操作系统安全+移动网络安全复习

前言

因考试复习而生的一篇博客…

操作系统安全复习

第1~2章-windows系统安全概述

信息安全评估标准 TCSEC

A级:校验级保护,提供低级别手段

B3级:安全域,数据隐藏与分层,屏蔽

B2级:结构化内容保护,支持硬件保护

B1级:标记安全保护,如System V等

C2级:有自主的访问安全,区分用户

C1级:不区分用户,基本的访问控制

D级:没有安全性可言,MS DOS

Windows的安全体系结构,组件

Windows的NT体系结构分为

内核模式

1.代码具有极高的特权,可以直接对硬件进行操作和直接访问所有的内存空间

2.组成内核模式的整套服务被称为执行服务

​ 对象管理器(OM:Object Manager)

​ 安全引用监控器(SRM: security reference monitor)

用户模式

1.代码具有较低的权限,不能对硬件直接进行访问,内存访问受限

2.本地安全子系统:支持Windows的身份验证,审核

​ 核心:LSA(local security authentication)

​ 需要和win32子系统通信

本地安全授权(LSA)

1.LSA负责使所有本地和远程的用户登录生效,生成安全访问令牌; 访问令牌:访问令牌是一个二进制的数据包,它描述了用户的访问权限以及用户所属的组;

2.管理本地安全策略

3.负责记录安全引用监视器(SRM)的任何审核 消息所产生的事件日志

Windows 的用户和用户组

用户账户

1.使用用户名和密码进行标识

2.SID(Security Identifiers):账户的关键标识符,所有内部进程都使用SID识别用户账号

用户组账户

1.具有相似工作或资源要求的用户可组成一个用户组

2.对资源的存取权限许可分配给一用户组,就是同时分配 给该组中的所有成员

内置用户账号

Administrator 和 Guest , Adminstrator账号是最高级别的账号,应重命名该账号 并设置密码以隐藏它,以免受到攻击,保持Guest账号的禁用状态。

内置用户组账号

Administrators :管理员组

Guests :来宾用户组

Backup Operators 备份操作组,做系统的备份操作

Replicator :复制操作组

Domain*(Administrators, Users, Guests) :只 在域服务器上的组

特殊组(Network, Interative, Everyone, ….)

*Operators(Print ,Account, Server)

域及其信任关系

定义

域是一批具有集中安全授权机构和若干台工作站和成员服务器的计算机集合。

特点

1.域为用户,组和计算机账户定义了管理边界范围

2.一个域中的所有用户共享域用户账户数据库和普通的安全策略。

3.每台计算机不需要提供自己的验证服务。

4.一旦用户用域验证服务通过验证,就可以在域内访问权限内资源了,如Exchange Server,SharePoint Server,File Server,SQL Server,打印机共享

信任关系

当网络更大时,可以用信任关系来创建并链接多个域;

1.信任关系是域之间的关系,当域之间建立信任关系后,一个域就可以信任另一个域的用户访问自己的资源,而又不必在本域拥有这个用户的账户和口令;

2.好处:实现跨域的集中安全验证 ,支持用户的单一登录 ;

信任关系种类

1.单向信任关系: 信任域—>受信任域

2.双向信任关系:信任域<---->受信任域

第3章-活动目录

活动目录

定义

1.活动目录是以层次化方式存储网络资源信息的目录;

2.通过它,组织机构可以有效地对分布式环境的网络对象进行共享和管理;

3.目录在网络安全方面扮演着中心授权机构的角色,从而使操作系统可以轻松验证用户身份并控制其对网络资源的访问

功能机制

1.单点登录

用户只需要登录一次就可以访问所有相互信任的应用系统

2.全局目录(Global Catalog)

  • 默认情况下,全局编录在域森林的初始域控制器上自动创建。该域控制器就称为全局编录服务器,后面也可配 置其他域控制器为全局编录服务器;
  • 全局编录是一个域树或者域森林中的所有对象信息的中心仓库。它记录了AD中所有域对象的部分信息 以及架构信息和配置信息的完整副本;
  • 执行两个关键目录任务:登录和查询;
    • 在客户登录时:向域控制器提供通用组成员信息 ,用户登录网络时,必须存在一台全局编录服务器,否则只能登录到本地,例外是“域管理组中的成员”。
    • 在客户查询目录信息时,用户在发出查询请求时首先会送到最近的全局编录 (GC),通常GC可满足绝大多数查询,只有当查询 对象信息不在GC中时,服务器才会将查询转至对象所在域。从而实现跨所有域的搜索

3.智能的信息复制

  • 通过安装域控制器,可在整个网络环境中创建目录 的多份副本;
  • 网络任何地方发生变化都会在整个网络中自动复制, 保证数据一致性;

4.组策略:可以在不同层次上定义控制规则

活动目录保存的信息

Eh0Pgg.png

活动目录对象

对象标准属性

EhBXkt.png

Eh69Cq.png

Eh67dJ.png

Eh6xsO.png

命名规则

Eh6qiR.png

逻辑结构活动目录组件

组织单位

组织单位主要用来委派对用户、组及资源集合的管理权限。组织单位是委派管理权限的最小分组,其特殊在于可连接组策略

EhcGlV.png

EhcBf1.png

EhcXkj.png

EhgS10.png

域树

EhgMnO.png

域森林

EhgIUJ.png

物理结构活动目录组件

EhzV5d.png

第4章-组策略

组策略设置对象

计算机和用户是仅有的接收组策略的活动目录对象类型;

