計算機信息安全技術(shù) 課件 第8、9章 操作系統(tǒng)安全、數(shù)據(jù)備份與恢復技術(shù)

*1第八章操作系統(tǒng)安全8.1操作系統(tǒng)安全概述8.2Unix/Linux系統(tǒng)安全

8.3Windows系統(tǒng)安全*28.1操作系統(tǒng)安全概述目前服務(wù)器常用的操作系統(tǒng)：UnixLinuxWindowsNT/2007/2008Server/2010。這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。都存在很多漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。*38.1操作系統(tǒng)安全概述操作系統(tǒng)的安全需求安全策略保證責任標記鑒別連續(xù)保護*48.1操作系統(tǒng)安全概述TCSEC對計算機系統(tǒng)安全分類D級

（整個計算機系統(tǒng)是不可信任的，硬件和操作系統(tǒng)很容易被侵襲）C級C1級（硬件有一定的安全機制，用戶在使用前必須登錄到系統(tǒng)）C2級（C1級的基礎(chǔ)上+受控訪問環(huán)境的增強特性）B級B1（支持多級安全，對敏感信息提供更高級的保護）B2（結(jié)構(gòu)化的保護）B3（通過可信任途徑連接網(wǎng)絡(luò)系統(tǒng)）A級（驗證設(shè)計）*58.1操作系統(tǒng)安全概述操作系統(tǒng)資源防護技術(shù)系統(tǒng)登錄和用戶管理的安全內(nèi)存管理的安全文件系統(tǒng)的安全*68.2Linux/Unix系統(tǒng)安全UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。UNIX誕生于20世紀60年代末期，貝爾實驗室的研究人員于1969年開始在GE645計算機上實現(xiàn)一種分時操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機上。1970年給系統(tǒng)正式命名為Unix。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。*7Unix主要特色UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，在發(fā)展過程中逐步形成了一些新的特色。（1）高可靠性（2）極強的伸縮性（3）網(wǎng)絡(luò)功能強（4）強大的數(shù)據(jù)庫支持（5）開放性好*8Linux系統(tǒng)Linux是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的，為了建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于名叫LinusTorvalds的計算機愛好者，是芬蘭赫爾辛基大學的學生。目的是設(shè)計一個代替Minix（是由AndrewTannebaum教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)，具有Unix操作系統(tǒng)的全部功能。*9UNIXMinixLinuxRichard.StallmanDennis.RitchieKen.ThompsonAndrews.TanenbaumLinux*10Linux系統(tǒng)Linux是一個免費的開源操作系統(tǒng)，用戶可以免費獲得其源代碼，并能夠隨意修改。在共用許可證GPL(GeneralPublicLicense)保護下的自由軟件，有幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是源于它的優(yōu)點：*11Linux典型的優(yōu)點（1）完全免費（2）完全兼容POSIX1.0標準（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺*128.2Unix/Linux系統(tǒng)安全*13Unix/Linux的安全機制用戶標識和身份鑒別每個用戶一個唯一的標識符(UID);系統(tǒng)給每個用戶組也分配有一個唯一的標識符(GID);登錄需要密碼口令；文件系統(tǒng)安全用戶：owner/group/other）訪問權(quán)限：read/write/executable。文件加密Unix用戶可以使用crypt命令加密文件，用戶選擇一個密鑰加密文件，再次使用此命令，用同一密鑰作用于加密后的文件，就可恢復文件內(nèi)容日志審計機制包括：連接時間日志、進程統(tǒng)計和錯誤日志。13*14Unix/Linux操作系統(tǒng)安全－弱點用戶數(shù)據(jù)保護機制并不能保證嚴格安全要求；超級用戶成為系統(tǒng)安全瓶頸；缺乏必要的系統(tǒng)審計機制；用戶認證方面的要求不夠嚴格；系統(tǒng)自身的完整性保護問題，一旦加載惡意的核心模塊，整個系統(tǒng)可能完全被非法控制。*15Unix/Linux安全配置合理設(shè)置系統(tǒng)的安全級別合理設(shè)置用戶權(quán)限指定主控臺及終端登錄的限制合理配置/etc/inetd.conf文件合理設(shè)置/etc/ftpusers文件合理設(shè)置網(wǎng)段及路由不設(shè)置UUCP刪除不用的軟件包及協(xié)議正確配置.profile文件創(chuàng)建匿名ftp應(yīng)用用戶同維護用戶分開*168.3Windows系統(tǒng)安全1)高效直觀的面向?qū)ο髨D形用戶界面，易學易用。2)多任務(wù)。3)用戶界面統(tǒng)一、友好、漂亮。4)豐富的與設(shè)備無關(guān)的圖形操作。*178.3Windows系統(tǒng)安全Windows安全機制內(nèi)存保護機制權(quán)限控制機制內(nèi)核完整性保證機制*188.3Windows系統(tǒng)安全Windows安全防護體系*198.3Windows系統(tǒng)安全Windows使用的安全技術(shù)地址空間隨機化分布（AddressSpaceLayoutRandomization，ASLR）安全結(jié)構(gòu)化異常處理（SafeStructuralExceptionHandling，SafeSEH）數(shù)據(jù)執(zhí)行防護（DataExecutionProtection，DEP）安全堆管理GS棧保護*208.3Windows系統(tǒng)安全Windows使用的安全功能UAC(用戶帳戶控制)*218.3Windows系統(tǒng)安全Windows7使用的安全功能BitLocker(磁盤鎖)*228.3Windows系統(tǒng)安全Windows使用的安全功能SuiteB(加密支持)SuiteB是由美國國家安全局(NSA)制定的支持政府和軍事系統(tǒng)的秘密和絕密通信上的強制密碼算法。按照安全需求不同，可分為128、256甚至更高級別。其中128位或是256位密鑰的AES和SHA-256被指定為保護機密情報最高到秘密級。保護絕密信息則要求使用256位AES密鑰并結(jié)合SHA-384。*238.3Windows系統(tǒng)安全Windows7使用的安全功能ManagedServiceAccounts(服務(wù)帳戶管理)服務(wù)帳戶通常擁有較高的權(quán)限，也導致了很難對其進行管理。保護安全的最簡單、常用的方法就是經(jīng)常更換密碼，避免密碼丟失后造成損失。但是修改服務(wù)帳戶非常繁瑣，所以有必要對其進行統(tǒng)一管理。*24Windows的密碼系統(tǒng)

