操作系统安全实验PPT课件.ppt

信息安全实验第三部分 网络攻防基础实验 实验12操作系统安全实验 2020年3月18日11时1分 1 2 操作系统安全实验教学目的 帮助学生了解Windows操作提供提供的安全机制 帮助学生了解如何使用安全地配置 使用操作系统提供的安全机制 2020年3月18日11时1分 3 3 I 口令破解原理 本次实验的内容 操作系统安全概述Windows的安全体系架构Windows的账号安全Windows的文件安全Windows的安全评估 2020年3月18日11时1分 4 I 操作系统安全概述 2020年3月18日11时1分 5 操作系统安全定义 信息安全的五类服务 作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的 默认关闭的 2020年3月18日11时1分 6 信息安全评估标准 ITSEC和TCSECTCSEC描述的系统安全级别D ACC CommonCritical 标准BS7799 2000标准体系ISO17799标准 2020年3月18日11时1分 7 TCSEC定义的操作系统安全级别 没有安全性可言 例如MSDOS 不区分用户 基本的访问控制 D级 C1级 C2级 B1级 B2级 B3级 A级 有自主的访问安全性 区分用户 标记安全保护 如SystemV等 结构化内容保护 支持硬件保护 安全域 数据隐藏与分层 屏蔽 校验级保护 提供低级别手段 2020年3月18日11时1分 8 TCSEC划分的操作系统安全级别 2020年3月18日11时1分 9 常见操作系统安全级别 2020年3月18日11时1分 10 C2级的安全要求 用户必须通过用户注册名和口令让系统识别 系统可以根据用户注册名决定用户访问资源的权限 系统可以对系统中发生的每一事件进行审核和记录 可以创建其他具有系统管理员权限的用户 2020年3月18日11时1分 11 II Windows的安全体系架构 2020年3月18日11时1分 12 Windows2000 XP安全模型 2020年3月18日11时1分 13 Windows系统的安全组件 登录进程 winLogon 本地安全认证服务器LSA策略数据库安全账号管理器服务 SAM数据库默认身份认证包安全引用监视器 SRM 网络登录服务 2020年3月18日11时1分 14 Windows系统的安全组件 登录进程 Winlogon调用GINAdll 并监视安全认证序列 而GINAdll提供一个交互式的界面为用户登陆提供认证请求 GINADLL被设计成一个独立的模块 当然我们也可以用一个更加强有力的认证方式 指纹 视网膜 替换内置的GINADLL Winlogon在注册表中查找 HKLM Software Microsoft WindowsNT CurrentVersion Winlogon 如果存在GinaDLL键 Winlogon将使用这个DLL 如果不存在该键 Winlogon将使用默认值msgina dll 2020年3月18日11时1分 15 Windows系统的安全组件 LSA 本地安全认证 LocalSecurityAuthority 本地安全认证 LSA 是一个被保护的子系统 它负责以下任务 调用所有的认证包 检查在注册表 HKLM SYSTEM CurrentControlSet Control LSA下AuthenticationPAckages下的值 并调用该DLL进行认证 msv1 0 dll 在4 0版里 WindowsNT会寻找 HKLM SYSTEM CurrentControlSet Control LSA下所有存在的SecurityPackages值并调用 重新找回本地组的SIDs和用户的权限 创建用户的访问令牌 管理本地安装的服务所使用的服务账号 储存和映射用户权限 管理审核的策略和设置 管理信任关系 2020年3月18日11时1分 16 Windows系统的安全组件 LSA策略数据库 LSA策略数据库是一个包含了系统安全性规则设置的数据库 该数据库被保存在注册表中的HKEY LOCAL Machine security它包含了这样一些信息 哪些域被信任用于认证登录企图 哪些用户可以访问系统以及怎样访同 交互 网络和服务登录方式 谁被赋予了哪些权限 执行的安全性审计的种类 2020年3月18日11时1分 17 安全帐号管理器服务是一组负责管理数据库的子例程 这个数据库包含定义在本地机器上或用于域 如果系统是域控制器 的用户名和组 SAM在LSASS进程的描述表中运行 Windows系统的安全组件 安全账号管理服务器服务 2020年3月18日11时1分 18 Windows系统的安全组件 SAM数据库 SAM数据库是一个包含定义用户和组以及它们的密码和属性的数据库 该数据库被保存在注册表项HKEY LOCAL MACHINE SAM 2020年3月18日11时1分 19 Windows系统的安全组件 默认身份认证包 