操作系统安全防护
- 一、操作系统的概述
- 二、操作系统的安全威胁
-
- 1、漏洞和漏洞扫描
- 2、恶意代码
- 3、端口扫描威胁
- 三、操作系统安全防护
-
- 1、安全防护策略
- 2、补丁程序
- 3、终端防护软件
- 4、个人防火墙
一、操作系统的概述
◆操作系统( Operating System,OS)是计算机系统软硬件资源的控制中心,它以尽量合理有效的方法组织多个用户程序共享计算机的各种资源。
◆有效( efficient):系统效率,资源利用率(如:CPU利用的充足与否,内存、外部设各是否忙碌)
◆合理:公平与否,如果不公平则会产生“死锁”’或“饥饿”
◆方便( convenience):用户界面,编程接口
◆( Command line User Interface )
◆键盘输入
◆DOS,Linux,UNIX
◆( Graphic User Interface )
◆鼠标输入
◆Mac OS.,OS/2, WINDOWS
◆
◆系统调用、API
-
计算机病毒:一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。
如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…
◆ 络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。
1.其通过不断搜索和侵入具有漏洞的主机来自动播。
2.利用系统漏洞(病毒不需要漏洞)
3.如红色代码、SQL虫王、冲击波、震荡波、极速波
◆特洛伊木马:是指一类看起来具有正常功能,但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。
◆如冰河、 络神偷、灰鸽子
4.后门:使得攻击者可以对系统进行非授权访问的一类程序
◆如Bits、 WinEggDrop、Tini
◆Rootkit:通过修改现有的操作系统软件,使攻击者获得访问权并隐藏在计算机中的程序
◆如 Rootkit、 Hkdef、 Byshell
◆拒绝服务程序,黑客工具,广告软件,间谍软件…
◆流氓软件…
计算机病毒
◆狭义:
我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下:“计算机病毒是指编制、或者在计算机程序中插入的,破坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序片段代码
◆广义:
能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。
◆Virus,拉丁文:毒药
◆就是一段特殊的小程序,由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等),所以人们就用生物学上的病毒来称呼它。
◆美国计算机安全专家是这样定义计算机病毒的:”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中,从而感染它们”。
病毒程序与正常程序的比较
| 病毒程序 | 其他可以正常执行的程序 |
|---|---|
| 一般比较小 | 一般比较大 |
| 并非完整的程序,必须依附在其它程序上 | 是完整的程序,独立的存在于磁盘上 |
| 没有文件名 | 有自己的文件名和扩展名,如COM、EXE |
| 有感染性,能将自身复制到其它程序上 | 不能自我复制 |
| 在用户不知道的情况下执行 | 根据用户的命令执行 |
| 在一定条件下有破坏作用 | 无破坏作用 |
◆蠕虫的定义
◆蠕虫是一种通过 络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对 络造成拒绝服务,以及和黑客技术相结合等等。
◆蠕虫病毒一般分为2类,一种是面向企业用户和局域 而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联 可造成瘫痪性的后果,以“红色代码”,“尼姆达”,以及“sq蠕虫王”为代表
◆另外一种是针对个人用户的,通过 络(主要是‘电子邮件,恶意 页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。
◆蠕虫与一般病毒的异同
蠕虫一般不采取插入文件的方法,而是复制自身在互联 环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联 内的所有计算机。
| 病毒类型 | 普通病毒 | 蠕虫病毒 |
|---|---|---|
| 存在形式 | 寄存文件 | 独立程序 |
| 复制机制 | 插入到宿主程序 | 自身拷贝 |
| 传染机制 | 宿主程序 | 运行主动攻击 |
| 传染目标 | 木地文件 | 计算机 络 |
| 影响重点 | 文件系统 | 络性能、系统性能 |
| 使用者角色 | 关键 | 无关 |
| 防治措施 | 从宿主文件中摘除 | 为系统打补丁 |
特洛伊木马
◆这类病毒是根据古希腊神话中的木马来命名的,这种程序从表面上看没有什么,但是实际上却隐含着恶意意图
◆一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中,同时它可以携带恶意代码,还有一些木马会以一个软件的身份出现(例如:一个可供下载的游戏),但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现,因为它一般是以一个正常的应用的身份在系统中运行的。
◆特洛伊木马可以分为以下三个模式:
◆通常潜伏在正常的程序应用中,附带执行独立的恶意操作
◆通常潜伏在正常的程序应用中,但是会修改正常应用进行恶意操作
◆完全覆盖正常的程序应用,执行恶意操作
