系统访问控制与审计技术(ppt32).ppt

《系统访问控制与审计技术(ppt32).ppt》由会员分享，可在线阅读，更多相关《系统访问控制与审计技术(ppt32).ppt（33页珍藏版）》请在装配图网上搜索。

1、来自来自 中国最大的资料库下载中国最大的资料库下载系统访问控制与审计技术系统访问控制与审计技术 本章学习目标：本章学习目标：了解几种基本的访问控制技术了解几种基本的访问控制技术熟悉常用操作系统的安全技术熟悉常用操作系统的安全技术了解操作系统的审计技术了解操作系统的审计技术211.1 11.1 访问控制技术访问控制技术 访问控制是在保障授权用户能获取所需资源的同时拒绝访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。非授权用户的安全机制。访问控制也是信息安全理论基础的重要组成部分。访问控制也是信息安全理论基础的重要组成部分。本章讲述访问控制的原理、作用、分类和研究前沿，重本章

2、讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。访问控制。11.1.1 11.1.1 访问控制技术的概念访问控制技术的概念 311.1 11.1 访问控制技术访问控制技术 访问控制与其他安全措施之间的关系可以用图访问控制与其他安全措施之间的关系可以用图11-111-1来简来简要说明。要说明。在用户身份认证在用户身份认证(如果必要如果必要)和授权之后，访问控制机制和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源将根据预先设定的规则对用户访问某项资源(目标目标)进行控制，进行

3、控制，只有规则允许时才能访问，违反预定的安全规则的访问行为只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。将被拒绝。资源可以是信息资源、处理资源、通信资源或者物理资资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。一般情况可以理解为读、写或者执行。11.1.2 11.1.2 访问控制原理访问控制原理 411.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 访问控制的目的是为了限制访问主体对访问客体

4、的访问权限，从而访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型：定用户身份的进程能做什么。访问控制一般包括三种类型：自主访问控自主访问控制制、强制访问控制强制访问控制和和基于角色的访问控制基于角色的访问控制。511.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 自主访问控制（自主访问控制（Discretionary Access ControlDiscretion

5、ary Access Control，DACDAC）是一种常）是一种常用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对用的访问控制方式，它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。自主是指主体能够自主的客体的访问，这种控制是自主的。自主是指主体能够自主的(可能是间接可能是间接的的)将访问权或访问权的某个子集授予其他主体。将访问权或访问权的某个子集授予其他主体。1 1自主访问控制自主访问控制 自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具自主访问控制是一种比较宽松的访问控制，一个主体的访问权限具有传递性。传递可能会给系统带来安全隐患，某个主

6、体通过继承其他主有传递性。传递可能会给系统带来安全隐患，某个主体通过继承其他主体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全体的权限而得到了它本身不应具有的访问权限，就可能破坏系统的安全性。这是自主访问控制方式的缺点。性。这是自主访问控制方式的缺点。为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。为了实现完整的自主访问系统，访问控制一般由一个矩阵来表示。矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有矩阵中的一行表示一个主体的所有权限；一列则是关于一个客体的所有权限；矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的权限；矩阵中的元素是该元素所在行

7、对应的主体对该元素所在列对应的客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问客体的访问权限。具体实现时，往往是基于矩阵的行或者列来表达访问控制信息。控制信息。611.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 访问控制表访问控制表(Access Control List(Access Control List，ACL)ACL)是基于访问控制矩阵中列是基于访问控制矩阵中列的自主访问控制。的自主访问控制。1 1自主访问控制自主访问控制(续续)（1 1）访问控制表）访问控制表 对系统中一个需要保护的客体对系统中一个需要保护的客体O O

8、j j附加的访问控制表的结构如附加的访问控制表的结构如下下图所示图所示 在上图的例子中，对于客体在上图的例子中，对于客体O Oj j,主体主体S S0 0具有读具有读(r)(r)和执行和执行(e)(e)的权利；的权利；主体主体S S1 1只有读的权利；主体只有读的权利；主体S S2 2只有执行的权利；主体只有执行的权利；主体S Sm m具有读、写具有读、写(w)(w)和和执行的权利。执行的权利。711.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 1 1自主访问控制自主访问控制(续续)(2)(2)访问能力表访问能力表 访问能力表访问能力表(Acc

