计算机操作系统的安全与配置.ppt

单击此处添加标题,单击此处添加文本,第二级,第三级,第四级,第五级,*,*,课程内容,单击此处添加章节要点,单击此处添加章节要点,*,*,请输入谢谢!,第6章 计算机操作系统的安全与配置,本章要点：,WindowsXP,的安全性,Unix,系统的安全性,Linux,系统的安全性,1,6.1 WindowsXP操作系统的安全性,6.1.1 WindowsXP的登录机制,1交互式登录,（1）本地用户账号,（2）域用户账号,2网络登录,3服务登录,4批处理登录,2,6.1.2 Windows XP的屏幕保护机制,3,6.1.3 Windows XP的文件保护机制,1WFP 的工作原理,WFP 把某些文件认为是非常重要的系统文件在Windows XP刚装好后，系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹，这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%system32dllcache目录下4,6.1.3 Windows XP的文件保护机制,2WFP,(Windows File Protection)功能的工作方式,WFP 功能使用两种机制为系统文件提供保护。

第一种机制在后台运行在 WFP 收到受保护目录中的文件的目录更改通知后，就会触发这种保护机制WFP 收到这一通知后，就会确定更改了哪个文件如果此文件是受保护的文件，WFP 将在编录文件中查找文件签名，以确定新文件的版本是否正确WFP 功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具图形界面模式安装结束时，系统文件检查器工具对所有受保护的文件进行扫描，确保使用无人参与安装过程安装的程序没有对它们进行修改5,6.1.4 利用注册表提高Windows XP系统的安全,注册表实质上是一个庞大的数据库,用来存储计算机软硬件的各种配置信息.内容主要包含几个方面:软硬件的有关配置和状态信息,应用程序和资源管理器外壳的初始条件,、,首选项和卸载数据;计算机整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件的描述,、,状态和属性;计算机性能记录和底层的系统状态信息以及各类其他数据.,6,6.1.4 利用注册表提高Windows XP系统的安全,1注册表受到损坏的主要原因,（1）用户反复添加或更新驱动程序时，多次操作造成失误，或添加的程序本身存在问题，安装应用程序的过程中注册表中添加了不正确的项。

2）驱动程序不兼容计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起，尤其是一些用户在更新驱动时一味追求最新、最高端，却忽略了设备的兼容性当操作系统中安装了不能兼容的驱动程序时，就会出现问题3）通过“控制面板”的“添加/删除程序”添加程序时，由于应用程序自身的反安装特性，或采用第三方软件卸载自己无法卸载的系统自带程序时，都可能会对注册表造成损坏另外，删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项7,6.1.4 利用注册表提高Windows XP系统的安全,1注册表受到损坏的主要原因,（4）当用户经常安装和删除字体时，可能会产生字体错误可能造成文件内容根本无法显示5）硬件设备改变或者硬件失败如计算机受到病毒侵害、自身有问题或用电故障等6）用户手动改变注册表导致注册表受损也是一个重要原因由于注册表的复杂性，用户在改动过程中难免出错，如果简单地将其它计算机上的注册表复制过来，可能会造成非常严重的后果8,2WindowsXP系统注册表的结构,6.1.4 利用注册表提高Windows XP系统的安全,9,6.1.4 利用注册表提高Windows XP系统的安全,2WindowsXP系统注册表的结构,Windows XP注册表共有5个根键。

HKEY_CLASSES_ROOT,此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使用正确的应用程序打开对应的文件类型HKEY_CURRENT_USER,包含当前登录用户的配置信息的根目录用户文件夹、屏幕颜色和“控制面板”设置存储在此处该信息被称为用户配置文件在用户登录Windows XP时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中10,6.1.4 利用注册表提高Windows XP系统的安全,2WindowsXP系统注册表的结构,Windows XP注册表共有5个根键HKEY_LOCAL_MACHINE,包含针对该计算机（对于任何用户）的配置信息HKEY_USERS,包含计算机上所有用户的配置文件的根目录HKEY_CURRENT_CONFIG,管理当前用户的系统配置在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当用户的Windows XP中文版的安装的信息11,6.1.4 利用注册表提高Windows XP系统的安全,3通过修改WindowsXP注册表提高系统的安全性,（1）修改注册表的访问权限,（2）让文件彻底隐藏,（3）禁止使用控制面板,请参照教材P105介绍进行操作,12,启动策略管理的命令：Gpedit.msc,6.1.5 本地安全的账户策略,13,帐户策略,密码策略,Kerberos,策略,(,针对,Server,系列,),帐户锁定策略,14,密码复杂性要求,如果启用此策略，密码必须符合下列最低要求:,不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分,至少有六个字符长,包含以下四类字符中的三类字符,:,英文大写字母,(A,到,Z),英文小写字母,(a,到,z),10,个基本数字,(0,到,9),非字母字符,(,例如,!,、,$,、,#,、,%),15,本地策略,审核策略,：,确定是否将安全事件记录到计算机上的安全日志中。

