计算机网络安全与管理：第20讲 Windows系统安全管理

计算机网络安全管理

20Windows系统安全管理WindowsandWindowsVistaSecurityWindows是当前世界上最流行的O/S好处在于能够为百万计的无技术基础的用户提供一定的安全保障问题在于出现问题也可能影响百万计的用户这里会回顾一些以前的windows安全问题（2000）之后的安全防御被内嵌在windows之内WindowsSecurityArchitectureSecurityReferenceMonitor(SRM)一个内核模式的组件，可以检查访问权限生成监控日志，操作用户权限

LocalSecurityAuthority(LSA)负责本地安全策略的执行lsass.exeSecurityAccountManager(SAM)存储用户帐户与本地用户和组的安全信息本地登录时执行对SAMDB的查找使用MD4存储密钥Vista中SAM使用一个基于口令的派生功能apassword-basedkeyderivationfunction保留口令信息WindowsSecurityArchitectureActiveDirectory(AD)Microsoft’sLDAP目录Winows使用AD进行安全操作当用户通过域而不是本地形式访问时验证用户的机密信息通过安全途径传送并验证WinLogon(本地)和NetLogon(网络)处理登陆请求LocalvsDomainAccounts一个网络上的windows可以是:domain加入可以通过域或者本地形式登陆如果是本地登陆可能不能访问一些资源中心的管理并具有更好的安全性workgroup一个互联的计算机集合只能使用SAM中的本地帐户没有相关的ADdomain支持WindowsLoginExample域管理员添加用户信息(name,account,password,groups,privileges)账户表现为一个SecurityID(SID)在一个域终是唯一的形如:S-1–5–21-AAA-BBB-CCC-RRR用户名有两种形式:SAM格式:DOMAIN\UsernameUserPrincipalName(UPN):username@可使用username&password或者smartcard登陆与token(SID,groups,privileges)联系指定了用户与相应的每个进程WindowsPrivileges系统性的指派给用户e.g.备份computer,or改变systemtime有些被认为是“危险”:表现为操作系统的一部分TrustedComputingBase(TCB)privilege程序调试权限备份文件与目录权限有些是友好的像旁路遍历检查权限bypasstraversecheckingAccessControlLists两种形式的(ACL):自由选定的DiscretionaryACL(DACL)授权或拒绝访问被保护的资源例如文件，内存系统SystemACL(ACL)用于监控与Vista中强制的完整性策略AccessControlLists被保护的对象被指派相应的ACL包括SID访问控制实体列表listofaccesscontrolentries(ACEs)每个ACE包含SID&accessmaskaccessmask可以包含:read,write,create,delete,modify,etcaccessmasks是object-typespecifice.g.service的能力是create,enumerateSecurityDescriptor(SD)数据类型包含,DACL,&SACLe.g.Owner:CORP\BlakeACE[0]:AllowCORP\PaigeFullControlACE[1]:AllowAdministratorsFullControlACE[2]:AllowCORP\CherylRead,WriteandDeletehavenoimpliedaccess,如果没有正在请求访问者的ACE则拒绝访问applicationsmustrequestcorrecttypeofacces应用程序必须请求正确的访问控制类型MoreSD’s&AccessChecks每个DACL中的ACE确定了相应的访问ACE可是允许也可以是拒绝ACEWindows评估每一条ACE知道访问被明确允许或拒绝denyACEs在allowACEs之前在GUI下默认explicitlyorderifcreateprogrammatically当用户访问被保护对象时操作系统执行检查对比user/groupACL中的ACE’sImpersonation进程可以有多个线程通常对于用户与服务器impersonation允许服务器服务用户使用其权限e.g.ImpersonateNamedPipeClientfunction在当前线程上设置用户的令牌thenaccesschecksforthatthreadareperformedagainstthistokennotserver’swithuser’saccessrightsMandatoryAccessControlWindowsVista中有完整性控制限制操作改变对象对象与原则被标记(usingSID)as:Lowintegrity(S-1-16-4096)Mediumintegrity(S-1-16-8192)Highintegrity(S-1-16-12288)Systemintegrity(S-1-16-16384)当写入操作时要检查完整性域与级别多数使用中高级别VistaUserAccountWindows弱点Windows,有bugBug被利用泄密Microsoft利用SecurityDevelopmentLifecycle改进减少50%bugsWindowsVista完全使用SDLIISv6(inWindowsServer2003)4年只发现3个弱点WindowsSecurityDefenses现在的攻击者不再仅仅是年轻，无政府主义，很多时候动机来自金钱,有如下领域的防御:accountdefensesnetworkdefensesbufferoverrundefenses.browserdefensesWindows系统加固支持防御的进程,减少暴漏的功能,屏蔽属性用以减少攻击表面使用