9、ess Capabilities List)(Access Capabilities List)是最常用的基于行的自主访是最常用的基于行的自主访问控制。能力问控制。能力(capability)(capability)是为主体提供的、对客体具有特定访问权限是为主体提供的、对客体具有特定访问权限的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客的不可伪造的标志，它决定主体是否可以访问客体以及以什么方式访问客体。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以体。主体可以将能力转移给为自己工作的进程，在进程运行期间，还可以添加或者修改能力。添加或者修改能力。能力的转移不受任

10、何策略的限制，所以对于一个特定的客体，不能确能力的转移不受任何策略的限制，所以对于一个特定的客体，不能确定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控定所有有权访问它的主体。因此，访问能力表不能实现完备的自主访问控制，而访问控制表是可以实现的。制，而访问控制表是可以实现的。811.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 2 2强制访问控制强制访问控制 强制访问控制系统为所有的主体和客体指定安全级别强制访问控制系统为所有的主体和客体指定安全级别，比如绝密级、，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能

11、力的实体。机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级，也可以规定低级别可以单向访问高级别。别。这种访问可以是读，也可以是写或修改。这种访问可以是读，也可以是写或修改。1 1）保障信息完整性策略。）保障信息完整性策略。2 2）保障信息机密

12、性策略。）保障信息机密性策略。自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不自主访问控制较弱，而强制访问控制又太强，会给用户带来许多不便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一便。因此，实际应用中，往往将自主访问控制和强制访问控制结合在一起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作起使用。自主访问控制作为基础的、常用的控制手段；强制访问控制作为增强的、更加严格的控制手段。为增强的、更加严格的控制手段。911.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 3 3基于角色的访问控制基于角色的访问控制

13、基于角色的访问控制模式基于角色的访问控制模式(Role Based Access Control(Role Based Access Control，RBAC)RBAC)中，中，用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访

14、问控制或强制的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。访问控制机制控制角色的访问能力。（1 1）角色的概念）角色的概念 在基于角色的访问控制中，角色在基于角色的访问控制中，角色(role)(role)定义为与一个特定活动相关定义为与一个特定活动相关联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，联的一组动作和责任。系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是具有角色拥有的权限。一个主体可以同时担任多个角色，它的权限就是多个角色权限的总和。基于角色的访问控制就是通过各种角

15、色的不同搭多个角色权限的总和。基于角色的访问控制就是通过各种角色的不同搭配授权来尽可能实现主体的最小权限配授权来尽可能实现主体的最小权限(最小授权指主体在能够完成所有必最小授权指主体在能够完成所有必需的访问工作基础上的最小权限需的访问工作基础上的最小权限)。1011.1 11.1 访问控制技术访问控制技术 11.1.2 11.1.2 访问控制原理访问控制原理 3 3基于角色的访问控制基于角色的访问控制 （2 2）基于角色的访问控制）基于角色的访问控制 基于角色的访问控制就是通过定义角色的权限，为系统中的主体分基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。用户

16、先经认证后获得一定角色，该角色被分配角色来实现访问控制的。用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。色的权限，并决定是否允许访问。这种访问控制方法的具体特点如下：这种访问控制方法的具体特点如下：1 1）提供了三种授权管理的控制途径）提供了三种授权管理的控制途径 2 2）系统中所有角色的关系结构可以是层次化的，便于管理。）系统中所有角色的关系结构可以是层次化的，便于管理。3 3）具有较好的提供最小权利的能力，从而提高了安全性。）具有较好的提供最小权

17、利的能力，从而提高了安全性。4 4）具有责任分离的能力。）具有责任分离的能力。1111.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本概念 1 1安全模型安全模型 WindowsWindows的安全模型由以下几个关键部分构成：的安全模型由以下几个关键部分构成：1 1）登录过程）登录过程(Logon Process(Logon Process，LP)LP)。接受本地用户或者远程用户的。接受本地用户或者远程用户的登录请求，处理用户信息，为用户做一些初始化工作。登录请求，