EhXFt1.png

EhXNng.png

组策略的应用顺序

EhzN2q.png

组策略的实现

企业框架的组织

根据相应组织框架设计管理策略

与安全相关的设置

账户策略

1.密码策略

2.账户锁定策略

3.kerberos策略

本地策略

1.审核策略

2.用户权利指派

3.安全选项

可对不同层次安全单元进行策略设置

第5章-公钥基础结构

公钥基础结构PKI

PKI组件

E4FEO1.png

1.证书颁发机构(CA)

E4knun.png

E4kG34.png

E4kwE6.png

E4Zxm9.png

2.证书注册机构(RA)

E4eDcF.png

3.证书库

E4MMQK.png

证书的使用及验证

第6章-文件系统安全

文件系统基础

  • 机器硬盘,固态硬盘。

  • 基本分区

    MBR磁盘 :32位 x86硬盘系统

    • 引导盘的第一个扇区

    GPT磁盘 :64位 Itanium处理器

  • DBR:引导扇区,文件系统的第一个扇区、

  • MFT文件记录结构

    • 每个记录项分为记录头和属性列表两个部分
    • 记录头里包含了本记录向的总体情况和信息
    • 属性列表列出了该文件的所有属性

NTFS

又称文件夹与文件的访问权限。NTFS分为特殊访问和标准访问权限。特殊权限是最小粒度的权限,标准权限是将某些常用的特殊权限配套组成的六种。

  • 权限控制的原则
    • 权限积累
    • 以文件夹为权限的设置对象
    • 拒绝权限优于其他权限

EFS

  • 基于混合加密机制
  • EFS机制
  • 提供数据恢复功能

加密过程

  • 文件被考到临时文本文件
  • 文件被一个随机生成的key加密
  • 用户公钥对FEK加密,数据解密区生产。
  • 使用恢复代理的公钥对FEK加密,数去恢复区域产生
  • 所有内容被写进磁盘
  • 临时文件删除

磁盘配额

  • 作用

    避免由于磁盘空间使用的失控可能造成的系统崩溃。

  • 配额是以文件所有权为基础的,不受位置限制。

  • 只适用于卷,且不受卷的文件夹结构以物理磁盘影响。

数据备份的策略,RAID机制的几种备份机制

完全备份

差异备份

在一次完全备份后对修改的文件备份。不清除标记。

增量备份

备份自上一次备份之后有变化的数据。清除标记。

第7章-身份验证

针对字典、穷举攻击的防范策略

E5u6Z4.png

交互式本地登录组件

E5ufRx.png

E5uoLD.png

E5u7ee.png

E5uHdH.png

域登录组件

kerberos协议

E5Y9mt.png

E5Yx4U.png

kerberos协议身份验证和票据授予服务

E5tsaV.png

过程:

E5Dec8.png

kerberos策略

E5DlAs.png

第8章-访问控制

Windows的访问控制模型及组件

组件

SRM和OM

E52mPH.png

E52KxI.png

自主访问控制(Discretionary access control:DAC)

E5r8VH.png

基于角色的访问控制(Role based access control :RBAC)

E5yCBF.png

强制访问控制(Mandatory access control:MAC)

E5rcin.png

基于属性的访问控制模型 (ABAC)

E5ySXT.png

主体和客体的安全描述

主体:令牌

客体:安全描述符

冲突解决方法

拒绝ACE在允许ACE之前

直接ACE在继承ACE之前

从第一层(父对象)继承下来的ACE在其他ACE前面

移动网络安全复习

无线网络分类(按传播范围)

  1. 无线个域网Wireless Personal Area Network(WPAN)

    传输距离:10m左右;

    技术:IEEE 802.15,蓝牙,ZigBee

    传输速度:10Mbit/s

  2. 无线局域网Wireless Local Area Network(WLAN)

    传输距离:几十米-几千米;

    技术:IEEE 802.11

    传输速率:11Mbit.s-1Gbit/s

  3. 无线城域网Wireless Metropolitan Area Network(WMAN)

    传输距离:城市大部分地区

    技术:IEEE 802.16

  4. 无线广域网Wireless Wide Area Network(WWAN)

    传输距离:移动卫星通信

    技术:2G,3G(2M/S),4G(几十到几百M/S)

WLAN安全机制

WEP的安全问题

RC4的安全问题

EX9M3q.png

无抗重放攻击

EXkN1s.png

sk的产生和分发

EXkT4e.png

IV空间太小

EXkvHf.png

CRC32是线性的

EXAp4g.png

WEP认证机制

开放系统认证(默认)

认证以明文形式传输

适合安全需求较低的场合

EXEesI.png

共享密钥认证

以WEP为基础,基于挑战响应机制

EXEZQA.png

TKIP机密机制

包裹在WEP外面的一层算法(既要兼容WEP又要解决WEP安全问题的产物)

TKIP的改进

  • IV:24bit->48bit
  • WEP密钥sk:40bit->104bit
  • 四个新算法EXEqmt.png

IEEE802.11i认证和密钥交换协议

四步握手过程:

EXZIsA.png

EXZbIf.png

GSM安全(2G)

GSM的鉴权机制

EXKk7R.png

GSM加密机制

EXKfu4.png

后记

待我Web安全学成归来,必会回首再来看你!!!!(手动狗头)

Author: Gard3nia
Link: https://gardenia30.top/2019/05/09/操作系统安全复习/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.