【文章內(nèi)容簡介】 相關(guān)聯(lián) 角色繼承 最小權(quán)限原則 指責(zé)分離 角色容量 2022/2/15 43 最小特權(quán)管理 是系統(tǒng)安全中最基本的原則之一 要求賦予系統(tǒng)中每個使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強(qiáng)的一組特權(quán)，即最低許可。 26個特權(quán) 常見的形式 基于文件的特權(quán)機(jī)制 基于進(jìn)程的特權(quán)機(jī)制 實(shí)例 惠普的 Presidium/Virtual Vault 紅旗安全操作系統(tǒng) RFSOS SELinux安全操作系統(tǒng) 2022/2/15 44 可信通路 是用戶能借以直接同可信計算基（ TCB）通信的一種機(jī)制 建立可信通路的方法：安全注意鍵 P35 2022/2/15 45 安全審計機(jī)制 日志：記錄的事件或統(tǒng)計數(shù)據(jù) 安全審計：對日志記錄的分析并以清晰的、能理解的方式表述系統(tǒng)信息，即對系統(tǒng)中有關(guān)安全的活動進(jìn)行記錄、檢查及審核 作用 審計事件：主體、客體 組成： 日志記錄器：收集數(shù)據(jù) ——系統(tǒng)日志、應(yīng)用程序日志、安全日志 分析器：分析數(shù)據(jù) 通告器：通報結(jié)果 2022/2/15 46 存儲保護(hù)、運(yùn)行保護(hù)和 I/O保護(hù) 存儲保護(hù) 虛地址空間 分段 物理頁號上的秘密信息 基于描述符的地址解釋機(jī)制 運(yùn)行保護(hù) 保護(hù)環(huán) ——運(yùn)行域 ——等級域機(jī)制 進(jìn)程隔離機(jī)制 I/O保護(hù) I/O操作是操作系統(tǒng)完成的特權(quán)操作 2022/2/15 47 UNIX/Linux安全機(jī)制 一、 UNIX安全機(jī)制 標(biāo)識 /etc/passwd和 /etc/shadow中保存了用戶標(biāo)識和口令； root用戶 鑒別 存取控制 存取權(quán)限：可讀、可寫、可執(zhí)行； 改變權(quán)限： 特殊權(quán)限位： SUID和 SGID； 2022/2/15 48 UNIX/Linux安全機(jī)制（續(xù)） 審計 日志文件： acct或 pacct、 aculog、 lastlog、loginlog、 messages、 sulog、 utmp、 utmpx、 wtmp、wtmpx、 、 xferlog等 審計服務(wù)程序： syslogd； 網(wǎng)絡(luò)安全性：有選擇地允許用戶和主機(jī)與其他主機(jī)的連接； 網(wǎng)絡(luò)監(jiān)控和入侵檢測： LIDS等； 備份 /恢復(fù)：實(shí)時備份、整體備份、增量備份； 2022/2/15 49 UNIX/Linux安全機(jī)制（續(xù)） 二、 Linux安全機(jī)制 PAM機(jī)制 入侵檢測系統(tǒng) 加密文件系統(tǒng) 安全審計 強(qiáng)制訪問控制 防火墻 2022/2/15 50 Windows安全機(jī)制 W i n l o g o nG I N AD L LN e t w o r kP r o v i d e rL a s sN e t l o g o n 活 動 目 錄L S A服 務(wù) 器S A M服 務(wù) 器L S A策 略M s v 1 . 0 . d l lK e r b e r o s . d l l用 戶 模 式內(nèi) 核 模 式活 動目 錄事 件 記 錄 器S A M系 統(tǒng) 線 程 系 統(tǒng) 服 務(wù) 調(diào) 度 器 內(nèi) 核 模 式 可 調(diào) 用 接 口I / O 管 理 器文件系統(tǒng)緩存對象管理器PnP管理電源管理安全參考監(jiān)視器虛擬內(nèi)存進(jìn)程和線程配置管理器本地過程調(diào)用系 統(tǒng) 線 程設(shè) 備 和文 件 系統(tǒng) 驅(qū) 動W i n 3 2 U S E R ,G D I圖 形 驅(qū) 動程 序內(nèi) 核硬 件 抽 象 層2022/2/15 51 Windows安全機(jī)制 身份認(rèn)證 交互式登錄 (根據(jù)用戶的本地計算機(jī)或 Active