《Window系统安全课件》由会员分享,可在线阅读,更多相关《Window系统安全课件(44页珍藏版)》请在金锄头文库上搜索。
1、第十章 虚拟私用网络技术 第第8章章 Windows系统安全系统安全 8/9/2024_Window系统安全内容提要内容提要q8.1 Windows NT 安全体系安全体系介绍介绍安全模型安全模型q8.2 Windows NT的安全环境的安全环境q8.3 Windows NT安全保护安全保护事件日志事件日志IP报文过滤报文过滤注册表修改注册表修改_Window系统系统安全安全8.1 Windows NT 安全体系安全体系qWindows NT是根据模块化结构设计而成的。是根据模块化结构设计而成的。所有的执行程序服务都运行在内核模式下,整所有的执行程序服务都运行在内核模式下,整个个Windows
2、 NT操作系统由一系列的软件模块操作系统由一系列的软件模块构成。构成。qWindows NT的安全性建立在的安全性建立在Windows NT的核心层上,其安全模型属于的核心层上,其安全模型属于Windows NT的的子系统。安全子系统控制着对象的访问。子系统。安全子系统控制着对象的访问。q为防止用户用户应用程序访问或修改系统重要为防止用户用户应用程序访问或修改系统重要数据,对处理器采用两种访问模式数据,对处理器采用两种访问模式内核模式和用户模式内核模式和用户模式_Window系统系统安全安全8.1.2 Windows NT的安全模型的安全模型qWindows NT的安全体系提供了对事件的审的安
3、全体系提供了对事件的审核和跟踪手段来监控系统中的访问和应用。核和跟踪手段来监控系统中的访问和应用。q组成:组成:登录过程登录过程本地安全认证本地安全认证安全账号管理器安全账号管理器安全引用监视器安全引用监视器_Window系统系统安全安全(1)Windows NT登录过程登录过程_Window系统系统安全安全(2)本地安全认证)本地安全认证(LSA)q本地安全认证是一个被保护的子系统,本地安全认证是一个被保护的子系统,Window 2000的的LSA控制本地安全策略,控制本地安全策略,向用户提供认证服务和策略。向用户提供认证服务和策略。q应该限制应该限制LSA信息不被匿名访问,需要修改信息不被
4、匿名访问,需要修改注册表:注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSAAnonymous 赋值为赋值为1,类型为,类型为REG_DWORD_Window系统系统安全安全(3)安全账号管理)安全账号管理q安全账号管理安全账号管理(SAM)负责负责SAM数据库的控制和数据库的控制和维护维护q可以使用可以使用regedt32.exe打开注册表编辑器,打开注册表编辑器,如图所示如图所示_Window系统系统安全安全_Window系统系统安全安全(4)安全引用监视器)安全引用监视器q以内和模式运行,负责检查以内和模式运行,负责检查Wind
5、ows NT Server的合法性,以保护资源,避免使资源的合法性,以保护资源,避免使资源受到破坏。受到破坏。q为对象的有效访问提供服务并为用户提供访为对象的有效访问提供服务并为用户提供访问权限,同时还能阻止非授权用户访问,实问权限,同时还能阻止非授权用户访问,实施审计。施审计。q安全应用监视器对用户透明。安全应用监视器对用户透明。_Window系统系统安全安全8.2 Windows NT的安全环境的安全环境q对象和共享资源对象和共享资源q文件系统文件系统q域和工作组域和工作组q用户的权利和权限用户的权利和权限q用户账号用户账号q组账号组账号q注册表注册表_Window系统系统安全安全8.2.
