《安全操作系统》PPT课件 (2).ppt

安全操作系统 中国科学技术大学计算机系 陈香兰（051287161312） 助教：裴建国 Autumn 2008 主流操作系统的安全技术 vLinux/Unix安全技术 vWindows安全技术 2 Windows的发展历史1 From：/photo/19782_071112183558.jpg 3 Windows的发展历史2 From：/img/upload/osx/windows.jpg 4 Windows NT 4.0 architecture 5 Windows 2000 architecture From: /wikipedia/commons/5/ 5d/Windows_2000_architecture.svg6 Windows安全：NT是分水岭 vNT设计目标：TCSEC标准的C2级 在用户级实现自主访问控制 提供对客体的访问的审计机制 实现客体重用 vWindows NT 4.0 1999年11月通过美国国防部TCSEC C2级安全认证 Windows NT安全子系统 l提供身份鉴别、自主访问控制、客体共享和安全审计等安 全特性。 l主要由本地安全授权（LSA）、安全账户管理（SAM）和 安全参考监视器（SRM）等组成 7 From：Hacking Exposed Windows: Windows Security Secrets & Solutions Bill Gates，“Trustworthy Computing”，January 2002 Refer：/mscorp/execmail/2002/07-18twc.mspx “security really is a journey rather than a destination.” 8 security wheel From：Hacking Exposed Windows: Windows Security Secrets & Solutions 9 The Windows Security Architecture from the Hackers Perspective Attacking Windows security using both kernel and user mode approaches 物理/逻辑 10 Windows安全技术 vWindows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 vWindows 2003中的新安全技术简介 11 Windows NT Security Components From： /whitepapers/Netwo rk_Strategy_Report_Windows_NT_Security.html 1 2 4 12 Windows NT的安全模型 vWindows NT的安全模型包括5个主要部分 登录(WinLogon) 本地安全认证子系统(LSA) msv1_0 安全帐户管理器(SAM) NT LAN Manager(NTLM) 13 Windows 2000安全模型 FROM：/en-us/library/cc751429.aspx Windows 2000 Security Gains ，Article from Windows 2000 Magazine 14 Windows安全性组件 v安全引用监视器，SRM v本地安全认证 vLSA策略数据库 v安全帐号管理器服务 vSAM数据库 v默认身份认证包 v登录进程 v网络登录服务 15 SRM, Security Reference Monitor vTo create or gain access to an object, a request must first flow through the SRM vthe SRM operates in both kernel and user modes /Content/717/02/files/Fig3.gif 16 LSA vLocal Security Authority va process the Local Security Authority Subsystem Service lsass.exe vThe primary security gateway into Windows 17 The SAM and Active Directory vOn all Windows computers, the SAM contains user account name and password information. 口令，以密文形式存放（scrambled value） The scrambling procedure：one-way function 采用哈希算法，密文就是一个哈希值 vOn Windows Server 2000 and later domain controllers, user account/hash data for the domain is kept in the Active Directory 18 Active Directory (AD) v从windows server 2000开始 vprovides a variety of network services, including: LDAP-like Directory services Kerberos based authentication DNS based naming and other network information v采用层次结构来组织对象 v3种对象种类 resources (e.g., printers) services (e.g., email) and users (user accounts and groups) 19 vThe AD provides information on the objects organizes the objects controls access and sets security vForests, trees, and domains the logical parts in an AD network 20 21 基本概念：主体和客体 In Windows vSubjects processes (associated with access tokens) vObjects securable objects (associated with security descriptors) 