18、处理用户信息，为用户做一些初始化工作。2 2）本地安全授权机构）本地安全授权机构(Local Security Authority(Local Security Authority，LSA)LSA)。根据安。根据安全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计全账号管理器中的数据处理本地或者远程用户的登录信息，并控制审计和日志。这是整个安全子系统的核心。和日志。这是整个安全子系统的核心。3 3）安全账号管理器）安全账号管理器(Security Account Manager(Security Account Manager，SAM)SAM)。维护账号。维护账号的安全性管理数据库

19、的安全性管理数据库(SAM(SAM数据库，又称目录数据库数据库，又称目录数据库)。4 4）安全引用监视器）安全引用监视器(Security Reference Monitor(Security Reference Monitor，SRM)SRM)。检查存。检查存取合法性，防止非法存取和修改。取合法性，防止非法存取和修改。这几部分在访问控制的不同阶段发挥了各自的作用。这几部分在访问控制的不同阶段发挥了各自的作用。1211.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本

20、概念 2 2安全概念安全概念 1 1）安全标识）安全标识(Security Identifier(Security Identifier，SID)SID)：安全标识和账号唯一对：安全标识和账号唯一对应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与应，在账号创建时创建，账号删除时删除，而且永不再用。安全标识与对应的用户和组的账号信息一起存储在对应的用户和组的账号信息一起存储在SAMSAM数据库里。数据库里。2 2）访问令牌）访问令牌(Access Token)(Access Token)。当用户登录时，本地安全授权机构为。当用户登录时，本地安全授权机构为用户创建一个访问令牌，包括用

21、户名、所在组、安全标识等信息。用户创建一个访问令牌，包括用户名、所在组、安全标识等信息。3 3）主体）主体。用户登录到系统之后，本地安全授权机构为用户构造一个。用户登录到系统之后，本地安全授权机构为用户构造一个访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访访问令牌，这个令牌与该用户所有的操作相联系，用户进行的操作和访问令牌一起构成一个主体。问令牌一起构成一个主体。4 4）对象、资源、共享资源）对象、资源、共享资源。对象的实质是封装了数据和处理过程的。对象的实质是封装了数据和处理过程的一系列信息集合体。资源是用于网络环境的对象。共享资源是在网络上一系列信息集合体。资源是用于网络环

22、境的对象。共享资源是在网络上共享的对象。共享的对象。5 5）安全描述符）安全描述符（Security DescriptSecurity Descript）。）。WindowsWindows系统会为共享资源系统会为共享资源创建安全描述符，包含了该对象的一组安全属性创建安全描述符，包含了该对象的一组安全属性。13 安全描述符分为四个部分：安全描述符分为四个部分：所有者安全标识所有者安全标识(Owner SecurityID)(Owner SecurityID)。拥有该对象的用户或者用户。拥有该对象的用户或者用户组的组的SDSD。组安全标识组安全标识(GroupSecurity)(GroupSecu

23、rity)。自主访问控制表自主访问控制表(Discretionary Access Control List(Discretionary Access Control List，DAC)DAC)。该对象的访问控制表，由对象的所有者控制。该对象的访问控制表，由对象的所有者控制。系统访问控制表系统访问控制表(System Access Control List(System Access Control List，ACL)ACL)。定义操作。定义操作系统将产生何种类型的审计信息，由系统的安全管理员控制。系统将产生何种类型的审计信息，由系统的安全管理员控制。其中，安全描述符中的每一个访问控制表其中，

24、安全描述符中的每一个访问控制表(ACL)(ACL)都由访问控制项都由访问控制项(Access Control Entries(Access Control Entries，ACEs)ACEs)组成，用来描述用户或者组对对象的访组成，用来描述用户或者组对对象的访问或审计权限。问或审计权限。ACEsACEs有三种类型：有三种类型：Access AllowedAccess Allowed、Access DeniedAccess Denied和和System AuditSystem Audit。前两种用于自主访问控制；后一种用于记录安全日志。前两种用于自主访问控制；后一种用于记录安全日志。11.2 W

25、indows 200011.2 Windows 2000的访问控制的访问控制 11.2.1 Windows11.2.1 Windows的安全模型与基本概念的安全模型与基本概念 2 2安全概念安全概念(续续)Cacls命令14 当一个账号被创建时，当一个账号被创建时，WindowsWindows系统为它分配一个系统为它分配一个SIDSID，并与其他账号，并与其他账号信息一起存入信息一起存入SAMSAM数据库。数据库。每次用户登录时，登录主机每次用户登录时，登录主机(通常为工作站通常为工作站)的系统首先把用户输入的的系统首先把用户输入的用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安

