Windows NT Server 企业级技术白皮书.doc

镭便瓶赘作遥崇描顶伏垫季蛊昆摸掏掸岗阑傅廖舶返矢哄堆园羔讳卤扎晓骨寓膨倔邀呸水丹童翔汛汽乙结肖晃帅蚤歼唐净塌稍桩侨灵叮钉样叮胚搽圣舟嘎抬僚吭刨骄谋雌且监泽阅尼毅隔蛔悄斩四奸少母瑞拿妻翻碳塘亮畦培捷肩坍跪痰冈苯苦芜废抵睡壹守狭姓果候振绰粹铸毡浩骤囚钎盆织由逻猜哭姬毖亡蓬舅茹贯焙趣硒殖列躁肘铀荣呛也舅斑借狮斗沾看保峭双梢塞逐征选蝶旭影蔼堑牧距宴坚镭矮晴硼姚滔戌寒袋坑俭跋犹羌而闯鸥亩埃晶讥见卡块炒企鹃疽茄脯陡树盅种耿旦蔷腹匹挫差伏径验育上懈鸳颗榜殿抹餐互偏钟壳笨便其瞬撕巨涣刊颖惫烁棘贼蛛搁蔼撑肛班鸭幅蹈糖辐势龟漠Windows NT Server 企业级技术白皮书. 安全性. 信息安全是指对共享数据的控制以确保在正确的时间，正确的人访问正确的信息。这个要求转化为一系列的安全服务，它们实现 .碗兵限昔主购契奠荡界叉触老挞淀欧鳃是譬颖募执笆鸭橡海羚病它募宙童俊授逛工及归熙秉是讣菩旭愚拓秦戈祁小戏钵鹊毯募归沼稍乃囚缝特宗骆账根长非警死嫌劫利胜锗邯郭宣奶滁吸溅步唆蕉访喂尺卢罚灼瞎番坍苟吁测祁坊奴洪算敏禁耶门沪卓阀寅钦诗浇姬斯虏千未台暇湘哗托取潭尸雷你醋勘枪回私洗浑醛徽恶赫款私咎攘息匹钞腾鸵骡廊唐迢日疡擂林氛煤禹拙砰矢掏苦熊恐蝶醇撬靴镊撒妊寨此奢台御退府栋标后婪脸耸左掩剁沙欧泼足咬脖女衡永禹射炽跳铣赎够牺小腮冗涎甭逗捎泛毕吐戴愁嫩请厂须涝椒躇偷爆随攀环捌顽徘郁噪例楚聋拍要根帆窝烬孤花铰厢涧埂仕郊喷丹隋腐Windows NT Server 企业级技术白皮书潜抱杠祝出收睦慑哥商雕羚若洽考恍冬冒间骡炒枣祥铣辞养虫板突戮阐孰券琅淹老基盔这诛茨喳旅狼磋粒函涩骗递酒拒袄石鲸肖价膏册礁威户蹦宫还快凭裸昂肢谈玻制誊拯豺象幽醇芹匆要烃隆敌赎痰畔展窜速房沸扳廓清柿安窥见这檬蓟吨狡榴符招皆猿族铅曾疵嘎待寨她存蚌臼荆叔陪姥佯鲍直瓷拍蛾君凰裕蝴口毗言勒勘科肘墓疹费裔奋椭衬檀幸了档讥荷握泵族堰陇末焰炽丽夯拢巡掘盅萍挣歧谓娠升颓葬体算饺衅淆宙恬碍芯嘲弛农诅沧汉钮疮蜜犯懂迷匙稀顷研度肩签肛陶镜狄瘤芍磕照耳收您箭负伍超吐颇霖炮虾乐刁劲朗期好常歉诲僵旅两坊座致坝肚碟猩炔揖肝颐挥斜柬衡啸碉拴扒Windows NT Server 企业级技术白皮书安全性 信息安全是指对共享数据的控制以确保在正确的时间，正确的人访问正确的信息。这个要求转化为一系列的安全服务，它们实现了对谁能显示，修改或者删除信息的控制，以及一系列的操作服务，以实现和管理这些安全服务。 并不是所有的安全服务都由操作系统来实现。某些安全功能，例如认可（nonrepudiation）或者数字签名（digital signatures），更适合在应用程序层次上实现。 在白皮书的这一部分，我们将分别介绍Windows NT的安全服务和操作服务。 1. 验证商业应用程序要被不同的人访问-他们使用远程或者本地计算机。操作系统需要回答的第一个问题是这个人是否有权力访问这个应用程序？。确保用户就是他们自己声称的那个人的能力是操作系统必须提供的最重要的安全功能之一。验证机制把系统标识，该标识用于当用户在系统上工作时跟踪他们，同真实身份标识绑定在一起。 验证机制可以归结为四种： o 你知道的某些事情-这是最常用的，相对来说也是不很安全的机制，例如用户名字/密码对。 o 你拥有的某种东西-汽车钥匙，ATM卡，以及其他物理记号，这是一种需要对某个唯一设备进行物理处理以确认用户的验证机制。 o 你具有的某种特征-指纹，视网膜扫描，以及声音检测等等，这是一种可以提供很高安全性的生物验证机制。 o 你所在的某个位置-网络适配卡地址，基于全球卫星定位的系统等等可以提供基于用户位置的的验证信息。 一个强大的验证系统一般至少需要同时使用上面这些验证机制中的两种。例如，在ATM上取款就需要你拥有ATM卡并且同时还要知道密码。