計(jì)算機(jī)操作系統(tǒng)的安全與配置

第6章計(jì)算機(jī)操作系統(tǒng)的安全與配置本章要點(diǎn)：WindowsXP的安全性

Unix系統(tǒng)的安全性

Linux系統(tǒng)的安全性16.1WindowsXP操作系統(tǒng)的安全性6.1.1WindowsXP的登錄機(jī)制1．交互式登錄（1）本地用戶賬號（2）域用戶賬號2．網(wǎng)絡(luò)登錄3．服務(wù)登錄4．批處理登錄

26.1.2WindowsXP的屏幕保護(hù)機(jī)制

36.1.3WindowsXP的文件保護(hù)機(jī)制1．WFP的工作原理WFP把某些文件認(rèn)為是非常重要的系統(tǒng)文件。在WindowsXP剛裝好后，系統(tǒng)會自動備份這些文件到一個(gè)專門的叫做dllcache的文件夾，這個(gè)dllcache文件夾的位置默認(rèn)保存在%SYSTEMROOT%\system32\dllcache目錄下。46.1.3WindowsXP的文件保護(hù)機(jī)制2．WFP(WindowsFileProtection)功能的工作方式WFP功能使用兩種機(jī)制為系統(tǒng)文件提供保護(hù)。第一種機(jī)制在后臺運(yùn)行。在WFP收到受保護(hù)目錄中的文件的目錄更改通知后，就會觸發(fā)這種保護(hù)機(jī)制。WFP收到這一通知后，就會確定更改了哪個(gè)文件。如果此文件是受保護(hù)的文件，WFP將在編錄文件中查找文件簽名，以確定新文件的版本是否正確。WFP功能提供的第二種保護(hù)機(jī)制是系統(tǒng)文件檢查器(Sfc.exe)工具。圖形界面模式安裝結(jié)束時(shí)，系統(tǒng)文件檢查器工具對所有受保護(hù)的文件進(jìn)行掃描，確保使用無人參與安裝過程安裝的程序沒有對它們進(jìn)行修改。56.1.4利用注冊表提高WindowsXP系統(tǒng)的安全注冊表實(shí)質(zhì)上是一個(gè)龐大的數(shù)據(jù)庫,用來存儲計(jì)算機(jī)軟硬件的各種配置信息.內(nèi)容主要包含幾個(gè)方面:軟硬件的有關(guān)配置和狀態(tài)信息,應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù);計(jì)算機(jī)整個(gè)系統(tǒng)的設(shè)置和各種許可,文件擴(kuò)展名與應(yīng)用程序的關(guān)聯(lián),硬件的描述、狀態(tài)和屬性;計(jì)算機(jī)性能記錄和底層的系統(tǒng)狀態(tài)信息以及各類其他數(shù)據(jù).66.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（1）用戶反復(fù)添加或更新驅(qū)動程序時(shí)，多次操作造成失誤，或添加的程序本身存在問題，安裝應(yīng)用程序的過程中注冊表中添加了不正確的項(xiàng)。（2）驅(qū)動程序不兼容。計(jì)算機(jī)外設(shè)的多樣性使得一些不熟悉設(shè)備性能的用戶將不配套的設(shè)備安裝在一起，尤其是一些用戶在更新驅(qū)動時(shí)一味追求最新、最高端，卻忽略了設(shè)備的兼容性。當(dāng)操作系統(tǒng)中安裝了不能兼容的驅(qū)動程序時(shí)，就會出現(xiàn)問題。（3）通過“控制面板”的“添加/刪除程序”添加程序時(shí)，由于應(yīng)用程序自身的反安裝特性，或采用第三方軟件卸載自己無法卸載的系統(tǒng)自帶程序時(shí)，都可能會對注冊表造成損壞。另外，刪除程序、輔助文件、數(shù)據(jù)文件和反安裝程序也可能會誤刪注冊表中的參數(shù)項(xiàng)。76.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（4）當(dāng)用戶經(jīng)常安裝和刪除字體時(shí)，可能會產(chǎn)生字體錯(cuò)誤。可能造成文件內(nèi)容根本無法顯示。（5）硬件設(shè)備改變或者硬件失敗。如計(jì)算機(jī)受到病毒侵害、自身有問題或用電故障等。（6）用戶手動改變注冊表導(dǎo)致注冊表受損也是一個(gè)重要原因。由于注冊表的復(fù)雜性，用戶在改動過程中難免出錯(cuò)，如果簡單地將其它計(jì)算機(jī)上的注冊表復(fù)制過來，可能會造成非常嚴(yán)重的后果。82．WindowsXP系統(tǒng)注冊表的結(jié)構(gòu)6.1.4利用注冊表提高WindowsXP系統(tǒng)的安全96.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構(gòu)WindowsXP注冊表共有5個(gè)根鍵。HKEY_CLASSES_ROOT此處存儲的信息可以確保當(dāng)使用Windows資源管理器打開文件時(shí)，將使用正確的應(yīng)用程序打開對應(yīng)的文件類型。HKEY_CURRENT_USER包含當(dāng)前登錄用戶的配置信息的根目錄。用戶文件夾、屏幕顏色和“控制面板”設(shè)置存儲在此處。該信息被稱為用戶配置文件。在用戶登錄WindowsXP時(shí)，其信息從HKEY_USERS中相應(yīng)的項(xiàng)拷貝到HKEY_CURRENT_USER中。106.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構(gòu)WindowsXP注冊表共有5個(gè)根鍵。HKEY_LOCAL_MACHINE包含針對該計(jì)算機(jī)（對于任何用戶）的配置信息。HKEY_USERS包含計(jì)算機(jī)上所有用戶的配置文件的根目錄。HKEY_CURRENT_CONFIG管理當(dāng)前用戶的系統(tǒng)配置。在這個(gè)根鍵中保存著定義當(dāng)前用戶桌面配置(如顯示器等等)的數(shù)據(jù),該用戶使用過的文檔列表（MRU），應(yīng)用程序配置和其他有關(guān)當(dāng)用戶的WindowsXP中文版的安裝的信息。116.1.4利用注冊表提高WindowsXP系統(tǒng)的安全3．通過修改WindowsXP注冊表提高系統(tǒng)的安全性（1）修改注冊表的訪問權(quán)限（2）讓文件徹底隱藏（3）禁止使用控制面板

