Windows 操作系统安全技术.ppt

操作系统安全 第七章Windows操作系统安全技术 第七章Windows操作系统安全技术 7 1身份验证7 2访问的安全控制7 3注册表安全7 4域管理机制7 5文件系统安全7 6安全设置7 7日志7 8服务包与补丁包更新7 9Windows7安全机制十大革新 7 1身份验证 7 1 1基本概念1用户账户 Account 所谓用户账户 是计算机使用者的身份标识 每一个使用计算机的人 必须凭借他的用户账户才能进入计算机 进而访问计算机中的资源 用户账户有两种基本类型 本地用户账户和全局用户账户 域用户账户 1 本地用户账户创建于网络客户机 它的作用范围仅仅限于创建它的计算机 用于控制用户对该计算机上资源的访问 2 域用户账户创建于服务器 域控制器 可以在网络中任何计算机上登录 使用范围是整个网络 7 1身份验证 Windows系统常用的内置账户 1 Guest 来宾账户 2 Administrator 系统管理员账户 具有最高权限 2组 Group 组是一组相关账号的集合 即用户账户的一种容器 提供了为一组用户同时设定权利和权限的可能 使用组的目的 简化对网络的管理 通过组可以一次性地为一批用户授予一定的权利和权限 7 1身份验证 Windows系统中的组有三种基本类型 本地组全局组特别组 本地组 1 本地组 工作组网络环境的组 用于创建网络客户机 控制对所创建的计算机资源的访问 它的成员是用户账户和全局组 它在一个本地的系统或者域中进行维护 本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理 全局组 2 全局组 域环境中的组 用于创建服务器 域控制器 控制对域资源的访问 系统管理员可以利用全局组有效地将用户按他们的需要进行安排 Windows系统提供了三类全局组 1 管理员组 DomainAdmins 2 用户组 DomainUsers 3 域客人组 DomainGuests 3 特别组Windows系统为了特定的目的创建了特别组 通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格 特别组不可以通过用户管理器为其增加新成员 同时它也不可以被浏览和修改 Windows系统提供的的特别组如下 1 System Windows操作系统2 Creatorowner 创建对对象拥有所有权的用户3 Interactive 以交互的方式在本地系统登录入网的所有用户4 Network 系统中所有通过网络连接的用户5 Everyone 登录上网的系统中的所有用户 包括Interactive和Network组 需要注意的是 在特别组中 所有登录账户都是Everyone组的成员 特别组 1 用户账户的管理从安全角度考虑 应注意如下几点 1 要保证用户不会从隶属于的组中获得超过其任务要求的额外权限 同时用户隶属于的组能满足它的任务要求 2 图7 2为Windows2000 XP系统中用户属性对话框的 配置文件标签 对话框 一个登录脚本可以被分配给一个或者多个用户组账户 脚本文件一般是可执行文件 扩展名为 exe 或者是批处理文件 扩展名为 cmd或者 bat 若设置了登录脚本 则系统在每次登录的时候都会运行此脚本 7 1 2账户安全管理 2 系统管理员账户的管理在安装Windows系统时系统管理员账户自动产生 该账户不会因为多次登录失败而被锁住 它不能被删除 但可以更名 1 系统管理员口令设置为了使对系统的野蛮攻击和猜测变得更加困难 应该选择随即的 可打印的并且大小写混合的字符串来设置系统管理员 尤其是系统域管理员 主域控制器的系统管理员 的口令 其他服务器的管理员应采用与域控制器中管理员不同的密码 以便更安全的保证域的绝对管理权限 2 系统管理员账户安全管理新建一个拥有域级系统管理员权限的用户再将系统管理员的权限设置为最低或更换管理员账户名是保护系统管理员账户的常用措施 7 1 2账户安全管理 7 1 2账户安全管理 3 组的安全管理措施如下 1 本地一般用户组的成员在不扩大其访问权限的条件下可以产生它们自己的用户组 2 应该清楚用户组的成员设置是否得当 要对其进行仔细的观察 3 为了使具有相同安全策略的用户组在登录时间 密码和权限等方面保持一致 可以用组将其组织在一起 4 由于域控制器的复制组复制的数据库是安全性数据库 所以不能将全局组用户或者本地一般用户组加入到复制组中 5 DomainGuests组和Guests组与普通用户组一样 其中的成员决定其运作方式 