《[精选]第三章应用层协议及其安全实践8863.pptx》由会员分享,可在线阅读,更多相关《[精选]第三章应用层协议及其安全实践8863.pptx(104页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第三章应用层安全实践主机安全防护主机安全防护课程回顾oWindowsXP系统的基本安全保障n控制面板安全中心n控制面板Windows防火墙课程回顾oWindowsXP系统的基本安全保障n安全中心Internet选项(网络基本防护措施)课程回顾o综合防护免费软件金山清理专家主机安全防护o主机安全防护主要涉及操作系统和安装的各种服务应用软件o操作系统是网络系统的基础,操作系统的安全在网络安全中举足轻重o现今的PC操作系统基本属于网络操作系统o采用对操作系统进行增强与改进的技术来提高操作系统的安全性3.1操作系统安全增强以WindowsXP为例o我的操作系统是哪一版本?C:DocumentsandS
2、ettingsacerwinvern查看最终用户许可协议eula.txt文件的最后一行,若显示:EULAID:XPSP2_RM.0_PRO_RTL_CN则为Microsoft Windows XP Service Pack 2(SP2)原版镜像原版镜像3.1操作系统安全增强以WindowsXP为例o话说Service Packn服务包,是微软修补系统安全漏洞的补丁集nServicePack2的创新特色缺省保护措施和简易安全设置:Windows防火墙、IE控制弹出式窗口、Windows安全中心、IE下载警报等等nSP2领先于SP1,目前准备上市的XPSP3增加了新的Windows产品激活(WPA
3、)模型、网络访问保护(NAP)模块和策略、新的核心模式加密模块、黑洞路由检测功能等3.1操作系统安全增强以WindowsXP为例o打好补丁n安全漏洞的产生(程序员蓄意、程序员水平/经验、安全技术的滞后、用户忽略)n安全漏洞的分类(用户、数据、作用范围、触发条件、操作角度、时序)n适时打好补丁(订阅邮件列表、Windows更新、第三方补丁管理软件等)n确保局域网所有主机系统的补丁一致3.1操作系统安全增强以WindowsXP为例o补丁工具nWindowsVulnerabilityScanner免费绿色软件3.1操作系统安全增强以WindowsXP为例o补丁工具nMicrosoftBaseline
4、SecurityAnalyzer2.1(forITProfessionals)微软基准安全分析器nShadowSecurityScanner俄罗斯的一套非常专业的安全漏洞扫描软件(包括漏洞、端口扫描、操作系统检测、账号扫描等)n金山清理专家(漏洞修补)n瑞星个人防火墙(漏洞扫描)nN种杀毒软件或个人防火强3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n用户在缺省安装操作系统时,可能会把所有全部的功能(包括Web、FTP等)设置为激活状态,这种不安全状态有时很容易让攻击者有机会得到系统管理员的权限n慎重地从系统中删除或禁用没有明确用途的一切服务,从而减小受攻击的机会
5、n为保留下来的服务加上适当的安全增强措施3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p开始运行services.mscp右击我的电脑管理计算机管理服务和应用程序服务n关闭Alert服务(MSN、QQ非法推送恶意垃圾信息)n关闭Server服务(信息泄露的通道)n关闭ClipBook服务(暴露隐私信息)n关闭Remote Registry服务(黑客入侵的途径)n关闭Task Scheduler服务(非法攻击的载体)3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p封死黑客的后门:计算机的每一项Inte
6、rnet协议总是与计算机的端口相对应,端口越多,被设置后门的风险就越大n关闭文件和打印共享功能n删除不必要的协议,如NetBIOS(Windows网络的)n关闭Netware和Windows网络客户端(家庭单机上网)3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介1.NetBEUI(NetBIOS扩展用户接口)NetBIOS是IBM于1985年提出的主要用于20到200台计算机的小型局域网中。NetBEUI协议可以看作是微软在NetBIOS协议的延伸和改良版本,具有体积小、效率高及速度快等特点。NetBEUI是一种广播型传输协议
7、,而NetBIOS仅仅是通过一组命令来让系统使用网络而已。3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介1.NetBEUI(NetBIOS扩展用户接口)在Windows95/98和WindowsNT中被用作默认协议安装。该协议主要用于本地局域网中,一般不能用于与其他网络的计算机进行沟通,由于不支持路由功能,这是其不适合于跨网段的大型网络的重要原因。3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介1.NetBEUI(NetBIOS扩展用户接口)要实现在网上邻居进行