請參照教材P105介紹進(jìn)行操作12啟動策略管理的命令：Gpedit.msc6.1.5本地安全的賬戶策略13帳戶策略密碼策略Kerberos策略(針對Server系列)帳戶鎖定策略14密碼復(fù)雜性要求如果啟用此策略，密碼必須符合下列最低要求:不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個(gè)連續(xù)字符的部分至少有六個(gè)字符長包含以下四類字符中的三類字符:英文大寫字母(A到Z)英文小寫字母(a到z)10個(gè)基本數(shù)字(0到9)非字母字符(例如!、$、#、%)15本地策略審核策略：確定是否將安全事件記錄到計(jì)算機(jī)上的安全日志中。同時(shí)也確定是否記錄登錄成功或登錄失敗，或二者都記錄。（“安全”日志是事件查看器的一部分。）用戶權(quán)利指派：確定哪些用戶或組具有登錄計(jì)算機(jī)的權(quán)利或特權(quán)。安全選項(xiàng)：啟用或禁用計(jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號、Administrator和Guest的帳戶名、軟盤驅(qū)動器和光盤的訪問、驅(qū)動程序的安裝以及登錄提示。16審核策略設(shè)置17用戶權(quán)利指派設(shè)置優(yōu)先級高于“在本地登錄”18安全選項(xiàng)設(shè)置196.1.6Windows服務(wù)

