ch5主机安全

Ch5主机安全相关技术主要内容平台安全漏洞管理5.1平台安全5.1概述5.1.1基本概念平台是一种环境，一种信息的生存的综合的软硬件资源环境。这个环境需要技术的支撑、策略的指导和人员的维护。平台为信息的交互、共享、存储、传输、处理提供必要的资源和安全保障5.1.1基本概念平台安全技术可以定义为：•为了保证平台服务、平台资源的整体性、机密性、可控性而采取的方法、措施的总称。•它包括了平台相关的各个层面的安全技术基本概念主机，在这里，是一个相对网络的概念，是指连接到互联网上计算机系统，包括了服务器计算机系统和桌面计算机系统。主机是一种计算环境。主机安全是指主机系统作为计算环境的安全，涉及相关软硬件的安全问题，即确保主机系统的可用性、真实性、完整性等安全属性。主机加固是指针对不同目标主机系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是消除与降低主机系统的安全隐患。风险因素威胁恶意代码脆弱性漏洞缺陷典型技术主机防护技术主机防火墙技术、主机入侵检测技术、主机监控技术主机加固技术操作系统加固技术、数据库加固技术内部存储器的保护技术沙箱技术123456785.1操作系统平台5.1.1概述操作系统平台操作系统是一种能控制和管理计算机系统内各种硬件资源和软件资源的一种软件环境，它能合理、有效的组织计算机系统的工作，为用户提供一个使用方便、可扩展的工作环境，从而给用户提供一个操作计算机的软、硬件接口计算机系统资源包括硬件资源（微处理器，存储器，输入、输出设备及其它外部设备）和软件资源（程序、文件或数据等5.1操作系统平台相关技术存储器保护技术平台防护技术内存储器是操作系统中的共享资源，即使对于单用户的个人计算机，内存也是被用户程序与系统程序所共享，在多道环境下更是被多个进程所共享为了防止共享失去控制和产生不安全问题，对内存进行保护是必要的存储器保护常用保护技术单用户内存保护技术内存标记法分段分页技术虚拟存储器技术单用户内存保护利用地址界限寄存器在内存中规定一条区域边界（一个内存地址），用户程序运行时不能跨越这个地址利用该寄存器也可以实现程序重定位功能，可以指定用户程序的装入地址系统区用户区（内存）界限寄存器单用户内存保护多道程序的保护单用户内存保护存在的问题•利用一个基址寄存器无法使把用户程序分隔在不同内存区运行多道程序的保护解决办法•再增加一个寄存器保存用户程序的上边界地址•硬件系统将自动检查程序代码所访问的地址是否在基址与上边界之间，若不在则报错•用这种办法可以把程序完整地封闭在上下两个边界地址空间中，可以有效地防止一个用户程序访问甚至修改另一个用户的内存系统区程序R内存区程序S内存区程序T内存区基地址寄存器边界址寄存器多道程序的保护标记保护法多对基址与边界寄存器技术的问题只能保护数据区不被其他用户程序访问，不能控制自身程序对同一个数据区内单元有选择的读或写例如缓冲区溢出，数组越界需求能对每个存储单元按其内容要求进行保护，例如有的单元只读，读/写、或仅执行（代码单元）等不同要求解决方法可以在每个内存字单元中专用几个比特来标记该字单元的属性。除了标记读、写、执行等属性外，还可以标记该单元的数据类型，如数据、字符、地址、指针或未定义等加标记的内存E代码E代码E代码E代码RW数据OR数据………………..其中E表示执行，R表示读，W表示写，OR表示只读。分段与分页技术对于复杂程序，按功能划分成若干个模块（过程）每个模块有自己的数据区，各模块之间也可能有共享数据区各用户程序之间也可能有共享模块或共享数据区这些模块或数据区有着不同的访问属性和安全要求使用上述各种保护技术很难满足这些要求分段与分页技术分段技术的作用试图解决较大程序的装入、调度、运行和安全保护等问题的一种技术分段以模块（过程或子程序）为单位采用分段技术，用户不知道他的程序实际使用的内存物理地址。这种隐藏对保护用户代码与数据的安全是极有好处的分段与分页技术为了解决分段可能产生的内存碎片问题，引入了分页技术。分页是把目标程序与内存都划分成相同大小的片段，这些片段就称为“页”分页技术解决了碎片问题，但损失了分段技术的安全功能由于段具有逻辑上的完整意义，而页则没有这样的意义，程序员可以为段规定某些安全控制要求，但却无法指定各页的访问控制要求虚拟存储器虚拟存储器的基本思想实质是一种内存管理技术，采用了地址映射机制，使得所有分散的、不连贯的存储空间被组织在一个连贯的线性内存地址空间中将分页与分段技术结合起来使用，把程序划分为段，再由操作系统把段划分为页操作系统同时管理段表与页表，完成地址映射任务和页面的调进调出，并使同一段内的各页具有相同安全管理要求隔离技术包括物理隔离时间隔离逻辑隔离加密隔离5.1.4隔离技术隔离控制①物理隔离•在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象②时间隔离•对不同安全要求的用户进程分配不同的运行时间段。•对于用户运算高密级信息时，甚至独占计算机进行运算隔离控制③逻辑隔离•多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在，这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域。④加密隔离•进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的，对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。对比这几种隔离措施实现的复杂性是逐步递增的，而它们的安全性则是逐步递减的前两种方法的安全性是比较高的，但会降低硬件资源的利用率后两种隔离方法主要依赖操作系统的功能实现电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院29Windows安全配置方案初级篇•安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：–物理安全、停止Guest帐号、限制用户数量–创建多个管理员帐号、管理员帐号改名–陷阱帐号、更改默认权限、设置安全密码–屏幕保护密码、使用NTFS分区–运行防毒软件和确保备份盘安全。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院301、物理安全•服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。•另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院312、停止Guest帐号•在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。•为了保险起见，最好给Guest加一个复杂的密码。•用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图所示。拒绝远程访问电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院323限制用户数量•去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。•帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。•对于WindowsNT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院334多个管理员帐号•虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。•因为只要登录系统以后，密码就存储在WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院345管理员帐号改名•Windows2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。•不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图所示。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院356陷阱帐号•所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。•这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图所示。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院367更改默认权限•共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。•任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院378安全密码•好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。•一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。•这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院389屏幕保护密码•设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。•还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。•将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图所示。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院3910NTFS分区•把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。•NTFS文件系统提供性能、安全性、可靠性和在所有FAT版本中都没有的高级功能的高级文件系统。例如，–NTFS通过使用标准的事务处理记录和还原技术来保证卷的一致性。如果系统出现故障，NTFS将使用日志文件和检查点信息来恢复文件系统的一致性。–NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能。电子科技大学计算机学院第九讲安全配置方案网络安全案例2020/1/11Copyright©电子科技大学计算机学院4011防毒软件•操作系统一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。•设置了防毒软件，“黑客”们使用的那