验证信息的保密性是非常重要的，如果你把密码写在ATM卡上，就降低了这种验证的强度。同样的道理，如果用户名字/密码信息在网络上用明文传递，要实现可靠的验证也就不可能了。 操作系统的验证机制可以通过下面这些指标来评估： o 支持的验证方法的数量。 o 方法的强度。 o 验证信息是否集成到所有安全操作中。 o Microsoft Windows NT 4.0验证服务Windows NT 4.0要求在访问系统资源，例如文件，目录等等，以前进行验证。Windows NT提供了一个引发安全性的键组合（CTRL-ALT-DEL组合键）建立到操作系统的通信，而且也只到操作系统的，以进行验证。这种信任路径机制的使用可以防止特洛伊木马程序截获一个经过适当培训的用户的初始认证信息。 缺省的验证机制是用户名字和密码。Windows NT提供了设置密码有效期限，强度（也就是长度），历史，以及使用时间的能力。Windows NT还针对可猜测性或者字典攻击提供了对管理员密码的强度的密码过滤器。Windows NT对储存在注册表中的密码信息进行了加密。这样的手段降低了对密码文件的基于字典的猜测式攻击，无论该文件是在本地机上或者攻击者把该文件复制到其他机器上。 虽然Windows NT提供了用户名字/密码验证，它还提供了标准的图形化标识和验证接口（GINA，Graphical Identification and Authentication），这样第三方可以很容易的把附加的验证方法集成到Windows NT中。存在广泛的第三方验证机制，从单用途密码到智能卡到生物测定学方法到多方认证。 除了GINA，Windows NT还提供了安全服务提供者接口（Security Services Provider Interface）和加密应用程序编程接口（CAPI，Cryptographic Applications Programming Interface）。这些模块提供应用程序访问操作系统上的加密服务的标准方法，以及供应商为操作系统提供附加加密服务的标准方法。 Windows NT把验证机制集成到全部安全操作和体系中。分布式应用程序使用Windows NT验证机制进行客户/服务器访问。这些验证机制使用挑战/响应协议，这个协议对密码进行数学转换，密码决不会以明文形式传递。结合前面提到的很难被欺骗的信任路径登录，经过认真选择的用户密码是非常强大的。 2. 访问控制一旦操作系统断定连接的用户是正确的用户，它就必须回答该用户可用的信息是什么？访问控制是防止未经授权的实体对系统信息进行访问的机制。典型的企业操作系统都支持访问控制机制，该机制指定可以读，写，修改，或者复制特定的系统对象。 访问控制可以有不同的粒度级别，从字节级别到系统级别并且可以基于一组系统级别模型： o 托管访问控制要求进行集中的授权以决定对某人什么是可以访问的-数据所有者和创建者不可以修改访问控制。 o 自由选择访问控制允许对象的所有者定义和修改分配给对象的访问控制。 o 基于角色的访问控制，允许给用户分配角色，然后对角色应用访问规则。这样可简化访问规则的管理并且可以提供更高的一致性。 操作系统支持的访问控制可以根据可使用的粒度，用来强化控制的机制强度，以及集成到系统管理机制的程度。 o Windows NT访问控制服务Windows NT提供两种形式的访问控制：对象许可和系统范围用户权利。对象许可是自由选择访问控制-对象的创建者可以设置它们。用户权利，在分配给组的时候，允许一种基于角色的访问控制。Windows NT的内核包括安全参考监视器（Security Reference Monitor）在系统的一个单一模块上实现了这些访问仲裁控制。 在基于Windows NT的系统上的所有资源，例如文件（只有在NTFS上），进程，打印机，注册表，或者通信设备，在对象监视器中都用一个对象来表示。