操作系统安全加固

操作系统从概念上可分为两部分：内核(Kernel)和壳(Shell)，壳程序封装了与硬件直接交互的内核。

有些操作系统(如Unix和Liunx等)的内核和壳完全分开，用户可以在一个内核上使用不同的壳。而Windows的内核和壳关系紧密，内核和壳只是操作系统层次上的不同而已。

Microsoft Windows XP的体系结构

Windows XP操作系统通过硬件机制实现了核心态(Kernel Mode)和用户态(User Mode)两个特权级别。

核心态进程

核心态组件包括：

1. 核心Kernel

   核心包含了最低级的操作系统功能，如线程调度, 中断和异常调试以及多处理器同步等，它同时以提供了执行体来实现高级结构中的一组线程和基本对象。

2. 执行体Executive

    执行体包括基本的操作系统服务。例如内存管理，进程和线程管理、安全控制和I/O及进程间通信。

3. 硬件抽象层Hardware Abstraction Layer

    该层将内核、驱动设备程序以及执行体同硬件隔离开来，使它们可以适合多种平台。

4. 设备驱动程序

    设备驱动程序包括文件系统和硬件设备驱动程序等，其中硬件设备驱动程序将用户的I/O函数调用转换为对特定硬件设备的I/O请求。

5. 图形引擎

    图形引擎包括实现图形用户界面(GUI)的基本函数。

用户态进程

包含四类基本类型：

1. 系统支持进程(System Support Process)

    如登录进程(winlogin.exe)和会话管理器(smss.exe)，它们不是Windows XP的服务，不由服务控制器启动。

2.  服务进程(Service Process)

     如事件日志服务。

3. 环境子系统(Environment Subsystem)

    Windows XP有三个环境子系统---Win32，POSIX和OS/2.1.2， 它们向应用程序提供运行环境(操作系统功能调用接口)。

4.  用户应用进程(User Application)

     它们是Win32，Windows3.1，MS-DOS，POSIX和OS/2.1.2 这5种类型之一。

Windows XP的安全结构分析

按照可信计算机系统评估准则(TCSEC)，Windows XP是C2 级别的操作系统。

TCSEC是由美国国防部(DoD)公布的技术标准，也是公认的第一个计算机信息系统评估标准。

TCSEC把操作系统的安全等级分成了：D1,C1,C2,B1,B2,B3和A级共7个级别，其安全等级由低到高。

目前，TCSEC已经被更先进的CC(通用准则)所取代，CC标准把系统划分为EAL1～EAL7级，Windows XP SP2和Windows 2003都达到EAL4+级。

Windows XP 安全子系统的组件

Windows XP 安全子系统包含5个关键组件：

1. 安全标识符(Security Indentifiers)

2. 访问令牌(Access Tokens)

3. 安全描述符(Security Descriptions)

4. 访问控制表(Access Control Lists)

5. 访问控制项(Access Control Entries)

安全 地配置操作系统

1. 配置安全的服务项目

     遵循两个基本原则：一是运行尽可能少的服务；另一个是使得可以运行的服务的用户可能的少。

     1.1 关闭指定服务

     1.2 禁用服务还是删除服务

     1.3 服务的依存关系

2. 账户的安全加固

3. 账户口令的安全加固

    3.1 安全的密码策略

    3.2 安全的账户锁定策略

    3.3 启用Syskey命令

    3.4 禁止光盘的自动运行功能

4. 文件系统安全特性

    4.1 目录和文件权限的管理

    4.2 文件和文件夹的加密