大学生网络安全精英赛初赛-笔记4
# 操作系统安全防护技术
一、操作系统概述
操作系统(Operating System,OS)是计算机系统软硬件资源的控制中心,它以尽量合理有效的方法组织多个用户程序共享计算机的各种资源。
◆有效( efficient):系统效率,资源利用率(如:CPU利用的充足与否,内存、外部设备是否忙碌)
◆合理:公平与否,如果不公平则会产生“死锁”或“饥饿”
◆方便(convenience) :用户界面,编程接口
命令行用户界面(Command line User InterfaceCUI)
键盘输入
DOS,Linux,UNIX
图形用户界面(Graphic User Interface GUI)
鼠标输入
MacOS,OS/2,WINDOWS
程序接口
系统调用、API
操作系统的功能:
处理器管理
◆处理器管理----解决如何同时运行多个程序
◆进程控制和管理
◆进程同步和互斥
◆进程间通信
◆进程死锁的防止和解决
◆进程调度
存储器管理
◆存储器管理---解决如何更有效地利用内存
◆内存分配与回收
◆地址变换与保护
◆内存共享
◆存储扩充
设备管理
◆设备管理---怎么使用外围设备
◆设备中断管理
◆缓冲区管理
◆逻辑设备到真实设备的映射
◆设备分配与回收
◆实现虚拟设备
文件管理
◆文件管理---怎么保存和读取数据
◆提供文件的物理组织方法
◆提供文件的逻辑组织方法
◆文件存取和使用
◆目录管理
◆文件分享和安全性控制
网络与通信管理
◆网络与通信管理---如何与另一台计算机通信
◆网络资源管理
◆数据通信管理
◆网络管理
提供用户接口
操作系统实例
Windows家族
Windows是美国微软公司开发的一系列操作系统,包括个人版的和商用版的,遍及个人电脑,服务器以及手机,个人电脑版本占有大部分的市场份额,商用版本也具有很好的性能和稳定性。
尽管Windows桌面版本具有这样那样的问题,但它使得大家可以很方便的使用电脑看,大大促进了个人电脑的普及。
尤其是在中国,盗版Windows对于推进中国的信息化建设具有重大的、不可估量的作用。
Unix家族
Unix是一个通用、交互性的分时操作系统,最先由贝尔实验室的Ken Tompson和Dennis Richie于1969年开发出来,后来Dennis Riche开发出C语言,并用C语言重写了Unix,两人为此获得了1983年图灵奖。
Unix有几个流派
BSD (Berkeley Software Distribution )
AT&T UNIX
SUN Solaris
Free BSD
Linux
首先由芬兰的Linus Torvalds于1991年,编写的一个操作系统内核,并发布到网上,然后由网上的无数志愿者,共同开发完成。
Linux的发展离不开“自由软件”运动,离不开互联网,离不开全世界的无数程序员。
其他一些操作系统
◆IBM系列操作系统
◆Mach操作系统
◆Mac OS操作系统
◆NetWare操作系统
◆Minix操作系统
二、操作系统的安全威胁
1.漏洞和漏洞扫描
漏洞
任何可能会给系统和网络安全带来隐患的因素
任何系统和网络都有漏洞
漏洞扫描
对目标网络或者主机进行安全漏洞的检测与分析,找出网络中安全隐患和存在的可能被攻击者利用的漏洞。
漏洞分类
系统或应用本身存在的漏洞
配置不当所造成的漏洞
Windiws系统的漏洞产生原因
人为因素
客观因素
硬件因素
由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏洞层出不穷
许多人出于好奇或别有用心,不停的窥视网上资源
◆黑客直接攻击
◆黑客性质的病毒
◆黑客程序(冰河、SSS)
◆信息泄露(嗅探器、破解工具)
◆妨碍正常运行(拒绝服务、DNS修改)
Windows系统中的安全隐患
◆代码庞大复杂,代码重用现象严重
◆盲目追求易用性和兼容性
◆Unicode的支持
◆扩展名欺骗
◆无法辨别“\”和“/”
◆UNC路径支持
◆设备文件名问题
◆注册表庞大而复杂
◆WSH:内嵌于Windows操作系统中的脚本语言工作环境
◆系统权限分配繁冗
◆默认兼容lanman验证
◆设计失误
◆Windows系统中的bug
2.恶意代码
恶意代码,又称Malicious Code,或MalCode,MalWare。
其是设计目的是用来实现某些恶意功能的代码或程序。
发展及特征
长期存在的根源
恶意代码:恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。按传播方式,恶意代码可以分成五类:病毒,木马,蠕虫,移动代码和复合型病毒。
计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。
◆如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose...
