¿Cuál es la diferencia entre los conceptos de sistema operativo seguro y seguridad del sistema operativo?
Sistema operativo seguro se refiere al sistema de información informática en control de acceso autónomo, control de acceso obligatorio, marcado, autenticación de identidad, reutilización de objetos, auditoría, integridad de datos, análisis de canales encubiertos, ruta confiable, recuperación confiable y otros diez. aspectos para cumplir con los correspondientes requisitos técnicos de seguridad. Las principales características de un sistema operativo seguro: 1. El principio de privilegio mínimo, es decir, cada usuario privilegiado sólo tiene el poder de realizar su trabajo. 2. Control de acceso discrecional obligatorio, incluido el control de acceso de confidencialidad y el control de acceso de integridad; 3. Auditoría de seguridad; 4. Aislamiento del dominio de seguridad. Sólo con estas funciones de seguridad de nivel más bajo se puede resistir verdaderamente todo tipo de virus, troyanos, intrusiones en la red y operaciones humanas ilegales mezcladas en "software de aplicación", porque violan las reglas de seguridad del sistema operativo y pierden su capacidad de funcionamiento. base de.
En el pasado, Microsoft era conocido por incluir muchas funciones adicionales con su sistema operativo, la mayoría de las cuales se instalaban con acceso al servicio predeterminado. Windows Server 2003 rompe este modelo tradicional, provocando que más de veinte servicios que pueden ejecutarse de forma predeterminada en Windows 2000 Server se desactiven o se ejecuten con permisos inferiores.
En Windows 2003, las dos innovaciones en funciones de seguridad más importantes son el manejo directo de los servidores IIS y Telnet. IIS y Telnet no están instalados de forma predeterminada y estos dos servicios se ejecutan con dos cuentas nuevas. Los permisos de las cuentas nuevas son inferiores a los de las cuentas normales del sistema. Esta innovación mejorará directamente la seguridad del servidor si software malicioso compromete estos dos servicios.
Junto con las mejoras en las cuentas de servicio en IIS y Telnet, Windows 2003 también incluye una gran cantidad de nuevas características de seguridad. Quizás estas nuevas características de seguridad sean el factor decisivo en su decisión de actualizar a Windows Server 2003.
Nuevas funciones de seguridad
1. Cortafuegos de conexión a Internet (ICF) ICF es un cortafuegos de software que proporciona seguridad de puertos básica a los servidores web de los usuarios. Funciona con su equipo de seguridad actual para agregar una capa adicional de protección a su infraestructura crítica.
2. Políticas de restricción de software Las políticas de restricción de software utilizan políticas y mecanismos de aplicación para restringir los programas ejecutables no autorizados que se ejecutan en el sistema. Estas restricciones son medios adicionales para evitar que los usuarios ejecuten programas que no forman parte del paquete de software de usuario estándar de la empresa.
3. Seguridad del servidor web La seguridad del servidor web se maximiza cuando se carga la instalación predeterminada de IIS 6.0. Las nuevas características de seguridad de IIS 6.0 incluyen servicios de cifrado seleccionables, autenticación implícita avanzada y control de acceso a procesos configurable.
4. Nuevo paquete de seguridad implícita El nuevo paquete de seguridad implícita admite el protocolo de autenticación implícita definido en RFC 2617. Este paquete proporciona una protección más avanzada para IIS y Active Directory (AD).
5. Seguridad mejorada de las LAN Ethernet y las LAN inalámbricas Independientemente del medio de conexión, la seguridad de las LAN Ethernet y las LAN inalámbricas se mejora según la especificación IEEE 802.1X, lo que promueve la autenticación y autorización seguras de usuarios y computadoras. Estas mejoras también admiten el registro automático de certificados de clave pública y tarjetas inteligentes, lo que permite el control de acceso a redes tradicionales ubicadas en o entre ubicaciones públicas, como redes de área amplia (WAN) en campus universitarios y redes de área amplia (WAN) gubernamentales en grandes ciudades. PÁLIDO).
6. Credential Manager Credential Manager proporciona un repositorio seguro para todas las credenciales de usuario, incluidas contraseñas y certificados X.509. Esta función permite que varios dominios confíen en una única función de firma.
