第九章操作系统安全性课件
5/14/20231软软件件学学院院第九章第九章 操作系统安全性操作系统安全性程维程维5/14/20232软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/20233软软件件学学院院Windows NT/2000四种安全协议四种安全协议Windows NT LAN Manager(NTLM)验证协议KerberosV5验证协议DPA分布式密码验证协议基于公共密钥的协议5/14/20234软软件件学学院院Windows NT/2000Win NT登录登录NT文件系统(文件系统(NTFS)NT安全漏洞及其解决建议安全漏洞及其解决建议Windows2000的分布式安全协议的分布式安全协议5/14/20235软软件件学学院院Win NT登录登录Ctrl,Alt,Del三个键不能被屏蔽的三个键不能被屏蔽的安全帐号管理器安全帐号管理器(Security Account Manager)机制机制针对域用户账号登陆的验证分别是通过针对域用户账号登陆的验证分别是通过NTLM和和Kerberos协议协议5/14/20236软软件件学学院院NT文件系统(文件系统(NTFS)最适合处理大磁盘的文件系统最适合处理大磁盘的文件系统支持保证文件和文件夹安全性的访问控制列表支持保证文件和文件夹安全性的访问控制列表(ACL)5/14/20237软软件件学学院院NT安全漏洞及其解决建议安全漏洞及其解决建议Windows NT系统上的重大安全漏洞,主要包括两大部分:系统上的重大安全漏洞,主要包括两大部分:NT服务器和工作站的安全漏洞关于浏览器和NT机器的两个严重安全漏洞。更佳的解决方案是:更佳的解决方案是:建设一个强壮的防火墙,精心地配置它,只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样,在防火墙上,截止所有从端口137到139的TCP和UDP连接,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。值得注意的是,有些黑客程序可以具有选择端口号的能力,它可能成功地攻击其它端口。5/14/20238软软件件学学院院Windows2000的分布式安全协议的分布式安全协议在在WindowsNT4.0中,主要的分布式安全协议是中,主要的分布式安全协议是NTLM(Windows NT LAN Manager)。)。Windows2000里,微软采用了一个新的安全系统。里,微软采用了一个新的安全系统。在这个新的安全系统中,在这个新的安全系统中,Kerberos是缺省的分布是缺省的分布式安全协议。当然,式安全协议。当然,Windows2000仍然支持仍然支持NTLM以及以及SSL协议。协议。5/14/20239软软件件学学院院Kerberoskerberos是以是以SSP(Security Service Provider)的方式通过的方式通过SSPI(Security Service Provider Interface)来实现的。应用程来实现的。应用程序可以直接通过序可以直接通过SSPI来获得来获得Kerberos的服务的服务KerberosSSP能够提供三种安全性服务能够提供三种安全性服务认证:进行身份验证;数据完整性:保证数据在传送过程中不被篡改;数据保密性:保证数据在传送过程中不被获取5/14/202310软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202311软软件件学学院院UNIXUNIX系统安全基础系统安全基础Unix系统登录过程系统登录过程5/14/202312软软件件学学院院UNIX系统安全基础系统安全基础口令安全口令安全UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。文件许可权文件许可权第一个rwx:表示文件属主的访问权限。第二个rwx:表示文件同组用户的访问权限。第三个rwx:表示其他用户的访问权限。目录许可目录许可在UNIX系统中,目录也是一个文件5/14/202313软软件件学学院院UNIX系统安全基础系统安全基础umask命令命令umask设置用户文件和目录的文件创建缺省屏蔽值设置用户设置用户ID和同组用户和同组用户ID许可许可用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件cp mv