8、正常计算机及文件浏览,首先需要客户机把自己的名字(计算机名专有NetBIOS名字)在网上注册,然后通过本地特定的名字解析方法把所注册的名称与对应的IP地址进行关联匹配,这样,Windows系统才可以通过浏览服务在网上邻居进行访问。3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介1.NetBEUI(NetBIOS扩展用户接口)除了安装TCP/IP协议之外,局域网的计算机最好也安上NetBEUI协议。另外还有一点要注意,如果一台只装了TCP/IP协议的WINDOWS98机器要想加入到WINNT域,也必须安装NetBEUI协议。3.1
9、操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介2.Microsoft网络客户端、Microsoft网络的文件和打印共享一般需要联合设置,不能单独启用或禁用某一个。服务包括:ComputerBrowser、WorkStation、Server、TCP/IPNetBIOSHelper四大服务。局域网中网上邻居配置的必选项,Microsoft网络客户端卸载后无法访问局域网内的共享文件。3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p部分服务或协议简介3.QoS数据包计划程序QoS数据包计划程
10、序组件可以在数据传输较慢或者非常慢的情况下加快Internet连接共享速度。当两个网络通过慢速链路(如拨号线路)连接时可能出现这种性能降低,从而增加流经该慢速链路上的流量的延迟。通讯路径中终端设备之间在速度上的不匹配以及慢速链路本身通常成为网络瓶颈。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p禁止建立空连接n在默认情况下,任何用户都可以通过空连接来连接服务器,枚举账号并猜测密码(如admin、ro
11、ot等)n控制面板管理工具本地安全策略安全设置本地策略安全选项 网络访问:不允许SAM账户的匿名枚举3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p关闭远程管理功能:在不需要远程管理计算机时,将有关远程登录的服务关掉nWindows防火墙高级选项卡在网络连接设置列表框中选择要设置的连接选项设置高级设置3.1操作系统安全增强以WindowsXP为例o最小化服务服务无罪,关闭有理n手动关闭漏洞服务p做好IE的安全设置,减小网页中利用ActiveX控件或JavaApplets运行的恶意代码nIE浏览器工具Internet选项安全设置n有条件的禁用与Ac
12、tiveX控件和Java相关的选项p隐藏自己的IP地址n许多黑客软件都需要事先了解对方的IP地址方能发起攻击,在局域网用户上网后,可通过代理服务器隐藏自己的IP地址;广域网用户要隐藏IP地址,必须找到合法的公共代理服务器,而且应兼顾代理上网的数据传输速度。nIE浏览器工具Internet选项连接选项卡3.1操作系统安全增强以WindowsXP为例o增强用户认证和访问控制n实施最小权限原则:把用户能够执行的操作控制在他们完成本职工作所必须的范围内,够用就行。适合局域网用户。n正确分配文件和子目录的访问权限p攻击者攻陷了某一服务,但该项服务所拥有的权限较低,攻击者也打不开、甚至找不到口令文件p明确
13、文件和子目录访问权限可以保护系统免受合法用户误操作的影响3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码p防止别人擅自更改CMOS设置p防止非法用户进入计算机系统开机时按下Del键CMOS设置,找到以下两项:nSetSupervisorPassword:设置管理员密码,可以进入并修改CMOS设置,可修改UserPasswordnSetUserPassword:设置用户密码,输入该密码可以正常开机但不能修改CMOS设置n密码长度18位的任意字符(分大小写)n设置完毕后,光标移到Save&ExitSetup上保存退出,或者按F10键选择Ye
14、s3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码1.开机时按Del键进入CMOS设置画面时将要求输入密码,但若直接进入操作系统不要求输入密码。适合公共场合的计算机。n单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项,再打开BIOSFEATURESSETUP将其中的SecurityOption设置为Setup,保存退出。3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一