6、1对象和共享资源对象和共享资源q对象是对象是Windows NT安全环境下的基本操作单元。对安全环境下的基本操作单元。对象的概念包括了文件、文件目录、驱动器、进程、存象的概念包括了文件、文件目录、驱动器、进程、存储器等。储器等。对象和访问控制列表对象和访问控制列表(ACL)的关系图的关系图userAOwnRWOuserB R OuserCRWOObj1userAOwnRWOuserB R OuserCRWOObj1_Window系统系统安全安全8.2.2文件系统文件系统qWindows NT支持两种文件系统支持两种文件系统FAT ( Table)NTFS (NT )q不同的操作系统所采用的文件
7、系统各不相同不同的操作系统所采用的文件系统各不相同文件系统文件系统FAT文件系统文件系统NTFS文件系统文件系统支持的操支持的操作系统作系统MS-DOS,WINDOWS95,98,NT,2000,XPWINDOWS NT,2000,XP_Window系统系统安全安全qFAT16文件系统文件系统不能管理大容量的硬盘。每个分区的最大存储不能管理大容量的硬盘。每个分区的最大存储容量只有容量只有2.115G;FAT16系统造成硬盘空间的大量浪费。系统造成硬盘空间的大量浪费。碎片的产生、处理、文件定位、数据安全等方碎片的产生、处理、文件定位、数据安全等方面也均存在致命的缺陷面也均存在致命的缺陷硬硬盘盘空
8、空间间(或分区大小)(或分区大小)簇的大小簇的大小16MB16MB128MB128MB2KB2KB128MB128MB256MB256MB4KB4KB256MB256MB512MB512MB8KB8KB512MB512MB1GB1GB16KB16KB1GB1GB2GB2GB32KB32KB_Window系统系统安全安全qFAT32 文件系统文件系统FAT32可支持容量可支持容量21.1G分区;分区;可大大提高硬盘利用率,使用较小的簇可大大提高硬盘利用率,使用较小的簇硬硬盘盘空空间间(或分区大小)(或分区大小)簇的大小簇的大小32GB32KB_Window系统系统安全安全qNTFS文件系统文件系
9、统是微软是微软Windows NT内核系列操作系统支持的、一个内核系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式计的磁盘格式结构:卷、簇、主控文件表结构:卷、簇、主控文件表(MFT)等等NTFS的可恢复支持的可恢复支持s断电或系统受到破坏后,系统在不运行磁盘修复断电或系统受到破坏后,系统在不运行磁盘修复实用程序的情况下,保持完整的文件系统操作和实用程序的情况下,保持完整的文件系统操作和磁盘的卷结构的完整,但发生崩溃时例外。磁盘的卷结构的完整,但发生崩溃时例外。_Window系统系统安全安全qNTFS系统支持安全管
10、理,管理员可以制定可系统支持安全管理,管理员可以制定可以或不可以存取个别的文件或目录的用户。以或不可以存取个别的文件或目录的用户。q容错支持,由于存在容错支持,由于存在FtDisk.sys的容错磁盘的容错磁盘驱动程序。驱动程序。qNTFS坏簇恢复,坏簇恢复,FtDisk能够从容错卷上的一能够从容错卷上的一个坏扇区恢复数据,除非硬盘不使用个坏扇区恢复数据,除非硬盘不使用SCSI协协议或用尽了备用扇区。议或用尽了备用扇区。_Window系统系统安全安全8.2.3域和工作组域和工作组q域域域代表一组域控制器、服务器、工作站、用户账号、域代表一组域控制器、服务器、工作站、用户账号、策略和域里的对象。域
11、中有多个用户组,用户组中策略和域里的对象。域中有多个用户组,用户组中有若干用户。有若干用户。域由主域控制器来控制。每一个域只能有一个主域域由主域控制器来控制。每一个域只能有一个主域控制器,但可以同时拥有多个备份域控制器。控制器,但可以同时拥有多个备份域控制器。域控制器中包含了由这个域的账户、密码、属于这域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。电脑联入网络个域的计算机等信息构成的数据库。电脑联入网络时,域控制器进行鉴别,决定是否可以访问。时,域控制器进行鉴别,决定是否可以访问。_Window系统系统安全安全q域的委托域的委托用户建立域之间的委托关系,就可以通过
12、一个登用户建立域之间的委托关系,就可以通过一个登录标识访问其他域中的资源。录标识访问其他域中的资源。q四种委托:四种委托:单域模型,用户数单域模型,用户数1万个,适宜集中管理万个,适宜集中管理主域模型,只有一个主域和多个资源域,主域模型,只有一个主域和多个资源域,1万,单管万,单管完全委托模型完全委托模型,所有域建立双向委托,每个域都有一份用所有域建立双向委托,每个域都有一份用户账号和全局组,繁琐户账号和全局组,繁琐_Window系统系统安全安全q工作组工作组一个域内可能有成百上千台计算机,如果不进行一个域内可能有成百上千台计算机,如果不进行分组,会非常混乱;分组,会非常混乱;工作组是单独的系
13、统或不属于一个域的多个系统工作组是单独的系统或不属于一个域的多个系统的有组织的单元,一个系统不属于域,则它自动的有组织的单元,一个系统不属于域,则它自动成了工作组的成员。成了工作组的成员。工作组网络共享不如域模型安全,但适合小规模工作组网络共享不如域模型安全,但适合小规模网络网络_Window系统系统安全安全8.2.4用户的权利和权限用户的权利和权限q用户权利是确定用户可以在计算机上所执行用户权利是确定用户可以在计算机上所执行操作的规则。此外,用户权利控制用户是否操作的规则。此外,用户权利控制用户是否可直接或通过网络登录,删除用户等。可直接或通过网络登录,删除用户等。q通常,管理员通过想内置组