22 访问相关 /en-us/library/bb496995.aspx 23 基本概念：访问令牌 vWhen a user logs on to Windows an access token containing security identifiers (SIDs) is created, correlated with lthe users account land any group accounts to which the user belongs la list of the privileges held by the user or the users groups vThe access token is associated with every process created by the user 24 安全标识符SID SID示例 revision numberrelative identifier RID 500：the true Administrator account on a local machine RID 501：the Guest accountOn a domain, RIDs starting with 1001 indicate user accounts. The 5th account created in the domain 25 访问令牌 /en-us/library/bb457114.aspx NTLM logon process 26 Token vThe token contains a list of all of the SIDs associated with the user account The accounts SID the SIDs of all groups special identities of which the user account is a member (for example, Domain Admins or INTERACTIVE). vServer 2003开始，缺省带whoami命令 27 Whoami截图，from hacking 28 29 基本概念：安全描述符 vWhen a securable object is created a security descriptor that contains a discretionary access control list (DACL) is assigned lWhich user and group SIDs may access the object, and how (read, write, execute, and so on). vAccess control Compare SID Find a match? Permit : not permit 30 安全描述符，访问控制表和访问控制项 /asptodayarchive/73607/c-to-uml-reverse-engineering 31 Windows 2000的访问控制表 v表头访问控制项（多个） v访问控制项ACESID或GSID访问掩码 访问掩码定义SIG或GSID被授予的权限 ACL 结构 32 基本概念：SECURITY PRINCIPALS vthree types of fundamental accounts Users Groups Computers 33 用户账户，user accounts van account is a reference context in which the operating system executes code all user mode code executes in the context of a user account. Some code that runs automatically before anyone logs on (such as services) lruns in the context of an account (often as the special and all- powerful SYSTEM, or LocalSystem, account) 34 35 用户账户， user accounts v本地用户账户 访问本地计算机 SAM （NT） v域用户账户 访问网络资源 Active Directory 36 组，groups vlogical containers for aggregating user accounts vGroups are also used to allocate privileges in bulk 组内账户继承组的权限 vExample：local Administrators group vNT中 本地组 域组 37 Windows系统常用的组 38 Windows Server 2003中新加的组 39 40 Computers (Machine Accounts) vWhen a Windows system joins a domain, a computer account is created. 41 User Rights vUser rights are a finite set of basic capabilities, such as logging on locally or debugging programs. 非自主访问控制 vtypically assigned to groups the group is typically the unit of privilege assignment vTwo types of user rights logon rights and privileges vLonghorn：40个 42 基本概念：强制登录 v要求所有的用户使用系统前必须登录，通过验 证后才可以访问资源 43 Windows登录验证模型 WinLogon GINA L S A 协 商 SSPI NTLM SSP Kerberos SSP 44 Windows NT/2000/XP的系统登录过程 v登录是通过登录进程WinLogon、LSA、一个或 多个身份认证包和SAM的相互作用发生的 身份认证包：执行身份验证检查的动态链接库。 