与Guests帐号具有独特的性质不一样 7 1 3Windows身份验证 7 1 3Windows身份验证要使用户和系统之间建立联系 本地用户必须请求本地登录进行身份验证 远程用户必须请求远程登录进行身份验证 Windows远程登录身份验证经过如下阶段SMB验证协议LM验证机制NTLM验证机制Kerberos验证体系 用户请求访问登录前 客户端计算机缓存密码的哈希值并放弃密码 客户端向服务器发送一个请求 该请求包括用户名以及纯文本格式的请求 服务器发送质询消息服务器生成一个称为质询的16字节随机数 即NONCE 并将它发送到客户端 客户端发送应答消息客户端使用由用户的密码生成的一个密码哈希值来加密服务器发送的质询 它以应答的形式将这个加密的质询发回到服务器 服务器将质询和应答发送到域控制器服务器将用户名 原始质询以及应答从客户端计算机发送到域控制器 域控制器比较质询和应答以对用户进行身份验证域控制器获取该用户的密码哈希值 然后使用该哈希值对原始质询进行加密 接下来 域控制器将加密的质询与客户端计算机的应答进行比较 如果匹配 域控制器则发送该用户已经过身份验证的服务器确认 服务器向客户端发送应答假定凭据有效 服务器授予对所请求的服务或资源的客户端访问权 NTLM身份验证过程 7 2访问的安全控制 Windows访问控制由与每个进程相关的访问令牌和每个对象相关的安全描述符两个实体管理 7 2 1基本概念1安全标识符 SecurityIdentifiers SID也就是安全标识符 是标识用户 组和计算机账户的唯一的号码 其实Windows系统是按SID来区别用户的 不是按用户的用户账户名称 所以建立一个账户A 然后删除后马上再重建一个用户A其实是两个账户 7 2 1基本概念 2安全描述符 SecurityDescriptors 安全描述符是Windows创建对象时所基于结构的一个主要部分 它包含了安全对象相关的安全信息 这意味着Windows可识别的每一个对象 可以是文件对象 注册表键 网络共享 互斥量 信号灯 进程 线程 令牌 硬件 服务 驱动 都可以保证其安全 一个安全描述符包含下面的安全信息 1 拥有者或基本组对象的安全ID SID 2 DACL指定特殊用户或组的允许或拒绝的访问权限 3 SACL指定对象通用评估记录尝试的访问类型 4 一个控制位集合 说明安全描述符的含义或它每个成员 7 2 1基本概念 3访问令牌 AccessTokens 访问令牌由用户的SID 用户所属组的SID和用户名组成 登录时 系统通过比较密码与安全数据库中存储的信息来验证密码 如果密码得到认证 则系统产生访问令牌 令牌是一个数据结构 用于由所有该用户激活的进程和线程 7 2 1基本概念 4访问控制列表 AccessControlLists 一个系统通过访问控制列表 ACL 来判断用户对资源的何种程度的访问 ACL由零个或多个ACE AccessControlEntries 组成 一个ACE包括一个SID和该SID可访问资源的描述 ACL分为自由访问控制列表 DiscretionaryACL 系统访问控制列表 SystemACL DACL包括户和组的列表 以及相应的权限 允许或是拒绝 用来确定对资源的访问权限 SACL则用来确定安全资源的审核策略 包含了对象被访问的时间 5访问控制项 AccessControlEntries 访问控制项由对象的权限以及用户或者组的SID组成 ACE分为允许访问和拒绝访问 允许访问的级别低于拒绝访问 7 2 2Windows安全子系统 7 2 2Windows安全子系统 1 WinlogonWindows登录服务 是系统启动自动启动的一个程序 是整个登录过程的司令官 监视整个登录的过程 同时加载GINA 2 GraphicalIdentificationandAuthenticationDLL GINA 图形化标识和验证提供一个为用户登录提供验证请求的交互式界面 被开发成独立的模块 比如说要采用指纹登录的方式 厂商开发指纹认证的接口就可以了 默认是Msgina dll GINA调用LSA 3 LocalSecurityAuthority LSA 本地安全授权是安全子系统的核心 它的作用就是加载认证包 管理域间的信任关系 4 SecuritySupportProviderInterface SSPI 安全支持提供者接口微软的SSPI很简单地遵循RFC2743和RFC2744的定义 提供一些安全服务的API 为应用程序和服务提供请求安全的验证连接的方法 7 2 2Windows安全子系统 5 AuthenticationPackages 