⑴ 可信操作系統一般具有哪些關鍵的安全特徵
安全操作系統是指計算機信息系統在自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。 安全操作系統主要特徵: 1 、最小特權原則,即每個特權用戶只擁有能進行他工作的權力; 2、自主訪問控制;強制訪問控制,包括保密性訪問控制和完整性訪問控制; 3 、安全審計; 4 、安全域隔離。只要有了這些最底層的安全功能,各種混為「 應用軟體 」 的病毒、木馬程序、網路入侵和人為非法操作才能被真正抵制,因為它們違背了操作系統的安全規則,也就失去了運行的基礎。
過去,微軟一直以在操作系統上捆綁許多額外特性而著稱,這些額外特性大多數是以默認的服務訪問許可權進行安裝的。Windows Server 2003打破了這種傳統的模式,使得在Windows 2000 Server默認情況下能夠運行的二十多種服務被關閉或者使其以更低的許可權運行。
在Windows 2003中,兩個最重要的安全特性的革新在於直接處理IIS和Telnet伺服器。IIS和Telnet在默認的情況下都沒有安裝,並且這兩個服務是在兩個新的賬戶下運行,新賬戶的許可權比正常系統賬戶的許可權要低。如果惡意的軟體危及到這兩個服務時,這種革新將直接改善伺服器的安全性。
與IIS和Telnet上的服務賬戶改進一起,Windows 2003還包含了大量的新的安全特性,也許,這些新的安全特性將是你決定升級到Windows Server 2003的決定因素。
新的安全特性
1.Internet連接防火牆(ICF)ICF是一個軟體防火牆,它為用戶的網路伺服器提供了基本的埠安全性。它與用戶當前的安全設備一起工作,給用戶的關鍵的基礎設施增加了一層保護。
2.軟體限制策略軟體限制策略使用策略和強制執行機制,來限制系統上運行的未授權的可執行程序。這些限制是一些額外的手段,以防止用戶執行那些不是該公司標准用戶軟體套件中的程序。
3.網頁伺服器的安全性當裝載了IIS 6.0的默認安裝時,網頁伺服器的安全性將達到最大化。新的IIS 6.0安全特性包括可選擇的加密服務,高級的摘要認證以及可配置的過程訪問控制。
4.新的摘要安全包新的摘要安全包支持在RFC 2617中定義的摘要認證協議。該包對IIS和活動目錄(AD)提供了更高級的保護。
5.改善了以太區域網和無線區域網的安全性不論連接的介質是什麼,基於IEEE 802.1X規范改進了以太區域網和無線區域網的安全性,促進了用戶和計算機的安全認證和授權。這些改進也支持公鑰證書和智能卡的自動注冊,使得能夠對傳統的位於或者橫跨公共場所的網路進行訪問控制,例如大學校園的廣域網(WAN)和橫穿大城市的政府廣域網(WAN)。
6.憑證管理器對於所有的用戶憑證,包括口令密碼和X.509證書,憑證管理器提供了一個安全的倉庫。這個特性使得單一的簽名特性可以獲得多個領域的信任。
7.Internet認證伺服器和遠程認證撥號用戶伺服器(IAS/RADIUS)Internet認證伺服器和遠程認證撥號用戶伺服器(IAS/RADIUS)控制遠程的用戶認證和授權訪問。對於不同的連接類型,例如撥號上網,虛擬專用網(VPNs)以及防火牆連接,該服務都是很實用的。
8.FIPS——廣為認可的內核模式加密演算法聯邦信息處理標准(FIPS)演算法支持SHA-1、DES、3DES和一個隨機數發生器。這種政府級的加密模式用於加密通過VPN使用第二層隧道協議(L2TP)和IP安全(IPSec)建立的連接,這種連接或是從客戶端到伺服器,或是從伺服器到伺服器,或是從網關到網關。
