课件17：WindowsNT的安全机制.pptVIP

WindowsNT的安全机制简介,内容提纲,1、WindowsNT简介2、WindowsNT的体系结构3、WindowsNT的安全子系统4、WindowsNT的安全服务5、WindowsNT的安全管理,WindowsNT简介,WindowsNT是一个网络操作系统，它有两个版本：WindowsNTWorkstation和WindowsNTServer。这两个版本的NT都有相同的核心支持、网络支持和安全系统。Workstation是为单个用户高性能地运行应用程序服务的，而Server则是为多用户网络提供服务。在此，我们所讨论的都是基于WindowsNTServer。,WindowsNT简介,WindowsNTServer一方面是为了满足目前商业计算机世界的需要，另一方面也是最容易安装、管理和使用的网络操作系统。这种强健的多用途的网络操作系统提供了可靠的文件和打印服务，同时也提供了运行强有力的客户/服务器应用程序的结构。WindowsNTServer是包含有Internet和Intranet功能的网络操作系统。,WindowsNT简介,WindowsNT运行于Client/Server模式，其设计客体是提供文件和打印服务；他支持远程访问服务RAS(RemoteAccessService)和Internet服务。WindowsNT中带有一个完全的WEB服务器组件IIS，所以它可以在Internet上提供WEB服务。另外，通过添加软件，WindowsNT也可以作为防火墙使用。,二、WindowsNT的体系结构,WindowsNT的体系结构,WindowsNT是由一组软件组件组成，他们运行在核心模式下。,WindowsNT的体系结构,(1)核心模式由执行服务组成，它们构成一个自成体系的操作系统。(2)用户模式由非特权的服务组成，这些服务也称为受保护子系统，他们的启动由用户决定。用户模式在核心模式之上，用户模式组件要利用核心模式提供的服务。,WindowsNT的对象,为了实现自身的安全特性，WindowsNT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，WindowsNT提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把WindowsNT还称为基于对象的操作系统。,WindowsNT的对象,WindowsNT的安全就是基于以下的法则：用对象表现所有的资源只有WindowsNT才能直接访问这些对象对象能够包含所有的数据和方法对象的访问必须通过WindowsNT的安全子系统的第一次验证存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么,WindowsNT的对象,Windows中首要的对象类型有：(1)文件(2)文件夹(3)打印机(4)I/O设备(5)窗口(6)线程(7)进程(8)内存,三、WindowsNT的安全子系统,WindowsNT的安全子系统,WindowsNT安全子系统包含五个关键的组件：SecurityidentifiersAccesstokensSecuritydescriptorsAccesscontrollistsAccesscontrolentries,安全标识符（SecurityIdentifiers）,操作系统提供的安全功能中很重要的一点就是责任确保任何实体的动作将唯一用该实体标识。每次当我们创建一个用户或一个组的时候，系统会分配给该用户或组一个唯一SID。它是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。,访问令牌（AccessTokens）,用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给WindowsNT，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，WindowsNT将会分配给用户适当的访问权限。,安全描述符（Securitydescriptors）,WindowsNT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。,访问控制列表（Accesscontrollists）,访问控制列表有两种：自主访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。自主访问控制列表包含了用户和组的列表，以及相应的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。,访问控制项（Accesscontrolentries）,访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。