同时也确定是否记录登录成功或登录失败，或二者都记录安全”日志是事件查看器的一部分用户权利指派：确定哪些用户或组具有登录计算机的权利或特权安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、,Administrator,和,Guest,的帐户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示16,审核策略设置,17,用户权利指派设置,优先级高于“在本地登录”,18,安全选项设置,19,6.1.6,Windows服务,Win32,服务程序由,3,部分组成：服务应用程序，服务控制程序和服务控制管理器,服务应用程序是服务程序的主体程序，是一个或者多个服务的可执行代码,服务的启动方式有三种：“自动”,是指当计算机启动或者需要的时候就开启；,“,手动”,是可以在命令提示符中通过“,net start”,命令打开和“,net stop”,命令关闭的；“已禁止”,是指在改变启动方式前，不允许启动的服务,启动管理工具的命令：,Services.msc,20,Windows服务,这些服务程序很多是互相依存的，所以不能随便停止某项服务，否则很可能造成系统的非正常情况出现，但是有的服务对我们来说的确没有什么作用，而且还占据着系统资源。

正常工作中用不到的程序，完全可以关闭，从而达到节省资源的目的可以改变服务的启动顺序，进一步优化系统，提高系统运行效率和安全性能21,禁用不必要的服务,很多服务是用户根本不需要的,选择“开始”“运行”，键入“,services.msc,”,并回车，即可打开“服务”管理程序也可以选择“控制面板”“管理工具”“服务”，进入该界面，即可打开已经安装在系统中的服务列表不同的硬件配置或者不同的,Windows,版本中的服务项目是有所区别的选择“查看”“详细信息”，即可在“描述”列表中看到每一项服务的具体内容和功能22,Windows服务解析配置,1、Alert（警报器），,建议：已禁止,2、Application Layer Gateway Service，,建议：已禁止,3、Application Management（应用程序管理），,建议：手动,4、Automatic Updates，,建议：已禁止,5、Background Intelligent Transfer Service，,建议：已禁止,6、ClipBook（剪贴簿），,建议：已禁止,7、COM+EventSystem（COM+事件系统），,建议：手动,8、COM+System Application，,建议：手动,9、Computer Browser（计算机浏览器），,建议：已禁止,10、Cryptographic Services，,建议：手动,11、DHCP Client（DHCP客户端），,建议：手动,12、Distributed Link Tracking Client（分布式连结追踪客户端），,建议：已禁止,23,Windows服务解析配置,13、Distributed Transaction Coordinator（分布式交换协调器），,建议：已禁止,14、DNS Client（DNS客户端），,建议：已禁止,15、Error Reporting Service，,建议：已禁止,16、Event Log（事件记录文件），,建议：自动,17、Fast User Switching Compatibility，,建议：手动,18、Help and Support，,建议：已禁止,。

19、Human Interface Device Access，,建议：手动,20、IMAPICD-Burning COM Service，,建议：已禁止,21、Indexing Service（索引服务），,建议：已禁止,22、Internet Connection Firewall（ICF）/Internet Connection Sharing（ICS），,建议：已禁止,23、IPSEC Services（IP安全性服务），,建议：手动,24、LogicalDiskManager（逻辑磁盘管理员），,建议：自动,24,Windows服务解析配置,25、Logical Disk Manager Administrative Service（逻辑磁盘管理员系统管理服务），,建议：手动,26、Messenger（信使服务），,建议：已禁止,27、MS Software Shadow Copy Provider，,建议：已禁止,28、Smart Card，,建议：已禁止,29、Smart Card Helper（智能卡协助程序），,建议：已禁止,30、SSDP Discovery Service，,建议：已禁止,31、System Event Notification（系统事件通知），,建议：自动,32、System Restore Service，,建议：已禁止,33、Task Scheduler，,建议：手动,34、TCP/IP NetBIOS Helper（TCP/IP NetBIOS协助程序），,建议：已禁止,25,Windows服务解析配置,35、Telephony（语音），,建议：手动,36、Telnet，,建议：已禁止,37、Terminal Services（终端服务），,建议：已禁止,38、Themes，,建议：自动,39、Uninterruptible Power Supply（不断电供电系统），,建议：已禁止,40、Universal Plug and Play Device Host，,建议：自动,41、Volume Shadow Copy，。

建议：已禁止,42、Web Client，,建议：已禁止,43、Windows Audio，,建议：自动,44、Windows Image Acquisition（WIA）（Windows影像取得程序），,建议：已禁止,45、Windows Installer（Windows安装程序），,建议：自动,46、Win。