实际操作系统安全机制

1、实际操作系统安全机制 6.6 节节 实际操作系统中的安全机制实际操作系统中的安全机制 Windows and Unix 实际操作系统安全机制 l本节介绍流行的操作系统Windows NT和 UNIX系统中使用的安全机制，它们综合 利用前面介绍的各种访问控制技术，有 的则和介绍的访问控制技术有所不同。 实际操作系统安全机制 lWindows NT是一个网络操作系统，它有 两个版本：Windows NT的工作站版 （Windows NT Workstation）和Windows NT的服务器版（Windows NT Server）。 这两个版本的NT都有相同的核心支持、 网络支持和安全系统。 l主

2、要讨论NT的服务器版Windows NT Server。 实际操作系统安全机制 lWindows NT 运行于Client/Server模式， 其设计客体是提供文件和打印服务；它 支持远程访问服务RAS（Remote Access Service）和Internet服务。Windows NT 中 带有一个完全的WEB服务器组件 Internet Information Server (IIS)，所以 它可以在Internet上提供WEB服务。另外， 通过添加软件，Windows NT也可以作为 防火墙使用。 实际操作系统安全机制 lWindows NT Server的操作系统由一组软件组件 组

3、成，它们运行在核心模式下。 l 核心模式由执行服务组成，它们构成一个 自成体系的操作系统。 l 用户模式由非特权的服务组成，这些服务 也称为受保护子系统，它们的启动由用户决定。 用户模式在核心模式之上，用户模式组件要利 用核心模式提供的服务。 实际操作系统安全机制 其他子系统其他子系统Win32子系统子系统安全子系统安全子系统 系统服务系统服务 I/O 管理器管理器 图形图形 驱动器驱动器微内核微内核 硬件抽象层硬件抽象层 对象对象 管理器管理器 安 全 引安 全 引 用 监 控用 监 控 器器 进程进程 管理器管理器 本地过程本地过程 调用设施调用设施 窗口窗口 管理器管理器 用户模式用户模

4、式 核心模式核心模式执行服务执行服务 实际操作系统安全机制 登录进程登录进程 安全策略数据安全策略数据 库库 审计日志审计日志 本地安全权限本地安全权限LSA 安全账号管理器安全账号管理器 SAM 用户账号数据库用户账号数据库用户用户 实际操作系统安全机制 l 本地登录。如果用户登录到一个账号，这 个账号存储在本地计算机上的用户账号数据库 中，这种情况就属于本地登录。 l 域登录。如果用户登录到一个账号，这个 账号存储在域用户账号数据库中，这种情况就 属于域登录。 l 可信域登录。如果用户登录到一个账号， 这个账号存储在可信域的用户账号数据库中， 这种情况就属于可信域登录。 实际操作系统安全机

5、制 lLSA是安全系统的中心组件，其功能是： l 负责管理和协调登录。 l 对象访问和其他安全事件。 l LSA还协调安全账号管理器（SAM） 和安全访问监控器SRM。 l 它还链接到一个安全策略数据库和 一个审计日志。 实际操作系统安全机制 l（2）安全账号管理器SAM(Security Account Manager)。 lSAM组件管理用户账号数据库。当LSA 需要验证用户是否有权限访问对象时， 它就与SAM联系。 l（3）安全访问监控器SRM（Security Reference Monitor）。SRM是一个核心模 式下的软件组件，它检查一个用户是否 有权限访问一个对象或者是否有权利

6、完 成某些动作。 实际操作系统安全机制 lNT具有很高的安全性，它的安全性体现 在两方面，一是保障系统的健壮性，使 系统不会因为应用程序的故障造成系统 的崩溃；二是增强了防止非法用户入侵 和限制用户的非法操作的能力。 实际操作系统安全机制 l要想访问NT系统，首先需要在NT系统中 拥有一个账户，其次要为该账户设置在 系统中的权利（Right）和许可 （Permission）权限。 l权利是指用户对整个系统能够做的事情， 如关掉系统、往系统中添加设备、更改 系统时间等权利； l许可权限是指用户对系统资源所能做的 事情，如对文件的读、写、执行、对打 印机的管理文档、删除文档等许可。 实际操作系统安