15、道防线:设置BIOS开机密码2.不但在进入CMOS设置时要求输入密码,而且进入操作系统时也要求输入密码。适合不愿让除我以外的任何人使用的计算机n单独设置SUPERVISORPASSWORD或USERPASSWORD其中的任何一项,再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System,保存退出。3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码3.进入BIOS设置和进入操作系统都要求输入密码,而且输入其中任何一个密码都能进入BIOS设置和操作系统。但管理员密码和用户密码有所区别:以管理员密码进入BI
16、OS程序时可以进行任何设置,包括修改用户密码。但以用户密码进入时,除了修改或去除用户密码外,不能进行其它任何设置,更无法修改管理员密码。适合少数指定人员使用计算机,自己保留管理员密码,用户密码告诉其他指定的人。n分别设置SUPERVISORPASSWORD和USERPASSWORD,并且采用两个不同的密码。再打开BIOSFEATURESSETUP将其中的SecurityOption设置为System,退出保存。程序破解法3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码p撤销已经设置的密码,可进入CMOS中把光标移到相应的密码设置菜单上,
17、不输入密码,连续两次回车,出现PasswordDisabled!提示就可以了。p忘记开机密码怎么办?n放电法:跳线放电法、COMS电池放电法n万能密码:厂家设有万能密码(*)3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第一道防线:设置BIOS开机密码p开机密码忘记怎么办?n程序破解法:适用于可进入操作系统,但无法进入BIOS设置的情况。进入命令提示符界面debug:nO7010nO71ffnqn有时以上程序无法破解时,可采用另一个与之类似的程序来破解:nO7120nO7021nq3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第二道防线:
18、设置系统启动密码pcmdsyskey更新密码启动3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第三道防线:设置Windows系统登录密码p计算机管理员账户(所有设置)p受限账户(某些设置)p来宾账户(Guest,权限最低)n控制面板用户账户n对密码的管理:控制面板管理工具本地安全策略安全设置账户策略密码策略3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第四道防线之一:设置屏幕保护密码p防止别人在用户离开计算机时查看计算机中的文件p右击桌面空白处属性显示属性屏幕保护程序选项卡p设置等待时间:1分钟p在WindowsXP或2000中,屏保密码
19、就是开机密码,因此,屏保密码的设置必须基于开机密码设置的基础上3.1操作系统安全增强以WindowsXP为例o增强用户认证基础安全设置n第四道防线之二:快速锁定系统pCtrl+Alt+Del锁定计算机p快捷方式法(想一想如何创建快捷方式?):在创建的快捷方式中输入rundll32.exeuser32.dll,LockWorkStation即可p用键盘上的Win键+L键3.1操作系统安全增强以WindowsXP为例o增强访问控制n控制启动程序:某些安装了的软件,在每次启动计算机时会自动运行,导致启动速度变慢,若是恶意程序的话,则会严重威胁计算机安全。n应把自启动程序纳入系统控制的范畴p系统配置实
20、用程序(msconfig)启动选项卡p从注册表中删除恶意自启动项:regeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun或Runonce或RunServices3.1操作系统安全增强以WindowsXP为例o增强访问控制n延时启动软件StartupDelay(v2.3b130)免费3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p注册表:Windows操作系统的核心数据库,存放关于计算机硬件配置的全部信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的
21、说明以及各种状态的信息和数据、Windows操作时不断引用的信息。n个性化系统设置n提高系统性能n系统安全性n自动运行程序(双刃剑)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p访问桌面的安全限制:阻止交互用户窃听其他用户的会话nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows新建一个DWORD值叫做SecureDesktopDWORD=1p禁止用户运行某些程序nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWin
