第七章_操作系统安全PPT学习课件

第7章操作系统的安全 内容介绍 一 操作系统的安全标准及发展二 操作系统安全设计的要求三 常见系统的安全设计特性介绍四 Windows的安全设置策略五 作业 一 安全操作系统的研究发展 操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性 信息系统的安全性是没有基础的 1 1标准的发展1 2应用的研究 1 1 操作系统 国际安全评价标准的发展及其联系 国际安全评价标准的发展及其联系 国际安全评价标准的发展及其联系 安全级别列表 各级的代表系统 各级的具体讲解 D级是最低的安全级别 拥有这个级别的操作系统是完全不可信任的 对于硬件来说 是没有任何保护措施的 操作系统容易受到损害 没有系统访问限制和数据访问限制 任何人不需任何账户都可以进入系统 不受任何限制可以访问他人的数据文件 国际安全评价标准的发展及其联系 C1是C类的一个安全子级 这种级别的系统对硬件有某种程度的保护 如用户拥有注册账号和口令 系统通过账号和口令来识别用户是否合法 并决定用户对程序和信息拥有什么样的访问权 但硬件受到损害的可能性仍然存在 用户拥有的访问权是指对文件和目标的访问权 文件的拥有者和超级用户可以改变文件的访问属性 从而对不同的用户授予不通的访问权限 国际安全评价标准的发展及其联系 使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务 授权分级使系统管理员能够给用户分组 授予他们访问某些程序的权限或访问特定的目录 国际安全评价标准的发展及其联系 B级中有三个级别 B1级即标志安全保护 LabeledSecurityProtection 是支持多级安全 例如 秘密和绝密 的第一个级别 这个级别说明处于强制性访问控制之下的对象 系统不允许文件的拥有者改变其许可权限 国际安全评价标准的发展及其联系 B2级 又叫结构保护级别 StructuredProtection 它要求计算机系统中所有的对象都要加上标签 而且给设备 磁盘 磁带和终端 分配单个或者多个安全级别 国际安全评价标准的发展及其联系 B3级 又叫做安全域级别 SecurityDomain 使用安装硬件的方式来加强域的安全 例如 内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象 该级别也要求用户通过一条可信任途径连接到系统上 国际安全评价标准的发展及其联系 A级 又称验证设计级别 VerifiedDesign 是当前橙皮书的最高级别 它包含了一个严格的设计 控制和验证过程 该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证 而且必须进行秘密通道和可信任分布分析 可信任分布 TrustedDistribution 的含义是 硬件和软件在物理传输过程中已经受到保护 以防止破坏安全系统 我国安全标准简介 它的安全保护机制使用户具备自主安全保护的能力 保护用户的信息免受非法的读写破坏 我国安全标准简介 除具备第一级所有的安全保护功能外 要求创建和维护访问的审计跟踪记录 使所有的用户对自己的行为的合法性负责 我国安全标准简介 除继承前一个级别的安全功能外 还要求以访问对象标记的安全级别限制访问者的访问权限 实现对访问对象的强制保护 我国安全标准简介 在继承前面安全级别安全功能的基础上 将安全保护机制划分为关键部分和非关键部分 对关键部分直接控制访问者对访问对象的存取 从而加强系统的抗渗透能力 我国安全标准简介 这一个级别特别增设了访问验证功能 负责仲裁访问者对访问对象的所有访问活动 国外安全操作系统的发展 1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统 其目标是要向大的用户团体提供对计算机的并发访问 支持强大的计算能力和数据存储 并具有很高的安全性 贝尔实验室中后来参加UNIX早期研究的许多人当时都参加了Multics的开发工作 由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想 事实上连他们自己也不清楚什么时候 开发到什么程度才算达到设计的目标 虽然Multics未能成功 但它在安全操作系统的研究方面迈出了重要的第一步 Multics为后来的安全操作系统研究积累了大量的经验 Adept 50是一个分时安全操作系统 可以实际投入使用 1969年C Weissman发表了有关Adept 50的安全控制的研究成果 安全Adept 50运行于IBM 360硬件平台 它以一个形式化的安全模型 高水印模型 High Water MarkModel 为基础 实现了美国的一个军事安全系统模型 为给定的安全问题提供了一个比较形式化的解决方案 在该系统中可以为客体标上敏感级别 SensitivityLevel 属性 系统支持的基本安全条件是 对于读操作不允许信息的敏感级别高于用户的安全级别 Clearance 在授权情况下 对于写操作允许信息从高敏感级别移向低敏感级别 1969年B W Lampson通过形式化表示方法运用主体 Subject 客体 Object 和访问矩阵 AccessMatrix 的思想第一次对访问控制问题进行了抽象 1972年 J P Anderson在一份研究报告中提出了访问监控器 