浙江大学：《信息安全原理》课程教学资源（PPT课件）第九章 操作系统安全

第九章操作系统安全性

第九章 操作系统安全性

Q操作系统安全性 dOws NT/2000 ◆UNIX ◆其他操作系统 ◆操作系统漏洞 ◆操作系统入侵检测 ◆系统安全扫描软件

操作系统安全性  Windows NT/2000  UNIX  其他操作系统  操作系统漏洞  操作系统入侵检测  系统安全扫描软件

O Windows NT/2000 ◆四种安全协议 Windows NT LAN Manager(NTLM验证协议 Kerberos5验证协议 DPA分布式密码验证协议 基于公共密钥的协议

Windows NT/2000  四种安全协议 – Windows NT LAN Manager(NTLM)验证协议 – KerberosV5验证协议 – DPA分布式密码验证协议 – 基于公共密钥的协议

O Windows NT/2000 ◆ Win nt登录 ◆NT文件系统(NTFS) ◆NT安全漏洞及其解决建议 ◆ Windows2000的分布式安全协议

Windows NT/2000  Win NT登录  NT文件系统（NTFS）  NT安全漏洞及其解决建议  Windows2000的分布式安全协议

9 Win NT登录 ◆Ctrl,Alt,Del三个键不能被屏蔽的 ◆安全帐号管理器( Security Account Manager)机制 ◆针对域用户账号登陆的验证分别是通过 NTLM和 Kerberos协议

Win NT登录  Ctrl，Alt，Del三个键不能被屏蔽的  安全帐号管理器(Security Account Manager)机制  针对域用户账号登陆的验证分别是通过 NTLM和Kerberos协议

QNT文件系统(NTFS) ◆最适合处理大磁盘的文件系统 ◆支持保证文件和文件夹安全性的访问控 制列表(ACL)

NT文件系统（NTFS）  最适合处理大磁盘的文件系统  支持保证文件和文件夹安全性的访问控 制列表(ACL)

QNT安全漏洞及其解决建议 ◆ Windows nt系统上的重大安全漏洞,主要包 括两大部分: NT服务器和工作站的安全漏洞 关于浏览器和NT机器的两个严重安全漏洞 更佳的解决方案是: 建设一个强壮的防火墙,精心地配置它,只授权给可信赖 的主机能通过防火墙。正象以上针对大多数安全漏洞的解 决建议一样,在防火墙上,截止所有从端口137到139的 TCP和UDP连接,这样做有助于对远程连接的控制。另外 在内部路由器上,设置ACL,在各个独立子网之间,截止 从端口137到139的连接。这是一种辅助措施,以限制该安 漏洞。值得注意的是,有些黑客程序可以具有选择端口 号的能力,它可能成功地攻击其它端口

NT安全漏洞及其解决建议  Windows NT系统上的重大安全漏洞，主要包 括两大部分： – NT服务器和工作站的安全漏洞 – 关于浏览器和NT机器的两个严重安全漏洞。  更佳的解决方案是： • 建设一个强壮的防火墙，精心地配置它，只授权给可信赖 的主机能通过防火墙。正象以上针对大多数安全漏洞的解 决建议一样，在防火墙上，截止所有从端口137到139的 TCP和UDP连接，这样做有助于对远程连接的控制。另外， 在内部路由器上，设置ACL，在各个独立子网之间，截止 从端口137到139的连接。这是一种辅助措施，以限制该安 全漏洞。值得注意的是，有些黑客程序可以具有选择端口 号的能力，它可能成功地攻击其它端口

Wmdo3200的分式安全协议 ◆在 WindOwsNT4。0中,主要的分布式安 全协议是NTLM( WindOwS NT lan Manager ◆ Windows2000里,微软采用了一个新的安 全系统。在这个新的安全系统中 Kerberos是缺省的分布式安全协议。当然, Windows2000仍然支持NTLM以及SSL协

Windows2000的分布式安全协议  在WindowsNT4。0中，主要的分布式安 全协议是NTLM（Windows NT LAN Manager）。  Windows2000里，微软采用了一个新的安 全系统。在这个新的安全系统中， Kerberos是缺省的分布式安全协议。当然， Windows2000仍然支持NTLM以及SSL协 议

Kerberos ◆ kerberos是以SSP( Security Service Provider)的方 式通过SPI( Security Service Provider Interface) 来实现的。应用程序可以直接通过SSPI来获得 Kerberos的服务 ◆ Kerberosssp能够提供三种安全性服务 认证:进行身份验证; 数据完整性:保证数据在传送过程中不被篡改; 数据保密性:保证数据在传送过程中不被获取

Kerberos  kerberos是以SSP(Security Service Provider)的方 式通过SSPI(Security Service Provider Interface) 来实现的。应用程序可以直接通过SSPI来获得 Kerberos的服务  KerberosSSP能够提供三种安全性服务 – 认证：进行身份验证； – 数据完整性：保证数据在传送过程中不被篡改； – 数据保密性：保证数据在传送过程中不被获取

Q操作系统安全性 ◆ WindOws nt/2000 ◆其他操作系统 ◆操作系统漏洞 ◆操作系统入侵检测 ◆系统安全扫描软件

操作系统安全性  Windows NT/2000  UNIX  其他操作系统  操作系统漏洞  操作系统入侵检测  系统安全扫描软件