lMsvl_0：用于交互式登录的身份认证包 WinLogon：一个受托进程，负责管理与安全性相关 的用户相互作用 l是从键盘截取登录请求的唯一进程 45 Windows登录验证过程（以NT为例） 1 2 3 4 56 78 46 Windows远程登录身份验证 v早期：SMB验证协议，在网络上传输明文口令 vLM LM Manager Challenge/Response验证机制 验证机制简单，容易被破解 vNTLM Windows NT挑战/响应验证机制 vNTLM v2 vKerberos LM Manager Challenge/Response 47 The Windows access control model 48 Network Authentication，以NTLM为例 NTLM安全验证过程 由于没有口令（加密或者非加密）通过网络 传输，极大地提高了远程登录身份验证的安 全性 49 关于Kerberos v Version 1，2，3， MIT v Version 4，Steve Miller and Clifford Neuman，late 1980s v Version 5， John Kohl and Clifford Neuman， RFC 1510 in 1993 RFC 4120 in 2005 v Windows 2000 and later use Kerberos as their default authentication method v Apples Mac OS X v Red Hat Enterprise Linux 4 and later v 50 Kerberos参考ppt vGoogle之，N多 v/hollingd/netprog/notes/ker beros/kerberos.ppt v/wu/Course/NetworkSec/Slides/ kerberos.pdf v/farrell/grid06/lectures/KE RBEROS.pdf v/jafitz/250_p1/Kerberos.p pt v 51 From: /digitalguide/images/Misc/kerberos_1.gif 52 How does Kerberos work? vTicket Granting Tickets 53 vThe Ticket Granting Service 54 vThe Application Server 55 vWindows 2000 Kerberos Authentication /en- us/library/bb742431.aspx vWindows 2000 Authentication /Content/617/06/ 1.html 56 Windows 2000的访问控制过程图（小结） 57 Windows 2000和Linux的安全访问控制机制的比较 58 Windows安全技术 vWindows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 vWindows 2003中的新安全技术简介 59 vWindows 2000默认安装没有打开任何安全审计 v控制面板 管理工具 本地安全策略 本地策略 审计策略 Windows Audit机制 9类可审计事件 60 以账户管理事件为例 v创建（624）和启用（626）账户 v更改账户密码（627，628） v更改账户状态（629，630） v对安全组的修改（632，633；636，637） v账户锁定（644，642） v一旦打开上述审计事件，安全审计就会将相关 事件在事件查看器的日志中记录下来 v修改审计策略后，要重启机器。 61 对文件和文件夹的审计 v必要条件 NTFS 打开“对象访问”事件审核策略 v审核设置步骤 ”右键“待审核文件文件夹，”属性“”安全“”高级 “”审核”“添加”“确定” 选择“审核项目” 62 6种审计日志 v应用程序日志 应用程序和系统产生的事件 v系统日志 操作系统自身产生的事件，包括驱动等组件 v安全日志 安全事件相关信息 例如：与监视系统、用户和进程活动相关的信息； 启动失败等安全服务相关信息 v目录服务日志 v文件复制日志 vDNS服务日志 63 事件查看器 64 审计系统服务 v对象管理器 v有效的Win32函数 v调用审计系统服务的进程必须具有 SeAuditPrivilege特权 v可以防止恶意“淹没”“安全日志” 65 Windows系统的审计数据 v二进制结构文件形式存于物理磁盘 v每条记录： 事件发生事件 事件源 66 Windows安全技术 vWindows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 vWindows 2003中的新安全技术简介 67 Windows的注册表 v早期，对系统环境的配置通过*.ini进行 vWindows95之后，注册表 v注册表是一种数据库 集中存储各种信息资源，包括各种配置信息 68 v注册表的“键”和“键值” v注册表编辑器：树型 69 v系统定义关键字（预定义关键字） v应用程序定义关键字 v键值： 值的名称值的数据类型值 70 值的类型 71 系统预定义的5个组关键字 vHKEY_CLASSES_ROOT vHKEY_CURRENT_USER vHKEY_LOCAL_MACHINE vHKEY_USERS vHKEY_CURRENT_CONFIG 72 HKEY_CLASSES_ROOT v包含用于各种OLE技术和文件类关联数据的信 息 v主键记录 Windows中所有数据文件的信息 主要记录不同文件的文件名后缀和与之对应的应用 程序 用户双击一个文件时 与当前注册用户是有关的 73 v子键：2种 已经注册的各类文件的扩展名 各种文件类型的有关信息 74 HKEY_CURRENT_USER v包含当前以交互方式登录的用户的用户配置文 件 v包括 环境变量 桌面设置 网络连接 打印机 程序首选项 v该主键指向HKEY_USERS中的当前用户的安全 ID子键 75 HKEY_LOCAL_MACHINE v用来控制系统和软件的设置 v针对所有用户，是公共配置信息，与具体用户 无关 v5个子键 包含系统使用的浮点处理器、串口等有关信息 存放SAM的信息，被系统所保护，看不到里面的内容 预留 所有已安装的32位应用程序的信息； 各个程序的控制信息分别安装在相应的子键中。 