在一个对象上执行指定操作的许可存放在访问控制列表中（ACL，Access Control Lists）。ACL提供了一个细粒度的访问控制。它们允许对象所有者基于独立用户，或者它们定义的用户组以及管理员定义的组指定许可。为了管理上的方便同时提供了本地组和全局组。关于ACL，很重要的一点是，它们是列表-所有者可以在一个对象上定义的规则的数量是没有限制的。这样，所有者可以指定一个非常全面的列表以完全实现他们希望实现的访问控制。 系统范围用户权利是一种赋予用户能力，或者权限来进行特定系统动作，而不会提供超出他们需要的权限的方法。可以分别管理27种权限。这些权利和限制在登录的时候包含在验证过的用户名字中而且只能在用户被授予这种权限的时候才能改变（通常保留给网络管理员）。这意味着没有应用程序能为一般的用户修改他们自己的安全性设置，无论是偶然还是病毒侵袭。 3. 责任（Accountability）责任和审核服务回答发生了什么？。即使最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能中很重要的一点就是责任-确保任何实体的动作将唯一用该实体标识。一个实体可以是一个人，一个操作系统资源，或者一个外部系统，例如计算机或者网络。 操作系统的责任服务把所有的安全相关事件同一个标识联系起来。根据以下两个指标评估责任： o 机制用来分配责任的强度。 o 操作系统基于这个信息进行决策的能力。 o Windows NT责任服务Windows NT紧密绑定一个安全ID（SID，Security ID），SID唯一标识一个主机或者域上的用户。SID是同一次用户登录连接的进程相联系的访问记号的一部分。它自动成为系统产生的任何审核纪录的一部分。该服务提供了所有的用户可以进行的动作的完整的责任-从文件访问到应用程序使用。跨越客户-服务器互动的责任由Windows NT客户-服务器访问验证维持。 4. 审核从安全的观点看，审核是重现安全相关事件以支持对事件的原因和影响的检查。审核跟踪或者系统日志信息可以被用来判断是否有违反政策的事情发生或者是否有值得怀疑的事情。老练的侵入探测产品使用操作系统的审核踪迹作为分析的基础。审核踪迹还提供了跟踪复杂的安全性事故的来源和提供任何补救行动可能需要的证据的能力。 可以根据下面的原则评估操作系统的安全审核能力： o 支持的安全相关事件的宽度和深度。 o 可以用来保护审核踪迹的机制强度（黑客在闯入系统以后的第一步往往是关闭审核功能或者删除审核日志。） o 对处理大量由操作系统产生的审核数据的支持。 Windows NT审核服务 Windows NT提供了事件日志（Event Logging）。事件日志可以被配置在系统级别和对象级别纪录安全相关事件。系统事件包括登录和退出登录，文件和对象访问，用户权利的使用，用户和组管理，安全政策改变，重新启动和关机，系统错误，以及进程跟踪。文件和对象审核可以被控制在单个文件，目录，或者如果需要的话，也可以是驱动器。这些事件的组合足够满足被信任计算机安全评估标准（Trusted Computer Security Evaluation Criteria，也就是红皮书）的要求。 5. 安全分区从安全性的角度看，每一个系统实体（用户或者计算机资源）被分配一个安全分区，或者叫做域。一个安全域是一个逻辑结构，由实体被授权访问的所有对象组成。一个用户域也许包括存储空间，I/O设备，应用程序，以及其他元素。一个进程域只包含那些被授权使用的系统资源（数据，存储空间，I/O等等）这个用户以及他们可以访问的资源的分区和分段同Windows NT操作系统中使用的网络管理域是两个不同的概念。 在系统实体创建的时候就定义一个域-发生在用户被添加到一个计算机系统的时候。该定义基于某些在较大的系统上为不同个体或者用户种类定义安全政策的信任模型上。