26、用户名、口令和用户希望登录的服务器域信息送给安全账号管理器，安全账号管理器将这些信息与全账号管理器将这些信息与SAMSAM数据库中的信息进行比较，如果匹配，服数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。特权、主目录位置、工作站参数等信息。然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、然后，本地安全授

27、权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。程的访问令牌。当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户进程的访问令牌中的户进程的访问令牌中的SIDSID与对象安全描述符中的自主访问控制表进行与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。比较，从而决定用户是否有权访问对象。11.2 Windows 200011.2 Windows 2000的访问控制

28、的访问控制 11.2.2 Windows11.2.2 Windows的访问控制过程的访问控制过程 1511.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.2 Windows11.2.2 Windows的访问控制过程的访问控制过程 资源的资源的本地本地访问权限访问权限共有以下共有以下六六种种，每一种权限都可设置，每一种权限都可设置为允许或拒绝。为允许或拒绝。1 1）完全控制）完全控制 2 2）修改修改 3 3）读）读取及运行取及运行 4 4）列出文件夹目录列出文件夹目录 5 5）读取读取 6 6）写入写入 资源的共享访问权限资源的共享访问权限共有以

29、下四种：共有以下四种：1 1）完全控制）完全控制 2 2）读）读取取 3 3）更改）更改 4 4）拒绝访问）拒绝访问1611.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置 1 1用户管理用户管理 删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用“guestguest”用户。用户。重命名重命名系统默认的管理员系统默认的管理员“AdministratorAdminist

30、rator”，然后然后再创建一个名为再创建一个名为“AdministratorAdministrator”的用户，并分配给这个新用户一的用户，并分配给这个新用户一个复杂无比的口令，最后不让它属于任何组。个复杂无比的口令，最后不让它属于任何组。2 2使用使用NTFSNTFS文件系统文件系统 FAT32FAT32无法提供用户所需的针对于本地的单个文件与目录的权限无法提供用户所需的针对于本地的单个文件与目录的权限设置。设置。NTFSNTFS格式是服务器必须的，使用格式是服务器必须的，使用FAT32FAT32文件系统没有安全性可文件系统没有安全性可言。言。3 3不让系统显示上次登录的用户名不让系统显示

31、上次登录的用户名 通过修改通过修改“管理工具管理工具”中的中的“本地安全策略本地安全策略”的相应选项的相应选项或修改系或修改系统注册表来统注册表来实现实现。1711.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置(续续)4 4禁止建立空连接禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。通过修改测密码。通过修改“管理工具管理工具”中的中的“本地

32、安全策略本地安全策略”的相应选项的相应选项或修或修改系统注册表来改系统注册表来实现实现。5 5打开安全审核打开安全审核 Windows 2000Windows 2000的安全审计功能在默认安装时是关闭的。激活此功的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。设置设置“本地安全策略本地安全策略”中中“本地策略本地策略”的的“审核策略审核策略”，建议设，建议设置如

33、下：置如下：审核策略审核策略设置设置账户登录事件账户登录事件成功，失败成功，失败账户管理账户管理成功，失败成功，失败登录事件登录事件成功，失败成功，失败对象访问对象访问失败失败策略更改策略更改成功，失败成功，失败特权使用特权使用成功，失败成功，失败系统事件系统事件失败失败1811.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置(续续)6 6关闭不必要和危险的系统服务关闭不必要和危险的系统服务 安装好安装好Windows 2000W

34、indows 2000后，一般开放了数十项系统或应用服务，做后，一般开放了数十项系统或应用服务，做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。管理方法是打开须及时发现是否运行了一些入侵者留下的服务。管理方法是打开“管管理工具理工具”“服务服务”，根据要求启动，根据要求启动/停止相应的服务。停止相应的服务。可参照附录可参照附录1 1。7 7修改终端服务的默认端口修改终端服务的默认端口 如有必要才需要此操作，默认为如有必要才需要此操作，默认为33893389，可随意修改为，可随意修