ReferenceMonitor 引用验证机制 ReferenceValidationMechanism 安全内核 SecurityKernel 和安全建模等重要思想 LINVS 是1984年开发的基于UNIX的一个实验安全操作系统 系统的安全性可达到美国国防部橘皮书的B2级 它以4 1BSDUnix为原型 实现了身份鉴别 自主访问控制 强制访问控制 安全审计 特权用户权限分隔等安全功能 SecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统 它最初是在IBMPC AT平台上实现的 SecureXenix对Xenix进行了大量的改造开发 并采用了一些形式化说明与验证技术 它的目标是TCSEC的B2到A1级 1987年 美国TrustedInformationSystems公司以Mach操作系统为基础开发了B3级的Tmach TrustedMach 操作系统 除了进行用户标识和鉴别及命名客体的存取控制外 它将BLP模型加以改进 运用到对MACH核心的端口 存储对象等的管理当中 通过对端口间的消息传送进行控制和对端口 存储对象 任务等的安全标识来加强微核心的安全机制 1989年 加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统 1 2安全操作系统的研究历程 国外安全操作系统的发展 ASOS ArmySecureOperatingSystem 是针对美军的战术需要而设计的军用安全操作系统 由TRW公司1990年发布完成 ASOS由两类系统组成 其中一类是多级安全操作系统 设计目标是TCSEC的A1级 另一类是专用安全操作系统 设计目标是TCSEC的C2级 两类系统都支持Ada语言编写的实时战术应用程序 都能根据不同的战术应用需求进行配置 都可以很容易地在不同硬件平台间移植 两类系统还提供了一致的用户界面 OSF 1是开放软件基金会于1990年推出的一个安全操作系统 被美国国家计算机安全中心 NCSC 认可为符合TCSEC的B1级 其主要安全性表现4个方面 系统标识 口令管理 强制存取控制和自主存取控制 审计 UNIXSVR4 1ES是UI UNIX国际组织 于1991年推出的一个安全操作系统 被美国国家计算机安全中心 NCSC 认可为符合TCSEC的B2级 除OSF 1外的安全性主要表现在4个方面 更全面的存取控制 最小特权管理 可信通路 隐蔽通道分析和处理 在1992到1993年之间 美国国家安全局 NSA 和安全计算公司 SCC 的研究人员在TMach项目和LOCK项目的基础上 共同设计和实现了分布式可信Mach系统 DistributedTrustedMach DTMach DTMach项目的后继项目是分布式可信操作系统 DistributedTrustedOperatingSystem DTOS DTOS项目改良了早期的设计和实现工作 产生了一些供大学研究的原型系统 例如SecureTransactionalResources DX等 2001年 Flask由NSA在Linux操作系统上实现 并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux SELinux 包括代码和所有文档 与传统的基于TCSEC标准的开发方法不同 1997年美国国家安全局和安全计算公司完成的DTOS安全操作系统采用了基于安全威胁的开发方法 设计目标包括3个方面 1 策略灵活性 DTOS内核应该能够支持一系列的安全策略 包括诸如国防部的强制存取控制多级安全策略 2 与Mach兼容 现有的Mach应用应能在不做任何改变的情况下运行 3 性能应与Mach接近 国内安全操作系统的发展 1990年前后 海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面的探讨 他们都是参照美国TCSEC标准的B2级安全要求 基于UNIXSystemV3 2进行安全操作系统的研究与开发 1993年 海军计算技术研究所继续按照美国TCSEC标准的B2级安全要求 围绕UnixSVR4 2 SE 实现了国产自主的安全增强包 1995年 在国家 八五 科技攻关项目 COSA国产系统软件平台 中 围绕UNIX类国产操作系统COSIXV2 0的安全子系统的设计与实现 中国计算机软件与技术服务总公司 海军计算技术研究所和中国科学院软件研究所一起参与了研究工作 COSIXV2 0安全子系统的设计目标是介于美国TCSEC的B1和B2级安全要求之间 当时定义为B1 主要实现的安全功能包括安全登录 自主访问控制 强制访问控制 特权管理 安全审计和可信通路等 1996年 由中国国防科学技术工业委员会发布了军用计算机安全评估准则GJB2646 96 一般简称为军标 它与美国TCSEC基本一致 1998年 电子工业部十五所基于UnixWareV2 1按照美国TCSEC标准的B1级安全要求 对Unix操作系统的内核进行了安全性增强 1999年10月19日 我国国家技术监督局发布了国家标准GB17859 1999 计算机信息系统安全保护等级划分准则 为计算机信息系统安全保护能力划分了等级 该标准已于2001年起强制执行 Linux自由软件的广泛流行对我国安全操作系统的研究与开发具有积极的推进作用 2001年前后 