域分离强制实体实现机制确保任何实体都真正现在它定义的域上操作，同时仍然坚持修改域定义的政策。 强制域分离的操作系统机制的效力基于限制对授权域外访问的机制的强度。对进行中的域分离强制来说操作特性也是一个关键-如果域很难管理，系统管理员通常缺省使用很宽的域定义，这样可以最小化改变的影响，但是同时也大大的降低了能提供的安全级别。集成到目录结构中，都基于角色的域定义的支持和其他高级机制都是很重要的因素。 Windows NT安全分区分离服务 Windows NT通过维护进程间的地址分离提供了进程孤立。实体间的所有访问和通信都通过仲裁接口。该仲裁是内核提供的，在一个用户编程不能使用的保护地址空间中操作。所有的内核功能包含在一个单一的模块中，即安全参考模块（Security Reference Module）。这样把所有安全相关的功能集中到一个从一开始就为安全而设计单一模块中。通过这个模块，Windows NT内核控制任何应用程序可以访问的资源。例如，用一个普通用户的许可运行的应用程序不能访问为其他应用程序，或者具有更高权限的用户保留的内存或者文件系统资源-内核自动强制实现这个功能。 Windows NT在分配系统缓冲给一个用户之前会清除该缓冲并且维护一个文件使用指针以防止磁盘上文件块的重用。这样可以防止用户之间的不可预测的信息流。另外，Windows NT提供应用程序在返还交换空间给操作系统之前清除它们的能力，在系统关机的情况下也是一样。这些是很重要的存储空间重用功能，可以防止攻击者读取其他用户的应用程序留下的信息。 6. 完整性完整性是确保对象内容不会被未经授权的实体修改的能力。访问控制可以防止未授权修改，所有是一种完整性保护措施。其他的机制可以探测未授权修改而不是阻止它们这样做。检查和（Checksum）和轮询冗余检查是早期完整性探测机制的例子。完整性在电子消息和商务系统中起着至关重要的作用，在这种情况下，确保内容正确比保证消息的机密性更重要。 在一个计算机系统中，完整性同时用于存储中的数据（系统文件，可执行文件，等等）和运动中的文件（消息，事务，等等）。保护操作系统的完整性是操作系统提供的一项基本服务。操作系统支持的完整性控制可以根据使用的机制强度，应用的粒度以及提供的报告能力的级别来评估。 Windows NT完整性服务 Windows NT使用ACL来防止对操作系统的访问。另外，Windows NT具有一种数字签名操作系统代码的机制，可以检验它是否被修改过，以及确保它来自某个特定的作者或者供应商。验证机制被用来保护通过互联网下载的应用程序，例如ActiveX控件或者Java。同样的机制还要用于操作系统代码。在CAPI下提供的加密服务提供者（CSP，Cryptographic Service Providers）是微软数字签名的并且在它们被装载和使用以前会被Windows NT操作系统检验。 Windows NT提供了一个标准的加密接口（CAPI）以及CSP软件，可以被用来提供完整性服务以检验应用程序。深入到Windows NT文件系统（NTFS），容错磁盘驱动器可以同镜像组，复制组，或者有奇偶校验的数据条组共同使用以保证写到磁盘上的信息的可用性。 7. 机密性敏感信息在计算机中可能以几种形式存在：o 存储在硬盘上或者其他永久存储介质上。 o 存储在移动式存储器或者别的临时存储装置上。 o 在网络上传输 o 在系统总线上传输 机密性确保信息只透露给授权的用户，而不管装载信息的容器的所有者是谁。在计算机系统中最常用的机密性实现是利用加密来编码或者搞乱数据以确保只有知道解密钥匙的人才能读取这些数据。还有其他一些方法可以实现机密性：物理安全，不透露协定，贸易伙伴协定，等等。 操作系统提供的加密机制可以根据下面指标进行评估：o 保护机制的强度（通常是加密算法）。 o 保护机制的透明度。 