Directory 帳戶確認(rèn)用戶的身份 ) 網(wǎng)絡(luò)身份驗(yàn)證（根據(jù)此用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份） Windows 2022 支持的身份驗(yàn)證類型有： Kerberos V5 身份驗(yàn)證 安全套接字層 (SSL) 和傳輸層安全性 (TLS) 的身份驗(yàn)證 NTLM 身份驗(yàn)證 2022/2/15 52 Windows安全機(jī)制 基于對象的訪問控制 Windows 2022 通過允許管理員為存儲在 Active Directory 中的對象分配安全描述符實(shí)現(xiàn)訪問控制。 Active Directory 授權(quán)和審核 2022/2/15 53 Windows安全設(shè)置 硬盤的分區(qū) 至少建立兩個邏輯分區(qū)：一個用作系統(tǒng)分區(qū)，另一個用作應(yīng)用程序分區(qū)。現(xiàn)在的硬盤是越來越大，一般最好分三個至四個分區(qū)，這樣就可以把自己的文件單獨(dú)放在一個分區(qū)中。 所有的分區(qū)最好都是 NTFS格式。 用戶賬號的安全設(shè)置 默認(rèn)安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號和共享列表 2022/2/15 54 Windows安全設(shè)置 文件和文件夾權(quán)限的設(shè)置 訪問權(quán)限分為讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制 在默認(rèn)的情況下，大多數(shù)的文件夾和文件對所有用戶 (Everyone這個組 )是完全控制的(Full Control)，這根本不能滿足不同網(wǎng)絡(luò)的權(quán)限設(shè)置需求，還需要根據(jù)應(yīng)用的需要進(jìn)行重新設(shè)置。 配置 IIS 原則 “ 最小的權(quán)限 +最少的服務(wù) =最大的安全 ” 2022/2/15 55 Windows 安全設(shè)置 檢查清單 物理安全 服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi) 監(jiān)視器要保留 15天以上的攝像記錄 另外機(jī)箱 ,鍵盤電腦桌抽屜要上鎖以確保旁人即使進(jìn)入房間也無法使用電腦 鑰匙要放在另外的安全的地方 停掉 Guest 帳號 限制不必要的用戶數(shù)量 創(chuàng)建 2個管理員用帳號 把系統(tǒng) administrator帳號改名 創(chuàng)建一個陷阱帳號 2022/2/15 56 Windows安全設(shè)置 檢查清單 把共享文件的權(quán)限從” everyone”組改成“授權(quán)用戶” 使用安全密碼 設(shè)置屏幕保護(hù)密碼 使用 NTFS格式分區(qū) 運(yùn)行防毒軟件 保障備份盤的安全 2022/2/15 57 Windows 安全設(shè)置 利用 win2022的安全配置工具來配置策略 關(guān)閉不必要的服務(wù) 關(guān)閉不必要的端口 打開審核策略 策略 設(shè)置 審核系統(tǒng)登陸事件 成功，失敗 審核帳戶管理 成功，失敗 審核登陸事件 成功，失敗 審核對象訪問 成功 審核策略更改 成功，失敗 審核特權(quán)使用 成功，失敗 審核系統(tǒng)事件 成功，失敗 2022/2/15 58 Windows 安全設(shè)置 開啟密碼密碼策略 策略 設(shè)置 密碼復(fù)雜性要求 啟用 密碼長度最小值 6位 強(qiáng)制密碼歷史 5 次 強(qiáng)制密碼歷史 42 天 開啟帳戶策略 策略 設(shè)置 復(fù)位帳戶鎖定計數(shù)器 20分鐘 帳戶鎖定時間 20分鐘 帳戶鎖定閾值 3次 設(shè)定安全記錄的訪問權(quán)限 安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有 Administrator和系統(tǒng)帳戶才有權(quán)訪問 2022/2/15 59 Windows 安全設(shè)置 把敏感文件存放在另外的文件服務(wù)器中 不讓系統(tǒng)顯示上次登陸的用戶名 禁止建立空連接 到微軟網(wǎng)站下載最新的補(bǔ)丁程序 關(guān)閉