ln和和cpio命令命令cp拷贝文件时,若目的文件不存在则将同时拷贝源文件的存取许可mv移文件时,新移的文件存取许可与原文件相同ln为现有文件建立一个链,即建立一个引用同一文件的新名字cpio命令用于将目录结构拷贝到一个普通文件中,而后可再用cpio命令将该普通文件转成目录结构5/14/202314软软件件学学院院UNIX系统安全基础系统安全基础su和和newgrp命令命令su命令:可不必注销户头而将另一用户又登录进入系统,作为另一用户工作newgrp命令:与su相似,用于修改当前所处的组名文件加密文件加密crypt命令可提供给用户以加密文件,使用一个关键词将标准输入的信息编码为不可读的杂乱字符串,送到输出设备其他安全问题其他安全问题5/14/202315软软件件学学院院UNIXUNIX系统安全基础系统安全基础Unix系统登录过程系统登录过程5/14/202316软软件件学学院院Unix系统登录过程系统登录过程UNIX内核将被调入计算机内存内核将被调入计算机内存init程序调用程序调用getty程序在终端上显示程序在终端上显示login等登录信息等登录信息若用户通过身份验证,若用户通过身份验证,login进程把用户的进程把用户的home目录目录设置成当前目录并把控制交给一系列设置成当前目录并把控制交给一系列setup程序程序5/14/202317软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202318软软件件学学院院其他操作系统其他操作系统NetWare系统系统NetWare操作系统经过NCSC测试,具有C2级安全标准VAX/VMSVMS系统具有C2级安全标准,一般都使用在一些重要的研究和军事机构里的5/14/202319软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202320软软件件学学院院操作系统漏洞操作系统漏洞黑客攻击或者入侵行为分为两种:主动方式和被动方式黑客攻击或者入侵行为分为两种:主动方式和被动方式主动方式即通过网络主动发送恶意请求,达到令目标系统失去响应或者获得目标系统的控制权,从而达到进一步破坏的目的被动方式即利用互联网可交互的特点,在网上发布一些含有恶意代码的网页、软件、电子邮件,当其他用户浏览网页、运行软件、打开电子邮件时,恶意代码在用户计算机中发挥作用,破坏系统或者安装后门,使用户对计算机失去控制5/14/202321软软件件学学院院操作系统漏洞操作系统漏洞操作系统的缺陷主要来源于以下操作系统的缺陷主要来源于以下4个方面个方面I/O访问策略的混乱不完全的介入通用性5/14/202322软软件件学学院院操作系统漏洞操作系统漏洞操作系统脆弱性等级操作系统脆弱性等级A级是指允许过程用户未经授权访问的漏洞B级是指允许本地用户非法访问的漏洞,允许本地用户获得或增加未经授权的访问C级是指允许拒绝服务的漏洞口令攻击术口令攻击术IIS Unicode漏洞攻击程序说明漏洞攻击程序说明微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令5/14/202323软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202324软软件件学学院院操作系统入侵检测操作系统入侵检测检测方法检测方法确保确保Linux安全的措施安全的措施5/14/202325软软件件学学院院检测方法检测方法检查系统密码文件检查系统密码文件检查系统运行进程检查系统运行进程检查系统守护进程检查系统守护进程检查网络连接和监听端口检查网络连接和监听端口检查系统日志检查系统日志检查系统中的检查系统中的core文件文件两种著名的后门文件两种著名的后门文件.rhosts和和.forward检查内核级后门检查内核级后门手工入侵检测的缺陷手工入侵检测的缺陷5/14/202326软软件件学学院院确保确保Linux安全的措施安全的措施取消不必要的服务限制系统的出入保持最新的系统核心 检查登录密码设定用户帐号的安全等级增强安全防护工具限制超级用户的权力追踪黑客的踪迹5/14/202327软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202328软软件件学学院院系统安全扫描软件系统安全扫描软件系统安全漏洞检测软件是由本地主机上的具有系统管理员权系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的,对本主机中的各项信息都具有读写的权限的用户所运行的,对本主机中的各项信息都具有读写的权限,因此只要研究出相关的安全漏洞的检测方法,都可以查限,因此只要研究出相关的安全漏洞的检测方法,都可以查获该主机上是否存在着相应的安全漏洞获该主机上是否存在着相应的安全漏洞远程检测软件一般情况下只具备远程匿名用户的权限,如果远程检测软件一般情况下只具备远程匿名用户的权限,如果对应的主机不开启远程访问服务,那么就只能通过各种试探对应的主机不开启远程访问服务,那么就只能通过各种试探的方法,甚至直接进行攻击的方法才能对该漏洞进行检测。的方法,甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样,也只能检测一部分的漏洞即使这样,也只能检测一部分的漏洞
收藏
编号:210581606
类型:共享资源
大小:116KB
格式:PPT
上传时间:2023-05-17
20
积分
- 关 键 词:
-
第九
操作系统
安全性
课件
- 资源描述:
-