22、dowsCurrentVersionpoliciesExplorer新建一个DWORD值叫做DisallowRunDWORD=1(不允许运行程序)或=0(允许运行程序)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p禁止修改控制面板,防止误操作nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerNoSetFoldersDWORD=1(禁用控制面板)或=0(允许使用控制面板)p禁止使用(导入)Reg文件nregeditHKEY_LOCAL_MA
23、CHINESOFTWAREClasses.reg右击默认修改键值为13.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p禁止非法用户修改用户名和密码(1、2两步骤依次完成)1.regeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem新建一个DWORD值叫做NoProfilePageDWORD=1(禁用用户设置)或=0(允许用户设置)2.regeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi
24、onpoliciesSystem新建一个DWORD值叫做NoSecCPLDWORD=1(禁用用户设置)或=0(允许用户设置)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p屏蔽开始菜单中的运行、查找或关闭计算机等功能nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerNoRunDWORD=1(屏蔽运行)或=0(允许运行)p从网络邻居中屏蔽工作组nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
25、CurrentVersionpoliciesNetwork新建一个DWORD值叫做NoWorkgroupContentsDWORD=1(屏蔽工作组的显示)或=0(允许显示整个工作组)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p保护系统文件夹,防止误删除其内容nregeditHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUseSystemForSystemFoldersDWORD=1(采用系统默认的保护方法)p隐藏共享文档(我的电脑中可以看到!)nregeditHK
26、EY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesNetworkNoSharedDocumentsDWORD=1(不显示共享文档)或=0(默认设置)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p锁定我的文档nregeditHKEY_CLASSES_ROOTCLSID450D8FBA-AD25-11D0-98A8-0800361B1103InProcServer32SHELL32.dll(不锁定)或SHELL32.dll-(锁定)p禁止显示前一个登录者的用户名nregedit
27、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonDefaultUserName修改键值1(不显示前一次登录用户名)或0(显示上一次登录用户名)3.1操作系统安全增强以WindowsXP为例o增强访问控制n*注册表安全策略概述(可自学)p禁止普通用户查看事件记录n事件记录:记录了计算机所有的程序、安全和系统事件,有可能涉及安全方面的敏感信息。一般在服务器上使用这一功能。nregeditHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogoApplica
28、tionoSecurityoSystem分别增加RestrictGuestAccess的DWORD=1(禁止普通用户查看事件记录)或=0(允许普通用户查看事件记录)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p组策略:鉴于注册表的繁琐管理,引入组策略管理模式,把各种重要的系统配置信息汇集成模块,从而达到方便管理计算机的目的。其中的两种配置模式:n计算机配置:整个计算机系统配置,对所有用户起作用,相当于注册表中的HKEY_LOCAL_MACHINE。n用户配置:只对当前用户起作用,相当于注册表中的HKEY_LOCAL_USER。n用户配置优先于计算机配置(有例外)n运
