مرکز دانلود خلاصه کتاب و جزوات دانشگاهی

ضرورت توجه به امنيت اطلاعات

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .

مدل امنيتی "دفاع در عمق "

بررسی لايه داده

در آخرين لايه فريمورك مدل امنيتی "دفاع در عمق" ، لايه داده قرار دارد . داده دارای نقشی اساسی و حياتی در دنيای پردازش اطلاعات است و از آنها به منظور انجام پردازش های گوناگون استفاده می گردد تا اطلاعات ارزشمندی توليد شود .

داده به اشكال مختلفی در يك شبكه ذخيره می گردد . داده ممكن است در اسناد ، فايل های داده اكتيو دايركتوری و فايل های مختلف برنامه ها ذخيره شود. سيستم های كامپيوتری ، داده را بر روی رسانه های متعدد ذخيره سازی ( نظير هارد ديسك ) ذخيره می نمايند .

نسخه های اخير ويندوز از سيستم فايل های متعددی به منظور ذخيره و بازيابی فايل ها حمايت می نمايند. سيستم فايل NTFS ( برگرفته از NT file system ) يك نمونه در اين زمينه است كه از آن در اكثر نسخه های ويندوز ( نظير XP ، 2000 و 2003 ) حمايت می گردد . سيستم فايل فوق ، امكانات متعددی را در جهت حفاظت از داده نظير مجوزهای دستيابی به فايل ها و يا فولدرها ، ارائه می نمايد .

سيستم فايل NTFS ، امكانات اضافه ديگری نظير سيستم رمزنگاری فايل ها موسوم به EFS ( برگرفته از Encrypting File System ) را ارائه می نمايد كه می توان از آن به منظور پياده سازی امنيت داده استفاده نمود .

تهديدات لايه داده

مهاجمانی كه قادر به دستيابی به يك سيستم فايل می گردند ، می توانند خرابی های گسترده ای را ايجاد و يا به حجم بالائی از اطلاعات دستيابی پيدا نمايند . آنان می توانند فايل ها و اسنادی را مشاهده نمايند كه ممكن است برخی از آنها حاوی اطلاعات مهمی باشد . مهاجمان همچنين می توانند اطلاعاتی را حذف و يا تغيير نمايند . اين موضوع برای هر سازمانی نگران كننده است و می تواند مسائل و مشكلات متعددی را برای آنها به دنبال داشته باشد .

سرويس اكتيو دايركتوری ، از فايل هائی كه بر روی هارد ديسك ذخيره می گردند برای ذخيره اطلاعات خود استفاده می نمايد . اين فايل ها در مكان پيش فرض و در زمانی كه سيستم به يك Domain Controller ارتقاء می يابد ، ذخيره می گردند . پيشنهاد می گردد در حين فرآيند ارتقاء سيستم به يك Domain controller ، فايل ها را در محل ديگری غير از مكان پيش فرض ذخيره نمود . با توجه به اين كه اسامی فايل ها شناخته شده می باشند ( با نام NTDS.dit ) ، تغيير مكان اين فايل ها می تواند سرعت مهاجمان جهت نيل به اهداف مخرب را كند نمايد . در صورتی كه سيستم فوق در معرض تهديد قرار بگيرد تمامی محيط domain در معرض خطر قرار خواهد گرفت .

فايل های مربوط به برنامه ها نيز بر روی ديسك ذخيره می گردند و مستعد حملات می باشند. مهاجمان با دستيابی به اينگونه فايل ها می توانند در روند اجرای يك برنامه اختلال ايجاد كرده و يا آنها را در مسيری قرار دهند كه پردازش های مخربی را انجام دهند .

حفاظت لايه داده

سيستم فايل NTFS ، مجوزهای امنيتی را در سطح فايل و يا فولدر ارائه می نمايد . با استفاده از پتانسيل فوق می توان ليست های دستيابی را ايجاد تا مشخص گردد كه چه كسی و با چه سطح دستيابی مجاز به استفاده از يك فايل می باشد .