我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果 中国科学院信息安全技术工程研究中心基于Linux资源 开发完成了符合我国GB17859 1999第三级 相当于美国TCSECB1 安全要求的安全操作系统SecLinux SecLinux系统提供了身份标识与鉴别 自主访问控制 强制访问控制 最小特权管理 安全审计 可信通路 密码服务 网络安全服务等方面的安全功能 依托南京大学的江苏南大苏富特软件股份有限公司开发完成了基于Linux的安全操作系统SoftOS 实现的安全功能包括 强制访问控制 审计 禁止客体重用 入侵检测等 信息产业部30所控股的三零盛安公司推出的强林Linux安全操作系统 达到了我国GB17859 1999第三级的安全要求 中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统 实现了符合我国GB17859 1999第三级要求的安全功能 中国计算机软件与技术服务总公司以美国TCSEC标准的B1级为安全目标 对其COSIXV2 0进行了安全性增强改造 此外 国防科技大学 总参56所等其他单位也开展了安全操作系统的研究与开发工作 2001年3月8日 我国国家技术监督局发布了国家标准GB T18336 2001 信息技术安全技术信息技术安全性评估准则 它基本上等同采用了国际通用安全评价准则CC 该标准已于2001年12月1日起推荐执行 这将对我国安全操作系统研究与开发产生进一步的影响 二 操作系统安全的基本要求与机制 什么是操作系统 操作系统的基本功能有哪些 从安全的角度上看 操作系统应当提供哪些安全服务 操作系统安全的主要目标按系统安全策略对用户的操作进行访问控制 防止用户对计算机资源的非法使用包括窃取 篡改和破坏标识系统中的用户 并对身份进行鉴别监督系统运行的安全性保证系统自身的安全性和完整性内存保护文件保护普通实体保护存取鉴别等 操作系统的安全机制 安全机制 是一种技术 一些软件或实施一个或更多安全服务的过程标识与鉴别机制信任的功能性事件检测审计跟踪安全恢复2 1标识与鉴别机制2 2访问控制2 2最小特权管理2 3可信通路2 4安全审计机制2 5存储保护 运行保护和I O保护 2 1标识与鉴别机制 身份认证 标识 用户要向系统表明的身份用户名 登录ID 身份证号或智能卡应当具有唯一性不能被伪造鉴别 对用户所宣称的身份标识的有效性进行校验和测试的过程 用户声明自己身份的4种方法 证实自己所知道的例如密码 身份证号码 最喜欢的歌手 最爱的人的名字等等出示自己所拥有的例如智能卡证明自己是谁例如指纹 语音波纹 视网膜样本 照片 面部特征扫描等等表现自己的动作例如签名 键入密码的速度与力量 语速等等 2 2访问控制 访问控制用来提供授权用户在通过身份鉴别后 还需要通过授权 才能访问资源或进行操作使用访问控制机制的目的保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会 从而延缓这种感染的传播保证系统的安全性和有效性 以免受到偶然的和蓄意的侵犯 访问控制机制的实行确定要保护的资源授权确定访问权限实施访问权限 系统内主体对客体的访问控制机制 自主访问控制强制访问控制基于角色的访问控制 在文件和目录中常用的几种访问模式 对文件设置的访问模式读拷贝 Read copy 与单纯的读 写删除 Write delete 不同的系统可能有不同的写模式 或复杂的组合 更细致 写附加 删除 写修改等执行 Execute 通常需要同时具备读权限无效 Null 对客体不具备任何访问权限 考虑目录 对目录及和目录相对应的文件的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制 最好 对目录的访问模式读写扩展 write expand 更细的 读状态 修改 附加 2 3最小特权管理 超级用户VS 普通用户主流多用户操作系统中 超级用户一般具有所有特权 而普通用户不具有任何特权威胁 超级用户口令丢失 被冒充 误操作解决方法 实行最小特权管理原则参考 橘皮书关于最小特权的定义 要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权 即最低许可这个原则的应用将限制因意外 错误或未经授权使用而造成的损害 最小特权原则 必不可少的特权充分性 保证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作必要性 在充分的前提下加以限制基本思想和出发点 系统不应给用户超过执行任务所需特权以外的特权一种可能的方案 将特权用户的特权加以划分 形成一组细粒度的特权 最小特权举例1 在系统中定义系统安全管理员审计员操作员安全操作员网络管理员任何一个用户都不能获取足够的权力破坏系统的安全策略为了保证系统的安全性 不应赋予某人一个以上的职责 系统安全管理员对系统资源和应用定义安全级限制隐蔽通道活动的机制定义用户和自主访问控制的组为所有用户赋予安全级审计员设置审计参数修改和删除审计系统产生的原始审计信息控制审计归档 操作员启动和停止系统 以及完成磁盘一致性检查等格式化新的存储介质设置终端参数允许或不允许登录 但不能改变口令 用户的安全纪和其他有关安全的登录参数产生原始的系统记账数据 安全操作员 完成安全相关的日常例行活动 