80/20规则并不总能达到e.g.requiringRPCauthenticationinXPSP2e.g.stripmobilecodesupportonserversservers更容易加固:被用于受控的特定目的服务器用户相对于普通用户与有更好的配置能力AccountDefenses用户帐户可以具有特权SIDs最小特权规定用户操作刚够任务的权限WindowsXP本地管理员中的用户

为了应用程序兼容性可以使用“SecondaryLogon”运行程序also受限制的令牌减少每线程的特权WindowsVistareversesdefaultwithUAC用户被提示特权操作除了服务器上的管理员LowPrivilegeServiceAccountsWindowsservices在启动后是“

long-lived”processes许多以提高的特权运行但许多并没有这样对“提升”的需求WindowsXPaddedLocalServiceandNetworkserviceaccounts允许服务

local或

network访问权限其他的则使用较低的特权WindowsXPSP2splitRPCservice(RPCSS)intwo(RPCSSandDCOMServerProcess)实践中的最小化特权例子,seealsoIIS6StrippingPrivileges

另一种防御在应用程序启动后剥离账户的特权e.g.Indexserverprocessrunsassystemtoaccessalldiskvolumes之后立即尽快剥离了不必要的特权使用

AdjustTokenPrivilegesWindowsVista可以详细定义服务的特权usingChangeServiceConfig2NetworkDefenses比用户防御的要求更多经由网络攻击脆弱点haveIPSecandIPv6withauthenticatednetworkpacketsenabledbydefaultinWindowsVistaIPv4alsoenabledbydefault,expectlessusehavebuilt-insoftwarefirewallblockinboundconnectionsonspecificportsVistacanallowlocalnetaccessonlyoptionallyblockoutboundconnections(Vista)defaultwasoff(XP)butnowdefaulton(Vista)BufferOverrunDefenses许多的破坏利用bufferoverruns进行WindowsVistahas“Stack-BasedBufferOverrunDetection(/GS)”defaultenabled源代码加上/GSoption编译并不影响所有的函数;onlythosewithatleast4-bytesofcontiguousstackdataandthattakesapointerorbufferasanargumentdefendsagainst“classicstacksmash”WindowsStackand/GSflagBufferOverrunDefensesNoeXecuteNamed(NX)/DataExecutionPrevention(DEP)/eXecutionDisable(XD)阻止代码在数据段执行通常被用于Buffer超限应用程序使用/NXCOMPAToptionStackRandomization(Vistaonly)随机化栈基地址Heap-based栈越界防御:

在每个堆数据上加入并检查随机值heap完整性检验heap随机化

(Vistaonly)OtherDefensesImageRandomizationO/Sbootsinoneof256configurations使

O/S对于攻击者更加不可测Service重启策略services失败后可以配置重启可靠性好但丧失了安全性Vista设置某些关键服务只能自动重启两次，之后需要手动只给攻击者两次机会BrowserDefenseswebbrowser是攻击的关键点经由scriptcode,graphics,helperobjectsMicrosoft对IE7添加了许多保护ActiveXopt-inunloadsActiveXcontrolsbydefault首次运行需要用户同意保护模式IErunsatlowintegritylevel(seeearlier)使恶意软件更艰难易操作O/SCryptographicServiceslow-levelcryptoforencryption,hashing,signingEncryptingFileSystem(EFS)allowsfiles/directoriestobeencrypted/decryptedtransparentlyforauthorizedusersgeneratesrandomkey,protectedbyDPAPIDataProtecti