windows安全原理 考点.doc

“审核登录事件”与“审核帐户登录事件”的区别审核登录事件：审核在此策略应用到的系统中发生的登录事件，无论帐户属于谁。换句话说，在域成员上，为此启用成功审核将在有人登录系统时生成一个事件。如果用于登录的帐户是本地的，并且启用了“审核帐户登录事件”设置，则该登录将生成两个事件。 审核帐户登录事件：审核计算机用于验证用户身份的登录事件。换句话说，在域控制器上，这将审核所有的域登录事件，而在域成员上，仅审核使用本地帐户的事件。登录事件是指当用户登录和注销时产生的记录，不仅指本地，也包括登录到域，和远程登录信息。账户登录不仅可以在主机上产生，也会在域服务器上产生。1Windows的API函数 操作系统用户模式下的接口 被若干个DLL文件导出：kernel32.dll、user32.dll、gdi32.dll 逻辑上被分为很多个子类 Administration and management（系统管理） Task scheduler, WMI, Diagnostics（系统诊断） Event logging, debugging, Graphics and multimedia（图形和多媒体） Networking（网络） Winsock, Security（安全） Security System services（系统服务） Processes, threads, registry, file systems Windows UI（Windows图形化界面）进程（Process）访问控制令牌（Access Token），用以唯一的标识所有者及其所属组以及和该进程相关联的特权（Privilege）信息。内核模式（Kernel mode）和用户模式（User mode）Windows支持两种处理器模式 内核模式（ring 0） 用户模式（ring 3）内核模式下的代码可以访问 所有的内存空间 可以直接操纵硬件用户模式下的代码无权访问系统空间的内存页面；无法直接操纵硬件。用户模式向内核模式的切换是受控制的。重要的系统进程 Smss.exe 会话（Session）管理器，系统启动时第一个运行的进程。 Csrss.exe Windows子系统进程（客户端-服务器运行进程）。 Winlogon.exe 处理交互式登录。 Services.exe 服务控制管理器，负责启动和停止服务。 Svchost.exe 共享服务的宿主进程。 Lsass.exe 本地安全授权子系统，验证用户登录、授权和审计。 Userinit.exe 初始化用户会话的进程。原始API函数（Native API） 未文档化（Undocumented）的接口，被Ntdll.dll所导出。 被若干操作系统重要的进程所使用（如smss、csrss等）。系统服务派遣（System Service Dispatching）服务（Services） 服务程序是后台运行的进程，常用来执行特定的任务，不需要和用户进行交互。 自动更新服务、后台智能传输服务、事件日志服务等。 服务程序受Service Control Manager（SCM，即services.exe进程）所控制。 服务程序的配置数据位于“HKLMSystemCurrentControlSetServices” 服务程序的种类 内核驱动（Kernel drivers）服务 独立进程（Separate process）服务 共享进程（Shared process）服务 Svchost.exe2本地安全授权子系统（ LSA）用户身份和权限管理 交互式身份验证 生成安全访问令牌 分配用户特权 确定用户权限安全策略管理 管理本地安全策略 管理审核策略对象管理 建立可信任域列表 确定对象的安全审核策略 内存的配额管理安全参考监视器（SRM）SRM负责所有对对象的访问控制和审核策略（本地安全策略范围之内）。SRM和Object Manager联合起来，保证用户和进程访问对象的有效性，生成任何所需的审核消息。C2级别的安全性策略 自由控制的访问权限（Discretionary Access Control, DAC） 自由的访问控制 对象的重用 强制的用户标识和认证 可记账性和审核Windows安全模型对基于组成员关系的所有域资源实现一致的访问控制。