◆大多数木马都可以使木马的控制者登录到被感染电脑上,并拥有绝大部分的管理员级控制权限。为了达到这个目的,木马一般都包括一个客户端和一个服务器端。客户端放在木马控制者的电脑中服务器端放置在被入侵电脑中,木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一且连接建立,木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。
◆通常木马能够发动DdoS(拒绝服务)攻击。
◆还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹,例如使恶意进程不在进程列表中显示出来
◆另一些木马用于收集信息,例如被感染电脑的密码;木马还可以把收集到的密列表发送互联 中的一个指定的邮件帐户中。
后面VS特洛伊木马
◆如果一个程序仅仅提供远程访问,那么它只是一个后门。
◆如果攻击者将这些后门伪装成某些其他良性程序,那么那就变成真正的特洛伊木马。
◆木马是披着羊皮的狼!!它对用户个人隐私造成极大威胁。
3、端口扫描威胁
◆端口扫描就是得到目标主机开放和关闭的端口列表,这些开放的端口往往与一定的服务相对应,通过这些开放的端口,就能了解主机运行的服务,然后就可以进一步整理和分析这些服务可能存在的漏洞,随后采取针对性的攻击。
◆“端口扫描”通常指对目标计算机的所有所需扫描的端口发送同一信息,然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。
◆“端口扫描”行为的一个重要特征:在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。
◆对于用端口扫描进行攻击的人来说,攻击者总是可以做到在获得扫描结果的同时,使自己很难被发现或者说很难被逆向跟踪。
◆为了隐藏攻击,攻击者可以慢慢地进行扫描。通常来说,用大时间间隔的端口扫描是很难被识别的。
◆隐藏源地址的方法是发送大量的(数千个或上万个)欺骗性的端口扫描包,其中只有一个包的源地址是真实的。
◆即使全部包都被拦截并被记录下来,要想辨别哪一个是真正的源地址也是很困难的,因为只有一个包的源地址是真实的。
三、操作系统安全防护
1、安全防护策略
一个计算机系统是安全系统,是指该系统达到了设计时所制定的安全策略的要求,一个安全的计算机系统从设计开始,就要考虑安全问题。安全策略是构建可信系统的坚实基础,而安全策略的制定取决于用户的安全需求。
◆安全策略是指:在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。根据组织现实要求所制定的一组经授权使用计算机及信息资源的规则。
◆安全策略的目标:是防止信息安全事故的影响降为最小,保证业务的持续性,保护组织的资源,防范所有的威胁。
◆主要目的是提供机密性,同时还涉及完整性、可记帐性和可用性。涉及国家、军事和 会安全部门等机密要求很高的单位,一旦泄密将会带来灾难性危害
◆主要目的是提供完整性,但不是惟一的,也涉及机密性、可记帐性和可用性。它要满足商业公司的数据不被随意篡改。例如,一个银行的计算机系统受到完整性侵害,客户账目金额被改动,弓起金融上的严重后果
◆制定安全策略是通常可从以下两个方面来考虑
- 物理安全策略
◆物理安全策略包括以下几个方面:
◆一是为了保护计算机系统、 络服务器、打印机等硬件实体和通信链路,以免受自然灾害、人为破坏和搭线攻击;
◆二是验证用户的身份和使用权限,防止用户越权操作;
◆三是确保计算机系统有一个良好的电磁兼容工作环境;
◆四是建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
◆物理安全
◆账 、密码安全
◆本地安全策略
◆服务安全
◆ 络安全
◆Microsoft基准安全分析器
◆文件加密
物理安全
重要主机应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
◆禁止从软盘和 CD Ron启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
◆查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备是否有多余的东西。
账 、口令安全
◆停掉 Guest帐
在计算机管理的用户里面把 guest帐 停用掉,任何时候都不允许 guest帐 登陆系统。为了保险起见,最好给 guest加一个复杂的密码。
◆如果要启动 Guest帐 ,一定要査看该账 的权限,只能以受限权限运行
◆限制不必要的用户数量
◆去掉所有的 duplicate user帐户,测试用帐户,共享帐 ,普通部门帐 等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。
◆使用安全密码
◆一个好的密码对于一个 络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐 的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome”、“ilove you”、“ letmein”或者和用户名相同等等。这样的帐户应该要求用户首次登陆的时候更改成复杂的密码,还要注意经常更改密码。
◆把系统 administrator帐 改名
◆大家都知道, windows2000的 administrator帐 是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator帐户改名可以有效的防止这一点。当然,请不要使用 Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成: guestone.