WindowsNT、Win2000、Windows2007中對用戶帳戶的安全管理使用了安全帳號管理器(securityaccountmanager)的機制。安全標識是唯一的，在每次創(chuàng)建時獲得的安全標識都時完全不同的。一旦某個帳號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標識，不會保留原來的權(quán)限。*25Windows平臺上的共享資源在Windows平臺上，共享資源是受攻擊的入侵點文件資源的共享打印服務(wù)的共享IPC$也是一個共享資源在網(wǎng)絡(luò)環(huán)境下，又離不開共享功能對策使用隱藏共享設(shè)置好權(quán)限控制*26Windows9x/ME它本身就不是一個安全的操作系統(tǒng)主要的危險直接連接到共享資源上遠程訪問注冊表安裝后門服務(wù)程序利用現(xiàn)有服務(wù)程序的漏洞拒絕服務(wù)本地系統(tǒng)的不安性重新啟動口令的不安全*27WindowsNTWindowsNT是一個安全操作系統(tǒng)雖然已經(jīng)發(fā)現(xiàn)了大量的漏洞但是總算補丁來得很及時兩個顯著的安全性特點操作系統(tǒng)本身并不提供遠程運行代碼的能力對于控制臺的交互登錄權(quán)力僅限于少數(shù)帳號安全現(xiàn)狀對于WindowsNT的大量攻擊都是通過應(yīng)用服務(wù)器進行的(比如IISWebServer)。盡快升級到Windows2000*28WindowsNT的Administrator這是攻擊者最期望得到的權(quán)限手段遠程密碼猜測找到一個共享點，使用netuse命令行Nat工具從NT的認證協(xié)議(LanMan、NTLM)著手防護禁止NIC的NetBIOS功能帳戶的管理策略：設(shè)定lockout功能、強制使用強口令失敗類型的審計總是需要的*29SAM數(shù)據(jù)庫SAM:SecurityAccountsManager,包含有本地系統(tǒng)或者所控制域上所有用戶的用戶名和密文形式的密碼這是攻擊者最感興趣的部位獲取sam數(shù)據(jù)庫，然后進行破解在系統(tǒng)運行期間，sam數(shù)據(jù)庫是上鎖的獲取sam的手段從另一個文件系統(tǒng)進行拷貝從關(guān)鍵文件的備份中獲取壓縮之后的sam文件在線提取密碼散列值從網(wǎng)絡(luò)上進行監(jiān)聽破解工具無論是字典破解，還是窮舉攻擊，往往很奏效兩種手段結(jié)合起來使用使用syskey保護*30Windows7的危險服務(wù)RemoteRegistryServiceServer(支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享)*318.3Windows系統(tǒng)安全Windows7安全操作關(guān)閉默認共享*328.3Windows系統(tǒng)安全Windows7安全操作修改組策略加固系統(tǒng)注冊表*338.3Windows系統(tǒng)安全Windows7安全操作禁止自動運行阻止病毒傳播*34禁止對注冊表的遠程訪問*35禁止和刪除服務(wù)通過services.msc禁止服務(wù)使用ResourceKit徹底刪除服務(wù)Sc命令行工具Instsrv工具舉例OS/2和Posix系統(tǒng)僅僅為了向后兼容Server服務(wù)僅僅為了接受netbios請求*36針對Windows的入侵示例*371.探測選擇攻擊對象，了解部分簡單的對象信息。針對具體的攻擊目標，隨便選擇一組IP地址，進行測試，選擇處于活動狀態(tài)的主機；針對探測的安全建議對于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測行為對于主機：安裝個人防火墻軟件，禁止外部主機的ping包，使對方無法獲知主機當前正確的活動狀態(tài)針對Windows2000的入侵過程(一)*38針對Windows2000的入侵過程(二)2.掃描使用的掃描軟件這里選擇的掃描軟件是SSS（ShadowSecurityScanner），SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測、賬號掃描等等，而且漏洞數(shù)據(jù)可以隨時更新。掃描遠程主機開放端口掃描操作系統(tǒng)識別SSS本身就提供了強大的操作系統(tǒng)識別能力，也可以使用其他工具進行主機操作系統(tǒng)檢測。主機漏洞分析*39掃描結(jié)果：端口掃描可以看出幾個比較知名的端口均處于打開狀態(tài)，如139、80等嘗試使用Unicode漏洞攻擊，無效?？赡苤鳈C已經(jīng)使用了SP進行補丁或未開放遠程訪問權(quán)限*40掃描結(jié)果：操作系統(tǒng)識別

