计算机安全技术第四章讲义资料

安全设置
• 安全设置定义了系统的安全相关操作。其 中包括：
1. 管理员可使用安全模板管理单元定义和使 用安全模板
2. 管理员可以使用安全设置和分析管理单元 来设置和分析本地的安全性
3. 管理员可以使用组策略来设置Active Directory中的安全性
2020/7/30
Windows XP 的安全性
• 不是所有的安全问题都发生在桌面系统上。使用外部防火 墙/路由器来帮助保护你的计算机是个好想法，哪怕你只 有一台计算机。如果考虑低端产品，可以购买一个零售路 由器设备，比如Linksys、D-Link和Netgear等厂商的路由 器。如果考虑比较高端的产品，可以向思科、Networks等 企业级厂商购买管理型交换机、路由器和防火墙。
2020/7/30
五、使用数据加密
• 对关注安全的计算机用户或者系统管理员 来说，有不同级别的数据加密方法可供使 用；选择合理的加密级别以满足自己的需 要，这必须根本实际情况来决定。数据加 密方法有很多，从使用密码工具对文件逐 个加密，到文件系统加密，直到整个磁盘 的加密。
2020/7/30
• 上述加密方法通常不包括引导分区，因为 那样需要专门硬件帮助解密；但是如果非 常需要加密引导分区以确保隐私、有必要 投入这笔开支，也可以获得这种整个系统 的加密。针对除了引导分区加密外的任何 应用，每一种所需的加密级别都有许多种 解决方案，包括可在各大桌面操作系统上 实现整个磁盘加密的商业化专有系统和开 源系统。
身份验证
• 身份验证是系统安全性的一个基本方面。 • 它负责确认试图登录域或网络资源的任何用户的身份。
验证的过程是： 1. 在Windows2000计算环境中成功的用户身份验证包括两
个独立的过程。 2. 交互式登录向域帐户或本地计算机确定用户的身份。 3. 网络身份证对改用户试图访问的任何网络服务确定用户
2020/7/30
用户账号
• 用户账号能够让用户以授权的身份登录到 计算机和域中并访问其资源。 Windows2000 在安装时提供了两个预定义 用户账号。
1.Administrator 系统管理员账号 2.Guest account 临时账号
2020/7/30
计算机帐户
• 每一个运行Windows2000和WindowsNT的 计算机都需要一个计算机账号，就像用户 账号一样，被用来验证和审核计算机登录 过程和访问域资源。
• Windows XP的优越性： 1. 完善的用户管理功能 2. 透明的软件限制策略 3. 支持NTFS文件系统 4. 安全的网络访问特性
2020/7/30
WindowsNT/2000/WindowsXP的安 全
防范措施
(1) 加强物理安全管理 (2) 将系统管理员账号改名 (3) 控制授权用户的访问权限 (4) 文件系统用NTFS，不用FAT (5) 确保注册表安全 (6) 打开审计系统
2020/7/30
• 密码应当包含特殊字符和空格、使用大小 写字母，避免单纯的数字以及能在字典中 找到的单词。密码长度每增加一个字符， 可能出现的密码字符组合就会成倍增加。 一般来说，不到8个字符的任何密码都被认 为容易被破解。10个、12个甚至16个字符 作为密码比较安全。
2020/7/30
二、做好边界防御
• 别让安装在计算机上的软件迟迟没有打上 最新的安全补丁。同样的情况适用于任何 基于特征码的恶意软件保护软件，比如反 病毒软件（如果你的系统需要它们）：只 有它们处于最新版本状态，添加了最新的 恶意软件特征码，才能发挥最佳的保护效 果。
2020/7/30
四、关闭没有使用的服务
• 计算机用户常常不知道自己的系统上运行 着哪些可以通过网络访问的服务。Telnet和 FTP是两种经常会带来问题的服务：如果你 的计算机不需要这两种服务，就应当关闭 。要了解在计算机上运行的每一种服务， 以便关闭实际上没有使用的服务。
• 代理服务器、防病毒网关和垃圾邮件过滤网关也都有助于 提高边界的安全性。请记住：一般来说，交换机的安全功 能胜过集线器；使用网络地址转换（NAT）协议的路由器 胜过交换机；防火墙绝对是必不可少的设备。
2020/7/30
三、更新软件
• 如果长时间没有更新安全补丁，可能会导 致你使用的计算机很容易成为肆无忌惮的 攻击者的下手目标。
2020/7/30
2020/7/30
(2) 文件系统安全
(3) NTFS分区安全
(4) Web服务器安全
2020/7/30
• Windows2000安全基础概念 • 在Windows2000中用户可以在活动用户和
计算机管理工具中实现建立用户账号、计 算机账号、组、安全策略等项。它可以用 于建立或编辑网络中的用户、计算机、组 、组织单位、域、域控制器以及发布网络 共享资源。
• 维护操作系统的安全可以通过修改注册 表来完成。