Windows安全模型的底层原理如下 服务器提供对象访问。 客户只能通过服务器访问对象。 对象管理器和安全引用监视器决定谁对对象拥有哪些权限。 可以使用多个协议验证用户。 管理安全策略的方式既可以是全局的，也可以是本地的。SID 的一般格式S-R-X-YS：表示该字符串为一个SID。R：表示SID结构的版本号。 R：表示SID结构的版本号。X：表示标示符颁发机构。Y1-Yn-1：表示子级颁发机构，标识了各级不同的域。Yn：表示域内特定的帐户和组，也叫相对标识符。 winlogon 处理与验证策略无关的用户界面操作。 创建可用的桌面。 向操作系统注册一个安全维护序列（SAS, Secure Attention Sequence）。 维护工作站状态。 实现超时处理。 向GINA发送事件通知消息，提供可供GINA调用的各种接口函数。 保证其操作对其他进程不可见。GINA动态链接库 提供了winlogon用户标识和验证用户的输出函数。 微软提供的GINA是MSGINA.dll，但允许被用户替换来自行定制系统的用户识别和身份验证。身份验证程序包 02-11访问控制的目的 限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。安全主体的访问令牌 比较 客体的安全描述用户账号的SID 所属组的SID 针对计算机的特权列表 会话ID访问控制项在列表中的顺序直接ACE在继承ACE之前。从第一层（父对象）继承下来的ACE在ACL的最前面。拒绝ACE在允许ACE之前RUNAS服务（辅助登录服务） RunAs服务使得管理员可以使用标准的用户账户登录，并在必要的时候可以调用具有更高权限的管理员控制台来执行管理任务。UIPI（用户界面权限隔离）UIPI将进程分为不同的完整性（Integrity）级别，从而保证低级别的进程无法影响高级别的进程。进程的完整性级别由令牌中的SID声明。Windows系统首先进行完整性级别检查，然后再进行DACL检查。如果进程的完整性级别为Low， 而文件的完整性级别为Medium，则进程无法写入文件。 什么是“虚拟化” 类似于一种“重定向”操作。审核策略更改登陆事件（计算机）账户登陆事件（账户）日志保留方式 按需要改写 （先攻击后制造大量无效数据） 不管保留时间的要求如何都覆盖以前的事件 容易覆盖潜在的重要事件（原来的） 按日期改写（先无效再攻击） 覆盖所保留时间之前的事件 容易不记录重要的事件（新的）不改写 从不覆盖事件，需要手工清除 不记录新的事件（新的）任务栏程序隐藏在“Project”Settings”Link”Project Options”中，将“/subsystem:console”改为 “/subsystem:windows”在主程序中，将入口点main函数改为WinMain函数基于DLL插入的进程隐藏远程线程创建 CreateRemoteThread通过OpenProcess 来打开试图插入Trojan DLL的目标进程。获取LoadLibrary（加载动态链接库）函数的地址。（GetProcAddress）向目标进程的内存写入Trojan DLL的文件路径信息。(计算大小、申请大小、写入)创建远程线程。CreateRemoteThreadWindows的钩子（Hook）如果钩子回调函数由一个DLL提供，而被Hook的进程并没有加载这个DLL，那么系统会自动给这个进程加载这个钩子DLL。因此，我们只要使用SetWindowsHook为目标进程安装一个属于某DLL的钩子函数，就可以强迫该目标进程加载这个DLL。在钩子DLL的PROCESS_ATTACH中对自己进行一次LoadLibrary，这时HookDLL的加载计数器等于2，在钩子安装进程退出的时候，加载计数器会被减为1，但是DLL并不会被真正卸载。Svchost服务基础Svchost本身只是作为服务宿主，并不实现任何的服务功能。需要Svchost启动的服务以DLL形式实现。在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由 svchost调用相应服务的动态链接库来启动服务。安装通过svchost启动的服务0X-30DLL程序本身只要实现ServiceMain()函数和服务控制程序，ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序，并设置服务的运行状态即可。