結(jié)果顯示該主機操作系統(tǒng)為Windows2000，正是我們期望的操作系統(tǒng)類型*41掃描結(jié)果：漏洞掃描SSS可對遠程主機進行漏洞檢測分析，選擇合適的攻擊入口點，進行遠程入侵；該主機存在的漏洞較多，我們可以確定選擇該主機作為攻擊對象。另外，主機的帳號密碼使用的是“永不過期”方式，我們可以在下面進行帳號密碼的強行破解*42針對Windows2000的入侵過程(三)3.查看目標主機的信息在完成對目標主機的掃描后，可以利用WindowsNT/2000對NetBIOS的缺省信賴，對目標主機上的用戶帳號、共享資源等進行檢查。這里，再利用Windows2000的IPC空會話查詢遠程主機*43針對Windows2000的入侵過程(四)4.滲透IIS攻擊嘗試利用IIS中知名的Unicode和“Translate:f”漏洞進行攻擊，沒有成功。目標主機可能已修復相應(yīng)漏洞，或沒有打開遠程訪問權(quán)限Administrator口令強行破解目標主機是一臺個人主機，絕大部分情況下，均使用Administrator帳號進行登陸，且個人防范意識較差的話，選擇的密碼一般都較簡單，如“主機名”、“11111”、“12345”之類的簡單密碼。所以考慮利用NetBIOS會話服務(wù)（TCP139）進行遠程密碼猜測。這里使用NAT（NetBIOSAuditingTool）進行強行破解：構(gòu)造一個可能的用戶帳戶表，以及簡單的密碼字典，然后用NAT進行破解。成功*44Administrator口令破解情況*45針對Windows2000的入侵過程(五)5.鞏固權(quán)力現(xiàn)在得到了Administrator的帳戶，接下去需要鞏固權(quán)力添加一個迷惑性的帳戶，并加入administrators組，將來通過新帳戶進入裝載后門裝載后門一般的個人主機為防范病毒，均會安裝反病毒軟件，如NortonAnti-Virus、金山毒霸等，并且大部分人也能及時更新病毒庫，而大部分的木馬程序在這類軟件的病毒庫中均被視為Trojan木馬病毒。除非一些很新的程序或自己編寫的程序才能夠很好地隱藏起來我們使用NetCat作為后門程序進行演示*46安裝后門程序(一)利用剛剛獲取的Administrator口令，通過Netuse映射對方驅(qū)動器

