操作系统安全PT.ppt

内存镜像 能够帮助我们分析直接写入内存的病毒，恢复一个E-mail内容，恢复曾经编辑过的文档内容，还可以发现黑客所有的命令行输入 计算机取证的相关工具 文件浏览器 图片检查工具 反删除工具 CD-ROM工具 文本搜索工具 驱动器映像程序 磁盘擦除工具 一般工具软件 取证专用工具软件 取证程序 Forensic Toolkit The Coroner’s Toolkit(TCT) EnCase ForensicX 金诺网安 New Technologies Incorporated 计算机取证的有效性和合法性 有效性由证据的客观原始性和取证活动的合法、科学性决定的（简称计算机证据合法的二元构成） 合法性： 主体合法 对象合法 手段合法 过程证明 计算机取证过程证据合法的证明链  计算机取证的局限性以及面临的问题 面临的问题入侵者的犯罪手段和犯罪技术的变化 反取证技术的发展 NestWatch、NetTracker、LogSurfer、VBStats，NetLog和Analog等工具可以对日志进行分析，以得到入侵者的蛛丝马迹 局限性： 目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制 现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究 计算机取证发展研究 取证工具向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 计算机取证的标准化研究 计算机取证的原则和步骤 保护目标计算机系统 电子证据的确定 电子证据的收集 电子证据的保护 电子证据的分析 归档 书写取证报告 测试和检查结束后应该根据记录的结果撰写详细的测试报告和检测报告。测试报告和检测报告应该包括：检测人，检测日期，实际使用的检测方法和工具，检测的技术指标，输入，输出，每一项输出是否满足要求，响应时间，结论等 关闭机器或无线发射 MAC地址过滤 降低发射功率、加密 路由器和交换机IOS的升级 前期准备： 电脑一台（台式机、笔记本均可） 直连网线一根（即两端线序一致），用于向交换机传输IOS文件； 交换机配置线一根，用于接连设备的console口； TFTP服务器软件一套，本次使用的是“Cisco TFTP Server”； IOS升级文件一份 建立更新计划 路由器和交换机等网络设备IOS不像计算机操作系统一样可以到网上进行自动更新和升级，必须通过人为的手工方式进行升级和更新，所以要求网络管理员必须定期的对设备的IOS进行检查，如果发现有新的IOS或是相关的补丁程序，必须及时有效的进行升级 。 第七单元 降低风险 本课目标 解释系统补丁和修复程序的目的和重要性，以及运用它们。 修改Windows的设置以提高安全性。 停止或删除服务以提高Windows和Linux系统安全。 简化功能降低风险 确定操作系统的角色。 根据需要启动或关闭后台服务。 补丁包和修复程序 Microsoft服务包 Red Hat Linux正误表 ‘正误表’改为‘勘误表’ 禁止和删除不必要的服务 需要过滤的服务端口 服务 使用的TCP/IP端口 DNS区域传输 TCP 53 MS网络 UDP 137和138；TCP 139 MS RPC TCP 135；UDP 135 MS RPC（secondary） UDP 1028 MS SQL Server TCP 1433 SNMP TCP 161和162；UDP161和162 加强网络连接安全 建立一个TCP会话 协议方言 建立一个SMB会话 访问资源 SMB加密 使Windows 2000所有的包都使用加密的签名来防止欺骗，这种方式几乎消除了伪造报文的可能性 其它配置的更改 加强打印机驱动的安全 隐藏上次登录的用户名 加强共享系统对象的安全 清除系统关机后的页面交换文件 其它配置的更改 禁止缓存登录的信任状态 其