认证和访问控制.ppt
《认证和访问控制.ppt》由会员分享,可在线阅读,更多相关《认证和访问控制.ppt(72页珍藏版)》请在冰点文库上搜索。
http:
/,信息安全师高级,上海海盾信息网络安全技术培训中心,操作系统安全课程,上海海盾信息网络安全技术培训中心http:
/,操作系统安全,Z,主讲人:
张俊贤,上海海盾信息网络安全技术培训中心http:
/,信息安全师培训简介,信息安全师认证简介信息安全师(高级)属于国家职业资格体系。
经上海市劳动和社会保障局批准,获公安部第三研究所授权,目前,上海海盾信息网络安全技术培训中心是上海市唯一取得信息安全师职业培训资质的机构。
培训中心简介国家反计算机入侵和防病毒研究中心信息安全培训中心、上海海盾信息网络安全技术培训中心,成立于2005年10月份,是公安部第三研究所所属独立部门。
培训就业目标培训毕业学员可在电信企业、银行、保险公司、证券、国内外大中型ISP网络服务提供商、网络系统集成公司、网络安全服务公司、政府部门及其它中小企业等单位担任网络安全服务工程师、网络管理员、网站管理员、信息技术人员、网络安全工程师、网络安全产品售前工程师、网络安全售后工程师、安全产品测试工程师等工作。
师资力量培训师资来自公安部第三研究所、国家反计算机入侵与防病毒研究中心、复旦大学、上海交通大学、信息安全科研机构和著名网络信息安全企业。
讲师具有丰富的工程技术经验,长期从事信息安全教学、科研和技术开发工作,是国内知名的反入侵、防病毒专家。
联系人:
陈老师、邓老师联系电话:
021-64740243网址:
http:
/邮箱:
chy_,上海海盾信息网络安全技术培训中心http:
/,学习内容大纲,操作系统安全,将重点介绍以下知识主机安全机制安全主机管理方法主机攻防及安全加固等相关技术学员将学习认证机制、权限管理、安全策略、加密技术、端口保护技术、口令破解、系统漏洞入侵及防御等知识,并熟练掌握安全加固方法,目录,信息安全基础操作系统安全基础Windows操作系统安全操作系统加固简介与基本步骤,上海海盾信息网络安全技术培训中心http:
/,信息安全基础,信息安全内涵信息系统常见的安全威胁信息安全体系结构和模型,上海海盾信息网络安全技术培训中心http:
/,信息安全的内涵,什么是信息安全信息安全问题的发展信息安全的特征,上海海盾信息网络安全技术培训中心http:
/,什么是信息安全,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,上海海盾信息网络安全技术培训中心http:
/,信息安全问题的发展,黑客与黑客文化世界贸易中心爆炸案及9.11,上海海盾信息网络安全技术培训中心http:
/,黑客与黑客文化
(1),一般认为,黑客起源于50年代麻省理工学院的实验室中60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷倡导个人计算机革命,倡导了现行的计算机开放式体系结构,打破了以往计算机技术只掌握在少数人手里的局面,开了个人计算机的先河,提出了“计算机为人民所用”的观点,现在黑客使用的侵入计算机系统的基本技巧,例如破解口令(passwordcracking),开天窗(trapdoor),走后门(backdoor),安放特洛伊木马(Trojanhorse)等,都是在这一时期发明的,上海海盾信息网络安全技术培训中心http:
/,黑客与黑客文化
(2),1970年,约翰达帕尔发现“嘎吱船长”牌麦圈盒里的口哨玩具,吹出的哨音可以开启电话系统,从而借此进行免费的长途通话苹果公司乔布斯和沃兹奈克也制作过一种“蓝盒子”,成功侵入了电话系统1982年,年仅15岁的凯文米特尼克闯入了“北美空中防务指挥系统”,这是首次发现的从外部侵袭的网络事件1988年11月2日,美国康奈尔大学23岁学生罗伯特莫里斯,向互联网络释放了“蠕虫病毒”,上海海盾信息网络安全技术培训中心http:
/,黑客与黑客文化(3),1995年,俄罗斯黑客列文在英国被捕。
他被控用笔记本电脑从纽约花旗银行非法转移至少370万美元到世界各地由他和他的同党控制的账户。
1999年3月,美国黑客戴维史密斯制造了“梅利莎”病毒,通过因特网在全球传染数百万台计算机和数万台服务器。
2000年5月,菲律宾学生奥内尔古兹曼炮制出“爱虫”病毒,因电脑瘫痪所造成的损失高达100亿美元。
全世界反黑客、反病毒的斗争呈现出越来越激烈的趋势。
上海海盾信息网络安全技术培训中心http:
/,2001年红客联盟攻击美国海军资源网站,上海海盾信息网络安全技术培训中心http:
/,信息安全的特征,信息安全三要素(C.I.A.)保密性(Confidentiality)完整性(Integrity)可用性(Availability)新的内涵真实性可靠性可控性,上海海盾信息网络安全技术培训中心http:
/,保密性,失去了信息的隐秘性,为未授权的第三方获悉艳照门GoogleHack在Windows操作系统中的实现EFSIPSec第三方加密工具,上海海盾信息网络安全技术培训中心http:
/,GoogleHack,利用Google寻找攻击目标称为GoogleHackintitle:
”WelcometoIIS4.0”Filetype:
pwdservice利用Google搜索网站后台和后门,上海海盾信息网络安全技术培训中心http:
/,GoogleHack(续),上海海盾信息网络安全技术培训中心http:
/,GoogleHack(续),上海海盾信息网络安全技术培训中心http:
/,完整性,在信息存储和传输过程中,保持不被偶然或蓄意地删除、修改、伪造、插入等破坏和丢失的性能,不因其他的因素而改变信息原有的内容、形式和流向,不被非授权的第三方修改软件插件和病毒传染在Windows操作系统中的实现系统文件保护SFC,DEP,上海海盾信息网络安全技术培训中心http:
/,系统文件保护,上海海盾信息网络安全技术培训中心http:
/,可用性,保证信息和计算机信息网络随时为合法用户提供服务在Windows操作系统中的实现磁盘扫描修复系统漏洞(冲击波/RPC)优化系统设置(超时时限,SYNFLOOD),上海海盾信息网络安全技术培训中心http:
/,真实性,不可否认性证书/数字签名,多因素认证邮件在合同纠纷案件中的应用交易安全(离线渠道的确认),数据留存,上海海盾信息网络安全技术培训中心http:
/,可靠性,保证信息系统不停顿的提供正常服务UPS,物理安全,灾备与应急响应业务连续性,上海海盾信息网络安全技术培训中心http:
/,可控性,对信息的传播与内容具有控制能力审计系统内容过滤与监控结合访问控制与管理制度,上海海盾信息网络安全技术培训中心http:
/,信息系统常见的安全威胁,按技术分类信息窃取信息欺骗恶意攻击/漏洞扫描与利用计算机病毒特洛伊木马按攻击方式分类来自内部的攻击社会工程学有组织的攻击/自动化攻击偶尔的安全设置疏忽,上海海盾信息网络安全技术培训中心http:
/,信息安全体系结构和模型,ISO/OSI安全体系结构动态自适应网络安全模型访问安全模型,上海海盾信息网络安全技术培训中心http:
/,ISO/OSI安全体系结构,1989年,ISO组织提出了OSI安全体系OSI七层模型各层使用的安全机制/技术安全服务安全机制,上海海盾信息网络安全技术培训中心http:
/,安全服务,认证访问控制数据保密性数据完整性防止抵赖,上海海盾信息网络安全技术培训中心http:
/,安全机制,加密机制数字签名与证书机制访问控制机制数据完整性机制认证机制防业务流量分析机制路由控制机制公证机制,上海海盾信息网络安全技术培训中心http:
/,操作系统安全基础,上海海盾信息网络安全技术培训中心http:
/,什么是操作系统,操作系统是管理系统资源的机构,使得这些资源得到有效的利用的系统软件。
资源:
空间(物理设备)与时间(CPU时钟周期)硬件系统是计算机系统的骨干,操作系统就是计算机系统的大脑。
上海海盾信息网络安全技术培训中心http:
/,操作系统地位,上海海盾信息网络安全技术培训中心http:
/,操作系统简介,Unix/Linux/Freebsd/MacOSDos/Windows手机操作系统SymbianLinuxWindowsCeIphonePalmOSGoogleAndroid嵌入式设备,上海海盾信息网络安全技术培训中心http:
/,Unix/Linux/Freebsd/MacOS
(1),1969年kenThompson,DennisRitchie在PDP-7上开发V1(1971):
第一版的UNIX,以PDP-11/20的汇编语言写成。
包括文件系统,fork、roff、ed等软件。
V4(1973):
以C语言从头写过,这使得UNIX修改容易,可以在几个月内移植到新的硬件平台上。
最初C语言是为UNIX设计的,所以C与UNIX间有紧密的关系V6(1975):
第一个在贝尔实验室外(尤其是大学中)广为流传的UNIX版本。
这也是UNIX分支的起点与广受欢迎的开始。
1.xBSD(PDP-II)就是由这个版本衍生出来的。
上海海盾信息网络安全技术培训中心http:
/,Unix/Linux/Freebsd/MacOS
(2),V7(1979):
在许多UNIX玩家的心目中,这是“最后一个真正的UNIX,”这个版本包括一个完整的K&RC编译器,Bourneshell。