افزايش حفاظت لايه داده مستلزم بكارگيری توام ليست های كنترل دستيابی و رمزنگاری است . با رمزنگاری يك فايل ، صرفا" امكان مطالعه و يا مشاهده محتويات يك فايل از كاربران غيرمجاز سلب می گردد ولی مهاجمان و يا ساير افراد غير مجاز می توانند عملياتی را كه نيازمند مشاهده محتويات يك فايل نيست ( نظير حذف يك فايل ) انجام دهند .

حتی المقدور می بايست برنامه های كاربردی و سيستم عامل را در مكانی غير از مكان پيش فرض نصب نمود . اسامی و مكان پيش فرض ذخيره تعداد زيادی از فايل های حياتی و مهم سيستم عامل كاملا" شناخته شده می باشند . پيشنهاد می گردد ، اينگونه فايل ها در مكانی ديگر ذخيره گردند تا كار مهاجمان برای يافتن آنها تا حدودی مشكل تر شود .

همانگونه كه اشاره گرديد داده در بسياری از فعاليت های تجاری دارای نقشی مهم و برجسته می باشد و از دست دادن آنها ممكن است خسارات جبران ناپذيری را برای يك سازمان به دنبال داشته باشد . بنابراين ، لازم است بازيافت داده به عنوان يك فرآيند حياتی در دستور كار قرار گرفته و از راهكارهای خاصی در اين زمينه استفاده گردد . تهيه backup در فواصل زمانی كاملا" مشخص شده ، اقدامی مهم در اين رابطه است . فرآيند backup و restore يك امر حياتی برای هر محيط عملياتی مبتنی بر داده می باشد . همچنين از نسخه های backup گرفته شده می بايست به درستی و با دقت محفاظت گردد .

سيستم EFS ، امكان رمزنگاری فايل های موجود بر روی محيط ذخيره سازی را فراهم می نمايد . فرآيند رمزنگاری از يك كليد برای رمزنگاری فايل و فناوری كليد خصوصی و عمومی برای حفاظت كليد رمزنگاری استفاده می نمايد . زمانی كه فايل ها در يك شبكه جابجا و از مكانی به مكان ديگر منتقل می شوند ، سيستم EFS آنها را رمز نخواهد كرد ( خصلت رمزنگاری وابسته به سيستم فايل است نه شی فايل ) .

ليست های كنترل دستيابی صرفا" بر روی اسنادی كار خواهند كرد كه تحت مديريت سيستم فايل قرار داده شوند . زمانی كه اسناد به مكان ديگر منتقل گردند ( مثلا" يك هارد ديسك ديگر ) ، قابليت ليست های كنترل دستيابی غيرقابل استفاده می گردد. سيستم RMS ( برگرفته از Windows Rights Management Services ) در ويندوز 2003 ، قابليت كنترل دستيابی را به شی فايل و يا فولدر تسری داده و آن را مستقل از محيط فيزيكی ذخيره سازی می نمايد . سيستم فوق به ايجاد كنندگان اسناد قابليت های كنترلی ويژه ای را می دهد كه مشابه آن در اختيار استفاده كنندگان اسناد قرار نخواهد گرفت .به عنوان نمونه فردی كه يك فايل را ايجاد می نمايد ، می تواند مجوزهای آن را بگونه ای تنظيم نمايد كه صرفا" استفاده كننده بتواند آن را مشاهده و يا مطالعه نمايد و قادر به انجام عملياتی نظير copy ,paste و يا چاپ نباشد .

مفاهيم عمومي امنيت در سيستم فايل NTFS

امنيت تحت ويندوز NT و 2000،‌به طور عمومي يكي از مهم‌ترين ويژگي‌هاي اين سيستم‌هاي عامل است. امنيت كه شامل كنترل دسترسي به سيستم و منابع مختلف آن مي‌شود، موضوعي است كه توجه بسيار زيادي را در ويندوزهاي NT و 2000 به خود معطوف نموده است. مديريت مقوله‌هاي امنيتي براي مثال، حساب كاربران و گروه‌ها، بخش اعظمي از فعاليت‌هاي يك مدير شبكه تحت ويندوزهاي NT و 2000 را تشكيل مي‌دهد. امنيت در NTFS حول مفهوم كليدي اختصاص مجوز به كاربران خاص يا گروهي از كاربران خاص مي‌گردد.