MEP 行为拦截挂钩技术SSDT - System Services Descriptor Table系统服务描述符表取消内存保护机制更改注册表，但需要重启修改控制寄存器CR0，将wp位设置为0。利用内存描述符表，描述一块可写内存。（推荐）从不分页内存中创建MDL将MDL标志与MDL_MAPPED_TO_SYSTEM_VA进行或操作，以便允许写入一块内存区域锁定内存中的MDL页实现自己的NewZwQuerySystemInformation函数，过滤掉包含特定字符串的进程名。交换ZwQuerySystemInformation与我们自己的New*函数。DKOM直接内核对象操纵直接修改系统内核数据实现隐藏通过DKOM技术定位内存中的进程链表，匹配隐藏进程的结点，断链隐藏之。ProcessExplorer (Sysinternals) 进程信息（进程名、进程描述、开发商信息） 显示进程加载的DLL模块 显示进程的句柄信息 显示计算机信息 CPU使用 内存使用情况 历史曲线图 能够显示窗口对应的进程 强行关闭任何程序（包括系统级别进程）个人 安装更新安装防护软件使用NTFS代替FAT32文件系统关闭默认共享更名系统管理员账号，避免字典攻击禁用不必要的系统服务防止U盘病毒的感染禁止自动运行IE安全邮件安全：垃圾 染毒无线网络ARP欺骗NTFS文件系统的优势 NTFS文件系统支持更大的文件以及更大的分区 NTFS分区支持权限设置 NTFS分区支持EFS加密 NTFS分区支持压缩功能 NTFS分区具备磁盘配额功能 NTFS分区支持动态盘 NTFS分区具备恢复日志功能CONVERT volume /FS:NTFS /V文件/文件夹的标准权限 完全控制 更改权限，接管所有权，删除子文件夹和文件，执行其他操作。 修改 删除，包含“写入”权限，包含“读取和执行”权限。 读取和执行 浏览文件夹的内容，包含“读取”权限，包含“列出文件夹目录”权限。 读取 查看文件夹内的子文件夹和文件，查看文件夹的所有权、权限和文件属性。 写入 在文件夹内创建新的文件和子文件夹，更改文件夹属性，查看文件夹的所有权和权限。中断继承关系 “编辑”取消“包括可从该对象的父项继承的权限”选项在“Windows安全”对话框中选择“复制”还是“删除” 复制：将父文件夹的权限设置复制给子对象，同时断开继承关系。 删除：删除从父文件夹应用的所有权限。获取所有权假设我们曾对一个文件夹设置了权限：只允许UserA用户访问，包括管理员在内的其他用户都禁止访问。后来我们无意中删除了UserA帐户，则该文件夹无法再被访问。这种情况下的正确的做法：1. 重新指派所有者。（替换子容器和对象的所有者）2. 使用所有者帐户登录，重新设置文件夹的访问权限EFS（Encrypting File System, 加密文件系统） 公私钥加密体系 加密时，系统使用当前用户的公钥将数据加密并保存到硬盘上；解密时，系统使用该用户对应的私钥将数据解密出来。使用恢复代理 所有文件在使用EFS加密的同时，也使用恢复代理的公钥对文件进行加密（其实是对文件加密密钥的加密）。磁盘配额的作用 管理员可以方便合理地分配存储资源，避免由于磁盘空间使用的失控可能造成的系统崩溃，从而提高了系统的安全性 。磁盘配额是以文件所有权为基础的，并且不受卷中用户文件的文件夹位置的限制。活动目录是一种目录服务 允许用户使用对象的名称或者属性就可搜索到相应的网络资源。 目录可以分布在网络中的多台计算机上，而无须考虑地理位置。 目录可以复制，更能防止访问失败。 目录可以分割保存，这就允许存储大量的对象。 目录的安全性可由管理员统一定义和实施。目录 目录是一种存储网络对象信息的层次结构。 对象包括用户、计算机、共享资源等。目录服务 目录服务把目录和使目录信息对用户有效所需的服务组合起来，同时向用户隐蔽了物理的网络拓扑和协议。 单一视图 不管用户从何处访问或者信息处在何处，都提供给用户统一的视图。 更容易在高度分布的网络中搜索、管理和使用资源。 多主复制 安装多个域控制器，就可以在整个网络环境中创建目录的多份复本。然后网络中任何地方发生的变化都会在整个网络中自动复制。活动目录由一个或多个域组成。域是网络中复制和安全性的基本单元。