V7移植到VAX机器后称为32V1993年,发布FreeBSD1.0版1991年10月5日,发布linux0.03.1984年1月发布1月,发布MacOSSystem1.0,上海海盾信息网络安全技术培训中心http:
/,DOS/Windows,1983年Windows1.x1987年Windows2.x1990年Windows3.x1995年Windows951998年Windows982000年WindowsME-1996年WindowsNT2000年Windows2000Family2001年Windowsxp2003年WindowsServer2003,上海海盾信息网络安全技术培训中心http:
/,操作系统安全的重要性,操作系统的重要性操作系统的广泛性操作系统的复杂性操作系统的安全是整个计算机系统安全的基础,没有操作系统安全,就不可能真正解决数据库安全、网络安全和其他应用软件的安全问题。
上海海盾信息网络安全技术培训中心http:
/,操作系统安全等级,可信任计算机系统评估标准-橘皮书1985年12月由美国国防部公布最初是军用标准,后成为民用标准分为4个等级,7个级别,共27条评估准则A、B、C、DA、B3、B2、B1、C2、C1、D,上海海盾信息网络安全技术培训中心http:
/,WindowsNT系统的安全级别,C2安全级别自由的访问控制(DiscretionaryAccessControl)自由的访问控制资源的所有者必须能控制对资源的访问对象的重用系统必须能够保护对象完成使命后,不再被其他对象利用强制的用户标识和认证所有用户都必须以唯一的标识和密码来鉴别自身可审计性和审核可以审核安全性相关的事情,并对其记录,上海海盾信息网络安全技术培训中心http:
/,其他级别,D级(最低保护、MinimalProtection)凡没有通过其他安全等级测试的系统都属于该级C级(自定义保护、DiscretonaryProtection)用户或主体可以自定义客体的访问权限B级(强制式保护、MandatoryProtection)每个对象都有其相应的安全标签,系统根据安全标签赋予其访问权限A级(可验证保护、VerifiedProtection)A级系统拥有正式的分析及数学方法可完全证明该系统的安全规格完整性和一致性,上海海盾信息网络安全技术培训中心http:
/,操作系统安全等级
(2),CC标准1996年6月发布第一版1999年5月发布第二版1999年10月发布2.1版,成为国际标准(ISO/IEC15408),上海海盾信息网络安全技术培训中心http:
/,操作系统安全等级(3),计算机信息系统安全保护等级划分准则GB17859-19995级第一级:
用户自主保护级第二级:
系统审计保护级第三级:
安全标记保护级第四级:
结构化保护级第五级:
访问验证保护级,上海海盾信息网络安全技术培训中心http:
/,容易受伤的OS,使用广泛,有潜在的巨大经济利益默认配置不安全兼容性出发,导致漏洞较多安全的曙光-Vista,上海海盾信息网络安全技术培训中心http:
/,Windows安全机制,用户认证访问控制文件加密系统安全策略备份和恢复系统,上海海盾信息网络安全技术培训中心http:
/,用户认证,交互式登录过程域帐户本地帐户网络身份验证过程Winlogon.exeNetlogon,上海海盾信息网络安全技术培训中心http:
/,帐户登录,由WinLogon进程调用GINA桌面提示输入用户和密码提示框将用户名和密码交给LSA,由LSA调用适当的程序包(MSV1_0),并将口令做单向散列计算搜索SAM数据库对应账户名的SID和其密码散列,若和用户输入的一致,则返回该账户对应的帐户信息LSA根据返回的SID信息创建安全访问令牌,并将确认信息返回WinLogon进程,上海海盾信息网络安全技术培训中心http:
/,NTLM认证,上海海盾信息网络安全技术培训中心http:
/,KerberosV5认证,上海海盾信息网络安全技术培训中心http:
/,访问控制,安全主体安全对象,上海海盾信息网络安全技术培训中心http:
/,安全主体,主体是安全策略中的活动实体。
它们是可以被允许或拒绝访问的实体。
在Windows2000中,主体可以是本地用户、别名、域用户、组或者机器。
主体有一个人们可读的名字(用户名)以及机器可读的描述符(安全标识符),上海海盾信息网络安全技术培训中心http:
/,安全对象,安全对象对象是访问操作中的被动实体。
安全对象文件系统对象文件或目录其他对象注册表键和设备,如一台打印机安全描述符,上海海盾信息网络安全技术培训中心http:
/,安全对象(续),许可许可是对某一个对象进行特定操作的授权通常访问权限有GENERIC_READGENERIC_WRITEGENERIC_EXECUTEGENERIC_ALL,上海海盾信息网络安全技术培训中心http:
/,用户帐户、组,帐户虚拟了各种操作角色每个账户都使用唯一的SID来标识身份组定义了一些具有相同角色的账户集合创建账户图形用户界面:
lusrmgr.msc命令行模式:
建立帐户:
Netuserusernamepassword/add删除帐户:
Netuserusername/del重设密码:
Netuserusernamepassword加入组:
Netlocalgroupgroupnameusername/add,上海海盾信息网络安全技术培训中心http:
/,netuser,上海海盾信息网络安全技术培训中心http:
/,netlocalgroup,上海海盾信息网络安全技术培训中心http:
/,演示、实训,查看本地访问控制主角,添加新用户NetuserNetlocalgroupNetuserusernamepassword/add,上海海盾信息网络安全技术培训中心http:
/,安全标识符,Windows使用安全标识符来唯一标识安全主体和组在安全主体和组创建时自动生成,上海海盾信息网络安全技术培训中心http:
/,安全标识符(续),S-R-X-Y1-Y2Yn-1-YnS表示该字符串为一个SID值R为版本号Windowsxp/2000为1X表示颁发机构Administrators组等特定帐户组为5(NTAuthority)Everyone组或一般用户和组为1(WorldAuthority)Yn表示相对标识符(RID)Administrator为500Everyone为空,上海海盾信息网络安全技术培训中心http:
/,安全帐户管理器,负责SAM数据库的维护和控制位于%Systemroot%system32config目录下SAM数据库包含所有组、帐户信息、密码哈希、帐户SID等,上海海盾信息网络安全技术培训中心http:
/,安全帐户管理器(续),用户帐户在注册表的存放位置HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers,上海海盾信息网络安全技术培训中心http:
/,安全帐户管理器(续),F键值登录记录、权限、权利、上一次登录的状态、该账户的RIDV键值帐户的基本资料、用户名、所属组、密码哈希、帐户启用情况、密码设置时间等等信息。
上海海盾信息网络安全技术培训中心http:
/,SAM数据库中的密码散列,LANMANAGER散列大小写不敏感最长支持14个字符,7字符一组进行加密LM算法致命缺陷算法可用字符:
36个口令空间:
2367NTLM散列,上海海盾信息网络安全技术培训中心http:
/,本地SAM数据库破解(演示),利用LC5进行SAM数据库破解利用脚本远程破解使用ERDCOMMAND进行重设saminside,上海海盾信息网络安全技术培训中心http:
/,克隆帐户和隐藏帐户(演示),创建克隆帐户复制F值创建隐藏帐户net命令/lusrmgr.msc读取缓存中的注册表映像,除非发生了更改Lsass直接读取sam数据库,上海海盾信息网络安全技术培训中心http:
/,访问控制,访问控制是信息安全的重要一环安全参考监视器会通过比对用户的安全访问令牌(SAT)和文件访问控制列表(ACL)的信息来判断是否允许访问,上海海盾信息网络安全技术培训中心http:
/,安全引用监视器,上海海盾信息网络安全技术培训中心http:
/,基于NTFS的访问控制,NTFS是专为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式其优点是安全、稳定以及不易产生磁盘碎片NTFS对用户权限做了严格的限制并提供了容错结构日志,可以将用户的操作全部记录下来,上海海盾信息网络安全技术培训中心http:
/,基于NTFS的访问控制(续),NTFS和FAT32对比,上海海盾信息网络安全技术培训中心http:
/,基于NTFS的访问控制(续),FAT32转NTFSConvert盘符/FS:
NTFS,上海海盾信息网络安全技术培训中心http:
/,基于NTFS的访问控制(续),对不同用户的访问控制对不同操作的权限改变移动复制对权限的影响权限继承共享及安全权限的协同工作cacls,上海海盾信息网络安全技术培训中心http:
/,小结回顾,信息安全概述Windows安全特性Windows验证机制访问控制,上海海盾信息网络安全技术培训中心http:
/,谢谢!
上海海盾信息网络安全技术培训中心http:
/,
升级会员 