相当于具有特权能力的操作员 完成操作员的所有责任例行的备份和恢复安装和拆卸可安装介质 网络管理员管理网络软件 如TCP IP设置BUN文件 允许使用Uucp Uuto等进行网络通信设置与连接服务器 CRI认证机构 ID映射机构 地址映射机构和网络选择有关的管理文件启动和停止RFS 通过RFS共享和安装资源启动和停止NFS 通过NFS共享和安装资源 最小特权举例2 CAP SETPLEVELCAP SETSPRIVCAP SETUIDCAP SYSOPSCAP SETUPRIVCAP MACUPGRADECAP FSYSRANGECAP SETFLEVELCAP PLOCKCAP CORECAP LOADMODCAP SEC OPCAP DEVCAP OPCAP NET ADMIN 将系统中能进行敏感操作的能力分成26个特权CAP OWNERCAP AUDITCAP COMPATCAP DACREADCAP DACWRITECAP DEVCAP FILESYSCAP MACREADCAP WRITECAP MOUNTCAP MULTIDIR由一些特权用户分别掌握这些特权 哪一个特权用户都不能独立完成所有的敏感操作 常见的最小特权管理机制基于文件的特权机制基于进程的特权机制目前几种安全OS的最小特权管理机制惠普的Presidum VirtualVault根功能分成42中独立的特权最小特权是惠普可信赖OSVirtualVault的基本特性红旗安全操作系统RFSOS一个管理角色不拥有另一个管理角色的特权 攻击者破获某个管理角色口令时 不会得到对系统的完全控制 SELinux系统中不再有超级用户 而被分解避免了超级用户的误操作或其身份被假冒而带来的安全隐患 2 4可信通路 可信通路是用户能够借以同可信计算基通信的一种机制能够保证用户确定是和安全核心通信防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令最简单的办法 给每个用户两台终端一台用于处理日常工作 一台专门用于和内核的硬连接昂贵另一种方法 使用通用终端 通过发信号给核心不可信软件不能拦截 覆盖或伪造的信号安全注意键 Linux的安全注意键 在x86平台上是 SYSRq 2 5安全审计机制 审计是一种事后分析法 一般通过对日志的分析来完成日志 记录的事件或统计数据提供关于系统使用及性能方面的信息审计 对日志记录进行分析以清晰的 能理解的方式表述系统信息安全审计 对系统中有关安全的活动进行记录 检查及审核认定违反安全规则的行为 审计机制的主要作用 主要作用能详细记录与系统安全有关的行为 并对这些行为进行分析 发现系统中的不安全因素 保障系统安全能够对违反安全规则的行为或企图提供证据 帮助追查违规行为发生的地点 过程以及对应的主体对于已受攻击的系统 可以提供信息帮助进行损失评估和系统恢复安全操作系统一般都要求采用审计机制来监视与安全相关的活动橘皮书中有明确要求 2 5 1审计事件 审计事件是系统审计用户动作的基本单位通常根据要审计行为的不同性质加以分类主体 要记录用户进行的所有活动客体 要记录关于某一客体的所有访问活动用户事件标准每个用户有自己的待审计事件集基本事件集在用户事件标准中 每个用户都要审计的公共部分橘皮书从C2级开始要求具有审计功能GB17859 1999从第二级开始就对审计有了明确的要求 2 5 2审计系统的实现 日志记录器 收集数据根据要审计的审计事件范围记录信息输出 二进制形式 或者可以直接读取的形式或者直接传送给数据分析机制分析器 分析数据输入 日志分析日志数据 使用不同的分析方法来监测日志数据中的异常行为通告器 通报结果输入 分析器的分析结果把结果通知系统管理员或其他主体为这些主体提供系统的安全信息辅助他们对系统可能出现的问题进行决策 WindowsNT的日志文件 系统日志跟踪各种系统事件记录由WindowsNT的系统组件产生的事件例如 启动过程中加载驱动程序错误又如 系统崩溃应用程序日志记录由应用程序或系统程序产生的事件例如 应用程序产生的状态dll失败又如 应用程序的添加安全日志记录安全相关的关键安全事件例如 登录上网 下网 改变访问权限 系统启动和关闭 与创建 打开 删除文件等资源使用相关联的事件 2 6存储保护 运行保护和I O保护 存储保护存储保护需求保护用户存储在存储器中的数据保护单元和保护精度 字 字块 页面 段单道系统VS多道系统VS多用户系统存储器管理和存储保护之间的关系存储基本概念 虚拟地址空间 段内存管理的访问控制 系统段与用户段基于物理页号的识别基于描述符的地址解释机制 基于物理页号的识别 每个物理页号都被加上一个密钥系统只允许拥有该密钥的进程访问该物理页每个进程分配一个密钥 装入进程的状态字中每次访问内存时 由硬件对该密钥进行校验密钥 要匹配访问控制信息 读写权限 要匹配缺点 繁琐 基于描述符的地址解释机制 每个进程有一个 私有 的地址描述符 描述进程对内存某页或某段的访问模式可以有两类访问模式集 用户状态下运行的进程系统模式下运行的进程优点 开销小 基于保护环的运行保护 等级域保护机制应该保护某一环不被其外层环侵入允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环与进程隔离机制不同在任意时刻 进程可以在任何一个环内运行 并转移到另一个环 保护进程免遭在同一环内同时运行的其他进程的破坏 I O保护 