网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。
◆其通过不断搜索和侵入具有漏洞的主机来自动传播。
◆利用系统漏洞(病毒不需要漏洞)
◆如红色代码、SQL蠕虫王、冲击波、震荡波、极速波
特洛伊木马:是指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。
◆如冰河、网络神偷、灰鸽子......
后门:使得攻击者可以对系统进行非授权访问的一类程序。
◆如Bits、WinEggDrop、Tini...
RootKit:通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中的程序。
◆如RootKit、Hkdef、ByShell...
拒绝服务程序,黑客工具,广告软件,间谍软件......
流氓软件......
计算机病毒
狭义:我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下:“计算机病毒是指编制、或者在计算机程序中插入的,破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序片段代码。”
广义:能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。
Virus,拉丁文:毒药
就是一段特殊的小程序,由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等),所以人们就用生物学上的病毒来称呼它。
美国计算机安全专家是这样定义计算机病毒的:”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中,从而感染它们”。
蠕虫
蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
蠕虫病毒一般分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果,以“红色代码”,“尼姆达”,以及“sql蠕虫王”为代表;
另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。
蠕虫与一般病毒的异同
蠕虫一般不采取插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。
特洛伊木马
这类病毒是根据古希腊神话中的木马来命名的,这种程序从表面上看没有什么,但是实际上却隐含着恶意意图。
一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,同时它可以携带恶意代码,还有一些木马会以一个软件的身份出现(例如:一个可供下载的游戏),但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现,因为它一般是以一个正常的应用的身份在系统中运行的。
特洛伊木马可以分为以下三个模式:
◆通常潜伏在正常的程序应用中,附带执行独立的恶意操作
◆通常潜伏在正常的程序应用中,但是会修改正常的应用进行恶意操作
◆完全覆盖正常的程序应用,执行恶意操作
大多数木马都可以使木马的控制者登录到被感染电脑上,并拥有绝大部分的管理员级控制权限。为了达到这个目的,木马一般都包括一个客户端和一个服务器端。客户端放在木马控制者的电脑中,服务器端放置在被入侵电脑中,木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立,木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。
通常木马能够发动DdoS(拒绝服务)攻击。
还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹,例如使恶意进程不在进程列表中显示出来。
另一些木马用于收集信息,例如被感染电脑的密码;木马还可以把收集到的密码列表发送互联网中一个指定的邮件账户中。
后门VS特洛伊木马
如果一个程序仅仅提供远程访问,那么它只是一个后门。
如果攻击者将这些后门伪装成某些其他良性程序,那么那就变成真正的特洛伊木马。
木马是披着羊皮的狼!!它对用户个人隐私造成极大威胁。
3.端口扫描威胁
端口扫描就是得到目标主机开放和关闭的端口列表,这些开放的端口往往与一定的服务相对应,通过这些开放的端口,就能了解主机运行的服务,然后就可以进一步整理和分析这些服务可能存在的漏洞,随后采取针对性的攻击。
“端口扫描”通常指对目标计算机的所有所需扫描的端口发送同一信息,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。
“端口扫描"行为的一个重要特征:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。
◆对于用端口扫描进行攻击的人来说,攻击者总是可以做到在获得扫描结果的同时,使自己很难被发现或者说很难被逆向跟踪。
◆为了隐藏攻击,攻击者可以慢慢地进行扫描。通常来说,用大时间间隔的端口扫描是很难被识别的。
◆隐藏源地址的方法是发送大量的(数千个或上万个)欺骗性的端口扫描包,其中只有一个包的源地址是真实的。
◆即使全部包都被拦截并被记录下来,要想辨别哪一个是真正的信源地址也是很困难的,因为只有一个包的源地址是真实的。
三、操作系统安全防护
1.安全防护策略
一个计算机系统是安全系统,是指该系统达到了设计时所制定的安全策略的要求,一个安全的计算机系统从设计开始,就要考虑安全问题。安全策略是构建可信系统的坚实基础,而安全策略的制定取决于用户的安全需求。
安全策略是指:
在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。根据组织现实要求所制定的一组经授权使用计算机及信息资源的规则。
安全策略的目标:
是防止信息安全事故的影响降为最小,保证业务的持续性,保护组织的资源,防范所有的威胁。
军事安全策略 主要目的是提供机密性,同时还涉及完整性、可记帐性和可用性。用于涉及国家、军事和社会安全部门等机密性要求很高的单位,一旦泄密将会带来灾难性危害。
商业安全策略 主要目的是提供完整性,但不是惟一的,也涉及机密性、可记帐性和可用性。它要满足商业公司的数据不被随意篡改。例如,一个银行的计算机系统受到完整性侵害,客户账目金额被改动,引起金融上的严重后果。
制定安全策略是通常可从以下两个方面来考虑:
1.物理安全策略