Win32服務(wù)程序由3部分組成：服務(wù)應(yīng)用程序，服務(wù)控制程序和服務(wù)控制管理器服務(wù)應(yīng)用程序是服務(wù)程序的主體程序，是一個(gè)或者多個(gè)服務(wù)的可執(zhí)行代碼服務(wù)的啟動方式有三種：“自動”——是指當(dāng)計(jì)算機(jī)啟動或者需要的時(shí)候就開啟；“手動”——是可以在命令提示符中通過“netstart”命令打開和“netstop”命令關(guān)閉的；“已禁止”——是指在改變啟動方式前，不允許啟動的服務(wù)啟動管理工具的命令：Services.msc20Windows服務(wù)這些服務(wù)程序很多是互相依存的，所以不能隨便停止某項(xiàng)服務(wù)，否則很可能造成系統(tǒng)的非正常情況出現(xiàn)，但是有的服務(wù)對我們來說的確沒有什么作用，而且還占據(jù)著系統(tǒng)資源。正常工作中用不到的程序，完全可以關(guān)閉，從而達(dá)到節(jié)省資源的目的?？梢愿淖兎?wù)的啟動順序，進(jìn)一步優(yōu)化系統(tǒng)，提高系統(tǒng)運(yùn)行效率和安全性能。21禁用不必要的服務(wù)很多服務(wù)是用戶根本不需要的選擇“開始”→“運(yùn)行”，鍵入“services.msc”并回車，即可打開“服務(wù)”管理程序。也可以選擇“控制面板”→“管理工具”→“服務(wù)”，進(jìn)入該界面，即可打開已經(jīng)安裝在系統(tǒng)中的服務(wù)列表。不同的硬件配置或者不同的Windows版本中的服務(wù)項(xiàng)目是有所區(qū)別的。選擇“查看”→“詳細(xì)信息”，即可在“描述”列表中看到每一項(xiàng)服務(wù)的具體內(nèi)容和功能。22Windows服務(wù)解析配置1、Alert（警報(bào)器），建議：已禁止2、ApplicationLayerGatewayService，建議：已禁止3、ApplicationManagement（應(yīng)用程序管理），建議：手動4、AutomaticUpdates，建議：已禁止5、BackgroundIntelligentTransferService，建議：已禁止6、ClipBook（剪貼簿），建議：已禁止7、COM+EventSystem（COM+事件系統(tǒng)），建議：手動8、COM+SystemApplication，建議：手動9、ComputerBrowser（計(jì)算機(jī)瀏覽器），建議：已禁止10、CryptographicServices，建議：手動11、DHCPClient（DHCP客戶端），建議：手動12、DistributedLinkTrackingClient（分布式連結(jié)追蹤客戶端），建議：已禁止23Windows服務(wù)解析配置13、DistributedTransactionCoordinator（分布式交換協(xié)調(diào)器），建議：已禁止14、DNSClient（DNS客戶端），建議：已禁止15、ErrorReportingService，建議：已禁止16、EventLog（事件記錄文件），建議：自動17、FastUserSwitchingCompatibility，建議：手動18、HelpandSupport，建議：已禁止。19、HumanInterfaceDeviceAccess，建議：手動20、IMAPICD-BurningCOMService，建議：已禁止21、IndexingService（索引服務(wù)），建議：已禁止22、InternetConnectionFirewall（ICF）/InternetConnectionSharing（ICS），建議：已禁止23、IPSECServices（IP安全性服務(wù)），建議：手動24、LogicalDiskManager（邏輯磁盤管理員），建議：自動24Windows服務(wù)解析配置25、LogicalDiskManagerAdministrativeService（邏輯磁盤管理員系統(tǒng)管理服務(wù)），建議：手動26、Messenger（信使服務(wù)），建議：已禁止27、MSSoftwareShadowCopyProvider，建議：已禁止28、SmartCard，建議：已禁止29、SmartCardHelper（智能卡協(xié)助程序），建議：已禁止30、SSDPDiscoveryService，建議：已禁止31、SystemEventNotification（系統(tǒng)事件通知），建議：自動32、SystemRestoreService，建議：已禁止33、TaskScheduler，建議：手動34、TCP/IPNetBIOSHelper（TCP/IPNetBIOS協(xié)助程序），建議：已禁止25Windows服務(wù)解析配置35、Telephony（電話語音），建議：手動36、Telnet，建議：已禁止37、TerminalServices（終端服務(wù)），建議：已禁止38、Themes，建議：自動39、UninterruptiblePowerSupply（不斷電供電系統(tǒng)），建議：已禁止40、UniversalPlugandPlayDeviceHost，建議：自動41、VolumeShadowCopy，。建議：已禁止。42、WebClient，建議：已禁止。43、WindowsAudio，建議：自動。44、WindowsImageAcquisition（WIA）（Windows影像取得程序），建議：已禁止45、WindowsInstaller（Windows安裝程序），建議：自動46、WindowsManagementInstrumentation（WMI），建議：自動26Windows服務(wù)解析配置47、WindowsManagementInstrumentationDriverExtensions(WindowsManagementInstrumentation驅(qū)動程序延伸)，建議：手動48、WindowsTime（Windows時(shí)間設(shè)定），建議：已禁止49、WirelessZeroConfiguration，建議：已禁止50、WMIPerformanceAdapter，建議：已禁止51、Workstation（工作站），建議：自動276.1.7XP操作系統(tǒng)進(jìn)程解析