,WindowsNT的安全子系统的实现,安全子系统包括以下部分：(1)Winlogon(2)GraphicalIdentificationandAuthentication(GINA)(3)LocalSecurityAuthority(LSA)(4)SecuritySupportProviderInterface(SSPI)(5)AuthenticationPackages(6)Securitysupportproviders(7)NetlogonService(8)SecurityAccountManager(SAM),WindowsNT的安全子系统,WinlogonandGina:,Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL（放在C:WINNTSystem32msgina.dll）。,本地安全认证（LocalSecurityAuthority）,本地安全认证（LSA）是一个受保护的子系统，是安全子系统的中心组件。它负责以下任务：(1)调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages的值，并调用该DLL进行认证（MSV_1.DLL）。(2)重新找回本地组的SIDs和用户的权限。(3)创建用户的访问令牌。(4)管理本地安装的服务所使用的服务账号。(5)储存和映射用户权限。(6)管理审核的策略和设置。(7)管理信任关系。,认证包（AuthenticationPackages）,认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。,安全支持提供者（SecuritySupportProvider）,安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。,网络登陆（Netlogon）,网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，取回用户的SIDs和用户权限。,安全账号管理者（SecurityAccountManager）,安全账号管理者(SAM)，它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。,四、WindowsNT的安全服务,验证,应用程序要被不同的人访问，无论使用远程或本地计算机。操作系统需要回答的第一个问题是“这个人是否有权力访问这个应用程序？“。确保用户就是他们自己声称的那个人的能力是操作系统必须提供的最重要的安全功能之一。验证机制把系统进行标识，该标识用于当用户在系统上工作时跟踪他们，同真实身份标识绑定在一起。,MicrosoftWindowsNT的验证服务,WindowsNT要求在访问系统资源，例如文件，目录等等，以前进行验证。WindowsNT提供了一个引发安全性的键组合（CTRL-ALT-DEL组合键）建立到操作系统的通信，而且也只到操作系统的，以进行验证。这种信任路径机制的使用可以防止特洛伊木马程序截获一个用户的初始认证信息。,MicrosoftWindowsNT的验证服务,缺省的验证机制是用户名和密码。WindowsNT提供了设置密码有效期限，强度（也就是长度），历史，以及使用时间的能力。WindowsNT还针对可猜测性或者字典攻击提供了对管理员密码的强度的密码过滤器。WindowsNT对储存在注册表中的密码信息进行了加密。这样的手段降低了对密码文件的基于字典的猜测式攻击，无论该文件是在本地机上或者攻击者把该文件复制到其他机器上。,MicrosoftWindowsNT的验证服务,虽然WindowsNT提供了用户名/密码验证，它还提供了标准的图形化标识和验证接口（GINA，GraphicalIdentificationandAuthentication），这样第三方可以很容易的把附加的验证方法集成到WindowsNT中。除GINA外，WindowsNT还提供了安全服务提供者接口（SecurityServicesProviderInterface）和加密应用程序编程接口（CAPI，CryptographicApplicationsProgrammingInterface）。这些模块提供应用程序访问操作系统上的加密服务的标准方法，以及供应商为操作系统提供附加加密服务的标准方法。,MicrosoftWindowsNT的验证服务,WindowsNT把验证机制集成到全部安全操作和体系中。分布式应用程序使用WindowsNT验证机制进行客户/服务器访问。这些验证机制使用挑战/响应协议，这个协议对密码进行数学转换，密码决不会以明文形式传递。,访问控制,一旦操作系统断定连接的用户是正确的用户，它就必须回答“该用户可用的信息是什么”。访问控制是防止未经授权的实体对系统信息进行访问的机制。典型的操作系统都支持访问控制机制，该机制指定可以读，写，修改，或者复制特定的系统对象。,WindowsNT访问控制服务,WindowsNT提供两种形式的访问控制：对象许可和系统范围用户权利。对象许可就是自主访问控制。用户权利，在分配给组的时候，允许一种基于角色的访问控制。WindowsNT的内核包括安全访问监视器（SecurityReferenceMonitor）在系统的一个单一模块上实现了这些访问仲裁控制。