35、改为1 16553565535的的端口。端口。键值：键值：“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin StationsHKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”。8 8网卡的端口筛选网卡的端口筛选 具体情况配置具体情况配置。通过。通过网卡网卡“属性属性”-“”-“TCP/IPTCP/IP协议属性协议属性”-“”-“高高级级”-“”-“选项选项”-“”-“TCP/IPTCP/IP筛选属性筛选属性”来设置来设置。根据服务器开启的应用服务，添加相应的根

36、据服务器开启的应用服务，添加相应的TCPTCP、UDPUDP端口或端口或IPIP协议。协议。如一台服务器只作如一台服务器只作WebWeb和和EmailEmail服务器，则可只允许服务器，则可只允许8080、110110和和2525端口。端口。1911.2 Windows 200011.2 Windows 2000的访问控制的访问控制 11.2.3 Windows 2000 Server11.2.3 Windows 2000 Server系统安全设置系统安全设置(续续)9 9IISIIS安全配置安全配置 IISIIS安全操作步骤：配置安全操作步骤：配置“开始开始”“程序程序”-“管理工具管理工具

37、”-“Internet Internet 服务管理器服务管理器”。删除删除“默认站点默认站点”的站点的站点。默认的默认的IISIIS发布发布目录为目录为C:InetpubC:Inetpub，请将这个目录删除。在，请将这个目录删除。在d d盘或盘或e e盘新建一个目录盘新建一个目录(目录名随意目录名随意)，然后新建一个站点，将主目录指向你新建的目录。，然后新建一个站点，将主目录指向你新建的目录。1010禁用不必要的网络协议与网络共享禁用不必要的网络协议与网络共享 建议在网络属性中关闭建议在网络属性中关闭“MicrosoftMicrosoft网络客户端网络客户端”和和“MicrosoftMicro

38、soft网络文件与打印机共享网络文件与打印机共享”的选项。的选项。建议去掉建议去掉系统的默认共享。可通过系统的默认共享。可通过NetNet命令、命令、“计算机管理计算机管理”或或修改注册表实现。修改注册表实现。1111其它其它 建议仔细查看建议仔细查看“本地安全策略本地安全策略”、“计算机管理计算机管理”及及“组策略组策略”等相关组件的功能，了解这些组件对系统安全的影响。等相关组件的功能，了解这些组件对系统安全的影响。2011.3 11.3 安全审计技术安全审计技术 11.3.1 11.3.1 安全审计概述安全审计概述 审计是对访问控制的必要补充，是访问控制的一个重审计是对访问控制的必要补充，

39、是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间，要内容。审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。和数据恢复非常有必要。审计跟踪是系统活动的流水记录。该记录按事件从始审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的

40、环境及活至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。2111.3 11.3 安全审计技术安全审计技术 11.3.2 11.3.2 审计内容审计内容 审计跟踪可以实现多种安全相关目标，包括个人

41、职能、审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。事件重建、入侵检测和故障分析。1 1）个人职能（）个人职能（individual accountabilityindividual accountability）审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。负责，他们就不太会违反安全策略和绕过安全控制措施。2 2）事件重

42、建（）事件重建（reconstruction of eventsreconstruction of events）在发生故障后，审计跟踪可以用于重建事件和数据恢复。在发生故障后，审计跟踪可以用于重建事件和数据恢复。3 3）入侵检测（）入侵检测（intrusion detectionintrusion detection）审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。4 4）故障分析（）故障分析（proble

43、m analysisproblem analysis）审计跟踪可以用于实时审计或监控。审计跟踪可以用于实时审计或监控。2211.3 11.3 安全审计技术安全审计技术 11.3.3 11.3.3 安全审计的目标安全审计的目标 计算机安全审计机制的目标如下：计算机安全审计机制的目标如下：1)1)应为安全人员提供足够多的信息，使他们能够定位问题所在；应为安全人员提供足够多的信息，使他们能够定位问题所在；但另一方面，提供的信息应不足以使他们自己也能够进行攻击。但另一方面，提供的信息应不足以使他们自己也能够进行攻击。2)2)应优化审计追踪的内容，以检测发现的问题，而且必须能从不应优化审计追踪的内容，以