مثلا‌ً يك شبكه‌ تحت ويندوز NT يا 2000 را در نظر بگيريد كه از سرورها و كلا‌ينت‌هاي مختلفي تشكيل شده است. هر كاربري كه پشت يكي از كلا‌ينت‌ها بنشيند، به‌راحتي مي‌تواند به سرورها متصل شود. اما براي دسترسي به منابع مختلف آن، حتماً لا‌زم است كه به سرور Login كند. اين مسئله براي شخصي كه مستقيماً از سرور استفاده مي‌كند نيز صادق است. با توجه به اين‌كه اگر سرور به درستي تنظيم شده باشد، مدير شبكه براي هر كسي كه مي‌خواهد از شبكه استفاده كند حساب كاربري ويژه‌اي را ايجاد مي‌كند.

هر شخصي كه در شبكه حسابي نداشته باشد، مي‌تواند از حساب مهمان (guest) استفاده كند. اما در اين حساب اجازه‌هاي دسترسي به دلا‌يل واضحي بسيار است. اگر كسي حتي رمزعبور حساب مهمان را نداشته‌باشد، نمي‌تواند هيچ كاري روي سرور انجام دهد. كنترل‌هاي دسترسي براي فايل‌ها و دايركتوري‌ها براساس همين حساب‌هاي كاربري و گروه‌ها اجرا مي‌شود.

ويژگي ديگر امنيت NTFS، موضوع مجوزها است. براي مثال شركتي را تصور كنيد كه داراي بيست كارمند و يك سرور است. روي سرور درايوي به نام D: وجود دارد كه اطلا‌عات محرمانه بودجه دارد كه بايد فقط مديرعامل و معاون او از آن‌ها اطلا‌ع داشته باشند و ديگر كاركنان شركت اجازه دسترسي به آن را نداشته باشند. تحت NTFS برپا كردن چنين مجوزهايي بسيار ساده است. فقط كافي است اجازه دسترسي را به گروه مربوط به آن بدهيد. اين كار موجب عدم دسترسي ساير كاركنان و افراد به فايل‌ها مي‌شود.

مجوزها

يكي از مهم‌ترين منافع انتخاب سيستم‌فايلي NTFS آن است كه با انتخاب آن نظارت دقيقي بر عملكرد فايل‌ها امكان‌پذير است. FAT در دوره پي‌سي‌هاي تك كاربره به وجود آمد. به همين دليل هيچ‌گونه امنيت و مديريت دسترسي توكاري را شامل نمي‌شود. NTFS محيط امني را فراهم مي‌نمايد و نظارت انعطاف‌پذيري براي چگونگي دسترسي و كاربري كه مي‌خواهد به منابع موردنظر دسترسي داشته باشد، ارائه‌ مي‌كند. امنيت و مجوزهاي NTFS، به ويژگي‌هاي سيستم‌عامل يكپارچه شده است.

در اينجا از توضيح كامل دامنه‌هاي ويندوز 2000 و NT، سرويس‌هاي دايركتوري، گروه‌ها و مراحل Login و نظاير آن خودداري مي‌كنيم و اين مسئله را به زمان ديگري موكول مي‌نماييم.

در ويندوز 2000، سيزده كامپوننت مختلف مجوز وجود دارد كه تحت شش گروه استاندارد مختلف طبقه‌بندي شده‌اند. List Folder Contents و Read‌ِ‌Exewte مجوز يكساني دارند كه تا حدودي گيج‌كننده است. تفاوت ميان آن‌ها از نحوه توارث NTFS نشأت مي‌گيرد. List Folder Contents فقط براي فولدرها استفاده مي‌شود و فايل‌هاي داخل آن فولدر از آن تأثير مي‌پذيرند. Read‌ِ‌Exewte هم براي فايل‌ها و هم براي فولدرها استفاده شده و هر دو آن‌ها از آن تأثير مي‌پذيرند. شايد به اين نكته توجه كرده باشيد كه گروه NoAccess در ويندوز 2000 حذف شده است. در ويندوز NT تمام گروه‌ها به جز No Access دسترسي مثبت را فراهم مي‌كند. يعني شما اجازه دسترسي نداريد. No Access تنها گروهي است كه مي‌گويد: اجازه دسترسي داريد. در واقع مي‌گويد شما نمي‌توانيد هيچ كاري انجام دهيد. اين عدم انعطاف‌پذيري با قابليت اجازه دادن يا ندادن به صورت گروه‌هاي مجوز يا مجوز‌هاي مجزا، در ويندوز 2000 تصحيح شده است.