9.改進的SSL客戶端認證安全套接字層(SSL)客戶端認證的改進使得會話速度可以提高35%,而且多個進程可以緩存和共享會話。這樣可以減少用戶對應用程序的認證,從而減少應用程序伺服器上的網路通信量和CPU工作周期。
10.增強的EFS加密文件服務(EFS)的改進允許管理員和用戶提供給多個用戶訪問多組加密文件的可能。它還提供了額外的文件存儲保護和最大數量的用戶容量。
除了這些新的安全特性之外,微軟已經發行了一個安全配置管理器,用於將整個操作系統的安全選項集合成一個管理控制台。
安全配置規則
一、物理安全
伺服器應當放置在安裝了監視器的隔離房間內,並且監視器應當保留15天以內的錄像記錄。另外,機箱、鍵盤、抽屜等要上鎖,以保證旁人即使在無人值守時也無法使用此計算機,鑰匙要放在安全的地方。
二、停止Guest帳號
在[計算機管理]中將Guest帳號停止掉,任何時候不允許Guest帳號登錄系統。為了保險起見,最好給Guest帳號加上一個復雜的密碼,並且修改Guest帳號屬性,設置拒絕遠程訪問。
三、限制用戶數量
去掉所有的測試帳戶、共享帳號和普通部門帳號,等等。用戶組策略設置相應許可權、並且經常檢查系統的帳號,刪除已經不適用的帳號。
很多帳號不利於管理員管理,而黑客在帳號多的系統中可利用的帳號也就更多,所以合理規劃系統中的帳號分配。
四、多個管理員帳號
管理員不應該經常使用管理者帳號登錄系統,這樣有可能被一些能夠察看Winlogon進程中密碼的軟體所窺探到,應該為自己建立普通帳號來進行日常工作。
同時,為了防止管理員帳號一旦被入侵者得到,管理員擁有備份的管理員帳號還可以有機會得到系統管理員許可權,不過因此也帶來了多個帳號的潛在安全問題。
五、管理員帳號改名
在Windows 2000系統中管理員Administrator帳號是不能被停用的,這意味著攻擊者可以一再嘗試猜測此帳戶的密碼。把管理員帳戶改名可以有效防止這一點。
不要將名稱改為類似Admin之類,而是盡量將其偽裝為普通用戶。
六、陷阱帳號
和第五點類似、在更改了管理員的名稱後,可以建立一個Administrator的普通用戶,將其許可權設置為最低,並且加上一個10位以上的復雜密碼,藉此花費入侵者的大量時間,並且發現其入侵企圖。
七、更改文件共享的默認許可權
將共享文件的許可權從「Everyone"更改為"授權用戶」,」Everyone"意味著任何有權進入網路的用戶都能夠訪問這些共享文件。
八、安全密碼
安全密碼的定義是:安全期內無法破解出來的密碼就是安全密碼,也就是說,就算獲取到了密碼文檔,必須花費42天或者更長的時間才能破解出來(Windows安全策略默認42天更改一次密碼,如果設置了的話)。
九、屏幕保護 / 屏幕鎖定 密碼
防止內部人員破壞伺服器的一道屏障。在管理員離開時,自動載入。
十、使用NTFS分區
比起FAT文件系統,NTFS文件系統可以提供許可權設置、加密等更多的安全功能。
十一、防病毒軟體
Windows操作系統沒有附帶殺毒軟體,一個好的殺毒軟體不僅能夠殺除一些病毒程序,還可以查殺大量的木馬和黑客工具。設置了殺毒軟體,黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經常升級病毒庫 !
