操作系统安全Windows 系统安全(一)第一页,共221页内容提要 系统安全概述 Windows系统安全机制 安全部署Windows系统第二页,共221页1.系统安全概述安全级别 度量标准:TrustedComputerSystemEvaluationCriteria(1985) 系统安全程度的七个等级:(D1、C1、C2、B1、B2、B3、A1)第三页,共221页级别描述D最低的级别如MS-DOS,没有安全性可言C1灵活的安全保护系统不需要区分用户可提供基本的访问控制C2灵活的访问安全性系统不仅要识别用户还要考虑唯一性系统级的保护主要存在于资源、数据、文件和操作上如WindowsNTB1标记安全保护系统提供更多的保护措施,包括各种的安全级别如AT&T的SYSTEMV、UNIXwithMLS,以及IBMMVS/ESAB2结构化保护支持硬件保护内容区被虚拟分割并严格保护如TrustedXENIX和HoneywellMULTICSB3安全域支持数据隐藏和分层,可以阻止层之间的交互如HoneywellXTS-200A校验级设计需要严格的准确证明系统不会被伤害,而且提供所有低级别的因素如HoneywellSCOMP。
第四页,共221页1.系统安全概述脆弱性分析技术的脆弱性 配置的脆弱性 管理的脆弱性第五页,共221页 2.1Windows系统的安全架构 2.2Windows的安全子系统 2.3Windows的账户及密码系统 2.4Windows的权利与权限 2.5Windows的系统服务和进程 2.6Windows的日志系统2.Windows系统安全机制第六页,共221页2.1Windows系统的安全架构6 6个主要的安全服务:个主要的安全服务:Audit,Administration,Encryption,Audit,Administration,Encryption,AccessControl,UserAuthentication,CorporateSecurityAccessControl,UserAuthentication,CorporateSecurityPolicyPolicy 第七页,共221页C2级别的操作系统中所包含的安全组件:访问控制的判断(Discretionaccesscontrol)Windows支持对象的访问控制的判断这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。
对象重用(Objectreuse)当资源(内存、磁盘等)被某应用访问时,Windows禁止所有的系统应用访问该资源,这也就是为什么WindowsNT禁止undelete已经被删除的文件的原因强制登陆(Mandatorylogon)与WindowsforWorkgroups,Windwows95,Windows98不同,Windows2K/NT要求所有的用户必须登陆,通过认证后才可以访问资源由于网络连接缺少强制的认证,所以Windows作为C2级别的操作系统必须是未连网的2.1.1Windows系统的安全组件第八页,共221页审核(Auditing)WindowsNT在控制用户访问资源的同时,也可以对这些访问作了相应的记录对象的访问控制(Controlofaccesstoobject)WindowsNT不允许直接访问系统的某些资源必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问2.1.1Windows系统的安全组件第九页,共221页为了实现自身的安全特性,Windows2K/NT把所有的资源作为系统的特殊的对象这些对象包含资源本身,Windows2K/NT提供了一种访问机制去使用它们。
Microsoft的安全就是基于以下的法则: 用对象表现所有的资源 只有Windows2K/NT才能直接访问这些对象C 对象能够包含所有的数据和方法C 对象的访问必须通过Windows2K/NT的安全子系统的第一次验证C 存在几种单独的对象,每一个对象的类型决定了这些对象能做些什么Windows中首要的对象类型有:文件文件夹打印机I/O设备窗口线程进程内存这些安全构架的目标就是实现系统的牢固性从设计来考虑,就是所有的访问都必须通过同一种方法认证,减少安全机制被绕过的机会2.1.2Windows系统的对象第十页,共221页2.2Windows安全子系统第十一页,共221页WindowsNT安全子系统包含五个关键的组件:Securityidentifiers,Accesstokens,Securitydescriptors,Accesscontrollists,AccessControlEntries安全标识符(SecurityIdentifiers):就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装WindowsNT后,也会得到一个唯一的SID。
SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性例:S-1-5-21-17632321-500访问令牌(Accesstokens):用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给WindowsNT,然后WindowsNT检查用户试图访问对象上的访问控制列表如果用户被允许访问该对象,WindowsNT将会分配给用户适当的访问权限访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌2.2.1Windows安全子系统的组件第十二页,共221页安全描述符(Securitydescriptors):WindowsNT中的任何对象的属性都有安全描述符这部分它保存对象的安全配置访问控制列表(Accesscontrollists):访问控制列表有两种:任意访问控制列表(DiscretionaryACL)、系统访问控制列表(SystemACL)任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝每一个用户或组在任意访问控制列表中都有特殊的权限。
而系统访问控制列表是为审核服务的,包含了对象被访问的时间访问控制项(Accesscontrolentries):访问控制项(ACE)包含了用户或组的SID以及对象的权限访问控制项有两种:允许访问和拒绝访问拒绝访问的级别高于允许访问当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的,它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访问总是优先于允许访问的2.2.1Windows安全子系统的组件第十三页,共221页C WinlogonC GraphicalIdentificationandAuthenticationDLL(GINA)C LocalSecurityAuthority(LSA)C SecuritySupportProviderInterface(SSPI)C AuthenticationPackagesC SecuritysupportprovidersC NetlogonServiceC SecurityAccountManager(SAM)2.2.2Windows安全子系统的身份认证第十四页,共221页2.2.2Windows安全子系统的身份认证WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Winlogon,LocalSecurityAuthorit以及Netlogon作为服务运行,其他的以DLL方式被这些文件调用。
第十五页,共221页2.2.2Windows安全子系统的身份认证WinlogonandGina:Winlogon调用GINADLL,并监视安全认证序列而GINADLL提供一个交互式的界面为用户登陆提供认证请求GINADLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINADLLWinlogon在注册表中查找HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLL 第十六页,共221页2.2.2Windows安全子系统的身份认证本地安全认证(LocalSecurityAuthority):本地安全认证(LSA)是一个被保护的子系统,它负责以下任务:调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值,并调用该DLL进行认证(MSV_1.DLL)在4.0版里,WindowsNT会寻找HKLMSYSTEMCurrentControlSetControlLSA下所有存在的SecurityPackages值并调用。
重新找回本地组的SIDs和用户的权限创建用户的访问令牌管理本地安装的服务所使用的服务账号储存和映射用户权限管理审核的策略和设置管理信任关系第十七页,共221页2.2.2Windows安全子系统的身份认证 安全支持提供者的接口(SecuritySupportProvideInterface):微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的认证连接的方法(Kerberos/NTLM)认证包(AuthenticationPackage):认证包可以为真实用户提供认证通过GINADLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中第十八页,共221页2.2.2Windows安全子系统的身份认证 安全支持提供者(SecuritySupportProvider):安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,WindowsNT安装了以下三种: Msnsspc.dll:微软网络挑战/反应认证模块 Msapsspc.dll:分布式密码认证挑战/反应模块,该模块也可以在微软网络中使用 Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。
这种认证方式经常在使用SSL(SecureSocketsLayer)和PCT(PrivateCommunicationTechnology)协议通信的时候用到第十九页,共221页2.2.2Windows安全子系统的身份认证网络登陆(Netlogon):网络登陆服务必须在通过认证后建立一个安全的通道要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限安全账号管理者(SecurityAccountManager):安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库保存了注册表中HKLMSecuritySam中的一部分内容不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝第二十页,共221页2.2.3Windows身份认证机制 LanManager认证(称为LM协议) 早期版本 NTLMv1认证协议C NT4.0SP3之前的版本 NTLMv2认证协议C NT4.0SP4开始支持 Ker。