تملك شي‌ها

هر شي‌ در سيستم‌فايل NTFS داراي صاحب است كه به عنوان كنترل‌كننده آن شي شناخته مي‌شود. به طور پيش‌فرض هر كاربري كه فايل و يا فولدري را ايجاد مي‌كند، صاحب آن شناخته مي‌شود. مهم‌ترين ويژگي صاحب يك فايل يا فولدر بودن آن است كه به كاربر امكان ايجاد مجوزهاي دسترسي را مي‌دهد. صاحب فايل مي‌تواند تصميم بگيرد كه مجوزي را براي آن ايجاد كند و چگونگي دسترسي ديگران به آن فايل‌ها و فولدرها را مشخص‌نمايد. به بيان ديگر، مجوزها به همراه مفهوم ديگري كه تملك ناميده مي‌شود، كار مي‌كند.

دو مجوز ويژه‌اي كه به تملك و مجوزها مربوط مي‌شوند، عبارتند از: change permission) p) و Take wonership) o) اگر كاربري مجوز change permission را داشته باشد، مي‌تواند تنظيمات مربوط به آن مجوز را تغيير دهد؛ حتي اگر صاحب آن نباشد. اگر كاربري مجوز Take ownship را داشته باشد، توانايي تملك آن را نيز دارد.

تصميم در مورد نحوه اختصاص مجوزها به فايل‌ها و فولدرهاي مختلف، از مهم‌ترين فعاليت‌هاي مديريت شبكه‌ها است. براي ايجاد گروه‌ها و اختصاص مجوزها براي شي‌هاي مختلف محاسبه دقيقي موردنياز است. يكي از معمول‌ترين اشتباهات مديران شبكه، استفاده نادرست از مجوز No Access در ويندوز NT است. اگر اين مجوز به نادرستي استفاده شود، مي‌تواند موجب قفل شدن كاربران در ويندوز NT شود.

همچنين اگر كاربران به‌طور مداوم تملك فايل‌ها را تغيير دهند، مي‌توانند مشكلا‌ت فراواني را براي سيستم به وجود آورند. به همين دليل اهميت مجوزهايي مانند Full Control نسبت به مجوزهاي محدودتري مانند change يا Modify مشخص مي‌شود. هنگام دادن مجوزي مانند Full Control دقت بسيارزيادي لا‌زم است تا سيستم‌ دچار مشكل نشود. توجه كنيد كه به‌طور پيش‌فرض اعضاي گروه Administrators امكان تملك تمام فايل‌ها و فولدرها، تغيير مجوزهاي تمام فايل و فولدرها را دارند. اين ويژگي‌ها امكان رفع مشكلا‌ت به‌وجود آمده در مورد مجوزها را به مدير شبكه مي‌دهد.

در اين مقاله نمي‌خواهيم جزئيات اعطاي مجوزها را شرح دهيم. با اين‌حال لا‌زم است به اين نكته اشاره كنيم كه مجوزها در ويندوز NT و 2000 به‌طور متفاوتي عمل مي‌كنند. در ويندوزNT فقط يك نوع اعطاي مجوز امكانپذير است. به‌طور عمومي شما مي‌توانيد اجازه دهيد كه كاربري كاري را انجام دهد. براي مثال مي‌توانيد اجازه دهيد كه كاربري مجوزهاي يك فولدر را ببيند. با اعطا نكردن مجوز نوشتن، سيستم از نوشتن هرگونه فايلي در داخل فولدر جلوگيري مي‌كند. اما به هرحال هيچ‌گونه مجوز واضحي بدين مفهوم كه "هيچ مجوز نوشتني براي كاربر خاصي" وجود ندارد. تفاوت بسيار مهم است. زيرا اين كار تأثير بسياري بر فرم‌ سلسله مراتبي فولدرها دارد. تنها راه جلوگيري از دسترسي به يك چيز در ويندوز NT، اعطاي مجوز No Access است. ويندوز 2000 پيشرفت فراواني در مورد اعطاي مجوزهاي NTFS، به وسيله واضح نمودن تنظيمات براي هر مجوز نموده است.