2020/7/30
WindowsNT/2000／WindowsXP的 安全基础
1.WindowsNT/2000/WindowsXP系统安全模型
(1)用户登录管理
(2)资源访问管理
2.Windows NT/2000/WindowsXP的安全机制
(1)口令安全
• 2、如果手动加载也不行的话，可能是
2020/7/30
案例二：桌面图标显示速度很慢 • 都说Windows系统越用越慢，就拿桌面图
标来说，越来越多的快捷方式使桌面的显 示速度非常的慢，每次刷新桌面都会出现 迟滞。
2020/7/30
• 问题分析：系统用一块称为图标缓存的区 域来保存已经建立的快捷方式图标，刷新 桌面显示时就无需重新建立，只需从缓存 中读取即可，而Windows默认的缓存较小 ，建立的快捷方式过多后就超出了缓存的 存储范围，并影响了显示速度。可以通过 修改注册表来解决
2020/7/30
2020/7/30
案例一：无法显示桌面图标 • 问题分析：大多数情况下，无法显示桌面
图标是因为系统启动的时候无法加载 explorer.exe或者Explorer.exe文件被破坏 了。
2020/7/30
• 解决方法：
• 1、在“开始”“运行”处输入regedit，启动 注册表，找到下面路径,如果shell下没有 explorer.exe那就自己鼠标右键新建一个 explorer.exe即可路径 :\HKEY_LOCAL_MACHINE\SOFTWARE\Mi crososft\Windows NT\CurrentVersion\Winlogon\Shell
2020/7/30
八、使用不间断电源（UPS）
• UPS的作用不仅仅是停电时可以避免丢失 文件。使用UPS还有更重要的原因，比如 功率调节、避免文件系统受到损坏。由于 这个原因，就要确保购买的UPS能够与操 作系统协同运行，以便通知操作系统什么 时候UPS需要关闭，免得电源用尽时你不 在家；还要确保购买的UPS可提供电池供 电和功率调节功能。
2020/7/30
案例三：任务管理器被禁用
• 问题分析:这是由于任务管理器被管理员或 恶意代码禁用造成的。可通过组策略进行 恢复
• 解决方案：在“运行”中键入 “gpedit.msc”，启动“组策略”编辑器。 在“本地策略”中依次展开“用户配置→ 管理模板→系统→Ctrl+Alt+Del选项”分支 ，在右侧窗口中双击“删除任务管理器” 策略，在弹出的策略设置对话框中选择“ 202未0/7/3配0 置”选项，单击“确定”以后，按
2020/7/30
2020/7/30
Contents
1
Windows系统
2
UNIX系统
3
Linux系统
2020/7/30
4-1 Windows系统
Windows9X目前是在普通用户的PC机上使用的 最广泛的操作系统。尤其是Windows98，占 据了中国绝大多数PC用户的操作系统市场 。
Windows9X在具有众多优点的同时，它也有十 分明显的缺点。如稳定性和安全性都欠佳 。Windows95/98极易受到黑客的攻击和病 毒的侵犯，一般的网络用户都可以使用一 些特种软件工具轻而易举地让Windows9X蓝 屏和死机。 2020/7/30
4-1-1 Windows95/98/ME的 安全
1. Windows98的登录机制
(1) Windows登录
2020/7/30
4-1-1 Windows95/98/ME的 安全(续)
(2) Microsoft网络用户
2020/7/30
如何利用注册表提高Windows的 安全性
• Windows操作系统并不是绝对安全的。 我们可以为它创建一个相对安全的操作 环境，这个相对“安全”的运行环境可 以在一定程度上防止非法用户随意操纵 用户的计算机。
2020/7/30
• 解决方法：在注册表中加大图标缓存的大 小，首先打开“注册表编辑器”，找到 [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explor er],在右侧窗格创建一个名为“Max Cached Icons”的字符串值，设置它的值为 “8192”(注意:最大只能为8192)重启系统后 即可生效。
身份 4. 在用户试图访问安全的Web服务器时使用。
2020/7/30
授权
• 管理员可以指派特定权利组帐户或单个用 户帐户
2020/7/30
审核
• 安全审核负责见识各种域安全性有关的事 件。这些事件包括：
1. 访问对象，例如文件和文件夹 2. 用户和组帐户的管理 3. 用户登录以及从系统注销时
2020/7/30
2020/7/30
组
• 组可以包含用户、联系人、计算机和其他 组的Active Directory或本机对象。使用组 可以做如下的工作：