操作系统的安管理.ppt

第四章 操作系统安全 · 加密通讯 主动的加密通讯，可使攻击者不能了解、修改敏感信息。 · 认证 良好的认证体系可防止攻击者假冒合法用户。 · 备份和恢复 良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。 · 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 · 隐藏内部信息 使攻击者不能了解系统内的基本情况。 · 设立安全监控中心 为信息系统提供安全体系管理、监控、保护及紧急情况服务。 2．安全等级C1级（自主安全保护） C1级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥 匙才能使用计算机等），用户在使用前必须登录到系统。C1级系统还 要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或 数据设立访问许可权限。C1级防护不足之处在于用户直接访问操作系 统的根。C1级不能控制进入系统的用户的访问级别，所以用户可以将 系统的数据任意移走。 常见的C1级兼容计算机系统如下所列： UNIX 系统 XENIX Novell3.x或更高版本 Windows NT 　　 3．安全等级C2级（可控访问保护） C2级在C1级的某些不足之处加强了几个特性，C2级引进了受控访 问环境（用户权限级别）的增强特性。这一特性不仅以用户权限为基 础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员 能够分用户分组，授予他们访问某些程序的权限或访问分级目录。 另一方面，用户权限以个人为单位授权用户对某一程序所在目录的访 问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访 问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有 的“安全事件”，如登录（成功和失败的），以及系统管理员的工作， 如改变用户访问和口令。 常见的C2级操作系统有： UNIX 系统 XENIX Novell3.x或更高版本 Windows NT 1. 用户帐号和用户密码 Windows 2003的安全机制通过请求分配用户帐号和用户密码来帮助保护计算机及其资源。给值得信任的使用者，按其使用的要求和网络所能给与的服务分配合适的用户帐号，并且给其容易记住的帐号密码。使用对帐号的用户权力的限制以及对文件的访问管理权限的策略，可以达到对服务器的数据的保护。 用户帐号有用户名、全名、描述三个部分。用户名是用户帐号的标识，全名是对应用户名的全称，描述是对用户所拥有的权限的较具体的说明。组有组名和描述两个部份，组名是标识，描述是说明。一定的用户帐号对应一定的权限，2003对权限的划分比较细，例如：备份、远程管理、更改系统时间等等，通过对用户的授权（在规则菜单中）可以细化一个用户或组的权限。用户的帐号和密码有一定的规则，包括帐号长度，密码的有效期，登录失败的锁定，登录的历史记录等等，通过对这些的综合修改可以保证用户帐号的安全使用。 AGDLP规则?A，用户?G，全局组?DL，本地域组?P，权限?把A加入到G，把G加入到DL，为DL赋予权限 实例： 本地组、全局组、域本地组和通用组概念的区别以及应用 NTFS概述 一、1.NTFS (New Technology File System)是 Windows NT 操作环境和 Windows NT 高级服务器网络操作系统环境的文件系统。 2. NTFS 的目标是提供：可靠性，通过可恢复能力(事件跟踪)和热定位的容错特征实现；增加功能性的一个平台； 3.windows中常用的系统文件有：FAT、FAT32、NTFS 4.支持NTFS的系统：NT、windows200 2003 XP 及其以后的版本 5.NTFS的优点: 1）可以对单个文件或者文件夹设置权限 2）支持跟大的磁盘容量 （FAT最多只能支持32G） 3)有压缩功能，包括压缩或解压驱动器，文件夹或指定文件的功能 4）文件加密（压缩和文件加密不能同时用） 5）支持活动目录 6）磁盘配额 6.获得NTFS文件系统的方法: 1）格式化磁盘时，选择NTFS 2）cmd中 convert 盘符 /fs:ntfs 二、设置NTFS权限 1.设置方法：右击文件（夹）→属性→安全 2.设置的内容: （1）访问控制列表（ACL）列出的是和当前文件权限有关的用户与组 （2）范围控制项(ACE)选中组或用户后，列出的是相关的权限 3.常用的权限: 1）完全控制：对文件可执行所以的操作 2）修改：修改权 3）读取和运行：读取内容，运行程序