《[精选]操作系统新的安全特性.pptx》由会员分享,可在线阅读,更多相关《[精选]操作系统新的安全特性.pptx(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Windows Vista Windows Vista LonghornLonghorn 操作系统新的安全特性操作系统新的安全特性软件开发组长软件开发组长Windows Windows chchumicrosoft.chchumicrosoft.提纲提纲安全启动安全启动安全启动安全启动代码完整性代码完整性代码完整性代码完整性设备驱动程序设备驱动程序设备驱动程序设备驱动程序系统效劳保护系统效劳保护系统效劳保护系统效劳保护Service HardeningService HardeningService HardeningService Hardening用户帐号保护用户帐号保护用户帐号保护用户帐
2、号保护 User Account ProtectionUser Account ProtectionUser Account ProtectionUser Account ProtectionIEIEIEIE浏览器浏览器浏览器浏览器系统资源保护系统资源保护系统资源保护系统资源保护Windows Resource ProtectionWindows Resource ProtectionWindows Resource ProtectionWindows Resource Protection防火墙防火墙防火墙防火墙网络权限保护网络权限保护网络权限保护网络权限保护Network Access P
3、rotectionNetwork Access ProtectionNetwork Access ProtectionNetwork Access Protection总结,与总结,与总结,与总结,与XPXPXPXP相比相比相比相比局限局限局限局限问问问问/答答答答安全启动:背景安全启动:背景CNN,2005/1/24CNN,2005/1/24:据估计,:据估计,20042004上半年,上半年,1130011300笔记本电脑,笔记本电脑,3140031400掌上电脑,和掌上电脑,和2000020000 丧失,三倍于丧失,三倍于20012001年同期数目年同期数目密码恢复程序可针对密码恢复程序可
4、针对XPXP的数据安全保护机的数据安全保护机制进行系统离线攻击制进行系统离线攻击安全启动安全启动:目的目的即使物理设备丧失即使物理设备丧失即使物理设备丧失即使物理设备丧失,仍仍仍仍能提供对能提供对能提供对能提供对WindowsWindowsWindowsWindows客户客户客户客户端的安全保证端的安全保证端的安全保证端的安全保证特别针对他人以其他特别针对他人以其他特别针对他人以其他特别针对他人以其他OSOSOSOS启动试图非法获取启动试图非法获取启动试图非法获取启动试图非法获取对对对对WindowsWindowsWindowsWindows系统文件的系统文件的系统文件的系统文件的权限权限权限
5、权限安全启动安全启动FVM FVM 硬盘布局硬盘布局加密的加密的 OS OS卷,包括:卷,包括:OSOS,页面文件页面文件临时文件临时文件数据数据休眠休眠 hibernationhibernation文件文件系统分区包括基本系统分区包括基本引导代码引导代码MBRMBR安全启动架构安全启动架构安全启动:恢复安全启动:恢复笔记本突然坏了,怎么办?笔记本突然坏了,怎么办?恢复密钥恢复密钥 代码完整性代码完整性Code IntegrityCode Integrity背景:系统文件可以被恶意篡改。背景:系统文件可以被恶意篡改。系统文件均有数字认证系统文件均有数字认证系统文件被装载内存的时候,会验证其文系
6、统文件被装载内存的时候,会验证其文件的完整性件的完整性设备驱动程序设备驱动程序背景:有缺陷或恶意的驱动程序导致系统背景:有缺陷或恶意的驱动程序导致系统崩溃,不稳定,和安全问题崩溃,不稳定,和安全问题X64X64平台上,平台上,所有的设备驱动程序都必须有数字认证所有的设备驱动程序都必须有数字认证所有的设备驱动程序都必须有数字认证所有的设备驱动程序都必须有数字认证不允许修改系统的核心状态不允许修改系统的核心状态不允许修改系统的核心状态不允许修改系统的核心状态Kernel StateKernel StateKernel StateKernel State提供用户模式的驱动程序框架提供用户模式的驱动程