◆创建一个陷阱帐
◆什么是陷阱帐 建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的种,并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的 login scripts上面做点手脚。
◆不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是
把 REG_SZ的键值改成1
本地安全策略
◆开启密码策略
| 策略 | 设置 |
|---|---|
| 密码复杂性要求 | 启用 |
| 密码长度最小值 | 6位 |
| 强制密码历史 | 5次 |
| 强制密码历史 | 42天 |
◆开启帐户策略
| 策略 | 设置 |
|---|---|
| 复位帐户锁定计数器 | 20分钟 |
| 帐户锁定时间 | 20分钟 |
| 帐户锁定阈值 | 3次 |
| 策略 | 设置 |
|---|---|
| 成功,失败 | |
| 成功,失败 | |
| 成功,失败 | |
| 成功 | |
| 成功,失败 | |
| 成功,失败 | |
| 成功,失败 |
服务安全
◆关闭不必要的服务
windows2000的终端、远程注册表等服务,都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器.很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。
络安全
◆关闭不必要的端口
◆关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。 systen32driversetcservices文件中有知名端口和服务的对照表可供参考。
◆禁止建立空连接
◆默认情况下,任何用户通过空连接连上服务器,进而枚举出帐 ,猜测密码。我们可以通过修改注册表来禁止建立空连接
◆关闭默认共享
◆win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share查看他们。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
◆C$ D$ E$ 每个分区的根目录。Win2000Pro版中,只有Administrator和 Backup Operators组成员才可连接,Win2000 Server版本Server Operators祖成员也可以连接到这些共享目录
◆ADMIN$ %SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径。
◆IPC$空连接。IP C $ 共享提供了登录到系统的能力。
◆ NetLogon这个共亨在 Windows2000服务器的 Net Login服务在处理登陆域请求时用到
◆PRINTS$%SYSTEMROOT%SYSTEM32SPOOLDRIVERS用户远程管理打印机
◆把共享文件的权限从” everyone”组改成“授权用户”
◆everyone”在win2000中意味着任何有权进入你的 络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成” everyone”组。包括打印共
享,默认的属性就是” everyone”组的定不要忘了改。
修改注册表加强安全性
◆禁止默认共享
HKEY__MACHINESYSTEMCur rent Controlset Services lanmanserver parame ters]新建 DOWRD“ Au toshareserver”设置为“0”
◆修改默认的TL值
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TcpipParameters]新建 DOWRD值为 DefaultTTL
◆阻止ICMP重定向 文
HKEY_L0CAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_ DWORD 0x0(默认值为0x1)
注册表安全
◆锁住注册表
在 winXP中,只有 Administrators和 Backup Operators才有从 络上访问注册表的权限
删除不安全的组件
◆ 络脚本病毒嵌在 页中,上 时在不知不觉中机器就会感染上这种病毒。 络脚本病毒的复制、传播都离不开FSO( File System Object)、 Wscript.Shell和Shell. application组件
◆regsvr32 -u scrrun dll