*47安裝后門程序(二)然后將netcat主程序nc.exe復制到目標主機的系統(tǒng)目錄下（便于隱藏），可將程序名稱改為容易迷惑對方的名字，如rundl132.exe、ddedll32.exe等

利用at命令遠程啟動NetCat，供我們遠程連接使用。還添加了每日運行計劃，供以后使用。*48安裝后門程序(三)遠程NetCat服務(wù)程序啟動后，我們可以在本地進行遠程連接，運行命令，這時，我們已經(jīng)完全控制了這臺機器了*49針對Windows2000的入侵過程(六)6.清除痕跡我們留下了痕跡了嗎用eventviewer看一看沒有成功看看它的日志文件無安全日志記錄*50通過入侵過程來看Win2k的防范盡量安裝防火墻軟件，并對安全規(guī)則庫定期進行更新；及時更新操作系統(tǒng)廠商發(fā)布的ServicePack補丁程序；停止主機上不必要的服務(wù)，各種服務(wù)打開的端口往往成為黑客攻擊的入口使用安全的密碼，最起碼不要直接使用常見的單詞、數(shù)字串以及可能暴露的主機信息(比如主機名、用戶名等)；如果沒有文件和打印機共享要求，最好禁止139和445端口上的空會話；經(jīng)常利用netsession、netstat查看本機連接情況，并利用TaskManager查看本機運行的進程，及早發(fā)現(xiàn)異常情況；可以利用一些安全工具(如LockDown、BlackICE等)提供的本機程序安全管理功能，監(jiān)控本機程序的異常狀態(tài)(主動連接外部陌生的地址)，增強主機對木馬程序的監(jiān)控能力；……*51本章小結(jié)

本章主要介紹了Unix/Linux系統(tǒng)、Windows系統(tǒng)的安全機制，并對該系統(tǒng)的安全配置提供了一些建議。了解Unix/Linux系統(tǒng)的安全機制；了解Windows系統(tǒng)的安全機制；掌握Unix/Linux系統(tǒng)的安全配置方法；掌握Windows系統(tǒng)的安全配置方法。第九章數(shù)據(jù)備份與恢復技術(shù)9.1數(shù)據(jù)備份概述9.2系統(tǒng)數(shù)據(jù)備份9.3用戶數(shù)據(jù)備份9.4網(wǎng)絡(luò)數(shù)據(jù)備份9.5數(shù)據(jù)恢復9.1數(shù)據(jù)備份概述數(shù)據(jù)丟失的原因程序錯誤人為錯誤計算機失敗磁盤失敗災難（如火災、地震）和偷竊什么是備份數(shù)據(jù)的副本用于在系統(tǒng)發(fā)生故障后還原和恢復數(shù)據(jù)文件復制≠備份9.1數(shù)據(jù)備份概述數(shù)據(jù)備份是容災的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應(yīng)用主機的硬盤或陣列復制到其它的存儲介質(zhì)的過程。9.1.1數(shù)據(jù)備份及其相關(guān)概念在線備份離線備份熱備份數(shù)據(jù)恢復數(shù)據(jù)存儲管理數(shù)據(jù)歸檔9.1.2備份的誤區(qū)人工操作備份vs專業(yè)備份數(shù)據(jù)備份介質(zhì)管理的統(tǒng)一通用性。用硬件冗余容錯設(shè)備vs系統(tǒng)數(shù)據(jù)備份數(shù)據(jù)本地備份vs數(shù)據(jù)異地備份用戶應(yīng)用數(shù)據(jù)備份vs系統(tǒng)完全備份忽視制定完整的備份和恢復計劃、以及維護計劃并測試9.1.3數(shù)據(jù)備份策略1、完全備份(FullBackup)