توارث مجوزها

قبل از ويندوز 2000، با توارث مجوز ايستا روبه‌رو بوديم. اما پس از آن توارث مجوزها به دو بخش تقسيم شد: توارث مجوز ايستا و پويا. ولي سوال اين است كه واقعا توارث مجوز چيست؟ وقتي كه شما از ويندوز NT استفاده مي‌كرديد و فولدري را در درون فولدر ديگري ايجاد مي‌كرديد، شي جديد دسته‌اي از مجوزهاي پيش‌فرض را با توجه به فولدر والدآن شي براي آن كپي مي‌كرد. به اين عمل توارث مجوز گفته مي‌شود، يا در برخي مواقع "انتقال مجوز" نيز گفته مي‌شود.

در مورد مدل توارثي ويندوز NT اين عمل فقط يك‌بار اتفاق مي‌افتد؛ يعني هنگامي كه شي ايجاد مي‌شود. به همين دليل، به توارث ويندوز همگرا در ويندوز NT توارث مجوز ايستا نيز گفته مي‌شود. اين عبارت در مقابل توارث پويا در ويندوز 2000 به كار مي‌رود. توارث ايستا دشواري‌هاي فراواني را براي مديران شبكه‌هايي كه نياز به مديريت ساختار عظيم دايركتوري دارند به وجود مي‌آورد. ساختار درختي بزرگي از فولدرها را تصور كنيد.در توارث ايستا، پس از ايجاد يك زيرفولدر جديد، مجوزهاي آن ديگر از شي والدآن به ارث نمي‌رسد. مشكلا‌ت هنگامي به وجود ميآيد كه از گروه مجوز Full Control استفاده شود.

اين بدان‌معناست كه كاربران آزادانه مي‌توانند با اين مجوز در قسمت‌هاي مختلف ساختار درختي حركت كنند. به‌علا‌وه، توارث ايستا افزودن يك مجوز جديد به ساختار موجود را بسيار سخت مي‌كند. فرض كنيد كه يك گروه كاربري جديد را ايجاد مي‌كنيد و مي‌خواهيد هر كسي در آن گروه به دايركتوري‌هاي موجود دسترسي داشته باشد. اين كار را چگونه انجام مي‌دهيد؟

براي رفع اين مشكلا‌ت، ويندوز NT ويژگي خاصي را در هنگام اعطاي مجوزها ارائه كرده است. اگر شما گزينه‌هايReplace Permissions on Subdirectories و Replace Permissions on euistin files را هنگام تغيير مجوزهاي يك فولدر انتخاب كنيد، ويندوز NT تمام مجوزهاي شي‌هاي فرزند را براي همساني با شي والد تغييرمي‌دهد. بنابراين اگر شما يك گروه كاربري جديد را اضافه كنيد و بخواهيد اجازه دسترسي به ساختار كنوني به آن بدهيد، مي‌توانيد از اين امكانات استفاده كنيد تا ويندوز NT را وادار به انتقال مجوزهاي جديد به پايين ساختار درختي نماييد. با اين كار امكان دسترسي گروه كاربري جديد به هر فايل و فولدري را مي‌دهيد.

همان‌طور كه پيش‌تر گفته شد، روش توارث مجوز ايستا كه در ويندوز NT مورد استفاده قرار مي‌گيرد، برخي مشكلا‌ت مربوط به مديريت ساختارهاي دايركتوري بزرگ را از بين مي‌برد. اما داراي نقاط ضعف مهمي نيز هست. اين نوع توارث اجازه بومي كردن مجوزهاي شاخه‌هاي دايركتوري همزمان با اعطاي مجوزهاي جديد به تمام ساختار موجود را به مدير شبكه نمي‌دهد. براي حل مشكلا‌ت موجود در توارث ايستا، مايكروسافت توارث مجوز پويا را در ويندوز 2000 معرفي نمود. در توارث مجوز پويا وقتي شما يك زيرفولدر يا فايل‌ها را در فولدرهاي ويندوز 2000 مي‌سازيد، شي فرزند مجوزهاي والد را به ارث مي‌برد. ولي متصل به والد باقي مي‌ماند.