29、行gpedit.msc3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p桌面安全设置:本地计算机策略用户配置管理模板桌面(找到相应选项)右击属性设置选项卡已启用n选项:隐藏桌面上的网上邻居/InternetExplorer图标n选项:禁止用户更改“我的文档”路径n选项:删除“清理桌面向导”(60天启动一次)n选项:禁用活动桌面(ActiveDesktop)o既“启用ActiveDesktop”又“禁用ActiveDesktop”,则按照响应后者处理n选项:退出时不保存设置(用户的桌面设置)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p“任务栏
30、”和“开始”安全设置:本地计算机策略用户配置管理模板任务栏和开始菜单(找到相应选项)右击属性设置选项卡已启用n选项:从“开始”菜单中删除“文档”菜单(菜单“减肥”)n选项:阻止更改“任务栏”和“开始”菜单设置;阻止访问任务栏的上下菜单n选项:不要保留最近打开文档的记录;退出时清除最近打开的文档的记录(保护个人文档隐私)oC:DocumentsandSettingsusernameRecentn选项:删除“开始”菜单上的“注销(用户名)”;删除和阻止访问“关机”命令o不影响Windows任务管理器对话框中的“注销”3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述pIE安全
31、设置:本地计算机策略用户配置管理模板WindowsComponentsInternetExplorer浏览器菜单(找到相应选项)右击属性设置选项卡已启用n“文件”菜单:禁用“另存为.”菜单项;“文件”菜单:禁用另存为“网页,全部”格式;“查看”菜单:禁用“源文件”菜单项;禁用上下文菜单(限制IE浏览器的保存功能)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述pIE安全设置:本地计算机策略用户配置管理模板WindowsComponentsInternetExplorerInternet控制面板(找到相应选项)右击属性设置选项卡已启用n禁用常规页;禁用安全页等(禁用IE控
32、制面板设置)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述pIE安全设置:本地计算机策略用户配置管理模板WindowsComponentsInternetExplorer工具栏配置工具栏按钮已启用选中相应选项n选中的复选框表示要显示的按钮,没有选中的按钮即会隐藏起来n若启用了Internet控制面板中的“禁止常规页”,则无需启用“配置工具栏按钮”策略,因为前者已删除了界面上的“常规”选项卡3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述pIE安全设置:本地计算机策略用户配置管理模板Windows设置InternetExplorer维护(找到相应
33、选项)右击属性设置选项卡已启用n浏览器用户界面浏览器工具栏自定义3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p隐藏“我的电脑”中指定的驱动器:本地计算机策略用户配置管理模板Windows组件Windows资源管理器隐藏“我的电脑”中的这些指定的驱动器已启用选中相应选项(采用其他方式访问驱动器是不受此项制约的)p防止从“我的电脑”访问驱动器:本地计算机策略用户配置管理模板Windows组件Windows资源管理器防止从“我的电脑”访问驱动器(被限制访问的驱动器图标仍能显示在“我的电脑”中,但双击后弹出消息解释框,此外,采用其他方式访问驱动器是不受此项制约的)3.1操作
34、系统安全增强以WindowsXP为例o增强访问控制n组策略概述p禁止使用命令提示符(cmd):本地计算机策略用户配置管理模板Windows组件系统阻止访问命令提示符设置选项卡已启用(同时激活“也停用命令提示符脚本处理”)p禁止更改显示属性:本地计算机策略用户配置管理模板控制面板显示(找到相应选项)右击属性设置选项卡已启用3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p禁止使用注册表编辑器:本地计算机策略用户配置系统阻止访问注册表编辑工具设置选项卡已启用p禁止访问“控制面板”(control.exe):本地计算机策略用户配置管理模板控制面板禁止访问控制面板设置选项卡已启
35、用(彻底从“开始”和“Windows资源管理器”中删除“控制面板”)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p网络与网络安全管理:本地计算机策略用户配置管理模板网络n禁止建立新的拨号连接:网络连接禁止访问“新建连接向导”设置选项卡已启用(IE的连接可绕过该设置)n启用“事件日志记录级别”:记录脱机文件存储时损坏的事件。脱机文件事件日志记录级别已启用3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p网络与网络安全管理:本地计算机策略用户配置管理模板网络n禁用TCP/IP高级设置(通过“网络连接”文件夹中右击连接图标属性TCP/IP高级):网