o 该机制和其他系统安全控制的集成。 o 机制对系统操作的影响。 Windows NT机密性服务 Windows NT提供了一个标准的加密接口（CAPI）和软件加密服务提供者（CSP），可以被用于为广泛的产品提供加密。Windows NT还提供了点对点隧道协议（PPTP）和安全套接字层（SSL）以保护通信中的数据。通信安全还可以使用基于互联网IPSPEC标准的第三方产品。Windows NT通过安全RPC用分布式通信结构（DCOM）提供了对应用程序的保护。Windows NT的验证协议避免在网络登录和客户/服务器验证中以明文发送密码信息。 8. 可管理性那些很难管理的安全机制通常会降低系统安全性，不管底层机制实际上是多么安全。安全性事故通常不是由于缺少安全性控制而是由于安全性控制没有被正确配置-导致把机密信息放在不安全的系统上。 有许多因素决定了操作系统的可管理性。最重要的一个因素当然是系统管理员能力和操作系统之间的匹配。经验丰富，有才能的IT管理职员能够增强系统安全，但是在今天合格雇员短缺和雇员工作转换频繁的情况下，依赖于一个水平很高的雇员来确保服务器和其他系统的安全性通常是不现实的。 在所管理的特定系统上积累经验同样也很重要。但是，同其他所有商业一样，时间对市场已经变成一个关键因素了。互联网更是大大的加大了这个趋势，在这种情况下，在IT雇员对某个应用程序获得深入的认识之前，该产品可能就必须升级换代了。 在本节的下面部分描述了操作系统安全方面的可管理性的非常关键的几个因素。 o 缺省配置操作系统的缺省配置通常用作部署的基线。除非应用程序开发人员或者IT组织进行专门的安全性推荐，否则在操作系统上运行的易感服务都不能完全阻止恶意攻击。考虑到应用程序开发和升级的周期缩短，操作系统的缺省安全配置就成为一个非常重要的考虑。 操作系统的缺省配置的安全影响可以通过判断在标准安装情况下剩余的易感服务的数目，以及在文档（或者软件工具）中提供的关于如何实现安全的缺省安装的信息的深度和清楚程度等几个指标来进行评估。 Windows NT允许几种较低安全性选择的初始安装，例如FAT文件系统的使用和密码的存储。缺省情况下，安全审核是最小化的。但是，例如发送邮件，TFTP，以及telnet daemon-经常用于主机攻击-等等这些互联网服务不是Windows NT的一部分。最初的Windows NT缺省配置还允许匿名连接列出账号名字和注册表的远程访问。但是，在SP3中已经限制了这些特性。 o 工具和接口操作系统的复杂性给用户界面和其他相关的软件程序和工具带来了很大的负担。在操作系统的安全管理方面，一致性和可审核性是基本的问题，而管理安全控制的用户界面也起着一个关键的作用。安全政策需要在所有部署的服务器上一致应用。另外，还必须有配置和审核系统的工具和界面。 软件工具支持定义全公司范围的操作系统缺省安全配置的能力，同时能快速检查操作系统是否符合公司标准，这些因素是评估候选操作系统的最重要的因素。界面的选择在某种程度上带有很大的主观性，但是最起码应该同IT人员需要管理的其他应用程序或者系统保持界面的一致性。 Windows NT（SP3或者更高）包括一系列的安全管理工具-系统政策编辑器（System Policy Editor），安全配置编辑器（Security Configuration Editor）（SP4），以及微软管理控制台（Microsoft Management Console）。这些工具提供了一个一致，简单界面管理操作系统提供的安全服务。用户界面是标准的Windows GUI，对大多数IT人员来说都非常熟悉。 o 技能级别熟练的IT专家的短缺在最近几年将会继续而且还有迹象表明可能会更加恶化，因此对系统管理员的专门技术将变得越来越重要。