فراتر از آن، مجوزهاي والد به صورت جداگانه از هرگونه مجوز ديگري كه به صورت دستي به شي فرزند اعطا شده است، ذخيره مي‌شود. مدل اتصالي پويا دو مشكل اساسي موجود در مدل اتصالي ايستا را حل كرد. اولا‌ً هر تغييري كه در فولدر والد به وجود آيد، به صورت خودكار به اشياي فرزند به ارث مي‌رسد. در ثاني هر تغيير كه به شي فرزند به ارث مي‌رسد، موجب خرابي اين انتقال خودكار نمي‌گردد. تحت توارث پويا، مدير يك شبكه يا كاربر به راحتي مي‌تواند درخت سلسله مراتبي مجوزها كه با درخت سلسله مراتبي دايركتوري‌ها همسان است مديريت كند. هنگامي كه هر شي فرزند از والد خود مجوزها را به ارث مي‌برد و شما يك سلسله مراتب متشكل از سه يا بيش از سه مرتبه از فولدرها را برپا مي‌كنيد، اشيايي كه در عمق اين ساختار قراردارند، مجوزها را از والدهاي خود به ارث مي‌برند. به اين ويژگي‌ <بازگشت> گفته مي‌شود.

پيگيري وقايع

بزرگ‌ترين بخش امنيت سيستم فايلي NTFS حول محور كنترل دسترسي به انواع مختلفي از اشيا مي‌گردد. يعني مديريت كارهايي كه كاربران انجام مي‌دهند و اطمينان از سطح دسترسي مناسب براي انواع فايل‌ها و فولدرها.

به‌هرحال پاره‌اي ويژگي‌هاي ديگر امنيت نيز وجود دارند كه قابل توجه هستند مثلا‌ً ثبت اطلا‌عات گذشته. در بسياري از مواقع براي يك مدير شبكه بسيار مهم است كه نه ‌تنها به مديريت شبكه و اتفاقات آن در حال حاضر بپردازد، بلكه از اطلا‌عات ثبت شده از چند روز گذشته نيز آگاه باشد. براي فراهم‌كردن اين امكان براي مديران شبكه، NTFS از ويژگي‌اي به نام پيگيري وقايع (lauditing) برخوردار است.

هنگامي كه اين ويژگي فعال باشد، سيستم امكان پيگيري وقايع خاصي را دارد. وقتي هريك از وقايع موردنظر اتفاق افتاد، سيستم يادداشتي را در فايل خاصي به نام Log مي‌نويسد كه مدير شبكه و افراد با مجوزهاي لا‌زم مي‌توانند آن‌را بخوانند. هر ورودي، نوع واقعه، تاريخ و ساعت اتفاق و كاربري كه موجب به وقوع پيوستن آن اتفاق شده و اطلا‌عات مربوط به آن ثبت مي‌شود. اين ويژگي در ويندوز NT و 2000 تنها بخش كوچكي از ويژگي‌هايي است كه درNTFS ارائه مي‌شود. اين ويژگي‌ها امكان پيگيري همه چيز از Login در سيستم تا استفاده از چاپگرها و حتي اشكالا‌ت سيستم را به مدير شبكه مي‌دهد. در NTFS وقايع قابل پيگيري به‌طور عمومي دسترسي به انواع مختلف اشيا و انواع مختلف مجوزها را شامل مي‌شود. اين نوع پيگيري را براي انواع فايل‌ها و فولدرها مي‌توان انتخاب نمود. همچنين اين امكان براي اشياي مستقل و ساختار سلسله مراتبي فولدرها، همان‌طور كه براي مجوزها نيز امكان‌پذير است، قابل انتخاب است.