36、络连接禁用TCP/IP高级设置设置选项卡已启用n禁止在DNS域网络上使用Internet连接防火墙:本地计算机策略计算机配置网络网络连接(找到相应选项)右击属性设置选项卡o已启用:用户(包括管理员)无法启用或配置防火墙o禁用或不配置:用户(包括管理员)可启用或配置防火墙(首选项)3.1操作系统安全增强以WindowsXP为例o增强访问控制n组策略概述p网络与网络安全管理:本地计算机策略用户配置管理模板网络n防止用户更改LAN中的连接属性:网络连接禁止访问LAN连接的属性设置选项卡已启用或其它选项n删除所有用户远程访问连接:网络连接删除所有用户远程访问连接设置选项卡已启用或其它选项3.1操作系统
37、安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p登录到有密码保护的XP系统界面右击欲加密的文件或文件夹属性高级加密内容以便保存数据3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p可使用快捷方式,迅速加密文件或文件夹nregeditHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced新建DWORD=1,该值叫做EncryptionContextMenun右击欲加密的文件或文件夹便可在弹出的菜单
38、中,找到加密/解密快捷命令3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p这是Windows2000/XP特有的一个实用功能,称为EFS(EncryptingFileSystem,加密文件系统)nEFS对登录用户是透明的,打开加密过的文件时无需输入密码,用户身份的认证在进入Windows系统时已经得到验证nEFS加密的基础是SID(SecurityIdentifier,安全标识符):每个人的SID都是不相同的,并且有唯一性。在第一次创建该帐户时,系统将给网络上的每一个帐户发布一个唯一的SID3.1操作系统安全增强以WindowsXP为例
39、o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制pSID简介n如何获得自己系统上各账户的SID:cmdHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionProfileListoS-1-5-21-2025429265-1801674531-725345543-1003nSID类似于人类的指纹,因此即使新系统的用户名和密码与原来系统的完全一致,新系统该用户的SID与老系统同样一个用户的SID也是不相同的n因此采用系统整体克隆的方法(Ghost)试图恢复“原来的”SID,也不能突破原来的加密防线3.1操作系统安全增强以Win
40、dowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p在重装操作系统或登录账户出问题时,是否意味着以前加密的文件或文件夹会面临永远不能打开的危险?n解决办法:第一次使用EFS加密文件或文件夹后,应在第一时间备份密钥文件,以便不时之需。o运行打开证书管理器(certmgr.msc)当前用户个人证书选择预期目的为“加密文件系统”的那项证书(即登录用户证书)右击选择所有任务导出运行导出向导(选择导出私钥)3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制n解决办法:第一次使用EFS加密文件或文件夹后,应在第一时间备份密钥文件
41、,以便不时之需。3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p被EFS加密过的数据是不是就绝对安全?n没有访问权限的用户虽然无法打开加密文件,但仍然可以删除该文件n应该赋予文件或文件夹访问权限:右击已经加密的文件属性安全3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制n什么是组(Group)?3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制n什么是组(Group)?3.1操作系统安全增强以WindowsXP为例o增强访问控制
42、nXP操作系统中文件和文件夹加密及其访问控制n如何创建组(类似于创建用户)?o运行mmc右击文件添加/删除管理单元添加本地用户和组展开控制台根节点,在组中右击鼠标新建组添加成员3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p组或用户名称的增删n选中要删除的组或用户的名称,单击删除n添加新的组或用户3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p组或用户的权限(允许和拒绝)1.完全控制(所有权限)2.修改(权限包括36)3.读取和运行(权限包括4、5)4.列出文件夹目录(本身)5.