7、全机制 lNT系统中有一个安全账户数据库，其中 存放用户账户以及该账户具有的权利等， 用户对资源的许可权限与相应的资源存 放在一起。 实际操作系统安全机制 l用户要想访问系统资源，首先向系统登 录，NT有一个专用登录进程用于核对用 户身份与口令。如果确认账户和口令有 效，则把安全账户数据库中有关账户的 信息收集在一起，形成一个访问令牌访问令牌。 访问令牌中包括： l 用户名与SID l 用户所属的组及组GID l 用户对系统所具有的权利 实际操作系统安全机制 l然后NT就启动一个用户进程，将该访问 令牌与之连接在一起，这个访问令牌就 成为用户进程在NT系统中的通行证。用 户无论做什么事情，NT

8、中负责安全的进 程都会检查其访问令牌，以确定其操作 是否合法。 实际操作系统安全机制 l用户登录成功之后，只要用户没有注销 自己，其在系统中的权利就以访问令牌 为准，考虑到效率问题，NT安全系统在 此期间不再检查硬盘上的安全账户数据 库。在用户登录之后，如果系统管理员 修改了他的账户与权利，但这些修改只 能在下次登录时才起作用。 实际操作系统安全机制 l令牌中仅包含用户的权利，不包含访问 资源的许可权限。NT是如何根据访问令 牌控制用户对资源的访问控制呢？原来 用户对资源具有的许可权限作为该资源 的一个属性与资源存放在一起，例如， 有一个目录D:FILES，对其指定USER1 只读，USER2

9、完全控制，这两个许可权 限作为该目录的属性和目录连接在一起 实际操作系统安全机制 l各用户对某个资源（如文件）的许可权 限在NT内部以访问控制表（ACL）的形 式存放，各用户的许可权限以ACL表项 （ACE）的形式表示，ACE中包含了用 户名与该用户的许可权限。每个资源对 应一个ACL表， 实际操作系统安全机制 l上述D:FILES的ACL表中包含两个ACE， 一个记录USER1只读，另一个记录 USER2完全控制。当USER1访问该目录 时，NT安全系统检查用户的访问令牌并 与目录的ACL对照，检查该用户的许可 权限是否合法，如果不合法就被拒绝。 实际操作系统安全机制 l安全策略是系统所实现

10、的安全功能的各 种选项，系统管理员可以利用安全策略 对计算机和网络在另一层次上进行安全 管理，管理员需要针对环境仔细考虑需 要何种安全性以及可能造成何种困难。 对于个人账户和组账户可以使用不同的 安全策略来管理，这些策略包括口令配 置、文件审计和赋予执行系统任务的账 号权限。 实际操作系统安全机制 账户策略：控制用户的设置和维护口令 的方式，也提供NT账户锁定的特性。 用户权限策略：控制可分配给工作站上 的用户或用户组的显式权限。 审计策略：控制审计日志中将要出现 的事件类型。 实际操作系统安全机制 l账户策略设置口令的最小和最大时间限 制、最小长度、设置口令的唯一性并配 置账户的锁定特性。账

11、户策略选项参见 表6-7。 实际操作系统安全机制 选项说明范围 最长密码期 限 在系统需要用户改变口令前，可以使用的口 令的时间限制 无限制或 1999天 最短密码期 限 在用户可以改变口令前，必须使用的时间限制，如果 设置了密码唯一性，则不允许立即改变密码 允许立即改 变或1999天 最短密码长 度 在用户口令中最少的字符数 允许空口令或 114个字符 密码唯一性在使用旧口令前，必须使用的新口令数 不保留历史 或 124个口令 账户不锁定不管登录失败多少次，账户都不锁定 锁定账户时登 录失败的次数 引起锁定的失败登录企图的次数1999 登录失败之后 重新启动统计 在两次失败的登录企图之间发生

