《(高职)7 网络操作系统安全ppt课件.ppt》由会员分享,可在线阅读,更多相关《(高职)7 网络操作系统安全ppt课件.ppt(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、7 网络操作系统安全网络操作系统安全ppt课件课件信息安全基础信息安全基础第第7章:网络操作系统安全章:网络操作系统安全【学习目标】【学习目标】l1.了解了解windows 操作系统安全基础操作系统安全基础l2. 了解了解Linux操作系统安全基础操作系统安全基础l3. 掌握掌握windows操作系统的安全技术特点操作系统的安全技术特点l4. 掌握掌握Linux操作系统安全特性操作系统安全特性l5. 掌握利用日志及审计维护操作系统安全的能掌握利用日志及审计维护操作系统安全的能力力案例导读案例导读l国产操作系统的重要性国产操作系统的重要性课程思政课程思政lCOS鸿蒙的突围鸿蒙的突围7.1 Win
2、dows操作系统安全概述操作系统安全概述l7.1.1 Windows 安全概述安全概述l windows 典型操作系统典型操作系统l7.1.2 身份认证技术身份认证技术lWindows服务器系统身份认证针对所有网络服务器系统身份认证针对所有网络资源启用资源启用“单点登录单点登录”(Single Sign-on,SSO)l单点登录在安全性方面提供了两个主要优点。单点登录在安全性方面提供了两个主要优点。 l对用户而言,单个密码或智能卡的使用减少了混乱,提对用户而言,单个密码或智能卡的使用减少了混乱,提高了工作效率。高了工作效率。 l对管理员而言,由于管理员只需要为每个用户管理一个对管理员而言,由于
3、管理员只需要为每个用户管理一个账户,因此域用户所要求的管理支持减少了。账户,因此域用户所要求的管理支持减少了。l单点登录身份认证执行方式单点登录身份认证执行方式 l交互式登录交互式登录l网络身份认证网络身份认证l主要的身份认证类型主要的身份认证类型身份认证协议类型身份认证协议类型描述描述Kerberos V5身份认证身份认证与密码或智能卡一起使用的用于交互式登录的协议。它也适用于服务的默认网络身份认证方法TLS/SSL身份认证身份认证用户尝试访问安全的Web服务器时使用的协议NTLM身份认证身份认证客户端或服务器使用早期版本的 Windows 时使用的协议摘要式身份认证摘要式身份认证摘要式身份
4、认证将凭据作为MD5哈希或消息摘要在网络上传递Passport身份认证身份认证Passport 身份认证是提供单一登录服务的用户身份认证服务l7.1.3 文件系统安全文件系统安全lWindows文件系统简介文件系统简介l簇簇lFAT32lNTFS lRefsl NTFS文件系统特点文件系统特点l文件许可(文件许可(Permission)l许可的继承许可的继承 lNTFS文件系统许可的种类文件系统许可的种类 lACL和和ACE lNTFS文件加密(文件加密(EFS)l弹性文件系统(弹性文件系统(ReFS)l7.1.4 组策略组策略l组策略基础架构组策略基础架构l 本地组策略和域组策略本地组策略和
5、域组策略 l7.1.5 安全审核安全审核lwindows 安全审核新特性安全审核新特性l创建审核策略创建审核策略l应用审核策略设置应用审核策略设置l开发审核策略模型开发审核策略模型l分发审核策略分发审核策略l windows 安全审核新功能安全审核新功能l在在Windows Server 2008 R2 和和 Windows 7 提供了以下新功能:提供了以下新功能:l全局对象访问审核、全局对象访问审核、l“访问原因访问原因”设置设置l高级审核策略设置高级审核策略设置l安全审核事件介绍安全审核事件介绍l帐户登录事件帐户登录事件l帐户管理事件帐户管理事件l详细跟踪的事件详细跟踪的事件lDS 访问事
6、件访问事件l登录登录/注销事件注销事件l对象访问事件对象访问事件l策略更改事件策略更改事件l权限使用事件权限使用事件l系统事件系统事件7.2 Linux操作系统安全操作系统安全lLinux 系统架构系统架构lLinux内核内核lLinux ShelllLinux文件结构文件结构l Linux 的特点的特点l(1)公开源代码)公开源代码l(2)系统稳定)系统稳定l(3)性能突出)性能突出l(4)安全性强)安全性强l(5)跨平台)跨平台l(6)完全兼容)完全兼容UNIXl(7)强大的网络服务)强大的网络服务l7.2.1 用户和组安全用户和组安全l用户和用户组的对应关系是:一对一、多对一、一对多或多