43、读取(本身)6.写入(本身)7.特别的权限(由用户指定。单击高级选择权限用户单击编辑)3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p关于用XP EFS加密文件或文件夹的注意事项1.EFS加密无需输入密码(在登录时已经输入了用户账户及其密码)2.EFS基于NTFS分区格式,传统的FAT和FAT32没有提供该加密系统3.如果重装系统或加密的文件账号不幸被删除(想一想何时会出现这种情况?),需要通过恢复代理(RecoveryAgent)解密原账号文件公司财务部的一个职工加密了财务数据的报表,某天这公司财务部的一个职工加密了财务数据的报表,某
44、天这位职工辞职了,安全起见你直接删除了这位职工的账户。位职工辞职了,安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的,而用户账户已经删除,这些文件这些报表是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决了这些问题。无法打开了。不过恢复代理的存在就解决了这些问题。因为被因为被EFS加密过的文件,除了加密者本人之外还有恢加密过的文件,除了加密者本人之外还有恢复代理可以打开。复代理可以打开。对于对于Windows 2000来说,在单机和工作组环境下,来说,在单机和工作组环
45、境下,默认的恢复代理是默认的恢复代理是 Administrator;Windows XP在单在单机和工作组环境下没有默认的恢复代理。而在域环境中机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的就完全不同了,所有加入域的Windows 2000/XP计算机,计算机,默认的恢复代理全部是域管理员。默认的恢复代理全部是域管理员。3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p如何获得恢复代理?1.生成代理证书2.cmdcipher/r:fileurlfilename(文件路径和文件名,文件名无需后缀)C:Docume
46、ntsandSettingsacercipher/r:c:recovery请键入密码来保护.PFX文件:请重新键入密码来进行确认:.CER文件已成功创建。.PFX文件已成功创建。分别生成filename.CER和filename.PFX两个文件3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p如何获得恢复代理?2.设置恢复代理n运行gpedit.msc本地“计算机策略”计算机配置Windows设置安全设置公钥策略正在加密文件系统,在右侧窗口的空白处点击鼠标右键,并选择“添加数据恢复代理”,然后会出现“添加故障恢复代理向导”按照这个向导打开
47、filename.cer。3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p如何获得恢复代理?2.设置恢复代理n双击filename.pfx文件,启动证书导入向导,根据向导操作即可3.成功设置恢复代理后,在证书-当前用户-个人中,将显市某一证书的预期目的是“文件故障恢复”n特别注意:恢复代理的设置应该在文件加密操作之前完成,因为先于恢复代理之前的EFS加密文件是不能被恢复代理恢复的,即恢复代理只能对在其之后加密的文件发挥作用3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p如何恢复文
48、件或文件夹?在以后需要的时候,只需使用被指定为恢复代理的账户登录,就可以解密系统内所有在指定恢复代理后被加密的文件(具体解密过程请看演示)p关于NTFS和FATnFAT是为小磁盘及简单的目录结构而设计的文件系统,因此其文件系统组织方法也通过简单的文件分配表(FileAllocationTable,简称FAT)完成3.1操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p关于NTFS和FATnNTFS将整个磁盘分区上每件事物都看作一个文件,而文件的相关事物又视为一个属性,比如数据属性、文件名属性等。有效地发挥了文件安全管理的优势取消该项的小钩3.1
49、操作系统安全增强以WindowsXP为例o增强访问控制nXP操作系统中文件和文件夹加密及其访问控制p关于NTFS和FATnFAT或FAT32(由FAT16派生出的)如何转换成NTFS?ocmdCONVERT卷标/FS:NTFSo例如:C:DocumentsandSettingsacerconvertD:/FS:NTFSo可用控制面板管理工具计算机管理磁盘管理,查看个分区的文件系统类型3.1操作系统安全增强以WindowsXP为例o系统的安全审计n记录用户使用计算机系统进行所有活动的过程,是提高安全性的重要工具。n多数人把安全审计理解为“日志记录”,属于事后被动响应,多用于计算机取证或安全分析p
50、安全审计类产品1.网络设备及防火墙日志2.操作系统日志3.网络数据包捕获日志3.1操作系统安全增强以WindowsXP为例o系统的安全审计nWindowsXP事件查看器(cmdeventvwr.msc)p应用程序日志(程序运行事件)p安全性日志(登录、创建对象等事件,默认为关闭,可由系统管理员指定记录内容)p系统日志(系统组件记录)3.1操作系统安全增强以WindowsXP为例o系统的安全审计nWindowsXP事件查看器的各种状态描述p信息:描述了应用程序、驱动程序或服务的成功操作事件p警告:不是很重要,但是将来有可能导致问题事件p错误:重要的问题,例如数据丢失或功能丧失都会以“错误”事件的