5/14/20231软软件件学学院院第九章第九章 操作系统安全性操作系统安全性程维程维5/14/20232软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/20233软软件件学学院院Windows NT/2000四种安全协议四种安全协议Windows NT LAN Manager(NTLM)验证协议KerberosV5验证协议DPA分布式密码验证协议基于公共密钥的协议5/14/20234软软件件学学院院Windows NT/2000Win NT登录登录NT文件系统(文件系统(NTFS)NT安全漏洞及其解决建议安全漏洞及其解决建议Windows2000的分布式安全协议的分布式安全协议5/14/20235软软件件学学院院Win NT登录登录Ctrl,Alt,Del三个键不能被屏蔽的三个键不能被屏蔽的安全帐号管理器安全帐号管理器(Security Account Manager)机制机制针对域用户账号登陆的验证分别是通过针对域用户账号登陆的验证分别是通过NTLM和和Kerberos协议协议5/14/20236软软件件学学院院NT文件系统(文件系统(NTFS)最适合处理大磁盘的文件系统最适合处理大磁盘的文件系统支持保证文件和文件夹安全性的访问控制列表支持保证文件和文件夹安全性的访问控制列表(ACL)5/14/20237软软件件学学院院NT安全漏洞及其解决建议安全漏洞及其解决建议Windows NT系统上的重大安全漏洞,主要包括两大部分:系统上的重大安全漏洞,主要包括两大部分:NT服务器和工作站的安全漏洞关于浏览器和NT机器的两个严重安全漏洞。更佳的解决方案是:更佳的解决方案是:建设一个强壮的防火墙,精心地配置它,只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样,在防火墙上,截止所有从端口137到139的TCP和UDP连接,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。值得注意的是,有些黑客程序可以具有选择端口号的能力,它可能成功地攻击其它端口。5/14/20238软软件件学学院院Windows2000的分布式安全协议的分布式安全协议在在WindowsNT4.0中,主要的分布式安全协议是中,主要的分布式安全协议是NTLM(Windows NT LAN Manager)。)。Windows2000里,微软采用了一个新的安全系统。里,微软采用了一个新的安全系统。在这个新的安全系统中,在这个新的安全系统中,Kerberos是缺省的分布是缺省的分布式安全协议。当然,式安全协议。当然,Windows2000仍然支持仍然支持NTLM以及以及SSL协议。协议。5/14/20239软软件件学学院院Kerberoskerberos是以是以SSP(Security Service Provider)的方式通过的方式通过SSPI(Security Service Provider Interface)来实现的。应用程来实现的。应用程序可以直接通过序可以直接通过SSPI来获得来获得Kerberos的服务的服务KerberosSSP能够提供三种安全性服务能够提供三种安全性服务认证:进行身份验证;数据完整性:保证数据在传送过程中不被篡改;数据保密性:保证数据在传送过程中不被获取5/14/202310软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202311软软件件学学院院UNIXUNIX系统安全基础系统安全基础Unix系统登录过程系统登录过程5/14/202312软软件件学学院院UNIX系统安全基础系统安全基础口令安全口令安全UNIX系统中的/etc/passwd文件含有全部系统需要知道的关于每个用户的信息(加密后的口令也可能存于/etc/shadow文件中)。文件许可权文件许可权第一个rwx:表示文件属主的访问权限。第二个rwx:表示文件同组用户的访问权限。第三个rwx:表示其他用户的访问权限。目录许可目录许可在UNIX系统中,目录也是一个文件5/14/202313软软件件学学院院UNIX系统安全基础系统安全基础umask命令命令umask设置用户文件和目录的文件创建缺省屏蔽值设置用户设置用户ID和同组用户和同组用户ID许可许可用户ID许可(SUID)设置和同组用户ID许可(SGID)可给予可执行的目标文件cp mv