◆一是为了保护计算机系统、网络服务器、打印机等硬件实体和通信链路,以免受自然灾害、人为破坏和搭线攻击;
◆二是验证用户的身份和使用权限,防止用户越权操作;
◆三是确保计算机系统有一个良好的电磁兼容工作环境;
◆四是建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
物理安全
账号、密码安全
本地安全策略
服务安全
网络安全
Microsoft基准安全分析器
文件加密
物理安全
重要主机应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备是否有多余的东西。
账号、口令安全
停掉Guest帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest加一个复杂的密码。
如果要启动Guest帐号,一定要查看该账号的权限,只能以受限权限运行。
限制不必要的用户数量
去掉所有的duplicate user 帐户,测试用帐户,共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。
使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如“welcome""iloveyou""letmein”或者和用户名相同等等。这样的帐户应该要求用户首次登陆的时候更改成复杂的密码,还要注意经常更改密码。
把系统administrator帐号改名
大家都知道,windows 2000的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成: guestone 。
创建一个陷阱帐号
什么是陷阱帐号?创建一个名为”Administrator"的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。
不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1。
本地安全策略
打开管理工具找到本地安全设置.本地策略.安全选项
◆网络访问.不允i许SAM帐户的匿名枚举启用
◆网络访问.可匿名的共享将后面的值删除
◆网络访问.可匿名的命名管道将后面的值删除
◆网络访问.可远程访问的注册表路径将后面的值删除
◆网络访问.可远程访问的注册表的子路径将后面的值删除
◆网络访问.限制匿名访问命名管道和共享
打开审核策略
开启安全审核是win200O/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
服务安全
关闭不必要的服务
windows 2000的终端、远程注册表等服务,都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别不安全服务:
关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。
网络安全
禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接;
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1"'即可。
关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打net share查看他们。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
c$ D$ E$每个分区的根目录。Win2000 Pro版中,只有Administrator和Backup Operators组成员才可连接,Win2000Server版本Server Operators组也可以连接到这些共享目录。ADMIN$ %SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径。
IPC\(空连接。IPC\)共享提供了登录到系统的能力。
NetLogon这个共享在Windows 2000服务器的Net Login 服务在处理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机
把共享文件的权限从"everyone”组改成“授权用户”
"everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成"everyone”组。包括打印共享,默认的属性就是"everyone”组的,一定不要忘了改。
修改注册表加强安全性
禁止默认共享
[HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet \Services \lanmanserver\parameters]新建DOWRD“AutoShareServer”设置为“0”
修改默认的TTL值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]新建DOWRD值为DefaultTTL
阻止ICMP重定向报文
HKEY _LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\ParametersEnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
锁住注册表
在winXP中,只有administrators和BackupOperators才有从网络上访问注册表的权限。
删除不安全的组件
网络脚本病毒嵌在网页中,上网时在不知不觉中机器就会感染上这种病毒。网络脚本病毒的复制、传播都离不开FSO (File SystemObject) 、wScript.Shell和Shell.application组件。
regsvr32 -u scrrum.dll
regsvr32 -u c:\winnt\system32\wshom.ocx
regsvr32 -u c:\winntlsystem32\shell32.dll
del scrrun.dll wshom.ocx shell32.dll
2.访问控制策略
访问控制是对要访问系统的用户进行识别,并对访问权限进行必要的控制。
访问控制策略是维护计算机系统安全、保护其资源的重要手段。
访问控制的内容有入网访问控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。另外,还有加密策略、防火墙控制策略等。
2.补丁程序
什么叫补丁包?