12、锁定的最大分钟数199999 锁定时间 选择“永久”，则锁定账户直到管理员解锁；选 择“时间”并输入数字，则锁定账户指定的分钟 数。 199999 用户必须登 录方能更改 密码 设置时可防止用户在到期时改变自己的口令，用户必 须从管理员处得到帮助。 表6.7 NT系统账户策略选项 实际操作系统安全机制 l用户权限策略管理向组与用户账户授予的权限。 有两级用户权限可以分配：用户权限和高级用 户权限，用户权限需要经常修改。管理员可以 为用户指定从网络访问本计算机、装载与卸载 设备驱动程序和可在本机登录。大部分高级用 户是那些为Windows NT 写应用程序或设备驱 动程序的开发人员，高级用户的权

13、限包括创建 一个页文件、把工作站增加到域和作为一种服 务登录。 实际操作系统安全机制 l审计功能可以让管理员有选择的跟踪用 户与系统的活动。审计策略确定Windows NT 将执行的安全性记录的数量和类型， 当被审计的事件发生后，便在计算机的 审计日志中增加一项。需要审计的事件 参见表6-8。 实际操作系统安全机制 事件选择审 计 登录与注销 成功 用户成功地登录到工作站或从工作站注销，或用户从网络成功 地连接到计算机时； 失败上述各操作失败时审计； 文件或对象访 问 成功用户成功地访问被审计的目录、文件、打印机时； 失败用户企图访问上述对象但未成功时； 用户权限使用 成功用户成功的使用用户权

14、限； 失败用户企图但未成功 用户和组管理 成功 成功地创建、改变、或删除用户和组，或成功地设置和改变口 令； 失败上述操作的失败； 安全策略改变 成功成功改变用户权限与审计策略； 失败改变的企图失败； 重启动、关闭 和系统安全性 成功用户成功地重启动或关闭计算机，或发生影响系统安全事件； 失败重启动或关闭计算机失败的企图； 过程跟踪 成功 详细地跟踪一些事件信息，如成功的程序启动、处理复制的一 些格式、间接对象访问和过程退出； 失败上述操作的失败； 表6.8 需要审计的事件 实际操作系统安全机制 lNT系统中，如果你访问自己正在使用的 计算机上的资源，这称为访问本地资源访问本地资源， 如果访问

15、其他计算机上的资源，则称为 远程访问远程访问，而不管这台计算机地理上相 距的远近。NT系统中资源是指硬盘上的 文件、目录和打印机等。下面主要介绍 文件与目录的管理。 实际操作系统安全机制 l 在NT系统中支持对单独的文件、目录 设置许可权限的只有NTFS文件系统，要 想在Windows NT中控制本地资源的安全， 只能使用NTFS。 l设置许可权限时，文件与目录的许可权 限之间互相影响。例如，如果一个用户 连某个目录的读权限都没有，则根本无 法对该目录下的文件设置许可权限。 实际操作系统安全机制 l在权限设置时应该从根目录开始设置， 一级一级逐层设置。 l在设置许可权限时，最好以组为单位进 行

16、管理，组内所有用户对某个文件都设 置为相同许可权限。在NT系统中允许一 个用户同时属于几个组，以组为单位设 置权限时，可能会产生某个用户对一个 文件有多种许可权限的问题。 实际操作系统安全机制 lNT解决的方法解决的方法是，将这个用户对这个文 件的所有许可权限加到一起作为该用户 对这个文件的许可权限。如果该用户在 某个组中有“拒绝访问”的许可权限， 则“拒绝访问”有优先权，并使其他所 有许可权限无效，这个用户的最终许可 权限是“拒绝访问”。 实际操作系统安全机制 l创建共享目录的选项有： 共享名 远程用户使用共享名连接到本地资源 备注 浏览共享目录时显示的评注 用户个数 设置连接到这个共享目录