7、序框架系统效劳保护:系统效劳保护:Service HardeningService Hardening背景:系统效劳程序背景:系统效劳程序System ServiceSystem Service被攻击次数日益增多被攻击次数日益增多无需用户交互,即可自动运行无需用户交互,即可自动运行运行于运行于“System“System账号下账号下系统效劳保护系统效劳保护效劳程序运行在最低权限效劳程序运行在最低权限效劳程序运行在最低权限效劳程序运行在最低权限效劳程序有相应的配置文效劳程序有相应的配置文效劳程序有相应的配置文效劳程序有相应的配置文件,用以指定该效劳可以件,用以指定该效劳可以件,用以指定该效劳可以
8、件,用以指定该效劳可以执行的文件,注册表和网执行的文件,注册表和网执行的文件,注册表和网执行的文件,注册表和网络行为络行为络行为络行为文件系统文件系统注册表注册表网络网络用户帐号保护用户帐号保护 UAP UAP以前称为以前称为LUA-Least-privileged User LUA-Least-privileged User Account Account WC1262WC1262:Windows Vista Windows Vista 安全特性深入分安全特性深入分析析-用户帐号保护用户帐号保护 UAP/LUAUAP/LUA 用户帐号保护:背景用户帐号保护:背景大局部用户以大局部用户以Adm
9、inAdmin权限登录权限登录许多应用程序需要许多应用程序需要AdminAdmin权限运行权限运行许多操作系统配置的修改需要许多操作系统配置的修改需要AdminAdmin权限权限计算机病毒,和间谍软件?计算机病毒,和间谍软件?用户帐号保护:综述用户帐号保护:综述用户登陆后的缺省权限是非用户登陆后的缺省权限是非AdminAdmin身份身份必须通过相应的必须通过相应的UIUI才能将权限升为才能将权限升为AdminAdminUAPUAP兼容性兼容性应用程序和系统管理工具可在应用程序和系统管理工具可在Windows Windows VistaVista的的BetaBeta版本上测试版本上测试Visua
10、l StudioVisual Studio工具:工具:AppVerifier AppVerifier IEIE浏览器浏览器IE 7IE 7WCI311WCI311WCI311WCI311:最新版本:最新版本:最新版本:最新版本IE 7:IE 7:IE 7:IE 7:先睹为快上先睹为快上先睹为快上先睹为快上WCI312WCI312WCI312WCI312:最新版本:最新版本:最新版本:最新版本IE 7:IE 7:IE 7:IE 7:先睹为快下先睹为快下先睹为快下先睹为快下IEIE浏览器:背景浏览器:背景IEIE的安全漏洞是病毒和间谍软件传播的主的安全漏洞是病毒和间谍软件传播的主要途径之一要途径之
11、一针对普通用户的针对普通用户的PhishingPhishing攻击攻击IEIE浏览器:目的浏览器:目的IEIE运行于低权限模式下。以更安全访问互运行于低权限模式下。以更安全访问互联网,减少安全漏洞的影响范围联网,减少安全漏洞的影响范围对对PhishingPhishing攻击向用户提出警告攻击向用户提出警告IEIE:低权限模式:低权限模式权限低于普通用户程序权限低于普通用户程序权限低于普通用户程序权限低于普通用户程序只能对文件系统的特定局部执行写操作只能对文件系统的特定局部执行写操作只能对文件系统的特定局部执行写操作只能对文件系统的特定局部执行写操作不能对高权限的其它进程操作不能对高权限的其它进
12、程操作不能对高权限的其它进程操作不能对高权限的其它进程操作敏感操作由代理进程敏感操作由代理进程敏感操作由代理进程敏感操作由代理进程broker processbroker processbroker processbroker process执行执行执行执行 修改修改修改修改InternetInternetInternetInternet设置设置设置设置安装安装安装安装ActiveXActiveXActiveXActiveX控件控件控件控件IEIE:低权限模式架构:低权限模式架构IEIE低权限模式低权限模式IEIE代理进程代理进程缓存浏览页面临时文件目录安装驱动程序安装驱动程序安装驱动程序安装
13、驱动程序修改配置修改配置修改配置修改配置管理员权限管理员权限管理员权限管理员权限普通用户权限普通用户权限普通用户权限普通用户权限PhishingPhishing复制一个官方网站的主复制一个官方网站的主页,诱使用户输入个人页,诱使用户输入个人的机密信息,如银行账的机密信息,如银行账号,密码等等。号,密码等等。实例实例防止防止PhishingPhishing攻击攻击保护保护URLURL显示显示PhishingPhishing网页过滤器网页过滤器 Filter Filter 系统资源保护系统资源保护Windows Resource Windows Resource ProtectionProtect