验证包通过GINADLL的可信验证后 返回用户的SID给LSA 然后将其放在用户的访问令牌中 验证包还可以为真实用户提供验证 6 Securitysupportproviders 安全支持提供者实现一些附加的安全机制 安装时以驱动的形式安装 默认情况下有Msnsspc dll 微软网络挑战 反应认证模块 Msapsspc dll 分布式密码认证挑战 反应模块 Schannel dll 证书模块 三种 7 NetlogonService 网络登录服务是域登录的时候所使用到的 建立安全通道 前面的用户名密码在通道里是加密传输的 8 SecurityAccountManager SAM 安全账户管理者 是一个数据库 用来保存用户账号和口令 7 2 2Windows安全子系统 7 2 3访问控制 Windows2000的访问控制过程图 7 3注册表安全 注册表是Windows的内部数据库 集中存储各种信息资源 用户 应用程序 硬件 网络协议和操作系统信息 它直接控制Windows的启动 应用程序的运行及硬件驱动程序的装载 Windows操作系统和程序运转的几乎所有的关键信息都记录在注册表中 7 3 1注册表的键及其键值 注册表采用键和键值来管理具体的数据信息 7 3 2注册表的结构 注册表是一个庞大的数据库 它的数据结构由以下5个子树组成 1 HKEY CLASSES ROOT 管理系统中所有数据文件 包含所有文件扩展和所有执行文件相关的文件 2 HKEY CURRENT USER 管理系统当前登录上网的用户的信息 包含用户登录用户名和暂存的密码 3 HKEY LOCAL MACHINE 管理当前操作系统配置 包含本地系统一些重要信息 一般保存本地计算机硬件配置数据和常用的软件信息 4 HKEY USERS 管理系统的所有登录入网的用户的信息 包含用户的设置和配置信息 5 HKEY CURRENT CONFIG 管理当前硬件配置 7 3 3注册表的安全管理 在Windows系统中 对于注册表的安全管理大致可以分为设置注册表文件的访问权限注册表的审核两种方法 1 设置注册表文件的访问权限注册表的安全级别在默认情况下是比较高的 对于整个注册表而言 管理员具有完全访问的权限 其他用户只拥有与自己账户相关的权限 对拥有适当权限的一些用户可以指派特权 7 3 3注册表的安全管理 2 注册表的审核通过审核管理员可以查看曾对注册表进行编辑过的用户 以及该用户是在本地进行编辑的还是从远程位置上进行编辑的 即可以跟踪那些对注册表项的有关操作 激活审核机制的基本操作步骤如下 1 选择 开始 运行 在 运行 对话框中输入regedit exe命令 打开注册表编辑器2 若希望对某项进行审核机制的设置 在对应项上右击 选择 权限 打开对应项的权限对话框 7 3 3注册表的安全管理 7 3 3注册表的安全管理 单击 添加 系统将打开 选择用户或组 对话框 7 3 3注册表的安全管理 7 3 3注册表的安全管理 审核事件 7 3 3注册表的安全管理 注册表编辑器的限制使用通过设置注册表中的键 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools 项中的REG DWORD型的值为1 来使注册表编辑器无法运行 7 3 3注册表的安全管理 7 4域管理机制 当共享计算机和用户数量较多时 Windows域可对其实现高效管理 域 Domain 是集中管理所有用户的权限以及设定如何登录到文件服务器上的共享个人电脑 Windows系统的域之间可以建立信任关系来进行相互访问 当两个域之间的信任关系建立之后 两个域之间可以实现网络资源的共享与管理 域控制器 域控制器包含了完整的域目录的信息 为了保证活动目录的及时更新及不会出现相互覆盖的现象 域控制器间的同步采用了先进的多主复制的技术 USN 1 活动目录简介活动目录 ActiveDirectory 存储了有关网络对象的信息 并让用户和管理员能够轻松地查找和使用这些信息 它采用了一种结构化的数据存储方式 并以此作为基础对目录信息进行合乎逻辑的分层组织 MicrosoftActiveDirectory服务为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段 是Windows平台的核心组件 活动目录包括目录和与目录相关服务两个方面 1 目录 用来存储各种对象的一个物理上的容器2 与目录相关服务 是使目录中所以资源和信息发挥作用的服务 域控制器 Windows系统提供的基本域功能 1 管理域控制器集中管理用户对网络的访问 