15.1网络操作系统中的安全体系为了实现网络安全特性的要求,计算机网络中常用的安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。在实现网络安全系统时,通常需要先对保护的网络进行深入的分析,然后,选择和使用适合该网络的一种或几种安全技术。每一种网络操作系统,一般是按一定的安全目标进行设计,因此,都采用了一些安全策略,并使用了一些常用的安全技术。下面以WindowsNT为例进行简单地讨论,由于,这些讨论具有普遍性,因此,也适用于其他的网络操作系统。15.1.1WindowsNT4.0的安全概述1.WindowsNT中的对象对象是NT操作系统中的基本元素。对象可以是文件、目录、存储器、驱动器、系统程序或Windows中的桌面等。2.WindowsNT4.0的安全性设计目标在设计WindowsNT结构的时候,微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。3.使用WindowsNT的实现网络安全策略WindowsNT4.0的安全结构由3个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。对于每一个机构,任何操作系统的安全机制都不是自动生成的,因此,在使用WindowsNT之前必须先制定它们的安全策略。这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后,才能说用NT构建一个高度安全地系统。由此可见,只有将企业的安全策略和WindowsNT底层的安全机制有机地结合起来,才能充分发挥WindowsNT的各项安全特性。4.WindowsNT的安全机制微软的WindowsNTServer提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。①WindowsNT的安全子系统有:本地安全权威、安全账户管理、安全访问监督等。②WindowsNT提供的安全机制有:登录过程控制、存取控制、存取标识和存取控制列表等。5.WindowsNT的安全模型WindowsNT的安全模型影响着整个操作系统,由于,对象的访问必须经过一个核心区域的验证,因此,在NT中未经授权的申请者和用户是不能访问对象的。WindowsNT的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,并且包括登录入网处理、访问控制和对象安全服务等部分。上述这些部分构成了NT的安全基础,也称为安全层次。15.1.2WindowsNT网络安全子系统的实现WindowsNT的安全系统应当由3个策略环节构成:即身份识别系统、资源访问权限控制系统和安全审计系统。(1)满足C2安全等级的NT必须做到的几项工作①拥有对系统的非网络访问权限。②去除或禁止使用软盘驱动器。③更加严格地控制对标准系统文件的访问。(2)WindowsNT中C2安全等级的标准特征①可自由决定的访问控制。允许管理员或用户定义自己所拥有的对象的访问控制。②禁止对象的重用。主要表现在两个方面。第一,当内存被一个程序释放后,不再允许对它的读访问。第二,当对象被删除,即对象所在的磁盘空间已被重新分配时,也不允许用户对对象进行再次的访问。③身份的确认和验证。在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户名、口令、域和组等信息的验证。④审核。应当创建并维护用户对对象的访问记录,并防止他人更改此记录。必须严格地规定,只有管理员才能够访问系统的审核信息。15.1.2.1WindowsNT网络的登录和身份认证机制WindowsNT处理各种服务请求,是建立在授权许可的基础上,因此,必须先通过用户的登录和访问权限的验证,此后还需要对用户的访问权限进行限制。其验证过程分为以下几个部分。1.WindowsNT网络的登录机制和账户管理WindowsNT网络登录时,要求用户使用唯一的用户名和口令登录到计算机上,这种登录过程是不能关闭的,因此,称为强制性的登录。(1)登录机制①登录过程任何一台NT计算机都使用“Ctrl+Alt+Del”三个健的组合进行强制登录,登录过程包括输入的用户名和密码的登录验证过程。②登录的类型登录的类型分为交互登录和远程登录两种。交互登录:使用本地的安全账户管理(SAM,SecurityReferenceMonitor)进行身份认证。当用户选择了本地SAM,则登录时,不会发生域内的身份验证,所有的身份认证均在本地,并可以针对本地资源进行访问。远程登录:当用户在一个域中的计算机上登录到一个服务器时,就会发生远程登录,也叫做“域SAM”,此时,用户的身份认证会传递到“域”的控制器上去完成。(2)身份识别系统WindowsNT中的身份识别系统是网络安全系统的第一层保护,它除了进行账户和口令的检测以外,还可以由管理员限制用户的上网时间、非法使用者锁定和密码更改等。用户账户的设置是由系统管理员来确定的,它不但是用户惟一的身份识别标志,还被分配了到域中访问资源的权限。当然,用户可以选择本地的SAM或域SAM方式进行交互式登录或者是远程登录。不同的登录方式,对资源的使用权限也不同。每一个需要使用网络的用户都应该拥有一个账户。①账户管理的最高权限账户—Administrator账户每一台NT计算机在安装过程中都会建立一个系统默认的Administrator账户。该账户不能删除,但可以被更改名称。在域控制器上,此账户是一个全局账户,在其他计算机上,它只是一个本地账户。系统管理员可以使用Administrator账户进行登录,并定义用户对资源的使用权限,用户账户的管理,还可以从网上任何站点进行远程登录,并行使各种管理权。使用域的Administrator账户登录时的系统管理员可以完成以下任务。可以对文件和目录的安全访问权限进行设置和控制。可以对注册表进行操作。例如:修改注册表。可以对用户的账号进行集中管理。