使用域可以实现的管理目标 界定安全区域 复制信息 应用组策略 设计网络结构 委派管理权限组织单位（又称组织单元）是一种目录对象，也是一个容器，它被用作把同在一个域中的对象组织到逻辑管理组中。可在一个组织单位中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他组织单位。组织单位主要用来委派对用户、组及资源集合的管理权限。组织单位是委派管理权限的最小分组。 最近的KDC为首选KDC，然后从域名服务器中寻找其他KDC，如果找不到任何KDC，则使用MSV1_0进行验证（降级为NTLM协议）。非加密部分 票据格式的版本号 发布票据的域的名称 密钥发行中心的服务器名称加密部分 客户和服务之间为安全传输而共享的会话密钥 客户所在域的名称 客户名称 票据起始时间 票据生存时间（有效时间）NTLM与Kerberos的区别NTLMKerberos厂商专有协议开放的工业标准：RFC1510服务器认证客户双向认证Windows NT支持Windows NT不支持本地登录时使用只用于域登录密码策略密码必须符合复杂性要求密码至少6个字符。密码至少拥有3种字符集中的字符（共分为大写字符、小写字符、数字以及非字母和数字的字符等四类字符集）。密码不能有3个以上的字符来源于用户名称分隔项。这些用户名称分隔项是将用户的帐户名称使用空格、下划线、Tab等符号分隔成的多个项，并丢弃小于3个字符的项。用户权限分配 06-10网络安全: LAN管理器身份验证级别 发送LM&NTLM响应 / 仅发送NTLMv2响应 可设置的选项 发送LM和NTLM响应 发送LM和NTLM响应 如果已协商，则使用NTLMv2会话安全 仅发送NTLM响应 仅发送NTLMv2响应 仅发送NTLMv2响应。拒绝LM 仅发送NTLMv2响应。拒绝LM和NTLM工作组成员主机只处理本地组策略对象。“禁止替代” （No override）选项 链接到站点、域或组织单元（不包括本地）的任何一个组策略对象都可以使用该选项，来防止随后处理的组策略对象覆盖该组策略对象中的所有策略设置。 如果有多个组策略对象设置为“禁止替代”时，那么就会优先采用在活动目录层次结构中处于更高层的那一个。“阻止策略继承”（Block Policy Inheritance）选项 在任何一个站点、域或组织单元上，组策略继承都可以被选择性的标记为“阻止策略继承”，来禁止从父目录容器继承组策略。 但是，设置为“禁止替代”的组策略对象链接将始终都会被采用，且不能阻止。 “阻止策略继承”设置直接应用于站点、域或组织单元，而不应用于组策略对象，也不应用于组策略对象链接。计算机策略覆盖用户策略同一容器上多个GPO产生冲突时，处于GPO列表最高位置的GPO优先级最高。安全配置工具集的功能 为配置和分析系统的安全性提供一个全面、灵活、可扩展而且简单的工具集。 集中式的进行安全配置和安全分析。 减小安全配置与分析方面的开销。安全配置工具集的特性 全面性、灵活性、可扩展性、简便性。安全模板管理单元 向一个安全模板创建、编辑和保存安全设置。安全配置和分析管理单元 允许把一个或多个安全模板导入数据库，然后就可以把这一数据库应用到计算机上，并对照保存在其中的合成配置来分析当前的系统配置。安全配置和分析管理单元的功能 分析系统安全性 查看安全性分析数据 配置系统安全性安全配置和分析数据库 安全配置和分析是由数据库驱动的，无需知道安全模板的存在。 安全分析时是对当前系统的配置与在数据库中存储的配置做比较。 安全配置时是根据数据库中存储的配置来对系统进行设置。安全配置向导（Security Configuration Wizard，SCW） SCW是Windows Server 2003 操作系统在安装SP1或者SP2补丁包后提供的新功能。 管理员使用此配置向导可以非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对提高服务器安全有极大帮助。 由于整个配置过程在向导中完成，无需烦琐的手工设置，因此极大提高了方便性。IPSec（IP Security） IPSec是一种网络层加密的安全协议，它通过对传输之前的每个IP数据包进行加密来保护网络传输。