44、检测发现的问题，而且必须能从不同的系统资源收集信息。同的系统资源收集信息。3)3)应能够对一个给定的资源应能够对一个给定的资源(其他用户也被视为资源其他用户也被视为资源)进行审计分进行审计分析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；析，分辨看似正常的活动，以发现内部计算机系统的不正当使用；4)4)设计审计机制时，应将系统攻击者的策略也考虑在内。设计审计机制时，应将系统攻击者的策略也考虑在内。概括而言，审计系统的目标至少包括：概括而言，审计系统的目标至少包括：确定和保持系统活动中每确定和保持系统活动中每个人的责任个人的责任；确认重建事件的发生确认重建事件的发生；评估损失评估损失；

45、临测系统问题区临测系统问题区；提；提供有效的灾难恢复依据；供有效的灾难恢复依据；提供阻止不正当使用系统行为的依据提供阻止不正当使用系统行为的依据；提供；提供案件侦破证据。案件侦破证据。2311.3 11.3 安全审计技术安全审计技术 11.3.4 11.3.4 安全审计系统安全审计系统 审计通过对所关心的事件进行记录和分析来实现审计通过对所关心的事件进行记录和分析来实现。因因此审计过程包括审计发生器、日志记录器、日志分析器和此审计过程包括审计发生器、日志记录器、日志分析器和报告机制几部分。报告机制几部分。1 1日志的内容日志的内容 通常，对于一个事件，日志应包括事件发生的日期和时间、引发事通常

46、，对于一个事件，日志应包括事件发生的日期和时间、引发事件的用户件的用户(地址地址)、事件和源和目的的位置、事件类型、事件成败等。、事件和源和目的的位置、事件类型、事件成败等。2 2安全审计的记录机制安全审计的记录机制 不同的系统可采用不同的机制记录日志。日志的记录可能由操作系不同的系统可采用不同的机制记录日志。日志的记录可能由操作系统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情统完成，也可以由应用系统或其他专用记录系统完成。但是，大部分情况都可用系统调用况都可用系统调用SyslogSyslog来记录日志，也可以用来记录日志，也可以用SNMPSNMP记录。记录。2411.3 11

47、.3 安全审计技术安全审计技术 11.3.4 11.3.4 安全审计系统安全审计系统(续续)3 3安全审计分析安全审计分析 通过对日志进行分析，发现所需事件信息和规律是安全审计的根本通过对日志进行分析，发现所需事件信息和规律是安全审计的根本目的。主要内容目的。主要内容有有：1 1）潜在侵害分析）潜在侵害分析；2 2）基于异常检测的轮廓）基于异常检测的轮廓；3 3）简单攻击探测简单攻击探测；4 4）复杂攻击探测。）复杂攻击探测。4 4审计事件查阅审计事件查阅 由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其由于审计系统是追踪、恢复的直接依据，甚至是司法依据，因此其自身的安全性十分重要。

48、审计系统的安全主要是查阅和存储的安全。审自身的安全性十分重要。审计系统的安全主要是查阅和存储的安全。审计事件的查阅应该受到严格的限制，不能篡改日志。计事件的查阅应该受到严格的限制，不能篡改日志。5 5审计事件存储审计事件存储 审计事件的存储也有安全要求审计事件的存储也有安全要求，主要有：，主要有：1 1）受保护的审计踪迹存）受保护的审计踪迹存储储；2 2）审计数据的可用性保证）审计数据的可用性保证；3 3）防止审计数据丢失。）防止审计数据丢失。2511.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 流行的操作系统都提供审计的功能。下面以流

49、行的操作系统都提供审计的功能。下面以Windows Windows 2000 Server2000 Server操作系统为例，在操作系统为例，在NTFSNTFS格式的支持下，说明安格式的支持下，说明安全审计的应用实例。全审计的应用实例。1 1审计子系统结构审计子系统结构 在在“资源管理器资源管理器”中，选择中，选择右键菜单中的属性右键菜单中的属性安全安全高高级，再选择级，再选择“审核审核”以激活目录以激活目录审核对话框，系统管理员可以审核对话框，系统管理员可以在这个窗口选择跟踪有效和无在这个窗口选择跟踪有效和无效的文件访问。效的文件访问。2611.3 11.3 安全审计技术安全审计技术 11.