امنيت در لينوکس

امروزه در دنیایی متکی بر فناوری اطلاعات زندگی می‌کنیم که هر لحظه به خطر افتادن جریان اطلاعات منجر به بروز خسارت‌های تجاری جبران ناپذیری خواهد شد. امروزه همه به دنبال یک سکوی (Platform) امن‌تر برای اجرای برنامه‌های کاربردی و سرویس ‌دهنده‌ها هستند. لینوکس حرف‌های زیادی برای گفتن در سمت امنیت دارد. بسیاری از قابلیت‌های امنیتی که در ویندوز وجود ندارند و یا فقط با اضافه کردن نرم‌افزارهای اضافی قابل دسترسی می‌باشند، بطور درونی و پیش‌گزیده در لینوکس پیاده سازی شده‌اند. لینوکس از ابتدا برای محیط‌های شبکه‌ای و چند کاربره طراحی شده است و همین باعث رعایت مسائل امنیتی از ابتدا در آن شده است، درحالی که ویندوز اینگونه نبوده و درحال حاضر نیز از نظر امنیتی دارای نقاط ضعف فراوانی است. مثلا یک برنامه مخرب با استفاده از همین ضعف‌های امنیتی می‌تواند کل سیستم‌عامل را نابود کند، ولی در صورتی که مورد مشابهی در لینوکس وجود داشته باشد، حداکثر به دایرکتوری خانگی کاربر اجرا کننده آسیب خواهد رسید، نه کل سیستم‌عامل.

اینطور نیست که لینوکس فاقد هر گونه اشکال امنیتی باشد، خیر، ولی باز بودن کد منبع آن باعث می‌شود تا بسیاری از اشکالات امنیتی پیش از ایجاد خسارت و در مراحل توسعه و برنامه نویسی برنامه بر ملا شده و رفع شوند. در صورتی که اشکالی نیز در برنامه‌های منتشر شده یافت شود، بدلیل موجود بودن کد منبع سریعا برطرف می‌گردد. در صورتی که در سیستم عامل ویندوز شما باید منتظر مایکروسافت بمانید و بمانید و بمانید. سیستم‌عامل ویندوز دارای اشکالات امنیتی بسیاری است که به راحتی هم کشف نمی‌شوند و هنگامی کشف می‌شوند که خسارات جبران ناپذیری در اثر حمله از طریق آن ضعف‌های امنیتی رخ دهد که امثال آنرا شاهد هستیم.

می‌توان ادعا کرد که تقریبا هیچ ویروسی برای لینوکس وجود ندارد و این درحالی است که سالیانه بیش از ۱۰۰۰ ویروس و کرم مختلف برای سیستم‌عامل ویندوز ایجاد می‌شود. این بخاطر عدم گسترده بودن لینوکس نیست (حدود ۷۰ درصد از سایت‌های وب در جهان بر روی سیستم‌عامل لینوکس و سرویس‌دهنده وب آپاچی درحال اجرا هستند) بلکه بدلیل وجود حفره‌های امنیتی متعدد ویندوز و سیاست انحصار گرایی مایکروسافت است. یعنی چه؟ مایکروسافت طوری رفتار و سیاست گذاری کرده است که مشتریان خود را تنها به محصولات خودش عادت دهد. بسیاری از کاربران ویندوز از اینترنت اکسپلورر و آتلوک برای مرور وب و پست الکترونیک استفاده می‌کنند. من به عنوان یک ویروس نویس، می‌دانم که اگر ویروسی را برای کاربران ویندوز بنویسم، بر روی کامپیوترهای ۹۰ درصد آنها اثر خواهد کرد. چون اکثرا از IE و Outlook استفاده می‌کنند. ولی در لینوکس چطور؟ در لینوکس شما طیف وسیعی از انتخاب و عدم اجبار دارید. من از مرورگر موزیلا استفاده میکنم. دوستی دارم که Konqueror را ترجیح می‌دهد. دیگری از Opera استفاده می‌کند. من از Kmail استفاده می‌کنم. دوستم از Evolution، دیگری از Pine و بعدی از Mutt و برادرم هم از Mozilla Mail. من فقط می‌توانم برای یکی از اینها ویروس بنویسم چون روی بقیه کار نخواهد کرد و عملا میزان اثر آن اندک خواهد بود. ضمنا هیچیک از ویروس‌هایی که برای ویندوز نوشته شده‌اند، بر روی لینوکس کار نمی‌کنند.