7. El servidor de autenticación de Internet y el servidor de usuario de acceso telefónico de autenticación remota (IAS/RADIUS) El servidor de autenticación de Internet y el servidor de usuario de acceso telefónico de autenticación remota (IAS/RADIUS) controlan la autenticación de usuario remoto y el acceso autorizado. El servicio es útil para diferentes tipos de conexión, como acceso telefónico, redes privadas virtuales (VPN) y conexiones de firewall.
8. FIPS: el ampliamente reconocido algoritmo de cifrado en modo kernel, el algoritmo del Estándar Federal de Procesamiento de Información (FIPS), admite SHA-1, DES, 3DES y un generador de números aleatorios. Este modo de cifrado de nivel gubernamental se utiliza para cifrar conexiones establecidas a través de una VPN utilizando el Protocolo de túnel de capa 2 (L2TP) y Seguridad IP (IPSec), ya sea de cliente a servidor, de servidor a servidor o de puerta de enlace a puerta de enlace.
9. Autenticación de cliente SSL mejorada Las mejoras en la autenticación de cliente Secure Socket Layer (SSL) permiten que las sesiones sean un 35% más rápidas y las sesiones se pueden almacenar en caché y compartir entre múltiples procesos. Esto reduce la autenticación del usuario en la aplicación, lo que reduce el tráfico de red y los ciclos de trabajo de la CPU en el servidor de aplicaciones.
10. Las mejoras mejoradas del Servicio de archivos cifrados (EFS) de EFS permiten a los administradores y usuarios brindar a varios usuarios la posibilidad de acceder a múltiples conjuntos de archivos cifrados. También proporciona protección adicional de almacenamiento de archivos y capacidad máxima de usuarios.
Además de estas nuevas funciones de seguridad, Microsoft ha lanzado un Administrador de configuración de seguridad que agrega opciones de seguridad en todo el sistema operativo en una única consola de administración.
Reglas de configuración de seguridad
1. Seguridad física
El servidor debe colocarse en una habitación aislada con un monitor instalado y el monitor debe mantenerse dentro de 15 días Grabación de vídeo. Además, el chasis, el teclado, los cajones, etc. deben estar cerrados con llave para garantizar que otras personas no puedan utilizar la computadora incluso cuando está desatendida, y las llaves deben colocarse en un lugar seguro.
2. Detenga la cuenta de Invitado
Detenga la cuenta de Invitado en [Administración de computadoras] y no permita que la cuenta de Invitado inicie sesión en el sistema en ningún momento. Para estar seguro, es mejor agregar una contraseña compleja a la cuenta de Invitado, modificar las propiedades de la cuenta de Invitado y configurarla para denegar el acceso remoto.
3. Limitar el número de usuarios
Eliminar todas las cuentas de prueba, cuentas exclusivas, cuentas de departamento ordinarias, etc. Establezca los permisos correspondientes en las políticas de grupo de usuarios y verifique con frecuencia las cuentas del sistema y elimine las cuentas que ya no sean aplicables.
Muchas cuentas no son propicias para la administración del administrador y los piratas informáticos pueden usar más cuentas en un sistema con muchas cuentas, por lo que debe planificar la asignación de cuentas en el sistema de manera razonable.
4. Múltiples cuentas de administrador
Los administradores no deben usar cuentas de administrador con frecuencia para iniciar sesión en el sistema. Esto puede ser espiado por algún software que puede ver la contraseña en el proceso de Winlogon. Deberías crear una cuenta normal para realizar el trabajo diario.
Al mismo tiempo, para evitar que un intruso obtenga la cuenta de administrador, el administrador tiene una cuenta de administrador de respaldo y tiene la oportunidad de obtener derechos de administrador del sistema. Sin embargo, esto también trae consigo el potencial. Pregunta de seguridad de múltiples cuentas.
5. Cambiar el nombre de la cuenta de Administrador
En los sistemas Windows 2000, la cuenta de Administrador no se puede desactivar, lo que significa que un atacante puede intentar adivinar repetidamente la contraseña de esta cuenta. Cambiar el nombre de la cuenta de administrador puede evitar esto de manera efectiva.