7、对多。用户和用户组的对应关系是:一对一、多对一、一对多或多对多。l一对一:某个用户可以是某个组的唯一成员;一对一:某个用户可以是某个组的唯一成员; l多对一:多个用户可以是某个唯一的组的成员,不归属其它用户组;多对一:多个用户可以是某个唯一的组的成员,不归属其它用户组;比如比如beinan和和linuxsir两个用户只归属于两个用户只归属于beinan用户组;用户组; l一对多:某个用户可以是多个用户组的成员;比如一对多:某个用户可以是多个用户组的成员;比如beinan可以是可以是root组成员,也可以是组成员,也可以是linuxsir用户组成员,还可以是用户组成员,还可以是adm用户组成员;
8、用户组成员; l多对多:多个用户对应多个用户组,并且几个用户可以是归属相同的多对多:多个用户对应多个用户组,并且几个用户可以是归属相同的组;组;l7.2.2 认证与授权认证与授权lPAM(Pluggable Authentication Modules )是由)是由Sun提出的一种认证机制。提出的一种认证机制。lPAM支持的四种管理界面:支持的四种管理界面:l认证管理(认证管理(authentication management),主要是接),主要是接受用户名和密码,进而对该用户的密码进行认证,并负责受用户名和密码,进而对该用户的密码进行认证,并负责设置用户的一些秘密信息。设置用户的一些秘密信
9、息。l帐号管理(帐号管理(account management),主要是检查帐户),主要是检查帐户是否被允许登录系统,帐号是否已经过期,帐号的登录是是否被允许登录系统,帐号是否已经过期,帐号的登录是否有时间段的限制等等。否有时间段的限制等等。l会话管理(会话管理(session management),主要是提供对会话),主要是提供对会话的管理和记账(的管理和记账(accounting)。)。l口令管理(口令管理(password management),主要是用来修改),主要是用来修改用户的密码。用户的密码。l Kerberos认证系统认证系统lKerberos认证协议是一种应用于开放式网络
10、认证协议是一种应用于开放式网络环境、基于可信任第三方的环境、基于可信任第三方的TCP/IP网络认证网络认证协议,可以在不安全的网络环境中为用户对远协议,可以在不安全的网络环境中为用户对远程服务器的访问提供自动鉴别、数据安全性和程服务器的访问提供自动鉴别、数据安全性和完整性服务、以及密钥管理服务。完整性服务、以及密钥管理服务。l7.2.3 文件系统安全文件系统安全l文件类型文件类型lLinux有四种基本文件类型:普通文件、目录文件、链接文件和特殊有四种基本文件类型:普通文件、目录文件、链接文件和特殊文件,可用文件,可用file命令来识别。命令来识别。 l普通文件:如文本文件、普通文件:如文本文件
11、、C语言元代码、语言元代码、SHELL脚本、二进制的可执脚本、二进制的可执行文件等,可用行文件等,可用cat、less、more、vi、emacs来察看内容,用来察看内容,用mv来来改名。改名。 l目录文件:包括文件名、子目录名及其指针。它是目录文件:包括文件名、子目录名及其指针。它是LINUX储存文件名储存文件名的唯一地方,可用的唯一地方,可用ls列出目录文件。列出目录文件。 l链接文件:是指向同一索引节点的那些目录条目。用链接文件:是指向同一索引节点的那些目录条目。用ls来查看是,链来查看是,链接文件的标志用接文件的标志用l开头,而文件面后以开头,而文件面后以-指向所链接的文件。指向所链接
12、的文件。 l特殊文件:特殊文件:LINUX的一些设备如磁盘、终端、打印机等都在文件系统的一些设备如磁盘、终端、打印机等都在文件系统中表示出来,则一类文件就是特殊文件,常放在中表示出来,则一类文件就是特殊文件,常放在/dev目录内。例如,目录内。例如,软驱软驱A称为称为/dev/fd0。l文件系统结构文件系统结构lLinux的文件权限的文件权限lLinux系统中的文件权限,是指对文件的访问系统中的文件权限,是指对文件的访问权限,包括对文件的读、写、删除、执行。权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,它允许多个用是一个多用户操作系统,它允许多个用户同时登录和工作。因此户同时登录和工作。因此 Linux 将一个文件将一个文件或目录与一个用户和组联系起来。或目录与一个用户和组联系起来。l7.2.4 日志与审计日志与审计lLinux 日志管理简介日志管理简介l(1)连接时间日志:)连接时间日志: l(2)进程统计:)进程统计: l(3)错误日志:)错误日志: l(4)实用程序日志)实用程序日志项目小实践项目小实践lWindows安全策略与审计安全策略与审计l Linux日志管理日志管理小结小结Windows 安全特性安全特性Linux安全特性安全特性