信息安全概论考点18-21
十八、Windows安全体系结构、活动目录与组策略
1、Windows系统安全体系结构
Windows系统的安全性主要围绕安全主体展开,保护其安全性。
安全主体主要包括用户、组、计算机以及域等。
2、活动目录
• 活动目录AD( Active Directory)是一个面向网络对象管理的综合目录服务。
• 网络对象包括用户、用户组、计算机、打印机、应用服务器、域、组织单元( OU)以及安全策略等。
• AD 提供的是各种网络对象的索引集合,也可以看作是数据存储视图,
• 将分散的网络对象有效地组织起来,建立网络对象索引目录,并存储在活动目录的数据库内。
3、组策略
• 活动目录AD是Windows网络中重要的安全管理平台,组策略GP是其安全性的重要体现。
• 组策略可以理解为依据特定的用户或计算机的安全需求定制的安全配置规则。
• 管理员针对每个组织单元OU定制不同的组策略,并将这些组策略存储在活动目录的相关数据库内,可以强制推送到客户端实施组策略。
• 活动目录AD可以使用组策略命令来通知和改变已经登录的用户的组策略,并执行相关安全配置。
十九、传统病毒、蠕虫、木马的结构原理
1、传统病毒
2、蠕虫
3、木马
木马病毒组成:
(1)控制端程序(客户端)
是黑客用来控制远程计算机中的木马的程序;
(2)木马程序(服务器端)
是木马病毒的核心,是潜入被感染的计算机内部、获取其操作权限的程序;
(3)木马配置程序
通过修改木马名称、图标等来伪装隐藏木马程序,并配置端口号、回送地址等信息确定反馈信息的传输路径。
病毒检测方法主要包括:特征代码法、校验和法、行为监测法以及软件模拟法等。
二十、拒绝服务攻击、缓冲区溢出、举例
1、拒绝服务攻击
• 拒绝服务攻击DoS (Denial of Service)
• DoS并不是某一种具体的攻击方式,而是攻击所表现出来的结果最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。
• 通常拒绝服务攻击可分为两种类型,
• 第一类攻击是利用网络协议的缺陷,通过发送一些非法数据包致使主机系统瘫痪;
• 第二类攻击是通过构造大量网络流量致使主机通讯或网络堵塞,使系统或网络不能响应正常的服务。
典型的拒绝服务攻击有:Ping of Death、Tear drop、Syn Flood、Smurf攻击、电子邮件炸弹、DDOS攻击(DDoS攻击就是很多DoS攻击源一起攻击某台服务器或网络,迫使服务器停止提供服务或网络阻塞。)
2、缓存区溢出
例子:
二十一、防火墙主要技术概述
• 防火墙指的是一个由软件和硬件设备组合而成、在内部网络和外部网络之间构造的安全保护屏障,从而保护内部网络免受外部非法用户的侵入。
防火墙概述:
• 防火墙设计目标是有效地控制内外网之间的网络数据流量,做到
御敌于外。
• 防火墙的结构和部署考虑:
① 内网和外网之间的所有网络数据流必须经过防火墙;
• 阻塞点可以理解为连通两个或多个网络的唯一路径上的点,当这个点被删除后,各网络之间不在连通。
② 只有符合安全政策的数据流才能通过防火墙。
• 要求防火墙具有审计和管理的功能,具有可扩展性和健壮性。
防火墙主要技术:
(1)• 包过滤防火墙
• 面向网络底层数据流进行审计和控管
• 其安全策略主要根据数据包头的源地址、目的地址、端口号和协议类型等标志来制定,可见其主要工作在网络层和传输层。
(2)代理防火墙
• 基于代理( Proxy)技术,使防火墙参与到每一个内外网络之间的连接过程
• 防火墙需要理解用户使用的协议,对内部节点向外部节点的请求进行还原审查后,转发给外部服务器;
• 外部节点发送来的数据也需要进行还原审查,然后封装转发给内部节点。
(3)个人防火墙:
• 目前普通用户最常使用的一种,常见如天网个人防火墙。
• 个人防火墙是一种能够保护个人计算机系统安全的软件,
• 直接在用户的计算机上运行,帮助普通用户对系统进行监控及管理,使个人计算机免受各种攻击
主要技术简介
(1)包过滤
• 静态包过滤是指防火墙根据定义好的包过滤规则审查每个数据包,确定其是否与某一条包过滤规则匹配。
• 动态包过滤是指防火墙采用动态配置包过滤规则的方法。
(2)代理网关
• 应用代理网关
• 被认为是最安全的防火墙技术,应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,外网返回的消息再由防火墙转发给内网用户
• 电路级网关( Circuit Gateway)
• 工作原理与应用代理网关基本相同, 代理的协议以传输层为主,在传输层上实施访问控制策略,是在内外网络之间建立一个虚拟电路,进行通信。
(3)VPN
• VPN:虚拟的企业内部专线,也称虚拟私有网。
• VPN是通过一个公用网络(通常是Internet)建立一个临时的、安
全的连接。
• 可以理解为一条穿过公用网络的安全、稳定的隧道,两台分别处于不同网络的机器可以通过这条隧道进行连接访问,就像在一个内部局域网一样。