50、3.5 11.3.5 安全审计应用实例安全审计应用实例 在在“本地安全策本地安全策”中，系统管理员可以根据各种用户事件的成功和失败中，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。2711.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 系统管理员可以使用系统管理员可以使用事件查看器事件查看器的筛选选项根据一定条件选择要查看的筛选选项根据一定条件选择要查看的日志条目。查看条件包括类别、用户和消息类型。的日志条目。查看条件包括类

51、别、用户和消息类型。2811.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 WindowsWindows的日志文件很多，但主要是系统日志、应用程序日志和安全的日志文件很多，但主要是系统日志、应用程序日志和安全日志三个。日志三个。1 1）系统日志系统日志。跟踪各种各样的系统事件，比如跟踪系统启动过程中。跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。的事件或者硬件和控制器的故障。2 2）应用程序日志应用程序日志。跟踪应用程序关联的事件，比如应用程序产生的。跟踪应用程序关联的事件，比如应用程序产生的象装载象装载dl

52、ldll（动态链接库）失败的信息将出现在日志中。（动态链接库）失败的信息将出现在日志中。3 3）安全日志安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。启动和关闭。注意：安全日志的默认状态是关闭的注意：安全日志的默认状态是关闭的。2911.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 2 2审计日志和记录格式审计日志和记录格式 WindowsWindows的审计日志由一系列的事件记录组成。每一个事件记录分为的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：

53、头、事件描述和可选的附加数据项。三个功能部分：头、事件描述和可选的附加数据项。事件记录头事件记录头的的“源源”指指用来响应产生事件记录的软件。源可以是一个用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。应用程序、一个系统服务或一个设备驱动程序。“类型类型”是是事件严重性指示器。在系统和应用日志中，类型可以是错事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息。在安全日志中，类型可能是成功审计或失败审计。误、警告或信息。在安全日志中，类型可能是成功审计或失败审计。“种类种类”指指触发事件类型，主要用在安全日志中指示该类事件的成功触发事件类型，主要用

54、在安全日志中指示该类事件的成功或失败审计已经被许可。或失败审计已经被许可。3011.3 11.3 安全审计技术安全审计技术 11.3.5 11.3.5 安全审计应用实例安全审计应用实例 3 3事件日志管理特征事件日志管理特征 WindowsWindows提供了大量特征给系统管理员去管理系统事件日志机制。当提供了大量特征给系统管理员去管理系统事件日志机制。当系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系系统开始运行时，系统和应用事件日志也自动开始。当日志文件满并且系统配置规定它们必须被手工清除时，日志停止。统配置规定它们必须被手工清除时，日志停止。4 4安全日志的审计策略安全日

55、志的审计策略 审计规则既可以审计成功操作，又可以审计失败操作审计规则既可以审计成功操作，又可以审计失败操作。包括：。包括：1 1）登）登录及注销录及注销；2 2）用户及组管理）用户及组管理；3 3）文件及对象访问）文件及对象访问；4 4）安全性规则更改）安全性规则更改；5 5）重新启动、关机及系统级事件）重新启动、关机及系统级事件；6 6）进程追踪）进程追踪；7 7）文件和目录审计。）文件和目录审计。5 5管理和维护审计管理和维护审计 通常情况下，通常情况下，WindowsWindows不是将所有的事件都记录日志，而需要手动启不是将所有的事件都记录日志，而需要手动启动审计的功能。选择动审计的功

56、能。选择“本地安全策略本地安全策略”，选择设置相应的项目即可。，选择设置相应的项目即可。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个较有效率的选择。三方提供的工具是一个较有效率的选择。31本章小结本章小结 访问控制分自主访问控制、强制访问控制和基于角色的访问控制分自主访问控制、强制访问控制和基于角色的访问控制三类。访问控制三类。针对针对Windows 2000 ServerWindows 2000 Server操作系统，介绍了访问控制操作系统，介绍了访问控制和安全审计的实现过程。和安全审计的实现过程。32作业及实验作业及实验 作业：作业：P240 P240 1 1、2 2、3 3、5 5、7 7 推荐实验：推荐实验：Windows2000Server Windows2000Server的访问控制和审计实现。的访问控制和审计实现。(含含NetNet、CaclsCacls、GpeditGpedit等命令的应用。等命令的应用。)33演讲完毕，谢谢观看！