"gpedit msc"，回车后进入组策略编辑器，找到"本地计算机策略"→"计算机配置"→"管理模块"→"Windows组件"→Internet Explorer。选定该项，把右边的"安全区域:仅是计算机设置"的默认值"未配置"改为"已启用"即可。这样系统管理员设置安全区域为"中"后，其他的用户也能享受"清静"了。

Windows 2003的防火墙功能

3防火墙在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。为了提高校园网的安全性，网络管理员首先想到的就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲，

这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验，谈谈如何利用Windows 2003提供的防火墙功能为校园网服务器构筑安全防线。

Windows 2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在Windows Server 2003 Standard Edition和32位版本的Windows Server 2003 Enterprise Edition 中。

Internet连接防火墙的设置:

在Windows 2003服务器上，对直接连接到Internet的计算机启用防火墙功能，支持网络适配器、DSL适配器或者拨号调制解调器连接到 Internet。

诞生于Windows 2000 Server的Active Directory，作为微软的目录服务和Windows 2000网络的核心，在Windows Server 2003上有了许多增强与改进:如可以使用备份数据安装附加域控制器，拥有更多的Active Directory功能级别，更加顺畅的目录数据复制功能，更加方便的管理功能等。

Active Directory技术功能特性

在针对Microsoft Windows 2000 Server操作系统所实施的多项重大改进中，Microsoft Active Directory不仅是最为重要、而且也是最容易遭到混淆的技术特性。本节提供了有关Active Directory技术功能特性的概括性资料。

就像可提供人员与单位电话信息的电话目录服务一样，Active Directory也是一种可供用来存储全部网络资源信息、并提供针对此类信息之简易访问服务的目录服务功能。这里所说的网络资源主要包括计算机、打印机、共享文件夹和消息队列等对象。

Active Directory相当于整个网络环境中的主交换机。该技术可帮助用户和应用程序针对那些已处于网络连接状态的相关资源实施目标定位与访问调用，并在彼此之间实现网络互联。更重要的是，该技术还可供用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提下针对相关资源实施访问调用。

折叠编辑本段内容简介

本书是普通高校信息安全系列教材之一的操作系统安全教材。全书共分为8章，主要包括:操作系统安全的基本概念、安全机制、安全模型、安全体系结构、安全设计与验证、安全评测和主流操作系统Windows和UNIX/Linux的安全机制与技术。

本书可以作为信息安全、计算机科学与技术、网络工程、通信工程等专业的本科生教材，也可以作为相关专业的本科生、研究生和与信息安全相关的教学、科研人员的参考书。

折叠编辑本段图书目录

第1章 导论

第2章 操作系统安全机制

第3章 操作系统安全模型

第4章 操作系统安全体系结构

第5章 操作系统安全设计与验证

第6章 操作系统安全评测

第7章 Windows操作系统安全技术

第8章 UNIX/Linux操作系统安全技术

参考文献