I O操作一般是特权操作操作系统对IO操作进行封装 提供对应的系统调用将设备看成一个客体 对其应用相应的访问控制规则读写两种针对从处理器到设备间的路径 三 主流操作系统的安全特性介绍 3 1 主流操作系统介绍3 2 各操作系统安全特性原理介绍 3 1主流操作系统概述 目前服务器常用的操作系统有三类 UnixLinuxWindowsNT 2000 2003Server 这些操作系统都是符合C2级安全级别的操作系统 但是都存在不少漏洞 如果对这些漏洞不了解 不采取相应的措施 就会使操作系统完全暴露给入侵者 UNIX系统 UNIX操作系统是由美国贝尔实验室开发的一种多用户 多任务的通用操作系统 它从一个实验室的产品发展成为当前使用普遍 影响深远的主流操作系统 UNIX诞生于20世纪60年代末期 贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形 后来该系统被移植到了DEC的PDP 7小型机上 1970年给系统正式取名为Unix操作系统 到1973年 Unix系统的绝大部分源代码都用C语言重新编写过 大大提高了Unix系统的可移植性 也为提高系统软件的开发效率创造了条件 主要特色 UNIX操作系统经过20多年的发展后 已经成为一种成熟的主流操作系统 并在发展过程中逐步形成了一些新的特色 其中主要特色包括5个方面 1 可靠性高 2 极强的伸缩性 3 网络功能强 4 强大的数据库支持功能 5 开放性好 Linux系统 Linux是一套可以免费使用和自由传播的类Unix操作系统 主要用于基于Intelx86系列CPU的计算机上 这个系统是由全世界各地的成千上万的程序员设计和实现的 其目的是建立不受任何商品化软件的版权制约的 全世界都能自由使用的Unix兼容产品 Linux最早开始于一位名叫LinusTorvalds的计算机业余爱好者 当时他是芬兰赫尔辛基大学的学生 目的是想设计一个代替Minix 是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序 的操作系统 这个操作系统可用于386 486或奔腾处理器的个人计算机上 并且具有Unix操作系统的全部功能 Linux是一个免费的操作系统 用户可以免费获得其源代码 并能够随意修改 它是在共用许可证GPL GeneralPublicLicense 保护下的自由软件 也有好几种版本 如RedHatLinux Slackware 以及国内的XteamLinux 红旗Linux等等 Linux的流行是因为它具有许多优点 典型的优点有7个 Linux典型的优点有7个 1 完全免费 2 完全兼容POSIX1 0标准 3 多用户 多任务 4 良好的界面 5 丰富的网络功能 6 可靠的安全 稳定性能 7 支持多种平台 Windows系统 WindowsNT NewTechnology 是微软公司第一个真正意义上的网络操作系统 发展经过NT3 0 NT40 NT5 0 Windows2000 和NT6 0 Windows2003 等众多版本 并逐步占据了广大的中小网络操作系统的市场 WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法 使用户使用起来比较方便 与Windows9X相比 WindowsNT的网络功能更加强大并且安全 WindowsNT系列操作系统 WindowsNT系列操作系统具有以下三方面的优点 1 支持多种网络协议由于在网络中可能存在多种客户机 如Windows95 98 AppleMacintosh Unix OS 2等等 而这些客户机可能使用了不同的网络协议 如TCP IP协议 IPX SPX等 WindowsNT系列操作支持几乎所有常见的网络协议 2 内置Internet功能随着Internet的流行和TCP IP协议组的标准化 WindowsNT内置了IIS InternetInformationServer 可以使网络管理员轻松的配置WWW和FTP等服务 3 支持NTFS文件系统Windows9X所使用的文件系统是FAT 在NT中内置同时支持FAT和NTFS的磁盘分区格式 使用NTFS的好处主要是可以提高文件管理的安全性 用户可以对NTFS系统中的任何文件 目录设置权限 这样当多用户同时访问系统的时候 可以增加文件的安全性 内容介绍 3 2 各操作系统安全特性原理介绍 Windows安全性需求 设计目标一致的 健壮的 基于对象的安全模型满足商业用户的安全需求一台机器上多个用户之间安全地共享资源进程 内存 设备 文件 网络安全模型服务器管理和保护各种对象客户通过服务器访问对象服务器扮演客户 访问对象访问的结果返回给服务器 Windows系统安全防御 Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性 Windows系统的安全架构 Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件 Windows系统的安全架构 WindowsNT 2K的安全包括6个主要的安全元素 审计 Audit管理 Administration加密 Encryption权限控制 AccessControl用户认证 UserAuthentication安全策略 CorporateSecurityPolicy