14、添加用户账户,通常,管理员通过想内置组添加用户账户,或创建新组并指派权利。用户权利是通过或创建新组并指派权利。用户权利是通过“组策略组策略”管理的。管理的。_Window系统系统安全安全q权限权限对象权限对象权限只能在只能在NTFS文件系统的分区中使用。文件系统的分区中使用。目录和文件访问权限目录和文件访问权限_Window系统系统安全安全在在NT中为了设置方便,系统提供了集中权限的组中为了设置方便,系统提供了集中权限的组合,用户可以直接使用它(标准权限)合,用户可以直接使用它(标准权限)q共享权限共享权限决定用户从网络上访问系统资源的方式,在决定用户从网络上访问系统资源的方式,在NT系系统中
15、只能对目录设置共享。统中只能对目录设置共享。对象权限对象权限房门钥匙房门钥匙 共享权限共享权限大楼门卫大楼门卫_Window系统系统安全安全8.2.5用户账号用户账号qWindows NT的用户账号是系统安全的核心。的用户账号是系统安全的核心。 Windows NT网络中发生的一切活动都可以追网络中发生的一切活动都可以追溯到特定的授权用户。溯到特定的授权用户。q用户账户通过用户名和密码来标识,实际上,用户账户通过用户名和密码来标识,实际上,账户的关键标识符是账户的关键标识符是SID(安全标识符)。(安全标识符)。qNT安全模型的各组件协同工作,根据用户账户安全模型的各组件协同工作,根据用户账户
16、的权限和特权来允许或拒绝对资源的访问。的权限和特权来允许或拒绝对资源的访问。_Window系统系统安全安全8.2.6组账号组账号q监理组,可以简化对大量用户进行管理和确监理组,可以简化对大量用户进行管理和确定权限的任务。定权限的任务。q一个用户可以属于多个组。一个用户可以属于多个组。q用户可以把目录和文件的访问权限赋予给用用户可以把目录和文件的访问权限赋予给用户,也可以赋予组,后者更方便。户,也可以赋予组,后者更方便。q三种类型三种类型本地组本地组 能直接访问本地机的用户能直接访问本地机的用户全局组全局组 能访问网上资源的用户能访问网上资源的用户特别组特别组 为了特定目的为了特定目的_Wind
17、ow系统系统安全安全8.2.7注册表注册表q早期的早期的Win3.x对软硬件工作环境的配置通过对软硬件工作环境的配置通过修改修改.ini文件完成。文件完成。qWindows95之后,采用了称为之后,采用了称为“注册表注册表”的的数据库来统一进行管理。数据库来统一进行管理。q注册表特点:注册表特点:修改设置,不用重启修改设置,不用重启新设备即插即用新设备即插即用可以在网络上检查系统的配置,远程管理可以在网络上检查系统的配置,远程管理_Window系统系统安全安全注册表的体系结构注册表的体系结构树状结构树状结构键和子键方式组织键和子键方式组织按关键字搜索按关键字搜索_Window系统系统安全安全8
18、.3 Windows NT安全保护安全保护q8.3.1 事件日志事件日志q8.3.2 IP报文过滤报文过滤q8.3.3 注册表修改注册表修改_Window系统系统安全安全8.3.1事件日志事件日志qWindows NT的事件日志记录着有关操作系统或应的事件日志记录着有关操作系统或应用程序的重要事件。用程序的重要事件。q包括:包括:应用程序日志应用程序日志s由应用程序或一般程序记录的事件由应用程序或一般程序记录的事件系统日志系统日志s由系统组件记录的事件由系统组件记录的事件安全日志安全日志s可以记录诸如有效和无效登录尝试等安全事件,以及可以记录诸如有效和无效登录尝试等安全事件,以及与资源使用有关
19、的事件与资源使用有关的事件 _Window系统系统安全安全q查看日志,默认的阅读器查看日志,默认的阅读器q随时可以停止或启动服务随时可以停止或启动服务sC:NET STOP EVENTLOGsC:NET START EVENTLOG_Window系统系统安全安全8.3.2 IP报文过滤报文过滤qWindows 2000 IP 报文过滤报文过滤“TCP/IP筛选筛选”路由和远程服务路由和远程服务(RRAS) 设定设定用用IPSec的策略进行定义的策略进行定义_Window系统系统安全安全qWindows 2000配备的配备的TCP/IP滤波机构能进滤波机构能进行简单控制。行简单控制。_Windo
20、w系统系统安全安全q在在“TCP/IP筛选筛选”中不能利用源中不能利用源IP地址和标地址和标志进行精细控制。志进行精细控制。 qWindows 2000 Server中,为了精细设定路中,为了精细设定路由规则,必须使用由规则,必须使用RRAS (路由和远程访问)(路由和远程访问)输入过滤器输入过滤器输出过滤器输出过滤器_Window系统系统安全安全_Window系统系统安全安全8.3.3 注册表修改注册表修改q基于基于NT框架的框架的Windows NT和和Windows 2000存在着不少致命的漏洞,注册表记录了存在着不少致命的漏洞,注册表记录了系统和程序进行运转的几乎所有关键信息,系统和程
21、序进行运转的几乎所有关键信息,通过更改注册表,可以在网络内部起到一定通过更改注册表,可以在网络内部起到一定的安全防范作用。的安全防范作用。对本地登录的保护对本地登录的保护防止远程攻击防止远程攻击_Window系统系统安全安全对本地登录的保护对本地登录的保护1)让用户名不出现在登录框中让用户名不出现在登录框中访问子键:访问子键: HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinlogon新建字符串:新建字符串:”DontDisplayLastUserName”,并把该值设置为并把该值设置为“1”_Window系统系统安全安全
