[计算机硬件及网络]网络安全管理员培训2-操作系统安全配置
网络通信安全管理员培训2
操作系统安全配置
主要内容
Windows2003安全配置管理
Linux 安全配置管理
Windows系统的安全架构
Windows NT的安全包括6个主要的安全元素:Audit (
审计), Administration (管理), Encryption (加密),
Access Control (访问控制), User Authentication (用
户认证), Corporate Security Policy (公共安全策略)。
Windows NT系统内置支持用户认证、访问控制、管理、审核。
计算机操作系统的安全级别
安全
级别 描述
D 最低的级别。如MS-DOS计算机,没有安全性可言
C1 灵活的安全保护。系统不需要区分用户。可提供根本的访问控制。
灵活的访问安全性。系统不仅要识别用户还要考虑唯一性。系统级
C2 的保护主要存在于资源、数据、文件 操作上。NT属于C2级的系
统
标记安全保护。系统提供更多的保护措施包括各式的安全级别。如
B1
AT &T的SYSTEM V UNIX with MLS 以及IBM MVS/ESA
结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如
B2
Trusted XENIX and Honeywell MULTICS
B3 安全域。提出数据隐藏 分层,阻止层之间的交互。如Honeywell
XTS-200
校验级设计。需要严格的准确的证明系统不会被危害,而且提供所
A
有低级别的因素。如Honeywell SCOMP
Windows系统的安全组件
强制访 访问控制的判断 (Discretion access control)
问控制 按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许
对象的所有者可以控制谁被允许访问该对象以及访问的方式。
对象重用(Object reuse )
当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问
该资源
强制登陆 (Mandatory log on )
与W indows for Workgroups,Windwows 95,W indows 98不同,
W indows2K/ NT要求所有的用户必须登陆,通过认证后才可以访问资源。
审核(Auditing)
W indows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录
对象的访问控制(Control of access to object )
W indows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后
是用户或应用通过第一次认证后 访问。
常见的C2 级别系统
Microsoft Windows
UNIX
Ms sql
Oracle
以上系统满足3A 特性 Authentication
.Accounting .Audit
Windows NT体系统构架
系统支持进程 服务进程 应用程序 环境子系统
服务管理器 Svchost.exe 任务管理器 OS/2
本地安全验证服务 W inmgmt.exe W indows浏览器 POSIX
W indows登录 Spooler 用户级应用程序 W in32
Services.exe
会话管理器 子系统动态