如登录 验证 访问目录和共享资源 2 资源共享 3 安全性 4 可冗余性 5 可扩展性 7 5文件系统安全 7 5 1文件系统类型FAT16FAT16是Microsoft较早推出的文件系统 具有高度兼容性 一般被用于Windows95或早期系统上 FAT16使用16位的空间来表示每个扇区配置文件的情形 磁盘分区最大达到2GB 但FAT16文件系统存在使用簇的大小不恰当的严重缺点 FAT32FAT32提供了比FAT16更为先进的文件管理特征 可以支持的磁盘大小达到2TB 采用了更小的簇 可以更有效率地保存信息 FAT32分区的启动记录被包含在一个含有关键数据的结构中 减少了计算机系统崩溃的可能性 NTFS微软重点推荐的NTFS文件系统伴随windowsNT的产生而出现和发展的 提供了FAT16和FAT32文件系统所没有的可靠性和兼容性 提供了服务器或工作站所需的安全保障 NTFS分区上 支持随机访问控制和拥有权 对共享文件夹无论采用FAT还是NTFS文件系统都可以指定权限 以免受到本地访问或远程访问的影响 表7 2NTFS的权限 7 5文件系统安全 文件系统的安全由三个基本部分组成目录权限共享权限审计 7 5文件系统安全 1 目录权限由于目录权限最终要授予给某个用户或者组 因此目录权限又称为用户权限 文件不能设置共享访问权限 但可以通过系统资源浏览器设置本地访问权限 当一个文件从同一NTFS分区下的一个目录移动到另一目录时 文件将保留原有的权限 当一个文件在两个不同的NTFS分区间复制或移动时 此文件将继承目标目录的权限 即获得新目录的权限 7 5文件系统安全 2 共享权限远程访问文件或者目录是通过共享权限来实现的 即远程用户通过共享访问网络访问点中的文件 但用户对共享所获得的最终访问权限取决于共享的权限设置 共享权限的设置如下 1 在Windows资源管理器中打开 我的文档 单击要进行共享的文件夹 2 在 文件与文件夹任务 栏中单击 共享该文件夹 3 在 属性 对话框中 选中 共享该文件夹 单选框 以便与网络上的其它用户共享文件夹 4 单击 权限 按钮 在弹出的对话框中进一步设置共享权限共享权限的应用与在NTFS上的应用类似 但共享权限只能分配完全控制 更改 读取和不可访问的权限 7 5文件系统安全 3 审计系统管理员通过审核文件和目录跟踪目录和文件的使用情况 便于引导用户进行正确的操作 也能够使系统管理员及时发现可能存在的安全隐患和安全威胁 在对文件或访问对象设置审核策略后才能审核文件或目录 设置审核策略的基本操作步骤如下 1 在域管理器的 规则 菜单下选择 审核 打开 审核规则 对话框 2 在打开的对话框中设置审核的对象 完成规则设置后 在文件或目录的属性对话框中便可进行进一步的审计设置 7 6安全设置 为了使现有的流行的Windows系统更加安全 以Windows2000 XP为例 可采取以下措施 不要使用Ghost版的WindowsXP系统若使用此系统 默认情况下远程终端服务自动被开启 并且弱口令形式的new账号存在 黑客利用两者很容易 导致计算机存在安全隐患 极有可能被入侵 设置系统登录密码系统盘选用NTFS格式安装或启动内置防火墙关掉Guest帐号和删除不必要的用户把系统Administrator帐号改名关闭默认共享设置自动下载安装补丁 7 7日志 WindowsNT日志系统WindowsNT的日志文件一般分为三类 1 系统日志 跟踪各种各样的系统事件 记录由WindowsNT的系统组件产生的事件 例如 在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中 2 应用程序日志 记录由应用程序或系统程序产生的事件 比如应用程序产生的装载dll 动态链接库 失败的信息将出现在日志中 3 安全日志 记录登录上网 下网 改变访问权限以及系统启动和关闭等事件以及与创建 打开或删除文件等资源使用相关联的事件 利用系统的 事件管理器 可以指定在安全日志中记录需要记录的事件 安全日志的默认状态是关闭的 7 7日志 Windows2000日志系统与WindowsNT一样 Windows2000中也一样使用 事件查看器 来管理日志系统 也同样需要用系统管理员身份进入系统后方可进行操作 在Windows2000中 日志文件的类型比较多 通常有应用程序日志 安全日志 系统日志 DNS服务器日志 FTP日志 WWW日志等等 可能会根据服务器所开启的服务不同而略有变化 启动Windows2000时 事件日志服务会自动启动 所有用户都可以查看 应用程序日志 但是只有系统管理员