ln和和cpio命令命令cp拷贝文件时,若目的文件不存在则将同时拷贝源文件的存取许可mv移文件时,新移的文件存取许可与原文件相同ln为现有文件建立一个链,即建立一个引用同一文件的新名字cpio命令用于将目录结构拷贝到一个普通文件中,而后可再用cpio命令将该普通文件转成目录结构5/14/202314软软件件学学院院UNIX系统安全基础系统安全基础su和和newgrp命令命令su命令:可不必注销户头而将另一用户又登录进入系统,作为另一用户工作newgrp命令:与su相似,用于修改当前所处的组名文件加密文件加密crypt命令可提供给用户以加密文件,使用一个关键词将标准输入的信息编码为不可读的杂乱字符串,送到输出设备其他安全问题其他安全问题5/14/202315软软件件学学院院UNIXUNIX系统安全基础系统安全基础Unix系统登录过程系统登录过程5/14/202316软软件件学学院院Unix系统登录过程系统登录过程UNIX内核将被调入计算机内存内核将被调入计算机内存init程序调用程序调用getty程序在终端上显示程序在终端上显示login等登录信息等登录信息若用户通过身份验证,若用户通过身份验证,login进程把用户的进程把用户的home目录目录设置成当前目录并把控制交给一系列设置成当前目录并把控制交给一系列setup程序程序5/14/202317软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202318软软件件学学院院其他操作系统其他操作系统NetWare系统系统NetWare操作系统经过NCSC测试,具有C2级安全标准VAX/VMSVMS系统具有C2级安全标准,一般都使用在一些重要的研究和军事机构里的5/14/202319软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202320软软件件学学院院操作系统漏洞操作系统漏洞黑客攻击或者入侵行为分为两种:主动方式和被动方式黑客攻击或者入侵行为分为两种:主动方式和被动方式主动方式即通过网络主动发送恶意请求,达到令目标系统失去响应或者获得目标系统的控制权,从而达到进一步破坏的目的被动方式即利用互联网可交互的特点,在网上发布一些含有恶意代码的网页、软件、电子邮件,当其他用户浏览网页、运行软件、打开电子邮件时,恶意代码在用户计算机中发挥作用,破坏系统或者安装后门,使用户对计算机失去控制5/14/202321软软件件学学院院操作系统漏洞操作系统漏洞操作系统的缺陷主要来源于以下操作系统的缺陷主要来源于以下4个方面个方面I/O访问策略的混乱不完全的介入通用性5/14/202322软软件件学学院院操作系统漏洞操作系统漏洞操作系统脆弱性等级操作系统脆弱性等级A级是指允许过程用户未经授权访问的漏洞B级是指允许本地用户非法访问的漏洞,允许本地用户获得或增加未经授权的访问C级是指允许拒绝服务的漏洞口令攻击术口令攻击术IIS Unicode漏洞攻击程序说明漏洞攻击程序说明微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令5/14/202323软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202324软软件件学学院院操作系统入侵检测操作系统入侵检测检测方法检测方法确保确保Linux安全的措施安全的措施5/14/202325软软件件学学院院检测方法检测方法检查系统密码文件检查系统密码文件检查系统运行进程检查系统运行进程检查系统守护进程检查系统守护进程检查网络连接和监听端口检查网络连接和监听端口检查系统日志检查系统日志检查系统中的检查系统中的core文件文件两种著名的后门文件两种著名的后门文件.rhosts和和.forward检查内核级后门检查内核级后门手工入侵检测的缺陷手工入侵检测的缺陷5/14/202326软软件件学学院院确保确保Linux安全的措施安全的措施取消不必要的服务限制系统的出入保持最新的系统核心 检查登录密码设定用户帐号的安全等级增强安全防护工具限制超级用户的权力追踪黑客的踪迹5/14/202327软软件件学学院院操作系统安全性操作系统安全性Windows NT/2000UNIX其他操作系统其他操作系统操作系统漏洞操作系统漏洞操作系统入侵检测操作系统入侵检测系统安全扫描软件系统安全扫描软件5/14/202328软软件件学学院院系统安全扫描软件系统安全扫描软件系统安全漏洞检测软件是由本地主机上的具有系统管理员权系统安全漏洞检测软件是由本地主机上的具有系统管理员权限的用户所运行的,对本主机中的各项信息都具有读写的权限的用户所运行的,对本主机中的各项信息都具有读写的权限,因此只要研究出相关的安全漏洞的检测方法,都可以查限,因此只要研究出相关的安全漏洞的检测方法,都可以查获该主机上是否存在着相应的安全漏洞获该主机上是否存在着相应的安全漏洞远程检测软件一般情况下只具备远程匿名用户的权限,如果远程检测软件一般情况下只具备远程匿名用户的权限,如果对应的主机不开启远程访问服务,那么就只能通过各种试探对应的主机不开启远程访问服务,那么就只能通过各种试探的方法,甚至直接进行攻击的方法才能对该漏洞进行检测。的方法,甚至直接进行攻击的方法才能对该漏洞进行检测。即使这样,也只能检测一部分的漏洞即使这样,也只能检测一部分的漏洞
展开阅读全文
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
装配图网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。