14、ion保护重要的系统资源保护重要的系统资源替代替代SFPSFP:S:System File Protectionystem File Protection只有系统信赖的专门安装程序才可以修改只有系统信赖的专门安装程序才可以修改WRPWRP保护的资源保护的资源操作系统的补丁操作系统的补丁安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证安装补丁必须有微软的数字认证防火墙防火墙控制应用程序的对外网络连接控制应用程序的对外网络连接application-aware outbound filteringP2PP2PP2PP2P软件软件软件软件与系统效劳保护集成与系统效
15、劳保护集成设置可由系统管理员通过设置可由系统管理员通过Group PolicyGroup Policy管管理理 网络权限保护网络权限保护Network access Network access protectionprotection背景背景一台笔记本电脑被病毒感染一台笔记本电脑被病毒感染一台笔记本电脑被病毒感染一台笔记本电脑被病毒感染当该笔记本接入到公司内部网络时,病毒可以当该笔记本接入到公司内部网络时,病毒可以当该笔记本接入到公司内部网络时,病毒可以当该笔记本接入到公司内部网络时,病毒可以通过此电脑感染整个内部网络通过此电脑感染整个内部网络通过此电脑感染整个内部网络通过此电脑感染整个内部
16、网络网络权限保护:综述网络权限保护:综述任何电脑必须通过系统健康检查后才能接任何电脑必须通过系统健康检查后才能接入公司内部网络入公司内部网络确保机器时刻保持健康状态确保机器时刻保持健康状态未通过系统健康检查的机器会被隔离到一未通过系统健康检查的机器会被隔离到一个受控网络个受控网络网络权限保护网络权限保护NAPNAP客户端程序包括在客户端程序包括在Windows VistaWindows Vista中中NAPNAP效劳端程序包括在效劳端程序包括在Longhorn ServerLonghorn Server中中安全运行安全运行安全运行安全运行安全运行安全运行用户帐号保护用户帐号保护用户帐号保护用户
17、帐号保护用户帐号保护用户帐号保护 设备驱动程序设备驱动程序设备驱动程序设备驱动程序设备驱动程序设备驱动程序系统效劳保护系统效劳保护系统效劳保护系统效劳保护系统效劳保护系统效劳保护IEIEIEIEIEIE安全通讯安全通讯安全通讯安全通讯安全通讯安全通讯网络权限保护网络权限保护网络权限保护网络权限保护网络权限保护网络权限保护防火墙防火墙防火墙防火墙防火墙防火墙安全维护安全维护安全维护安全维护安全维护安全维护系统资源保护系统资源保护系统资源保护系统资源保护系统资源保护系统资源保护代码完整性代码完整性代码完整性代码完整性代码完整性代码完整性安全启动安全启动安全启动安全启动安全启动安全启动硬件支持的安全
18、启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动硬件支持的安全启动磁盘全加密磁盘全加密磁盘全加密磁盘全加密磁盘全加密磁盘全加密Version 1.0Version 1.0总结总结 Windows XPWindows XPUserKernelAdminSystem Services1.Few layers2.Mostly privileged3.Limited guards between layersWindows VistaWindows VistaSystem ServicesDDDUser Account Protection LUAService Harde
19、ningAdminService 1DDDKernelService 2Service 3DDDLow Privilege ServicesLow rights programs1.Increase#layers2.Segment services3.Reduce size of high risk layersLUA UserSvc 6Svc 7User mode drivers局限局限Windows VistaWindows Vista的改进不能解决所有的安全的改进不能解决所有的安全问题问题操作系统只是整个安全解决方案的一局部操作系统只是整个安全解决方案的一局部物理设备安全物理设备安全用户教育用户教育社会工程方式攻击社会工程方式攻击社会工程方式攻击社会工程方式攻击资源资源Windows Vista Security:http:/ Driverhttp:/ 7http:/