17、上的最大 用户数，缺省为10 权限 设置远程访问目录上的许可 新共享 只有当前目录已被共享时才有此选项， 允许已共享目录重复共享。共享目录的许可权 限包括拒绝访问、读取、更改和完全控制四种。 实际操作系统安全机制 l每次Windows NT计算机启动时，它都创 建一些共享资源。Admin是一个特殊共享 资源，当远程管理时它总是指向Windows NT系统目录。每个硬盘的根目录是共享 的，在相应的驱动器符号后面跟一个$符 号。$符号可以使该共享名在浏览时不出 现（隐藏）。 实际操作系统安全机制 l只有一个用户知道了另一台机器上的管 理员的账户和口令后，才能连接到那台 机器的隐藏共享，并可以访问整

18、个分区。 隐藏共享由内部ACL表保护，它不能被 任何用户修改，包括系统管理员在内。 可以通过“不共享”命令停止隐藏共享， 但下次机器启动时，隐藏共享由重新自 动创建，NT不支持永久停止这种共享。 实际操作系统安全机制 l每一种UNIX系统对良好、基本、单一级 别的安全性都给予了必要的支持。UNIX 系统内核在一个物理上的安全域中运行， 这个域受到硬件的保护。安全域保护着 它的内核及安全机制。 实际操作系统安全机制 l安全机制是无法旁路的，所以突破UNIX 的安全机制依赖于使用合法的手段达到 非法的目的。为了防御攻击，必须正确 设置文件和目录的属性和访问权限，用 户必须懂得如何选择一个可靠的口令

19、， 以及如何避免被别人骗取特权。 实际操作系统安全机制 l1、正确使用口令 l用户在使用UNIX系统之前必须注册，没 有注册名和口令就无法进入UNIX系统。 当然，也有一些破解注册名与口令密码 的方法，但这些方法只有在UNIX系统中 的用户或系统管理员忽视了对口令的正 确使用时才有效。 实际操作系统安全机制 lUNIX系统对注册过程的处理是十分谨慎 的。/ETC/PASSWD 文件包含有注册名以 及与之对应的口令。当口令攻击者键入 一个/ETC/PASSWD中没有的注册名时， LOGIN进程给出一个PASSWORD提示， 目的是使攻击者无法确定：是注册名不 正确还是口令不正确。如果攻击者猜出

20、一个注册名，则还需要猜出口令。 实际操作系统安全机制 l口令是一组相互无关的大小写字母、数 字和特殊符号序列；可以任意长，但只 有前8位有效。 l UNIX SYSTEM V的系统强迫用户使用 一个丰富字符集（至少一个数字或特殊 符号），并要求最少字符个数，并使用 时效机制。 实际操作系统安全机制 l如果忘记了口令，系统管理员可以使用 超级用户权限为普通用户设置一个临时 口令，其后用户可以根据自己的情况设 置口令。UNIX系统在用户输入口令时关 闭屏幕回显，即系统不把用户输入的口 令字符显示在屏幕上，而且系统要求输 入两次新口令，以确保新的口令没有错 误。口令时效机制强迫用户使用一定时 段后更

21、改口令。 实际操作系统安全机制 l当用户短时离开计算机（可能未退出系 统），为防止其他用户使用，可以使用 LOCK命令对计算机上锁。LOCK程序需 要口令，达到锁定计算机与通信线路的 作用。使用者输入正确口令后，可以重 新正常使用该终端。 实际操作系统安全机制 l访问控制决定用户可访问哪些文件，以 及对这些文件的操作。UNIX系统的访问 控制模块是基于Multics系统的，访问者 可以分成三类：文件所有者、同组用户 和其他用户；访问类型分成读、写和执 行。这样可以组合成九个不同权限，使 用ls命令显示文件属性可见到9个权限位。 实际操作系统安全机制 l 所属者 同组用户 其他用户 l 读 R

22、R R l 写 W W W l 执行 X X X l $LS L README notes script l- rrr- 1 rik usr 14977 May 25 01:39 README l- rw- 1 rik usr 890 May 23 01:46 notes l- r-xr-xr-x 1 rik usr 1290 May 3 11:46 script lUNIX系统的选择性访问机制表现在文件所有者可以 对文件权限进行任意修改。组类可以用于代替访问控 制列表。每个用户可以是多个组的成员；同组用户可 以访问某一类信息。 实际操作系统安全机制 l文件权限控制用户对文件的读、写和执 行，