两种封装模式 传输模式:用于端到端的连接，两端系统都必须支持IPSEC 隧道模式：用于网关对网关的链接，端系统不必支持IPSECIPSec的两种封装协议 验证报头（ AH ）：验证部分IP头 封装安全载荷（ ESP ）：不验证IP头，加密数据安全联盟（SA） SA是一套专门的方案，用来解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。 SA驻留在安全联盟数据库（SADB）内 。既可人工创建SA，也可动态创建。 SA是单向进行的：它仅朝一个方向定义安全服务，要么对通信实体收到的包进行“进入”保护，要么对实体外发的包进行“外出”保护，即“出站SA”和“入站SA”。第一阶段SA，用于相互通讯安全的协商 加密算法：3DES，DES（56bit），40-bit DES，无。 散列算法：MD5，SHA1 认证方法：证书，Kerberos，预先共享的密钥。 Diffie-Hellman小组，用于密钥材料。第二阶段SA，用于传输数据安全的协商 IPSec协议 加密算法 散列算法Windows的IPSec建立于IETF的IPSec 体系结构之上，与Windows 活动目录服务集成。IKE的三种身份验证方法： 基于 Windows域基础结构提供的 Kerberos v5身份验证。 使用证书的公钥/私钥签名。 密码，即“预先共享的身份验证密钥” 。IPSec策略的基本元素 IP筛选器列表 IP筛选器操作 安全策略规则：IP筛选器列表和IP筛选器操作的结合。IP筛选器操作的安全措施类型 许可：以明文发送或接收数据包。这些数据包将不请求安全性。阻止：强制立即丢弃符合筛选器条件的数据包。协商安全：使用“安全措施首选顺序”中的安全方法列表为符合筛选器的数据包提供安全性。这些数据包将来的安全请求将被接受。 必须对方计算机启用IPSec 允许和不支持IPSec的计算机进行通信 “接受不安全通信，但总是用IPSec响应” “允许和不支持IPSec的计算机进行不安全通信” “会话密钥完全向前保密” 设置IP筛选器表，添加有关ICMP协议的筛选器。 设置IP筛选器操作，添加屏蔽操作。 设置IP安全策略，添加屏蔽ICMP协议的安全策略。 启用此IP安全策略。SSL（Secure Socket Layer，安全套接字层）协议 SSL是在传输层协议（TCP）上实现的一种安全协议。SSL提供3种基本的安全服务 信息加密 信息完整性 相互认证安全通信的属性“申请安全通道（SSL）”选项 不选中：允许客户端选择是否使用SSL加密传输。 选中：要求客户端必须使用SSL加密传输。“安全通信 安全通信” ”属性的设置 属性的设置 “申请128位加密”选项 选中：要求客户端的浏览器必须支持128位的加密程度。（建议设为不选中） “客户证书”选项 忽略客户证书：允许任何客户访问。 接受客户证书。 申请客户证书：需要客户提供客户证书或者服务器端信任的证书才能访问。PKI 7.3.1 PKI（公钥基础结构）的功能管理密钥 PKI方便了颁发新密钥、检查或吊销现有密钥、以及管理不同颁发者发行的密钥的信任程度。发行密钥 PKI为客户端明确定义了定位和获得公钥，以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性，用户就不能利用公钥服务。使用密钥 PKI为用户提供了便于使用密钥的途径。它不仅将密钥置于用户需要的地方，而且还提供了执行公钥加密的便于使用的应用程序，使之能保障电子邮件、电子商务和网络的安全。企业CA与独立CA的区别企业CA 独立CA需要活动目录不需要活动目录数据库和配置自动发布到活动目录安装时指定数据库和配置存储位置可以使用证书申请向导申请证书只能通过证书服务Web申请证书证书请求立即自动处理等待管理员处理证书请求IIS（Internet Information Server） 即Internet信息服务，是一个用于配置应用程序池、网站、FTP 站点、SMTP或NNTP站点的工具，功能十分强大。利用IIS管理器，管理员可以配置IIS的安全、性能和可靠性，添加或删除站点，启动、停止和暂停站点，备份和还原服务器配置，创建虚拟目录以改善内容管理等。正是因为IIS具有如此强大的功能，它的安全问题也更加受到人们的重视。IIS 6.0版本支持的6种身份验证方法 匿名身份验证 允许网络中任意用户进行访问，不需要使