Windows系统的安全架构 WindowsNT 2K系统内置支持用户认证 访问控制 管理 审核 安全策略 CorporateSecurityPolicy 审计Audit 管理Administration Windows系统的安全架构 Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件 C2级别操作系统的安全组件 由于Windows是C2级别的操作系统 下面介绍作为C2级别的操作系统中所包含的安全组件 访问控制的判断 Discretionaccesscontrol 对象重用 Objectreuse 强制登陆 Mandatorylogon 审核 Auditing 对象的访问控制 Controlofaccesstoobject Windows系统的安全架构 Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件 Windows2000安全模型 本地安全策略 Kerberos 审核日志 MSV1 0 Netlogon WindowsNT客户和服务器 Windows2000客户和服务器 SAM 登录 本地安全授权 LSA 提供Windows2000目录服务和复制 它支持轻量级目录访问协议 LDAP 和数据的管理部分 Windows2000中默认的身份验证协议 它用于Windows2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证 安全子系统的中心组件 它促使访问令牌 管理本地计算机上的安全策略并向用户登录提供身份验证 用于WindowsNT身份验证的身份验证包 它用于为不支持Kerberos身份验证的Windows客户提供兼容支持 一个内核模式组件 它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问 它还生成相应的审核消息 是本地用户和工作组的一个数据库 用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置 Windows系统的安全架构 Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件 标识 鉴别 授权 访问控制 审计 安全策略 账号指纹视网膜IC卡证书 根据获得的标识信息验证客户的身份 设置不同对象的访问权限 ACL 根据用户标识和对象的ACL进行访问控制 对整个过程 标识鉴别 对象授权 访问控制 进行审核 Windows2000核心安全组件 LSA SRM LSA Windows系统安全防御 Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性 Windows子系统安全 Windows2000安全子系统的工作机理Windows系统的对象Windows系统服务Windows基本的系统进程Windows安全子系统的组件Windows子系统安全 Windows2000安全子系统的工作机理 安全引用监视器 SRM 身份鉴别子系统 LSA 账户管理子系统 授权管理子系统 LSA 审计子系统 LSA 添加 删除账号和组 设置对象的ACL 登录成功获得访问令牌 采用Kerberos或者NTLM协议进行认证 检查访问令牌和被访问对象的ACL 必要时对验证 授权过程作日志审核 登录方式 本地 网络除账号标识外还可采用令牌 指纹 视网膜 IC卡等方式 根据用户的权限和对象的ACL进行访问控制 令牌SIDzhangsan SID读写执行更改 Windows系统的对象 为了实现自身的安全特性 Windows2K NT把所有的资源作为系统的特殊的对象 这些对象包含资源本身 Windows2K NT提供了一种访问机制去使用它们 由于这些基本的原因 所以我们把Windows2K NT称为基于对象的操作系统 Microsoft的安全法则 Windows中首要的对象类型 文件文件夹打印机I O设备窗口线程进程内存这些安全构架的目标就是实现系统的牢固性 从设计来考虑 就是所有的访问都必须通过同一种方法认证 减少安全机制被绕过的机会 单击 开始 指向 设置 然后单击 控制面板 双击 管理工具 然后双击 服务 在列表框中显示的是系统可以使用的服务Windows2k下可以在命令行中输入services msc打开服务列表 Windows的系统服务介绍 服务包括三种启动类型 自动 手动 已禁用 自动 Windows2000启动的时候自动加载服务手动 Windows2000启动的时候不自动加载服务 在需要的时候手动开启已禁用 Windows2000启动的时候不自动加载服务 在需要的时候选择手动或者自动方式开启服务 并重新启动电脑完成服务的配置 Windows系统服务的启动类型 服务项目驱动程式Start数值内容记录HKEY LOCAL MACHINE SYSTEM CurrentControlSet Service目前微软对Start内容的定义有0 1 2 3 4等五种状态 Windows系统服务的加载模式 基本的系统进程smss exeSessionManagercsrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe管理IP安全策略以及启动ISAKMP Oakley