23、三种访问类型意义如下： l 读权限读权限 允许读和拷贝文件； l 写权限写权限 允许修改和截断文件； l 执行权限执行权限 允许把文件作为程序或 SHELL程序执行； l文件的访问权限是文件的所有者使用 CHMOD命令设置的 实际操作系统安全机制 lCHMOD命令接受数字参数，数字参数由三个 数字组成（每位取值0-7），读权限用4表示， 写权限用2表示，执行权限用1表示。如： l l 所有者 同组用户 其他用户 l 读 4 4 4 l 写 2 l执行 1 1 l 7 5 4 l数字参数7 5 4表示：文件所有者具有读写和执 行权，同组用户可读或执行，其他用户只读。 实际操作系统安全机制 lUN

24、IX系统中的目录也作为一种文件；但 使用LS L命令，列出的文件列表中第一 个字符为D表示目录，此外目录文件具有 固定结构。 实际操作系统安全机制 l目录文件数据由该目录下的文件名和它 们的I节点号组成，使用LS I命令可以显 示文件名和节点号：如 l$ ls I l6074 README l8714 notes l4481 script l$ 实际操作系统安全机制 l目录访问权限与普通文件访问权限也是 有区别的： l读权限读权限 允许列出目录下的文件名； l写和执行权限写和执行权限（同时存在） 允许对目录 下的文件进行改名和删除操作； l执行权限执行权限（或搜索权限搜索权限） 允许通过目录

25、下的文件名存取所引用的文件； 实际操作系统安全机制 l目录访问权限与普通文件访问权限也是 有区别的： l读权限读权限 允许列出目录下的文件名； l写和执行权限写和执行权限（同时存在） 允许对目录 下的文件进行改名和删除操作； l执行权限执行权限（或搜索权限搜索权限） 允许通过目录 下的文件名存取所引用的文件； 实际操作系统安全机制 l具有读目录文件的权限，可以使用LS命 令列目录中所有文件；具有写和执行目 录权限可以使用MV或RM命令，可以删 除目录及目录中的文件，或者产生并修 改文件，这往往是放入“特洛伊木马” 的时机；执行权限有时称为搜索权限， 允许访问目录文件中的文件名对应的文 件。 实

26、际操作系统安全机制 lUNIX系统中的许多命令都要查找启动文件。 启动文件包含系统配置信息，可以帮助用户建 立一个安全的工作环境，但必须防止启动文件 遭到恶意修改。 lUNIX系统中常用的Bourne shell、Korn shell和 C shell经常检查用户注册目录下启动文件。 Shell 启动文件用于设置PATH、UMASK、终端 类型等变量，以及定义shell功能或替换名称。 实际操作系统安全机制 l l一般来说用户注册的目录树下未经改进 的权限都隐藏危险。如果不对文件和目 录进行有效的保护，用户则可读取和修 改这些文件，甚至删除文件和目录。用 户对某些文件（如启动文件）应实施保 护

27、，对同组用户应考虑取消读、写权限。 实际操作系统安全机制 lUNIX系统中包含具有加密功能的命令。 但是UNIX的加密方法基于：加密是建立 在口令基础上，口令必须可靠，否则数 据容易解密；如果一个文件的加密版本 和未加密版本同时存在，口令容易破解， 其他文件随之被破解；加密使得文件由 ASCII码转换成数据文件，容易使人区分； 使用UNIX提供的加密方案的解密技术已 经广为人知。 实际操作系统安全机制 l 使用正确合理的口令 ； l 不要未退出系统或将终端锁定就离开 注册终端； l 保护文件和目录，禁止同组用户或其 他用户对其进行写操作； l 使用严格的UMASK值，对新文件进行 权限设定；