◆regsvr32 -u c: winntsystem32lwshom.ocx
◆regsvr32 /u c: winntsystem32shell32.dll
◆del scrrun.dll wshom.ocx shell32.dll
2. 访问控制策略
◆访问控制是对要访问系统的用户进行识别,并对访问权限进行必要的控制。
◆访问控制策略是维护计算机系统安全、保护其资源的重要手段。
◆访问控制的内容有入 访问控制、目录级安全控制、属性安全控制、 络服务器安全控制、 络监测和锁定控制、 络端口和节点的安全控制等。另外,还有加密策略、防火墙控制策略等。
2、补丁程序
◆什么叫补丁包br> ◆针对 Windows操作系统, Microsoft公司每隔一段时间就会推出,将先前发布的所有补丁程序都集合在起,方便用户对相应软件系统的修补,该软件称为。
◆系统漏洞是指:,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制你的计算机,从而窃取计算机中的重要资料和信息,甚至破坏你的系统。
◆对于软件系统来说,
◆补丁安装的三种方法
◆使用” Windows Update”在线安装补丁(常用的方法)
◆利用“自动更新“
◆离线安装补丁
◆漏洞的产生大致有三个原因,具体如下所述
◆(1)
◆(2)受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
◆(3)。
3、终端防护软件
◆系统维护的对我们的重要性br> 计算机已成为生活和工作中不可缺少的工具,而且随着信息技术的发展,在电脑使用中面临越来越多的系统维护和管理问题,如系统硬件故障、软件故障、病毒防范、系统升数等,如果不能及时有效地处理好,将会给正常工作、生活带来影响。为此,提供全面的计算机系统维护服务,使用户以较低的成本换来较为稳定的系统性能,以最好的性价比保证电脑系统的正常使用,解除用户后顾之忧,使您专注于发展自己的事业,在自己的专业领域不断前进。
◆windows优化大师
Windows优化大师是一款功能强大的系统辅助软件,它提供了全面有效且简便安全的系统检测、系统优化、系统清理、系统维护四大功能模块及数个附加的工具软件。使用Windows优化大师,能够有效地帮助用户了解自己的计算机软硬件信息:简化操作系统设置步骤:提升计算机运行效率清理系统运行时产生的垃圾:修复系统故障及安全漏洞:维护系统的正常运转。
◆windows优化大师的使用说明
◆软件基本功能
第一步:自动优化
一键调校各项系统参数,使其与当前电脑更匹配
第二步:清理垃圾文件
一键清理硬盘中的垃圾文件,释放更多的可用空间
第三步:清理历史痕迹
一键清理历史痕迹,保护隐私,也使系统更加清爽
第四步:清理注册表
一键清理注册表中的冗余信息,为系统进一步提速
◆四大功能模块
◆系统检测
◆系统优化
◆系统清理
◆系统维护
◆随着互联 的发展和普及, 络正在成为人们生活中必不
可少的一部分,越来越多现实中的活动正在走向 络化,从简单的 络聊天工具、 络游戏到 上银行、 络购物以及 上求职等,我们的个人资料和虚拟财产也融入到了 络之中。伴随着这些而来的还有我们不愿看到的但却无孔不入的 络犯罪。这些 络犯罪活动包括了 游盗 、 络钓鱼、 页木马、窃取并买卖个人信息,甚至于窃取他人银行账户等恶劣行为。
◆计算机病毒会造成计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成 会性的灾难,随着信息化 会的发展,计算机病毒的威胁日益严重,反病毒的任务也更加艰巨了
◆杀毒软件应运而生
◆杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分
◆常用杀毒软件
◆金山毒霸
◆卡巴斯基
◆360杀毒
360杀毒是360安全中心出品的一款免费的云安全杀毒软件。360杀毒具有以下优点:查杀率高、资源占用少、升级迅速等等。同时,360杀毒可以与其他杀毒软件共存,是一个理想杀毒备选方案。360杀毒是款一次性通过VB100认证的国产杀软
◆瑞星
◆别忘了经常更新病毒库和给软件升级!!!
◆360功能介绍及其使用方法
◆病毒查杀
◆实时防护
◆安全保障
◆病毒免疫
4、个人防火墙
◆目前常用的防火墙技术主要有:
◆包过滤型技术
◆包过滤防火墙的基本原理:
所谓“包过滤技术”是指:将一个包过滤防火墙软件置于 Intranet的适当位置,通常是在路由器或服务器中,使之能对进出 Intranet的所有数据包按照指定的过滤规则进行检查,仅对符合指定规则的数据包才准予通行,否则将之抛弃。图中示出了基于包过滤技术的防火墙的位置
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!