操作系统作为计算机系统的核心,其安全性直接关系到个人隐私、企业数据和国家信息的安全。在信息技术快速发展的今天,信息泄露已成为常见的安全威胁,因此保障操作系统安全是防止计算机中重要信息泄露的基本要求。本文分为上下两篇,全面剖析操作系统中可能存在的安全问题及相应的防护措施。
本文为下篇,从六个方面对操作系统安全防护进行简要介绍,主要包括杀毒软件、设备访问控制软件、主机入侵防御系统、Shell、操作系统事件日志和虚拟化防护,旨在帮助读者对操作系统安全防护有初步的认识。
供应商在开发软件时,可能会存在因编码错误导致的漏洞。恶意行为者可以利用这些漏洞,通过开发恶意代码来进行攻击。由于挖掘一个已发现且未修复的漏洞通常需要花费大量的时间和精力,恶意行为者通常会尝试重复利用这些漏洞进行攻击。因此,用户需要安装杀毒软件来保证操作系统的安全。同时,安全供应商会根据已发现的漏洞进行修复,并上传更新杀毒软件的病毒库。
杀毒软件在工作站和服务器上部署,一般进行以下设置:
- 基于签名的检测功能启用并设置为高级
- 基于启发式的检测功能启用并设置为高级
- 声誉评级功能启用-勒索软件保护功能启用
- 检测签名配置为至少每天更新一次
-
为所有固定磁盘和可移动媒体配置定期扫描
设备访问控制软件旨在阻止未经授权的可移动存储设备(如U盘、光盘)以及移动设备(如智能手机、平板电脑)通过外部通信接口连接到工作站和服务器。这有助于防范恶意代码的入侵以及阻止恶意行为者窃取系统内的数据。
此外,恶意行为者可以利用允许直接内存访问(DMA)的外部通信接口,直接访问锁定的工作站和服务器的内存。这样,恶意行为者就能读取内存中的加密密钥或将恶意代码写入内存。针对这一安全风险,最佳的防御措施是禁用允许DMA的外部通信接口,如FireWire、ExpressCard和Thunderbolt。
许多安全产品依靠签名来检测恶意代码。这种方法只有在恶意代码已经被分析过并且可以从安全供应商处获得签名的情况下才有效。但是,恶意行为者可以很容易地创建已知恶意代码的变体,以绕过传统的基于签名的检测。基于主机的入侵防御系统(Host-based Intrusion Prevention System,HIPS)可以使用基于行为的检测来帮助识别和阻止异常行为,以及检测尚未被安全供应商识别的恶意代码。因此,在工作站、关键服务器和高价值服务器上实现HIPS非常重要。
在操作系统中,Shell包括Command shell和PowerShell。Microsoft开发的用于帮助自动化日常系统管理任务的一个shell是CMD(或称为Command Prompt),它是Command shell的一种实现,例如在Windows中,CMD可以通过批处理脚本运行Windows命令。但是,恶意行为者也可以使用CMD在受损的系统上运行Windows命令。对CMD的防护通常涉及集中记录和分析其进程创建事件,以监控系统的安全状态、检测恶意行为,并为网络安全事件后的调查做出贡献。
PowerShell是Microsoft于2006年推出的一种强大的脚本语言和自动化工具,旨在提高系统管理员的工作效率。由于其普遍性和易用性,PowerShell可以用来完全控制操作系统,是系统管理员工具包的重要组成部分。然而,PowerShell也可能成为恶意行为者手中的危险利用工具。为了降低利用早期PowerShell版本中的漏洞进行攻击的风险,建议升级到最新版本的PowerShell,并配置适当的安全策略。此外,PowerShell的语言模式应设置为约束语言模式,以实现安全和功能之间的平衡。最后,通过集中记录和分析PowerShell脚本的执行、模块加载等事件,可以更有效地监控系统的安全状态、检测恶意行为,并有助于调查网络安全事件。
集中记录和分析操作系统事件可以帮助监控系统的安全状态,检测恶意行为并有助于网络安全事件后的调查。
- 应用程序及操作系统的崩溃和错误消息
- 安全策略和系统配置的更改
- 用户成功登录和注销,用户登录失败和帐户锁定
- 失败、重启、重要进程和服务的更改
- 请求访问internet资源、安全产品相关事件、系统启动和关闭。
事件日志监视对于维护系统的安全状态至关重要。特别地,这类活动需要及时分析事件日志以检测并识别网络安全事件。为确保事件日志的有效性,每个被记录的事件都应包含足够的细节,如事件的日期和时间、相关用户或过程、文件名、事件描述及所涉及的信息技术设备。
用户可以通过开发事件日志记录策略来增加在其系统上检测恶意行为的可能性,这一策略需充分考虑到服务提供商与客户之间明确的责任划分。此外,事件日志记录策略应详细规定:需要记录哪些事件、使用何种事件日志记录工具、如何有效监视这些日志以及事件日志的保留期限。
集中式事件日志记录设施可用于以协调的方式捕获、保护和管理来自多个源的事件日志。这可以通过使用安全信息和事件管理解决方案来实现。此外,为了支持集中的事件日志记录功能,重要的是建立准确的时间源,并在系统之间一致地使用它来帮助识别事件之间的连接。
事件日志的保留对于系统监控、搜索和网络安全事件响应活动是不可或缺的。因此,跨域解决方案、数据库、域名系统服务、电子邮件服务器、网关、多功能设备、操作系统、远程访问服务、安全服务、服务器应用程序、系统访问、用户应用程序、web应用程序和web代理的事件日志应保留一段适当的时间,以保证系统监控的进行。
物理服务器通常使用基于软件的隔离机制来共享其硬件,以支持多个计算环境。这样,计算环境可以由安装在虚拟机中的整个操作系统构成,其隔离机制是hypervisor,例如提供基础设施即服务的云服务;或者,计算环境可以由使用物理服务器底层操作系统共享内核的应用程序组成,其隔离机制是应用程序容器或应用程序沙箱,例如提供平台即服务的云服务。
但是,单个应用程序(如提供软件即服务的云服务)中数据的逻辑分离并不等同于多个计算环境的隔离。破坏或合法控制单个计算环境的恶意行为者,可能会利用隔离机制中的错误配置或漏洞,进而破坏同一物理服务器上的其他计算环境,甚至破坏物理服务器的底层操作系统。因此,在使用基于软件的隔离机制来共享物理服务器硬件时,实现额外的控制至关重要。
本文主要从杀毒软件、设备访问控制软件、主机入侵防御系统、Shell、操作系统事件日志和虚拟化防护六个方面从防护软件、日志等方面继续展开对操作系统安全防护的分析,期望结合上篇可以对想要初步了解操作系统安全防护的读者有所帮助。
[1] The Australian Signals Directorate. Information Security Manual [EB/OL]. June, 2024. https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism.
车联网隐私保护技术研究
车联网技术与安全综述
手机直连卫星技术综述(下篇)
到此这篇win32dll是什么(win32/virus.adware.08e是什么病毒)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/rfx/29942.html