28、实际操作系统安全机制 l 使用安全PATH，将系统目录（/BIN或 /USR/BIN）放在当前目录前； l 注册时需要注意最后时间，如果无此信息， 应修改启动文件； l 检查启动文件权限，注意公共、可写目录 （/TMP）下的启动文件； l 如果终端有可装载内存能力，需要禁止同组 用户、其他用户向该终端实施写操作； 实际操作系统安全机制 l1、口令管理 l系统管理员的安全管理职责包括维护系 统中普通用户账户的安全和管理所有用 户的口令。口令文件本身是系统破坏者 的的一个重要目标，系统管理员可以通 过观察、监视口令文件做许多工作以提 高系统的安全。 实际操作系统安全机制 l在ETC/PASSWD文

29、件中包含了所有用户 账户的信息。其中保存的口令是经过加 密的，虽然加密的口令很难靠算法的逆 运算来解密，但还是有一些众所周知的 方法来猜出口令。系统管理员应做一些 工作使得猜出口令更加困难。UNIX System V版本增加了口令的时效机制， 此机制强迫用户每隔一段时间就改变一 次口令，以使用户的口令更加安全。 实际操作系统安全机制 lETC/PASSWD文件的每一行都包括用户 名、口令、用户id、组id、注释、注册目 录、注册shell等七个字段，它们彼此用 “：”分隔。 如下所示： l lrik : hN6vLm9j : 108 : 101 : rik far : /usr/acct/ri

30、k : /bin/sh 用户名 口令 用户ID 组ID注册目录 注释注册shell 实际操作系统安全机制 l其中，用户名最长8个字符，全部小写； 口令是经过加密处理的，通过在口令后 增加逗号（，），加4个字母或数字，可 以达到增加口令时限机制；用户ID唯一 确定用户，0代表超级用户；组ID是由多 个用户共享的；注释部分可空；注册目 录决定了用户登录后的环境设置；注册 SHELL是登录程序执行部分。 实际操作系统安全机制 l 账户口令 lUNIX系统中各个非限制用户都有自己的 账户；如果允许一些用户共享账户，则 系统将无法确定用户的工作。有鉴于此， 不提倡使用共享账户。 l当某个用户在一段时期不

31、再使用系统， 其账户成为非活动账户，应对其设置 “不可能口令” 。 实际操作系统安全机制 l 口令检查与时限机制 l对/ETC/PASSWD文件定期检查，内容包括： 文件属主和访问权限；文件中每项内容的正确 性；文件完整性，如：是否每个账户都有口令； 用户ID为0的用户情况。 l口令时限机制强迫用户在距离上次修改口令后 的一段时间内修改口令，此机制同时防止用户 将上次口令作为新口令使用，保障用户的口令 定期加以变化，每次口令修改的时限取决于系 统安全要求。 实际操作系统安全机制 l系统管理员应对系统整体负责，包括UNIX系 统命令、设备文件、配置文件、shell命令程序、 库文件，以及系统数据

32、库。 l系统文件和目录必须属于系统账户和系统组； 除临时目录，属于系统账户目录是不允许其他 用户写入的；系统账户所属文件不允许其他用 户写入；对设备文件应设置正确的属主和权限； 对重要文件权限、属主及检查和应进行常规性 检查。 实际操作系统安全机制 l系统管理员应建立完备的系统文件数据 库。这个数据库包括管理员需要监测的 每个文件的文件名以及属主、属组和权 限。如果系统管理员要记录属于用户个 人的启动文件，可以将这些文件连同用 户的HOME目录一起记录到数据库，以 便日后管理，并且定期对照数据库文件 检查系统。 实际操作系统安全机制 l调整用户和组特权机制在UNIX系统中是 十分重要的，通过调整使普通用户可以 修改自己的口令、显示自由磁盘空间、 发送电子邮件、使用UUCP、显示内核进 程表。这样，在有限的范围内通过改变 用户的特权使许多原来不能完成或需要 内核支持的操作得以实现，而同时用户 又不可利用这种调整特权进行任意操作。 实际操作系统安全机制 l为了防止未经授权的用户使用正常口令 进入系统，系统管理员应当定期检查 /ETC/PASSWD文件的正确性和完整性， 经常对所有系统文件及目录权限、属主 及属组进行检查和清理工作，运行安全 性检查程序及时发现非法入侵者。 实际操作系统安全机制 lUNIX系统一直没有打算要求具有高度的安全 性。它