存放系统启动时所使用的信息和修复系统时所需的信息 包括各个驱动程序的描述和配置信息等 CurrentControlSet子键，当前的驱动程序控制集的信息 76 HKEY_USERS v各个用户相关的设置 桌面、背景、开始菜单程序项、等等 77 HKEY_CURRENT_CONFIG v计算机的当前配置情况 显示器、打印机等可选外部设备及其配置信息 78 注册表的备份与恢复 v导出 v导入 79 注册表安全 v默认，注册表的安全级别较高 管理员：完全访问权限 其他用户：自己用户账户相关的 v特权指派 80 Windows安全技术 vWindows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 81 Windows加密文件系统 v加密文件系统，Encrypted File System，EFS v用于在NTFS上存储已加密的文件 加密过程对用户透明 与使用未加密文件和文件夹一样 v文件/文件夹（推荐） 加密属性 82 加密示例 83 命令行加密命令cipher 84 EFS注意点 v 只有NTFS上的文件和文件夹才能被加密 v 不能加密压缩的文件或文件夹 v 加密的文件被复制或移动到非NTFS格式的卷上，会被 解密 v 非加密文件移动到加密文件夹中，自动加密。 反之不成立。 v “系统”属性的文件，无法加密。位于 %SYSTEMROOT%目录结构中的文件，也是如此 v 加密文件或文件夹不能防止删除/列出文件/目录 建议结合NTFS的访问控制来使用EFS v 在允许进行远程加密的远程计算机上可以加密/解密文 件/目录。但，在网络上传输的数据并未加密 85 EFS v对称加密技术非对称加密技术 文件加密密钥 与用户的EFS证书对应的公钥 86 EFS的故障恢复策略 v故障恢复代理 指获得授权解密由其他用户加密的数据的个人 87 Windows安全技术 vWindows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 88 Windows基准安全注意事项（小结） v 验证所有磁盘分区是否都用NTFS格式化 v 禁用不必要的服务 v 禁用或删除不必要的账户 v 确保禁用来宾（guest）账户 v 防止注册表被匿名访问 v 限制对LSA信息进行访问 v 设置密码策略 v 设置账户锁定策略 v 配置管理员账户 v 安装防毒软件和更新 v 安装最新的Service Pack v 安装适当的Service Pack后的安全修补程序 v 补充安全设置 89 Thanks！ The end. !pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A- x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A- x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z- w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%rWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z- w*t!qYnVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A-x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A- w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3B0y)v%s#pXlUiQfNcK8H5E2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$qZnWkShPeMaJ7F4C1z)w&t!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRfOcL9H6E3B+y(u%r#oWlTiQeNbJ8G5D1A- x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+y(u%rZoWlThQeNbJ8G4D1A-w*t$qYnVjSgPdLaI7F3C0y)v&s#pXmUiRfNcK9H5E2B+x(u$rZoWkThQeMbJ7G4D1z-w*t!qYmVjSgOdLaI6F3C0y)v%s#pXlUiRfNcK8H5E2A+x(u$rZnWkThPeMbJ7G4C1z-w&t!qYmVjRgOdL9I6F3B0y(v%s#oXlUiQfNbK8H5D2A+x*u$rZnWkShPeMaJ7G4C1z)w&t!pYmVjRgOcL9I6E3B0y(v%r#oXlTiQfNbK8G5D2A-x*u$qZnVkShPdMaJ7F4C0z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdI6E3B0y(v%r#oXlTiQfNbK8G5D2A- x*u$qZnVkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9H6E3B+y(v%r#oWlTiQeNbK8G5D1A-x*t$qZnVkSgPdMaI7F4C0z)v&s!pXmUjRfOcK9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdLaI7F3C0z)v&s#pXmUiRfOcK9H5E2B+x(u%rZoWkThQeMbJ8G4D1z-w*t!qYnVjSgOdLaI6F3C0y)v&s#pXlUiRfNcK9H5E2A+x(u$rZoWkThPeMbJ7G4D1z-w&t!qYmVjSgOdL9I6F3B0y)v%s#oXlUiQfNcK8H5D2A+x*u$rZnWkThPeMaJ7G4C1z-w&t!pYmVjRgOdL9I6E3B0y(v%s#oXlTiQfNbK8H5D2A- x*u$qZnWkShPdMaJ7F4C1z)w&s!pYmUjRgOcL9I6E3B+y(v%r#oXlTiQeNbK8G5D2A-x*t$qZnVkShPdMaI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlThQeNbJ8G5D1A-w*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQI7F4C0z)w&s!pXmUjRfOcL9H6E2B+y(u%r#oWlTiQeNbJ8G5D1A-x*t$qYnVkSgPdMaI7F3C0z)v&s!pXmUiRfOcK9H6E2B+x(u%rZoWlThQeMbJ8G4D1A-w*t!qYnVjSgPdLaI6F3C0y)v&s#pXmUiRfNcK9