22、2)抵御抵御Backdoor的破坏的破坏访问子键:访问子键: HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinlogonRun找到右边窗口的找到右边窗口的“Notepad”键值,将它删除即可键值,将它删除即可_Window系统系统安全安全q3)屏蔽屏蔽“控制面板控制面板”中的指定项目中的指定项目,防止用户进行任意设置。防止用户进行任意设置。访问子键:访问子键: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl
23、新建一个双字节新建一个双字节(REG_DWORD)值项值项,修改其值为修改其值为1。然后,新建一个注册表项然后,新建一个注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl,在该项下新建若,在该项下新建若干个字符串干个字符串(REG_SZ)值项值项: 形式为形式为“序号控制面板项对应的文件名序号控制面板项对应的文件名” 如如:屏蔽控制面板中的屏蔽控制面板中的 “系统系统”,可以在该项下新建两个值项,可以在该项下新建两个值项“1” ,值为,值为sysdm.cpl(系统项对应的文
24、件系统项对应的文件),重启桌面使更改,重启桌面使更改生效。生效。_Window系统系统安全安全q不允许使用控制面板不允许使用控制面板q锁定桌面锁定桌面q禁用禁用Regedit命令命令q隐藏网上邻居隐藏网上邻居q禁止屏幕保护使用密码禁止屏幕保护使用密码q_Window系统系统安全安全防止远程攻击防止远程攻击q1)设置生存时间)设置生存时间 访问子键:访问子键: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0xff (0-255 十进制,默认值十进制,默认值128) q
25、说明:指定传出说明:指定传出IP数据包中设置的默认生存时间数据包中设置的默认生存时间(TTL)值。值。TTL决定了决定了IP数据包在到达目标前在网络中生存数据包在到达目标前在网络中生存的最大时间。它实际上限定了的最大时间。它实际上限定了IP数据包在丢弃前允许数据包在丢弃前允许通过的路由器数量。有时利用此数值来探测远程主机通过的路由器数量。有时利用此数值来探测远程主机操作系统。操作系统。_Window系统系统安全安全q2)防止)防止ICMP重定向报文的攻击重定向报文的攻击 访问子键:访问子键: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTc
26、pipParametersEnableICMPRedirects REG_DWORD 0x0 (默认值为默认值为0x1) q说明:该参数控制说明:该参数控制Windows 2000是否会改变其路是否会改变其路由表以响应网络设备由表以响应网络设备(如路由器如路由器)发送给它的发送给它的ICMP重重定向消息,有时会被利用来干坏事。定向消息,有时会被利用来干坏事。Win2000中默中默认值为认值为1,表示响应,表示响应ICMP重定向报文。重定向报文。_Window系统系统安全安全q3)防止)防止SYN洪水攻击洪水攻击 访问子键:访问子键: HKEY_LOCAL_MACHINESYSTEMCurren
27、tControlSetServicesTcpipParametersSynAttackProtect REG_DWORD 0x2 (默认值为默认值为0x0) q说明:说明:SYN攻击保护包括减少攻击保护包括减少SYN-ACK重新传输次数,重新传输次数,以减少分配资源所保留的时间。路由缓存项资源分配延以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止迟,直到建立连接为止.如果如果synattackprotect=2,则,则AFD的连接指示一直延迟到三路握手完成为止的连接指示一直延迟到三路握手完成为止.注意,注意,仅在仅在TcpMaxHalfOpen和和TcpMaxHalfOpe
28、nRetried设设置超出范围时,保护机制才会采取措施。置超出范围时,保护机制才会采取措施。_Window系统系统安全安全q4)禁止)禁止C$、D$一类的缺省共享一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer REG_DWORD 0x0 q5)禁止)禁止ADMIN$缺省共享缺省共享 qHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareWks RE
29、G_DWORD 0x0 _Window系统系统安全安全q6)限制)限制IPC$缺省共享缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous REG_DWORD 0x0 缺省缺省0x1 匿名用户无法列举本机用户列表匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机匿名用户无法连接本机IPC$共享共享 q说明:不建议使用说明:不建议使用2,否则可能会造成你的一,否则可能会造成你的一些服务无法启动,如些服务无法启动,如SQL Server_Window系统系统安全安全本章结束本章结束_Window系统系统安全安全