28進(jìn)程的概念進(jìn)程是程序在計(jì)算機(jī)上的一次執(zhí)行活動。運(yùn)行一個(gè)程序時(shí)，就啟動了一個(gè)進(jìn)程。相對而言，程序是一組代碼，是靜態(tài)的，進(jìn)程是代碼的執(zhí)行行為，是活的。在Windows下，進(jìn)程又被細(xì)化為線程，也就是一個(gè)進(jìn)程下有多個(gè)能獨(dú)立運(yùn)行的更小的單位。多線程的好處：

產(chǎn)生多響應(yīng)效果

可以充分使用多處理器

29Windows基本進(jìn)程解析1、WinlogonWinlogon是一個(gè)登錄/退出進(jìn)程。winlogon在用戶按下CTRL+ALT+DEL時(shí)激活，并顯示安全對話框。該進(jìn)程提供了登錄所需的類型控制和輸入口令所需的對話框。當(dāng)你輸入用戶名和口令時(shí)，Winlogon將其發(fā)送給一個(gè)叫做LSASS的子進(jìn)程。如果你執(zhí)行對服務(wù)器或工作站的本地登錄，LSASS進(jìn)程將在安全數(shù)據(jù)庫（亦即SAM）中查對有關(guān)用戶名和口令。Winlogon有兩個(gè)子進(jìn)程，即服務(wù)控制器和LSASS。

2、Explorer進(jìn)程在Windows系列的操作系統(tǒng)中，運(yùn)行時(shí)都會啟動一個(gè)名為Explorer.exe的進(jìn)程。這個(gè)進(jìn)程主要負(fù)責(zé)顯示系統(tǒng)桌面上的圖標(biāo)以及任務(wù)欄。30Windows基本進(jìn)程解析3、csrss.exe進(jìn)程這個(gè)進(jìn)程是用戶模式Win32子系統(tǒng)的一部分，CSRSS代表客戶/服務(wù)器運(yùn)行子系統(tǒng)而且是一個(gè)基本的子系統(tǒng)必須一直運(yùn)行。CSRSS負(fù)責(zé)控制Windows圖形相關(guān)子系統(tǒng)，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。4、SystemIdle這個(gè)進(jìn)程不可以從任務(wù)管理器中關(guān)掉，是作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間。所以，在任務(wù)管理器中，看到的“SystemIdleProcess”的CPU資源占用恰恰是CPU資源空閑時(shí)間。31Windows基本進(jìn)程解析5、smss.exe這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的，是一個(gè)會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化，并且對許多活動的，包括正在運(yùn)行的Winlogon，Win32（Csrss.exe）線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動這些進(jìn)程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程是正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情，smss.exe就會讓系統(tǒng)停止響應(yīng)（就是掛起）。6、lsass.exe這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。管理