针对Windows操作系统,Microsoft公司每隔一段时间就会推出一个补丁程序的集合软件,将先前发布的所有补丁程序都集合在一起,方便用户对相应软件系统的修补,该软件称为补丁包。
系统漏洞是指:应用软件或操作系统在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制你的计算机,从而窃取计算机中的重要资料和信息,甚至破坏你的系统。
对于软件系统来说,漏洞是无法避免、会长期存在下去
补丁安装的三种方法:
使用“Windows Update”在线安装补丁(最常用的方法)
利用“自动更新”
离线安装补丁
漏洞的产生大致有三个原因,具体如下所述:
◆编程人员的人为因素,在程序编写过程,为实现不可告人的目的,在程序代码的隐蔽处保留后门。
◆受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
◆由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
3.终端防护软件
系统维护的对我们的重要性?
计算机已成为生活和工作中不可缺少的工具,而且随着信息技术的发展,在电脑使用中面临越来越多的系统维护和管理问题,如系统硬件故障、软件故障、病毒防范、系统升级等,如果不能及时有效地处理好,将会给正常工作、生活带来影响。为此,提供全面的计算机系统维护服务,使用户以较低的成本换来较为稳定的系统性能,以最好的性价比保证电脑系统的正常使用,解除用户后顾之忧,使您专注于发展自己的事业,在自己的专业领域不断前进。
终端防护软件
windows优化大师
Windows优化大师是一款功能强大的系统辅助软件,它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。使用Windows优化大师,能够有效地帮助用户了解自己的计算机软硬件信息:简化操作系统设置步骤;提升计算机运行效率;清理系统运行时产生的垃圾;修复系统故障及安全漏洞;维护系统的正常运转。
随着互联网的发展和普及,网络正在成为人们生活中必不可少的一部分,越来越多现实中的活动正在走向网络化,从简单的网络聊天工具、网络游戏到网上银行、网络购物以及网上求职等,我们的个人资料和虚拟财产也融入到了网络之中。伴随着这些而来的还有我们不愿看到的但却无孔不入的网络犯罪。这些网络犯罪活动包括了网游盗号、网络钓鱼、网页木马、窃取并买卖个人信息,甚至于窃取他人银行账户等恶劣行为。
计算机病毒会造成计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,随着信息化社会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了。
杀毒软件应运而生
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。
360杀毒软件
360杀毒是360安全中心出品的一款免费的云安全杀毒软件。360杀毒具有以下优点:查杀率高、资源占用少、升级迅速等等。同时,360杀毒可以与其他杀毒软件共存,是一个理想杀毒备选方案。360杀毒是一款一次性通过VB100认证的国产杀软。
4.个人防火墙
目前常用的防火墙技术主要有:
◆包过滤型技术
◆代理服务技术
◆自适应代理技术
包过滤防火墙的基本原理
所谓“包过滤技术”是指:将一个包过滤防火墙软件置于Intranet的适当位置,通常是在路由器或服务器中,使之能对进出Intranet的所有数据包按照指定的过滤规则进行检查,仅对符合指定规则的数据包才准予通行,否则将之抛弃。图中示出了基于包过滤技术的防火墙的位置。
包过滤防火墙的优缺点
有效灵活。
简单易行。
防火墙机制本身存在固有的缺陷。
不能防止假冒。
只在网络层和传输层实现。
缺乏可审核性。
不能防止来自内部人员造成的威胁
浙公网安备 33010602011771号