设置用户登录网络的账户和口令,指定登录时间,确定账户的期限及口令的使用限定等。可以审计各种事件。例如:用户的登录尝试设置,就是指当用户登录失败的次数超过指定的次数,系统可以将用户账号锁定。由于,域的Administrator账户具有很高的权限,因此,为了保证网络的安全,对该账户及其他具有同等特权的账户的账号必须采取严格地安全措施。②账户管理。账户管理的内容包括:用户口令控制、本地和全局账户、用户宿主目录的指定、网络登录脚本、用户强制性配置文件,以及将用户分配到默认的组等多项账户属性的操作。(3)账户的安全策略建立用户账户的方法在第8章中已作介绍,本节仅介绍账户安全的设置策略和步骤。WindowsNT的缺省和默认账户策略是为了便于用户方便而设计的。例如:允许用户使用空口令和选择任意长度的口令。而这些设置可以使得非法入侵者可以轻易地入侵网络。因此,出于安全性考虑,应当修改上述的设计策略。表15-2说明了建议网络管理员在各种情况下可以采取的账户策略。表15-2推荐的WindowsNT中的账户策略功能推荐设置优点最小口令长度6~8个字符使得所设置的口令不易被猜出口令期限30~90天强迫用户定期更换口令,使系统更安全口令唯一性5个口令防止用户总是使用同一口令账户锁定5次登录企图后锁定,30分钟后恢复防止黑客猜出口令的企图最短口令的使用期限(寿命)3天(允许用户立即修改口令)防止用户立即将口令改为原有的值锁定时间30分钟强迫用户等待,防止黑客猜出口令的企图当登录时间到期时,中断远程客户与服务器的连接应使用登录时间的限制支持移动工作及无超时的策略用户必须登录才能修改口令禁止防止用户更新已经过期的口令注意:NT操作系统可以自动锁定账户,管理员不能采用手动锁定账户,但是,可以进行禁止账户或解锁的操作。(4)账户安全策略的实施步骤①依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。图15-7“域用户管理器”窗口②在图15-7所示的“域用户管理器”窗口中,选择“规则(策略)→账户”命令选项,即可激活如图15-8所示的窗口。注:有些NT版本中的“规则”命令显示为“策略”。图15-8“域用户管理器”中的“账号规则”窗口③在图15-8所示的窗口中,可以设置:密码限制、账号锁定和锁定时间等,用户应当根据安全策略的需要酌情进行选择。例如:可以通过“登录失败”选项进行设定。用户允许的最多登录企图的次数的取值范围为:1~999。如果设定的值为5次,就表示用户在连续5次的错误登录之后,系统就会锁定该账户。④对于锁定时间可以在“复位账号前锁定”选项处进行设置,通过设定用户账户,在锁定前的最大登录时间间隔,其取范围为1~99999分钟。例如:如果将此时间设定为30分钟,就表示用户在30分钟之内,连续进行了允许的错误登录次数后,其账户将被自动锁定。⑤在“锁定时间”处,设定对锁定账户的处理方式。如果选择了“永久”单选项,将使得被锁定的账户在管理员解锁它们之前,保持锁定状态。如果选择了“时间”单选项,则要求设定锁定时间,即被锁定的用户账户将在该时间之后自动解锁,从而恢复该账户的使用权。⑥在图15-8所示的窗口中,如果选择了“账号不锁定”的单选项,则系统对于登录失败将不进行任何的处理。注意:为了防止他人不断地登录而猜出用户的密码,最好不要选择此项,而应按照上面所介绍的方法进行必要的设置。⑦为了防止用户非法访问域,每一个用户账户都要设置一个密码。WindowsNT的身份验证系统,要求用户在登录NT网络时,提供正确的密码,否则用户的入网请求将被拒绝。WindowsNT密码的策略如表15-2所述,这里仅介绍用户密码的保护方法和操作步骤。依次选择“开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。在图15-7所示的窗口中,选择“规则(策略)→账户”命令选项。在激活的窗口中,选择“密码最长期限”选项,可以设置用户口令可以使用的时间,其取值范围为1~999天。之后,用户将被要求改变口令。为安全起见,应当要求用户经常更换他们的口令。在中等安全性的网络中,要求用户每45~90天更换一次口令。在高等安全性的网络中,要求用户每14~45天更换一次口令。当然,也可以将其设置为“密码永久有效”,为了避免密码失窃,建议尽量不要这样设置。“最短密码期限”选项,用来设置口令在被用户改变之前,必须要保持的时间,其取值范围为1~999天。值得注意的是:本项设置的时间一定要小于“③”中所设置的密码最长期限值。“最短密码长度”选项,用来设置口令的最小长度,由于口令越长越难被破译,因此,在中等安全性的网络中,要求用户的口令长度为6~8个字符。在高等安全性网络中,要求用户的口令长度为8~14个字符。当然,也可以设置为“允许空密码”,即允许用户不设置密码,为了保证系统的安全,建议不要这样选择和设置。2.WindowsNT的访问控制机制系统的资源包括系统本身、文件、目录和打印机等各种网络共享资源以及其他对象。在NT-SER中,提供了控制资源存取的工具。对资源可以灵活地控制到特定的用户、多个用户、nobody、用户组或所有人等。这些控制可以由资源的所有者、系统管理员用户,以及其他被授授予了资源控制权限的用户来完成。15.1.2.2文件和目录的安全性网络中最主要的资源就是文件和目录,因此,几乎所有操作系统的访问控制机制的安全特性都取决于文件和目录的安全性。当然,文件和目录的安全也是WindowsNT安全模型的核心。文件和目录的安全性可以应用于单个文件、多个文件、目录或整个的目录结构。因此,NT的资源访问控制系统,可以确定用户对目录和文件的访问和使用的权利。它除了规定了用户所能访问的网络信息资源的目录和文件外,还可以控制用户的访问层次和范围。1.通过共享许可(权限)保护网络资源(1)共享的基本概念共享和共享文件夹:当一个目录(文件夹)被共享时,用户就可以通过网络连接到该共享目录(文件夹)上,进而访问该文件夹中的所有文件和文件夹。因此,共享是一种开放共享资源的操作,而所开放的目录资源就被称为共享目录。(2)共享许可(权限)①共享许可