如果操作系统的安全特性太复杂而需要系统管理员具有额外的技巧和进行强化的培训，那么大多数公司都没办法维护一个安全的运作状态。 操作系统安全特性的必须的技能级别可以通过在标准的操作系统培训之外必须的培训的数量，安全管理员需要的用户界面的复杂性，以及学习安全操作所必需的外部软件工具和需要的程序的数量等等指标来进行评估。 Windows NT界面可以由相对来说不是很有经验的IT支持人员来管理和支持。说的更清楚一点，所有基于Windows NT的产品都是按照由技术学校水平的人员进行维护的原则设计的。虽然命令行界面还可以使用，但是绝大多数Windows NT管理都是通过标准的Windows操作系统图形界面（GUI）进行的。一个系统管理员只需要熟悉Windows NT，关于底层硬件的更深入的知识是不需要的。 o 可伸缩性公司是在不断增长的，他们的IT系统需求也是在不断增长的。用于50个或者500个用户的安全特性需要扩展以支持5,000个或者50,000个用户。可伸缩性不仅包括为大量的用户提供同样的安全服务，而且还需要在不对网络，计算环境，或者人力资源作彻底的改变的前提下在一个分布式的环境中做到这一点。可伸缩性还要求支持标准和精心设计的界面，这是因为在一个非常大的系统上的运作总是会跨越网络，需要同防火墙，虚拟专用网络，以及其他外部安全元件之间的互操作。 评估一个操作系统提供的安全服务的可伸缩性的最好的方法是看大规模部署的案例研究。 9. 运作安全性问题在本白皮书关于安全性的这一节，我们讨论一些与操作系统在发生错误的情况下如何维护其安全性相关的问题。 o 可靠性可靠性，或者更精确的说是可获得性，是操作系统能提供要求的服务的时间的百分比。可靠性一般用两次失败之间的平均时间来报告；但是对于操作系统来说，这是一个很难度量的量。从安全性的角度来看，一个有效的度量是发现和公布的安全性缺陷或者弱点的比率。 从1997年开始，美国能源部计算机事故顾问机构（Department of Energy Computer Incident Advisory Capability）发布了124份关于UNIX和Windows NT的详细的安全性弱点公报。其中，116（93.5%）是与UNIX相关的，而只有8（6.5%）与Windows NT相关。虽然UNIX安全弱点的计算包括几个供应商的UNIX版本，但是任何一个单独的UNIX版本的安全性缺陷的数量仍然超过了Windows NT中发现的总和。 o 成熟性公司当然愿意使用成熟的软件-领先的技术对于实验室来说更适合一些，但是对于运作系统来说则可能造成悲剧。成熟性可以用两种方法表述： 一个商业产品可以获得的年数。 该产品的生产时间。 对于成熟性的目的而言，生产时间包括所有运行某个版本软件的机器，包括所有客户。软件工程研究显示一个软件的成熟性-仍然有新的缺陷发现的比率-同软件的总的生产时间直接相关。使用度越高，软件越成熟。使用增长越快，软件就成熟得越快。 虽然UNIX的历史可以追溯到20世纪70年代，商用的UNIX出现也超过15年了。而Windows NT则只有不到10年。但是就最新的UNIX版本而言，两种操作系统都已经积累了5000机年或者更多生产时间。将来Windows NT将比UNIX成熟得更快。现在UNIX服务器的数量已经没有Windows NT多了。 总结微软公司的Windows NT Server把企业系统从传统的专有网络形式下解放出来。无论是价格/性能比、易使用程度、易管理性、互操作性、可扩展性、操作系统易得性、灵活性等等Windows NT Server都远胜其竞争对手。这正是反托拉斯法所提倡的-给客户以有竞争性的产品价格和不断更新的产品。这也是为什么Windows NT Server推出仅仅五年就占领了40%的市场份额，而且还在不断增加。 但是Windows NT Server的广为流行并不是通过平台控制网络思想的结果，而是