IKE 和IP安全驱动程序 系统服务 svchost exe包含很多系统服务spoolsv exe将文件加载到内存中以便迟后打印 系统服务 explorer exe资源管理器internat exe输入法 Windows基本的系统进程 Windows主要系统进程详细介绍 会话管理器 SMSS EXE Win2K在启动过程中第一个启动的用户模式进程优先的用户模式进程进程实现的主要功能关闭系统改变系统时间绕过文件访问权限 审核来执行备份加载 卸载设备驱动程序调整页面文件连接调试器到某个进程WINLOGON EXE 服务控制管理器 SCM 由SERVICES EXE实现本地安全性鉴别子系统 LSASS EXE 图形化标识和鉴别 GraphicalIdentificationandAuthentication GINA 模块处理用户登录凭证 Windows安全子系统的组件 WindowsNT安全子系统包含五个关键的组件 Securityidentifiers Accesstokens Securitydescriptors Accesscontrollists AccessControlEntries 安全标识符 SecurityIdentifiers 就是我们经常说的SID 每次当我们创建一个用户或一个组的时候 系统会分配给改用户或组一个唯一SID 当你重新安装WindowsNT后 也会得到一个唯一的SID SID永远都是唯一的 由计算机名 当前时间 当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性 例 S 1 5 21 1763234323 3212657521 1234321321 500访问令牌 Accesstokens 用户通过验证后 登陆进程会给用户一个访问令牌 该令牌相当于用户访问系统资源的票证 当用户试图访问系统资源时 将访问令牌提供给WindowsNT 然后WindowsNT检查用户试图访问对象上的访问控制列表 如果用户被允许访问该对象 WindowsNT将会分配给用户适当的访问权限 访问令牌是用户在通过验证的时候有登陆进程所提供的 所以改变用户的权限需要注销后重新登陆 重新获取访问令牌 Windows安全子系统的组件 安全描述符 Securitydescriptors Windows2000中的任何对象的属性都有安全描述符这部分 它保存对象的安全配置 包含和被保护对象相关联的安全信息的数据结构 安全描述符包括谁拥有对象 以何种方式访问以及何种审查访问类型等信息访问控制列表 Accesscontrollists 访问控制列表有两种 任意访问控制列表 DiscretionaryACL 系统访问控制列表 SystemACL 任意访问控制列表包含了用户和组的列表 以及相应的权限 允许或拒绝 每一个用户或组在任意访问控制列表中都有特殊的权限 而系统访问控制列表是为审核服务的 包含了对象被访问的时间 访问控制项 Accesscontrolentries 访问控制项 ACE 包含了用户或组的SID以及对象的权限 访问控制项有两种 允许访问和拒绝访问 拒绝访问的级别高于允许访问 当你使用管理工具列出对象的访问权限时 列表的排序是以文字为顺序的 它并不象防火墙的规则那样由上往下的 不过好在并不会出现冲突 拒绝访问总是优先于允许访问的 安全子系统包括以下部分 WinlogonGraphicalIdentificationandAuthenticationDLL GINA LocalSecurityAuthority LSA SecuritySupportProviderInterface SSPI AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager SAM Winlogon LocalSecurityAuthority以及Netlogon服务在任务管理器中都可以看到 其他的以DLL方式被这些文件调用 Windows安全子系统的具体内容 SSPI Winlogon GINA LocalSecurityAuthority AuthenticationPackages SecuritySupportProviders SecurityAccountManager Netlogon WinlogonandGina Winlogon调用GINADLL 并监视安全认证序列 Winlogon查找注册表中 HKLM Software Microsoft WindowsNT CurrentVersion Winlogon Windows安全子系统 WinlogonGinaandLSA 本地安全认证 LocalSecurityAuthority 调用所有的认证包 检查在注册表 HKLM SYSTEM CurrentControlSet Control LSA下AuthenticationPAckages下的值 重新找回本地组的SIDs和用户的权限创建用户的访问令牌管理本地安装的服务所使用的服务账号储存和映射用户权限管理审核的策略和设置管理信任关系 Windows安全子系统 SSPIandSSP 安全支持提供者 SecuritySupportProvider 安全支持提供者是以驱动的形式安装的 能够实现一些附加的安全机制 默认情况下 WindowsNT安装了以下三种 Msnsspc dll 微软网络挑战 