默认身份认证包是一个被称为msv1 0的动态链接厍 在进行Windows身份验证的LSASS进程的描述表中运行 这个DLL负责检查给定的用户名和密码是否和SAM数据库中指定的相匹配 如果匹配 返回该用户的信息 2020年3月18日11时1分 20 Windows系统的安全组件 SRM 安全引用监视器 SRM 是WindowsNT执行体 ntosknrl exe 的一个组件 该组件负责执行检查对象的安全访问 处理权限 用户权限 和产生安全审计消息 2020年3月18日11时1分 21 Windows操作系统的体系结构 2020年3月18日11时1分 22 Windows系统的安全组件 网络登录服务 网络登录服务是一个响应网络登录请求的services exe进程内部的用户态服务 身份验证同本地登录一样 是通过把用户信息发送到LSASS进程来验证的 2020年3月18日11时1分 23 III Windows的账号安全 2020年3月18日11时1分 24 Windows安全子系统 Winlogon 加载GINA 监视认证顺序 加载认证包 支持额外的验证机制 为认证建立安全通道 提供登陆接口 提供真正的用户校验 管理用户和用户证书的数据库 2020年3月18日11时1分 25 WindowsNT 2000 XP系统的登录过程 登录是通过登录进程 WinLogon LSA 一个或多个身份认证包和SAM的相互作用发生的 2020年3月18日11时1分 26 用户登录步骤step1 winLogon exe进程提示用户输入用户名和口令 2020年3月18日11时1分 27 用户登录步骤step2 winLogon调用LSA 传递登录信息并指定哪一个用于身份验证的包来接收登录信息 如前所述 msvl 0执行WindowsNT认证 系统上所有的身份验证包都被定义在Hkey Local Machine System CurrentControlset control lsa目录下的注册表中 LSA调用基于这些信息的身份验证包来传送登录信息 2020年3月18日11时1分 28 用户登录步骤step3 msv1 0身份验证包获取用户名称和口令信息并向SAM发送请求来检索账号信息 包括口令 用户所属的组和任何账号限制 msvl 0首先检查帐号限制 例如允许访问的时间或访问类型 如果用户因为SAM数据库中的限制而不能登录 那么该登录就会失败 并且msvl 0给LSA返回一个失败状态 2020年3月18日11时1分 29 用户登录步骤step4 msvl 0对比存储在SAM中的口令和文件名 如果信息匹配 msvl 0生成一个惟一的用于登录会话的标识符 并通过调用与该标识符相关的LSA来创建登录会话 传递用户最终创建访问令牌所需的信息 一个访问令牌包含用户的SID 工作组的SID以及配置文件信息 如宿主目录 2020年3月18日11时1分 30 用户登录步骤step5 LSA查看本地规则数据库来了解允许该用户做的访问 交互式 网络或服务进程 如果请求的登录与允许的访问不匹配 那么登录企图将被终止 LSA通过清除它的所有数据结构来删除最近创建的登录会话 然后向winLogon返回失败信息 接着仍由winLogon向用户显示相应的消息 如果请求的访问被允许 LSA会附加某些其他的安全项 例如 交互式 等等 然后检查它的规则数据库来了解这个用户所拥有ID的所有被授予的特权 并将这些特权添加到该用户的访问令牌中 2020年3月18日11时1分 31 用户登录步骤step6 当LSA已经得到所有必要的信息后 它将调用执行体来创建访问令牌执行体为交互式登录或服务登录创建一个首选访问令牌 为网络登录创建一个模仿令牌 在成功地创建了访问令牌以后 LSA将复制令牌 创建一个可以被传送到winLogon的句柄 此时 LSA把成功信息连同由msvl 0返回的一个访问令牌句柄 登录会话的LUID和配置文件信息 如果有的话 返回给winLogon 2020年3月18日11时1分 32 账户和口令的安全设置 删除不再使用的账户 禁用GUEST账户启用账户策略 2020年3月18日11时1分 33 删除不再使用的账户 2020年3月18日11时1分 34 禁用GUEST账户 2020年3月18日11时1分 35 启用账户策略 2020年3月18日11时1分 36 IV Windows的文件安全 2020年3月18日11时1分 37 WindowsNT 2000 XP资源访问 Windows2000的资源对象包括文件 设备 邮件槽 己命名的和未命名的管道 进程 线程 事件 互斥体 信号量 可等待定时器 访问令牌 窗口站 桌面 网络共享 服务 注册表键和打印机 2020年3月18日11时1分 38 Windows资源访问控制的目标 控制那些用户可以访问哪些对象 识别用户的安全信息 2020年3月18日11时1分 39 安全性描述符和访问控制 为了管理对对象的安全访问 Windows中的所有的对象在它们被创建时都被分配以 