2、增量備份(IncrementalBackup)

3、差分備份(DifferentialBackup)

9.2系統(tǒng)數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份主要針對計算機系統(tǒng)中的操作系統(tǒng)、設(shè)備驅(qū)動程序、系統(tǒng)應(yīng)用軟件及常用軟件工具等。涉及的技術(shù)和方法:系統(tǒng)還原卡GhostRAID技術(shù)等。9.2.1系統(tǒng)還原卡9.2.1系統(tǒng)還原卡在計算機啟動時接管BIOS的INT13中斷，將FAT、引導區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時儲存單元中，或在硬盤的隱藏扇區(qū)中作為第一個備份，用自帶的中斷向量表來替換原始的中斷向量表；再將FAT等信息保存到臨時儲存單元中作為第二個備份，用來應(yīng)付系統(tǒng)運行時對硬盤上的數(shù)據(jù)修改；最后在硬盤中找到一部分連續(xù)的空間，將要修改的數(shù)據(jù)保存到其中。9.2.1系統(tǒng)還原卡還原卡大多集成在10M/100M網(wǎng)卡中，實現(xiàn)了網(wǎng)絡(luò)還原功能。網(wǎng)絡(luò)還原卡應(yīng)用:在完全無人值班的情況下定時自動維護；計算機自動定時網(wǎng)絡(luò)拷貝；實現(xiàn)遠程遙控開機和關(guān)機等。9.2.2克隆大師GhostGhost具有單機硬盤備份與還原功能，還支持在網(wǎng)絡(luò)環(huán)境下硬盤的備份與還原。用戶可以實現(xiàn)在局域網(wǎng)、對等網(wǎng)內(nèi)同時進行多臺計算機硬盤克隆操作?？梢岳茫ˋutoInstallBuilder）組件將已安裝好的程序打包分發(fā)，實現(xiàn)為多臺計算機同時更新應(yīng)用程序。Ghost可以將一個硬盤中的數(shù)據(jù)完全相同地復制到另一個硬盤中，它還提供硬盤備份、硬盤分區(qū)等功能。9.2.2克隆大師Ghost9.2.2克隆大師Ghost主要功能：1.硬盤備份2．硬盤恢復3．復制硬盤4．復制分區(qū)5．分區(qū)備份6．分區(qū)恢復7．映像文件檢查8．硬盤工作狀態(tài)檢查

9.2.3其他備份方法

Linux中的Tar備份工具Windows系統(tǒng)中的備份功能

9.3用戶數(shù)據(jù)備份需要備份的資料：（1）Office文檔(.doc，.xls，.ppt等文件)；（2）客戶數(shù)據(jù)、會計數(shù)據(jù)等數(shù)據(jù)庫Database文件；（3）郵件文檔，如Outlook之.pst，.dbx及通訊錄.wab等；（4）重要數(shù)據(jù)，如.pdf，.bmp，.tiff，.dwg，.jpg等等；（5）Linux系統(tǒng)本機上數(shù)據(jù)的手工備份。9.3用戶數(shù)據(jù)備份針對具體應(yīng)用程序和用戶產(chǎn)生的數(shù)據(jù)，將用戶的重要數(shù)據(jù)與操作系統(tǒng)數(shù)據(jù)分別進行存儲備份。

SecondCopyFileGenie2000FileGee9.3.1SecondCopy9.3.2FileGee集文件備份、同步、加密、分割于一身，可實現(xiàn)FTP、局域網(wǎng)及本機各種存儲器之間的備份與同步?？梢詫崿F(xiàn)單向、雙向同步備份。增量備份、完全備份等備份功能，以及數(shù)據(jù)恢復?？梢詫崿F(xiàn)加密解密，文件分割與合并高效穩(wěn)定、占用資源少。9.4網(wǎng)絡(luò)數(shù)據(jù)備份利用一臺服務(wù)器連接合適的備份設(shè)備