No cambies el nombre a algo como Admin, sino intenta disfrazarlo como un usuario normal.
6. Cuenta Trap
De manera similar al quinto punto, después de cambiar el nombre del administrador, puede crear un usuario normal de Administrador, establecer sus permisos al mínimo y agregarlo. Una contraseña compleja de más de 10 dígitos le costará mucho tiempo al intruso y descubrirá su intento de intrusión.
7. Cambie los permisos predeterminados para compartir archivos
Cambie los permisos para archivos compartidos de "Todos" a "Usuario autorizado", "Todos" significa cualquier usuario que tenga acceso al La red puede acceder a estos archivos compartidos.
8. Contraseña de seguridad
La definición de contraseña de seguridad es: una contraseña que no se puede descifrar dentro del período de seguridad es una contraseña de seguridad. En otras palabras, incluso si el documento de contraseña. se obtiene, tardará 42 días o puede tardar más en descifrarse (la política de seguridad de Windows cambia la contraseña de forma predeterminada cada 42 días, si está configurada).
9. Contraseña de protector de pantalla/bloqueo de pantalla
Una barrera para evitar que personas internas destruyan el servidor.
Se carga automáticamente cuando el administrador se va.
10. Utilice particiones NTFS
En comparación con el sistema de archivos FAT, el sistema de archivos NTFS puede proporcionar más funciones de seguridad, como configuración de permisos y cifrado.
11. Software antivirus
El sistema operativo Windows no viene con software antivirus. Un buen software antivirus no sólo puede eliminar algunos programas antivirus, sino también detectarlos. y eliminar una gran cantidad de troyanos y herramientas de piratas informáticos. Una vez instalado el software antivirus, los piratas informáticos no podrán utilizar esos famosos programas troyanos. Al mismo tiempo, asegúrese de actualizar la base de datos de virus con frecuencia.
12. Seguridad de los discos de respaldo
Una vez que los piratas informáticos destruyan los datos del sistema, los discos de respaldo serán la única forma de restaurar los datos. Después de hacer una copia de seguridad de sus datos, coloque el disco de respaldo en un lugar seguro. La copia de seguridad no se puede colocar en el servidor actual, en cuyo caso sería mejor no realizar ninguna copia de seguridad. (2) Arquitectura de seguridad de Windows Server 2003. Windows Server 2003 es actualmente la plataforma de servidor de red más madura. Su seguridad ha mejorado enormemente en comparación con Windows 2000. Esta sección comenzará con la arquitectura de seguridad de Windows 2003 y guiará a todos a aprender Windows. 2003 características estructurales de seguridad.
Autenticación de descripción general de componentes LSA
1. Descripción general del componente LSA La autenticación se logra mediante transacciones basadas en contraseñas que involucran Kerberos o el desafío-respuesta clásico NT LanMan (NTLM). Windows 2003 utiliza estructuras de datos especiales llamadas "descriptores de seguridad" para proteger los recursos. Los descriptores de seguridad indican quién puede acceder a un recurso y qué acciones pueden realizar sobre el recurso. Todos los procesos se identifican mediante un "token de acceso" que define el contexto de seguridad del usuario. La auditoría se logra mediante funciones especiales en el sistema de seguridad que registran el acceso a los registros de seguridad.
El componente Autoridad de seguridad local (LSA) contiene los servicios de "modo central" que se ejecutan como parte de Windows Executive, así como soporte para procesos de servicio al cliente, como el inicio de sesión interactivo y el acceso a la red. "servicio controlado mediante la concesión de permisos). El servicio de seguridad en modo de usuario en LSA está contenido en dos programas ejecutables, a saber, "Subsistema de seguridad local (LSASS.EXE)" y Winlogon.exe. LSASS alberga los siguientes procesos:
(1) Kerberos KDC. Este servicio proporciona servicios de autenticación Kerberos y concesión de tickets. Utiliza AD para almacenar credenciales de identidad seguras.
(2) Proveedor de soporte de seguridad NTLM. Admite todos los clientes de nivel inferior, así como los clientes Windows modernos que no son miembros del dominio.