反应认证模块Msapsspc dll 分布式密码认证挑战 反应模块 该模块也可以在微软网络中使用Schannel dll 该认证模块使用某些证书颁发机构提供的证书来进行验证 常见的证书机构比如Verisign 这种认证方式经常在使用SSL SecureSocketsLayer 和PCT PrivateCommunicationTechnology 协议通信的时候用到 安全支持提供者的接口 SecuritySupportProvideInterface 微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义 提供一些安全服务的API 为应用程序和服务提供请求安全的认证连接的方法 认证包 AuthenticationPackage 认证包可以为真实用户提供认证 通过GINADLL的可信认证后 认证包返回用户的SIDs给LSA 然后将其放在用户的访问令牌中 网络登陆 Netlogon 网络登陆服务必须在通过认证后建立一个安全的通道 要实现这个目标 必须通过安全通道与域中的域控制器建立连接 然后 再通过安全的通道传递用户的口令 在域的域控制器上响应请求后 重新取回用户的SIDs和用户权限 安全账号管理者 SecurityAccountManager 安全账号管理者 也就是我们经常所说的SAM 它是用来保存用户账号和口令的数据库 保存了注册表中 HKLM Security Sam中的一部分内容 不同的域有不同的Sam 在域复制的过程中 Sam包将会被拷贝 Windows安全子系统 NetlogonandSAM 当从Windows2000ProfessionalorServer登录时 Windows2000用两种过程验证本地登录 Windows2000尝试使用Kerberos作为基本验证方式 如果找不到KeyDistributionCenter KDC 服务 Windows会使用WindowsNTLanManager NTLM 安全机制来验证在本地SAM中的用户 本地登录验证过程如下 输入用户名及密码然后按回车键 GraphicalIdentificationandAuthentication GINA 会收集这些信息 GINA传送这些安全信息给LocalSecurityAuthority LSA 来进行验证 TheLSA传送这些信息给SecuritySupportProviderInterface SSPI SSPI是一个与Kerberos和NTLM通讯的接口服务 SSPI传送用户名及密码给KerberosSSP KerberosSSP检查目的机器是本机还是域名 如果是本机 Kerberos返回错误消息给SSPI 如果找不到KDC 机器生成一个用户不可见的内部错误 这个内部错误促发SSPI通知GINA GINA再次传送这些安全信息给LSA LSA再次传送这些安全信息给SSPI 这次 SSPI传送用户名及密码给NTLMdriverMSV1 0SSP NTLMdriver用Netlogon服务和本地SAM来验证用户 如果NTLM和Kerberos都不能验证你的帐号 你会收到下列错误消息提示您输入正确的用户名和密码 Windows2000本地登录过程 Windows系统安全防御 Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性 什么是用户帐号 账号 账号的属性 第一安装windows2000时将创建两个帐号 Administrator和Guest 什么是组 组 用户帐号的集合 Windows2000包含一些预定义的组 共四类 本地组 本地域组 全局域组 通用组 Windows帐户安全 SID介绍 在学习系统帐户之前先了解一些SIDSID SecurityIdentifiers 在Windows2000 XP 2003系统中每个用户帐号所对应着的一个唯一字符串Windows系统根据SID来识别用户和组的 以及分配他们响应的访问权限SID格式 S R X Y 1 Y 2 Y N S 表示该字符串是SIDR SID的版本号X 标识符的颁发机构Y 1 Y 2 子颁发机构Y N 相关标识符RID 标识域内帐户和组 Windows帐户安全 SID介绍 在同一个域中 帐户的区别在于RID一些常见的RID值 Administrator 500Guest 501NT W2K域中创建的第一个帐号 1000SID相关工具 User2sid 用于通过用户名获得主机的SIDSid2user 用于通过已知主机的SID获得用户名Whoami 能够探明主机域名 用户名 登录用户信息 还能显示完整的登录信息以及域名及其SID windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器 securityaccountmanager 的机制安全帐号管理器对帐号的管理是通过安全标识进行的 安全标识在帐号创建时就同时创建 一旦帐号被删除 安全标识也同时被删除安全标识是唯一的 即使是相同的用户名 在每次创建时获得的安全标识都时完全不同的 因此 一旦某个帐号被删除 它的安全标识就不再存在了 即使用相同的用户名重建帐号 也会被赋予不同的安全标识 不会保留原来的权限 Windows系统中的账号 SAM 安全账号管理器的具体表现就是 SystemRoot system32 confi