IP

安全策略以及啟動

ISAKMP/Oakley

(IKE)

和

IP

安全驅(qū)動程序。

這是一個(gè)本地的安全授權(quán)服務(wù)，它會為使用winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程。這個(gè)進(jìn)程是通過使用授權(quán)的包，例如默認(rèn)的msgina.dll來執(zhí)行。如果授權(quán)是成功的，lsass就會產(chǎn)生用戶的進(jìn)入令牌，令牌被用于啟動初始的shell，其他由用戶初始化的進(jìn)程也會繼承這個(gè)令牌（系統(tǒng)服務(wù)）。32Windows基本進(jìn)程解析7、services.exe大多數(shù)的系統(tǒng)核心模式進(jìn)程是作為系統(tǒng)進(jìn)程在運(yùn)行。8、spoolsv.exe緩沖（spooler）服務(wù)是管理緩沖池中的打印和傳真作業(yè)，將文件加載到內(nèi)存中以便遲后打印（系統(tǒng)服務(wù)）。33svchost.exe進(jìn)程剖析svchost.exe是從動態(tài)鏈接庫(DLL)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。svchost.exe是WindowsNT核心系統(tǒng)的最重要的進(jìn)程之一，但它本身只作為服務(wù)宿主，提供條件讓其他服務(wù)在這里被啟動，而它自己卻不能提供任何服務(wù)。Windows2000一般有2個(gè)svchost進(jìn)程，一個(gè)是RPCSS（RemoteProcedureCall）服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè)svchost.exe。而在WindowsXP中，則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程，Windows2003Server中則更多，可以看出把更多的系統(tǒng)內(nèi)置服務(wù)以共享進(jìn)程方式由svchost啟動是微軟的一個(gè)趨勢。34svchost.exe進(jìn)程剖析svchost.exe文件定位在系統(tǒng)的%systemroot%\system32文件夾下在啟動的時(shí)候，svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務(wù)列表。這就會使多個(gè)svchost.exe在同一時(shí)間運(yùn)行。一般地，通過在任務(wù)管理器，我們可以看到Windows系統(tǒng)中存在多個(gè)“svchost”進(jìn)程。這些svchost進(jìn)程提供多種系統(tǒng)服務(wù)，如：rpcss服務(wù)（remoteprocedurecall）、dmserver服務(wù)（logicaldiskmanager）、dhcp服務(wù)（dhcpclient）等。35幾點(diǎn)說明相對而言，程序是一組代碼，是靜態(tài)的，進(jìn)程是代碼的執(zhí)行行為，是活的系統(tǒng)的大部分服務(wù)是以動態(tài)鏈接庫（dll）形式實(shí)現(xiàn)的，比如通過SvcHost.EXE啟動的大量系統(tǒng)服務(wù)驅(qū)動程序在某種形式上也是服務(wù)，但驅(qū)動程序在Windows中進(jìn)行了驗(yàn)證，如WindowsHardwareQualityLab（WHQL）微軟的一種認(rèn)證366.4Unix系統(tǒng)的安全性Unix操作系統(tǒng)簡介Unix操作系統(tǒng)是目前網(wǎng)絡(luò)系統(tǒng)中主要的服務(wù)器操作系統(tǒng)Unix操作系統(tǒng)是于1969年由KenThompson、Dennis

Ritchie和其他一些人在AT&T貝爾實(shí)驗(yàn)室開發(fā)成功的Unix操作系統(tǒng)是一個(gè)分時(shí)多用戶多任務(wù)的通用操作系統(tǒng)－分時(shí)系統(tǒng)，是指允許多個(gè)聯(lián)機(jī)用戶同時(shí)使用同一臺計(jì)算機(jī)進(jìn)行處理的操作系統(tǒng)－用戶可以請求系統(tǒng)同時(shí)執(zhí)行多個(gè)任務(wù)