(3) Inicio de sesión de red. Maneja la autenticación PassThrough de clientes posteriores y brinda soporte para la autenticación NT clásica. Pero las transacciones Kerberos no son compatibles. En los controladores de dominio basados en AD, es responsable de registrar los registros DNS.
(4) IPSec. Este servicio gestiona las políticas de conexión de seguridad IP y el intercambio de claves de Internet (IKE) de IPSec.
(5) Almacenamiento Protegido. Este servicio se encarga de cifrar y almacenar de forma segura los certificados asociados al subsistema PKI.
“Encapsulación” de componentes LSA
2. Cuando el componente LSA accede a recursos seguros en un servidor, el servicio que gestiona las transacciones de seguridad que se producirán se denomina "encapsulación" o "empaquetado". Hay dos tipos de contenedores: contenedores de autenticación y contenedores de seguridad.
(1) Encapsulación de autenticación. Microsoft proporciona dos paquetes de autenticación: Kerberos y MSV1_0 (desafío-respuesta).
Windows admite el desafío-respuesta LanMan (LM) utilizado por clientes derivados de DOS (Windows Me y versiones anteriores) y el desafío-respuesta NT LanMan (NTLM) utilizado por clientes NT y clientes Windows modernos que no son miembros del dominio.
(2) Base de datos de seguridad clásica. La autenticación NTLM almacena información de seguridad en 3 bases de datos en el registro. ①integrado: esta base de datos contiene dos cuentas de usuario predeterminadas, Administrador e Invitado, así como varios grupos predeterminados, como Usuarios de dominio para dominios y grupos de Usuarios avanzados para estaciones de trabajo y servidores independientes. Las cuentas integradas están incluidas en la rama de registro de SAM. ②Administrador de cuentas de seguridad (SAM): esta base de datos contiene cuentas de grupos y usuarios locales. ③LSA: esta base de datos contiene las reglas de contraseña de la computadora, las políticas del sistema y las cuentas confiables. La base de datos LSA está contenida en la rama del Registro de seguridad, que también contiene una copia de la base de datos SAM.
Windows requiere credenciales de inicio de sesión
3. WINLOGONLSA requiere algún mecanismo para obtener las credenciales de inicio de sesión del usuario. El programa ejecutable responsable de obtener estas credenciales es el exe de Windows. Cuando se presiona la combinación de teclas Ctrl+Alt+Supr, se llama al exe de Winlogon. La ventana proporcionada por Winlogon proviene de una DLL llamada "Identificación y autenticación gráfica". Cuando un usuario inicia sesión, LSA crea un token de acceso que describe al usuario que utiliza el sistema de seguridad de identidad. Cuando un proceso propiedad de un usuario intenta acceder a un objeto de seguridad, el Monitor de referencia de seguridad (SRM) compara el SID en la descripción de seguridad con el SID en el token de acceso del usuario y deriva el conjunto de permisos de acceso del usuario en consecuencia. Cuando un usuario se conecta a un servidor, LSASS en el servidor debe establecer un token de acceso local en nombre del usuario y adjuntar el token al proceso del usuario. LSASS obtiene la información necesaria para construir este token de acceso local de dos maneras:
· En el caso de la autenticación Kerberos, obtiene la información del campo Datos de autorización del ticket de sesión de Kerberos presentado por el cliente.
· En el caso de la autenticación NTLM, obtiene información de un controlador de dominio como parte del proceso de autenticación "pass-through".
Proceso de trabajo del LSA
4. Descripción general del proceso de trabajo de LSA (1) Windows recopila información de identidad de inicio de sesión de los usuarios.
(2) LSASS obtiene estas credenciales de identidad y las utiliza con la ayuda de Kerberos o NTLM (a través de MSV1_) para autenticar al usuario. Esta es la fase de "autenticación".
(3) LSASS crea un token de acceso, que define los permisos de acceso del usuario y los permisos del sistema.
(4) El Monitor de referencia de seguridad (SRM) compara este token con la Lista de control de acceso (ACL) en el descriptor de seguridad del objeto para determinar si está permitido el acceso del usuario. Esta es la etapa de "autorización".
(5) Finalmente, LSASS y SRM cooperan para monitorear el acceso a objetos de seguridad y generar informes para registrar algunos o todos los eventos. Esta es la etapa de "revisión".