十二、備份盤的安全
一旦系統資料被黑客破壞,備份盤將是恢復資料的唯一途徑。備份完資料後,把備份盤放在安全的地方。不能把備份放置在當前伺服器上,那樣的話還不如不做備份。(二) Windows Server 2003的安全結構體系Windows Server 2003是目前最為成熟的網路伺服器平台,安全性相對於Windows 2000有很大的提高,本節就從Windows 2003的安全結構體系入手,帶領大家學習Windows 2003的安全結構特性。
LSA組件概述身份驗證
1.LSA組件概述身份驗證是通過基於密碼的事務處理來實現的,其中涉及Kerberos或者經典NT LanMan(NTLM)Challenge-Response(質詢-響應)。Windows 2003使用名為「安全描述符」的特殊數據結構來保護資源。安全描述符指出誰能訪問一個資源,以及他們能對這個資源採取什麼操作。所有進程都由定義了用戶安全上下文的「訪問令牌」來進行標識。審核由安全系統中的特殊功能完成,它們能記錄對安全記錄的訪問。
在本地安全機構(Local Security Authority,LSA)組件中,包含作為Windows Executive一部分來執行的「核心模式」服務,以及對客戶端-服務進程(比如互動式登錄和網路訪問許可權的授予)進行控制的「用戶模式」服務。LSA中的用戶模式安全服務包含在兩個可執行程序中,即「本地安全機構子系統(Local Security Subsystem,LSASS.EXE)」以及Winlogon.exe。LSASS容納著以下進程:
(1)Kerberos KDC。該服務提供Kerberos身份驗證和票證授予服務。它使用AD來存儲安全身份憑據。
(2)NTLM安全性支持提供者。它支持所有下級客戶端以及非域成員的現代Windows客戶端。
(3)Netlogon。處理來自下級客戶的「直通(Pass-Through)」式身份驗證,從而提供對經典NT身份驗證的支持。但不支持Kerberos事務處理。在基於AD的域控制器上,它負責注冊DNS記錄。
(4)IPSec。這個服務管理IP Security連接策略和IPSec Internet Key Exchange(IKE)。
(5)保護性存儲(Protected Storge)。這個服務負責加密並安全存儲與PKI子系統關聯的證書。
LSA組件的「封裝」
2.LSA組件訪問一個伺服器上的安全資源時,對這個所將發生的安全事務處理進行管理的服務稱為「封裝」或者「包」。有兩種類型的封裝:身份驗證封裝和安全性封裝。
(1)身份驗證封裝。Microsoft提供了Kerberos和MSV1_0(質詢-響應)兩種身份驗證封裝。Windows支持源於DOS的客戶端(Windows Me以下)所用的LanMan(LM)質詢-響應,以及NT客戶端和非域成員的現代Windows客戶端所用的NT LanMan(NTLM)質詢-響應。
(2)經典安全性資料庫。NTLM身份驗證將安全信息存儲在注冊表的3個資料庫中。①builtin:這個資料庫包含Administraotr和Guest兩個默認的用戶賬戶,另外還有各個默認組,如用於域的Domain Users及用於工作站和獨立伺服器的Power User組。Builtin賬戶包含在SAM注冊表分支中。②安全賬戶管理器(SAM):這個資料庫包含了本地用戶和組賬戶。③LSA:這個資料庫包含了計算機的密碼規則、系統策略以及可信賬戶。LSA資料庫包含在Security Registry分支中,這個分支也包含了SAM資料庫的一個副本。
Windows得登錄身份憑據
3.WINLOGONLSA需要某種機制從用戶處獲得登錄身份憑據。負責獲取這些身份憑據的可執行程序就是Windows exe,當按下Ctrl+Alt+Del組合鍵時,就調用 Winlogon exe。Winlogon所提供的窗口來源於一個名為「圖形標識和身份驗證」的DLL。用戶登錄時,LSA會構建一個訪問令牌,用身份安全系統描述這個用戶。由用戶所有的一個進程在嘗試訪問一個安全對象時,安全性參考監視器(SRM)會將安全描述中的SID與用戶訪問令牌中的SID進行比較,並依此得出用戶的訪問許可權集合。用戶連接到一個伺服器時,伺服器上的LSASS必須建立代表該用戶的一個本地訪問令牌,並將令牌附加到用戶的進程上。LSASS通過兩種方式以獲取構建這個本地訪問令牌所需的信息:
· 如果是Kerberos身份驗證,它從客戶端出示的Kerberos會話票證的Authorization Data欄位中獲取信息。
· 如果是NTLM身份驗證,它從一個域控制器獲取信息,這是作為「直通」式身份驗證過程的一部分來完成的。
LSA工作過程
4.LSA工作過程概述(1)Windows從用記收集登錄身份信息。
(2)LSASS獲取這些身份憑據,並在Kerberos或者NTLM的幫助(通過MSV1_))下使用這些憑據來驗證用戶的身份。這是「身份驗證」階段。
(3)LSASS構建一個訪問令牌,它定義用戶的訪問許可權和系統許可權。
(4)安全性參考監視器(Security Reference Monitor,SRM)將這個令牌與對象的安全描述符中的訪問控制列表(Access Control List,ACL)進行比較,判斷是否允許用戶訪問。這是「授權」階段。
(5)最後,LSASS和SRM配合,監視對安全對象的訪問,並生成報告來記錄部分或者全部事件。這是「審核」階段。