安全性描述符 securitydescriptor 安全性描述符控制哪些用户可以对访问的对象做什么 它包含下列主要属性 所有者SID 所有者的安全ID 组SID 用于对象主要组的SID 只有POSIX使用 自主访问控制列表 DACL 指定谁可以访问对象 可以做什么 系统访问控制列表 SACL 指定哪些用户的哪些操作应记录到安全审计日志中 2020年3月18日11时1分 40 访问令牌 用户通过验证后 登陆进程会给用户一个访问令牌 该令牌相当于用户访问系统资源的票证 当用户试图访问系统资源时 将访问令牌提供给Windows2000 然后Windows2000检查用户试图访问对象上的访问控制列表 如果用户被允许访问该对象 Windows2000将会分配给用户适当的访问权限 访问令牌是用户在通过验证的时候由登陆进程所提供的 所以改变用户的权限需要注销后重新登陆 重新获取访问令牌 2020年3月18日11时1分 41 Windows2000的文件保护机制 Permissioncontrolencryption 2020年3月18日11时1分 42 Permissioncontrol 2020年3月18日11时1分 43 加密文件系统 加密文件系统 encryptedfilesystem EFS 提供的可将加密的NTFS文件存储到磁盘上 EFS特别考虑了其他操作系统上的现有工具引起的安全问题 这些工具允许用户不经过权限检查就可以从NTFS卷访问文件 通过EFS NTFS文件中的数据可在磁盘上进行加密 2020年3月18日11时1分 44 EFS的原理 EFS加密技术是基于公共密钥的 它用一个随机产生的文件密钥 fileencryptionkey FEK 通过加强型的数据加密标准 dataencryptionstandard DES 算法 DESX对文件进行加密 对FEK采用RSA算法进行加密 2020年3月18日11时1分 45 EFS的组成 2020年3月18日11时1分 46 EFS加密文件的步骤step1 创建日志NTFS首先在这个文件所在卷的卷信息目录下 这个目录隐藏在根目录下面 创建一个叫做efs0 log的日志文件 当拷贝过程中发生错误时利用此文件进行恢复 2020年3月18日11时1分 47 EFS加密文件的步骤step2 文件加密然后EFS调用CryptoAPI设备环境 该设备环境使用MicrosoftBaseCryptographicProvider1 0产生密匙 当打开这个设备环境后 EFS产生FEK FileEncryptionKey 文件加密密匙 FEK的长度为128位 仅US和Canada 对文件使用DESX加密算法进行加密 2020年3月18日11时1分 48 EFS加密文件的具体方法 在加密文件所在的文件夹下将会创建一个叫做Efs0 tmp的临时文件 要加密的内容被拷贝到这个临时文件 原来的文件被加密后的数据覆盖 在默认的情况下 EFS使用128位的DESX算法加密文件数据 但是Windows还允许使用更强大的的168位的3DES算法加密文件 这时FIPS算法必须打开 因为在默认的情况下它是关闭的 2020年3月18日11时1分 49 EFS加密文件的步骤step3 获取公 私钥对获取公有 私有密匙对 如果这个密匙还没有的话 当EFS第一次被调用时 EFS产生一对新的密匙 2020年3月18日11时1分 50 EFS加密文件的步骤step4 创建DDFEFS为当前用户创建一个数据解密块DataDecryptionField DDF 在这里存放FEK然后用公有密匙加密FEK EFS使用1024位的RSA算法加密FEK 2020年3月18日11时1分 51 EFS加密文件的步骤step5 设置恢复代理如果系统设置了加密的代理 EFS同时会创建一个数据恢复块DataRecoveryField DRF 然后把使用恢复代理密匙加密过的FEK放在DRF 每定义一个恢复代理 EFS将会创建一个DataRecoveryAgent DRA Winxp没有恢复代理这个功能 所以没有这一步 这个区域的目的是为了在用户解密文件的中可能解密文件不可用 这些用户叫做恢复代理 恢复代理在EDRP EncryptionDataRecoveryPolicy 加密数据恢复策略 中定义 它是一个域的安全策略 如果一个域的EDRP没有设置 本地EDRP被使用 在任一种情况下 在一个加密发生时 EDRP必须存在 因此至少有一个恢复代理被定义 DRF包含使用RSA加密的FEK和恢复代理的公钥 如果在EDRP列表中有多个恢复代理 FEK必须用每个恢复代理的公钥进行加密 因此 必须为个恢复代理创建一个DRF 2020年3月18日11时1分 52 EFS加密文件的步骤step6 写磁盘包含加密数据 DDF及所有DRF的加密文件被写入磁盘 2020年3月18日11时1分 53 EFS加密文件的步骤step7 删除临时文件在第一步中创建的文本文件和第七步中产生的临时文件被删除 2020年3月