,WindowsNT访问控制服务,在基于WindowsNT的系统上的所有资源，例如文件（仅限NTFS格式），进程，打印机，注册表，或者通信设备，在对象监视器中都用一个对象来表示。在一个对象上执行指定操作的许可存放在访问控制列表中（ACL，AccessControlLists）。ACL提供了一个细粒度的访问控制。它们允许对象所有者基于独立用户，或者它们定义的用户组以及管理员定义的组指定许可。为了管理上的方便同时提供了本地组和全局组。,WindowsNT访问控制服务,系统范围用户权利是一种赋予用户能力，或者权限来进行特定系统动作，而不会提供超出他们需要的权限的方法。可以分别管理27种权限。这些权利和限制在登录的时候包含在验证过的用户名中而且只能在用户被授予这种权限的时候才能改变（通常保留给网络管理员）。这意味着没有应用程序能为一般的用户修改他们自己的安全性设置。,责任,责任和审核服务回答发生了什么？。即使最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能中很重要的一点就是责任-确保任何实体的动作将唯一用该实体标识。一个实体可以是一个人，一个操作系统资源，或者一个外部系统，例如计算机或者网络。,WindowsNT的责任服务,WindowsNT紧密绑定一个安全ID（SID，SecurityID），SID唯一标识一个主机或者域上的用户。SID是同一次用户登录连接的进程相联系的访问记号的一部分。它自动成为系统产生的任何审核纪录的一部分。该服务提供了所有的用户可以进行的动作的完整的责任-从文件访问到应用程序使用。,审核,从安全的观点看，审核是重现安全相关事件以支持对事件的原因和影响的检查。审核跟踪或者系统日志信息可以被用来判断是否有违反安全策略的事情发生或者是否有值得怀疑的事情。,WindowsNT审核服务,NT系统提供了事件日志（EventLogging）。事件日志可以被配置在系统级别和对象级别记录安全相关事件。系统事件包括登录和退出，文件和对象访问，用户权利的使用，用户和组管理，安全策略改变，重新启动和关机，系统错误，以及进程跟踪。文件和对象审核可以被控制在单个文件，目录，甚至是驱动器。这些事件的组合足够满足可信计算机系统评估准则（TCSEC-TrustedComputerSecurityEvaluationCriteria，也就是橘皮书）的要求。,安全分区,从安全的角度看，每一个系统实体（用户或者计算机资源）均被分配一个安全分区，或者叫做域。一个安全域是一个逻辑结构，由实体被授权访问的所有对象组成。一个用户域也许包括存储空间，I/O设备，应用程序，以及其他元素。一个进程域只包含那些被授权使用的系统资源（数据，存储空间，I/O等等）。,WindowsNT安全分区分离服务,WindowsNT通过维护进程间的地址分离提供了进程孤立。实体间的所有访问和通信都通过仲裁接口。该仲裁是内核提供的，在一个用户编程不能使用的保护地址空间中操作。所有的内核功能包含在一个单一的模块中，即安全访问模块（SecurityReferenceModule）。这样把所有安全相关的功能集中到一个从一开始就为安全而设计单一模块中。通过这个模块，WindowsNT内核控制任何应用程序可以访问的资源。例如，用一个普通用户的许可运行的应用程序不能访问为其他应用程序，或者具有更高权限的用户保留的内存或者文件系统资源自动强制实现这个功能。,WindowsNT安全分区分离服务,WindowsNT在分配系统缓冲给一个用户之前，会清除该缓冲并且维护一个文件使用指针以防止磁盘上文件块的重用。这样可以防止用户之间的不可预测的信息流。另外，WindowsNT提供应用程序在返还交换空间给操作系统之前清除它们的能力，在系统关机的情况下也是一样。这些是很重要的存储空间重用功能，可以防止攻击者读取其他用户的应用程序留下的信息。,五、WindowsNT的安全管理,WindowsNT的安全管理,WindowsNT通过一系列的管理工具，以及对用户帐号，口令的管理，对文件、数据授权访问，执行动作的限制，以及对事件的审核来保证系统安全的。对用户帐号、用户权限及资源权限的合理组合，可以有效地保证安全性。,强化安全的措施,1、加强物理安全管理1)去掉或锁死软盘驱动器，禁止DOS或其他操作系统访问NTFS分区；2)在服务器上设置系统启动口令，设置BIOS禁用软盘引导系统；3)不创建任何DOS分区；4)保证机房的物理安全。2、用最新的ServicePack(SP4或SP5)升级WindowsNTServer。3、掌握并使用微软提供但未设置的安全功能。例如：缺省安装未禁用Guest账号，并且给Everyone（每个人）工作组授予“完全控制”权限，没有实施口令策略等。,4、控制授权用户的访问在域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的“完全控制”权限，要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外，不要共享任何一个FAT卷。5、避免给用户定义特定的访问控制最明智的作法就是为每个用户指定一个工作组，为工作组指定文件、文