操作系统安全

第一章

l.VVindows平安属于哪一级别？

Windows安金次别----C2

蹄级保护，提供幅捌手段

安全域，数1S壕藏与分层、::然

结构化内容保护，支持硬件保护

标记安全保护，如SystemV等

有自主的访诃安全性，区分用户

不区分用户，基本的访问］希树

没旌全性可言，例如MSDOS

2.windows平安体系结构

WindowsNT体系结构分为内核液式(KernelMode)和用户模式(UserMode)

内核模式中的代码具有极高的特权，可以直接对硬件进行操作和直接访问所有的内存空间

本地平安子系统:支持Windows的身份验证，审核

核心为LSA(localsecurityauthentication)

需和Win32子系统通信

用户模式中的代码拥有较低的特权，不能对硬件直接进行访问，内存访问受限。

组成内核模式的整套效劳被称为执行效劳

对象管理器(OM:ObjectManager)

平安引用监控器(SRM:securityreferencemonitor)

3.于信任NT/2003是否可商递？

WindowsNT的信任关系是单向且不具传递性

A->B&B->C*A-->C

但2000以后默认信任关系是双向且可传递

活动目录

L活动目录组件

⑴活动目录中资源组织的逻辑结构

组织组织单位主要用来委派对用户、组及资源集合的管理权限。组织单位是委派管理权限的最小分组,

其特殊在于可连接组策略。单位(OrganizationalUnit,OU)

域(Domain)

同一个域中的计算机共享配置，架构和全局编录

域是网络中复制和平安管理的根本单元

域树(Tree)

有连续命名空间的多个域称为树。所谓具有连续的命名空间即多个域有相同的上级域名。

域森林(Forest)

不构成连续命名空间的域树的集合，这些目录树通过双向的可传递信任关系链接在一起。

⑵物理结构

站点（Site）

站点：是指一个由高速连接所形成的较快通信速率网络。（一股指局域网LAN）

它们主要用于：确定复制拓扑，以便进行有效而快速的复制。

活动目录信息的保存：

每个域控制器活动目录中保存的信息被分成三类：域数据、架构和配置数据

域数据：包含该域内所有对象信息,这些信息被复制到该域的每个域控制器1不超出该域的范围）

架构数据：定义了可在ActiveDirectory中存储哪些对象、属性和操作规那么。属于目录林的范畴，在

林中的每一个域控制器上存储。

配置数定义了复制拓扑及与AD配置有关的其他数据（即其中存在哪些域，域控制器的位置等等），

对域森林中所有域通用，也被复制到森林的所有域控制器。

设域控制器是GC效劳器，还将保存第四种信息

为所有域保存“域数据”的局部副本（GC保存的属性子集包括那些在搜索操作中最常用的属性）

2.活动目录对象…对象标准属性和命名规那么，及不同环境中的对象名称

对象的标准属性

1）DN（DistinguishedName识另ij名称）和RDN（RelativeDistinguishedName相对识别名称）

DN定义了LDAP中到对象的完整路径。完整路径包括对象名称以及直到域根节点的所有父对象名称，

DN标识了域层次中的唯一对象:RDN那么是DN中属于对象完整路径属性的一局部

2）全局唯一标识符（GUID）

GUID是在对象创立时由活动目录分配的128位数字。目录数据存储区中的每一对象都具有的唯一标识。

GUID不能被修改和删除。

3）ACL（AccesscontrolList）对客体而言

4）平安主体名称

平安主体分三类：用户，组，计算机。

平安主体名称是在单个域内用来唯一标识用户、计算机或组的名称

平安主体名称在域内必须唯一，而在域间那么尢需唯一

5）平安标识符

SID是Windows系统平安子系统为平安主体对象［即用户、组和计算机账户）创立的唯一数字（48位），

属于主体属性

Windows系统的内部进程引用的是账户的SID,而不是账户的用户或组名。

活动目录将为以上这些属性生成具体的值，而其他属性值由人输入。

命名规那么

1.平安主体名称

•名称不得与同一域内的任何其他用户、计算机或组名称相同。名称最多可包含20

个大写或小写字符，但以下字符除外："八［］："=,+*?<>

•用户名、计算机名和组名不可以只包含英文句号（.）或空格

3.活动目录安装及客户机参加域（两种方法）

4.能够为企业网建立相应的逻辑结构

域工作站用户域控制器服务器

安全性密码，账用户权限，文EFS策略用户权限，文用户权限，文件

户件和注册表件和注册表和注册表ACL亩

亩核；事核；事件日志；

KerberosACLACL审核；事

件日志；本地本地设贸

策略,PKI设置件日志；本地

信任列表设置

应用程必须的核心发布可选应用管理工具管理工具

序部署应用程序程序和组件

1计算机启动脚木；磁盘配额打印机删除：

系统设登录；磁盘

置配额；脱机

文件

用户设登录脚本（环回）禁用（环回）禁用

置IE设置，文件标准用户设置标准用户设置

夹重定向；桌

面锁定；网

络J系统

应用程0ffice及其

一序设置他程序

身份验证

1.交互式本地登录、域登录各组件作用（考）

Windows2000系统的交互式登录需要下面三个系统组件：Winlogon.exeGINA

（GraphicalIdentificationandAuthentication.图形化标识与验证）的动态链接库和网络提供

程序的动态链接库。

本地登陆：

为了登录到本地计算机，每个Windows2000用户都必须在系统安全账户管理器

（SecurityAccountManager,SAM）中具有一个账户。SAM是一个受到保护的子系统，它通

过存储在本地计算机注册表（位于HKEY_LOCAL_MACI!INE\SAMSAM下）中的安全账

户来管理用户和组信息。当用户请求登录句本地计登机时，系统将登录信息与SAV数据库

中的条目进行比较来判断用户提交的信息是否正确c虽然Kerberos是Windows2000的默认

身份验证协议，但它并不处理本地登录请求。

用户通过按下SAS热键（默认为Ctrl+Alt+Dcl）来启动登录过程。Winlogon一旦接收

到此SAS热键就会切换到Winlogon桌面，并且调用GINA来显示标准的登录对话框，提示

用户输入用户名和口令。一旦用户输入了这些信息，GINA就将它传送给LSA进行验证。

LSA则调用适当的验证程序包（如MSVl_0）,并且将口令使用单向散列函数转换成非可逆

的密钥形式，然后在SAM数据库中找寻应配的密钥。如果SAM找到了账户信息，就向身

份验证程序包返回用户的SID和用户所在组的SJDo验证程序包再向LSA返回这些SID,

LSA使用这些SID创建安全访问令牌，并把令牌句柄和登录确认信息返回给Winlogon。经

历了这样的一个过程，用户就可以进入Windows桌面了。

域登陆:

域用户账户的信息存储在域的活动目录服务中。这样，当住户从一台Windows2000计

算机登录到域账户时，用户实质上是在请求允许使用那台计算上的本地系统服务。请求使用

任何域服务的所有用户都必须在获得访问权限之前首先向域验证自己的身份。同样的，用户

在允许使用Windows2000计算机的本地系统服务之前也必须证明自己的身份。

默认情况下，域环境的登录和身份验证使用Kerberosv5协议，这里面包含有多个步骤。

Kerberos是一个基于票据（Ticket）的协议，为客户与服务器之间提供了双向的身份验证。

为了访问和使用网络资源和服务需要迸行票据申请和票据授予。本章稍后将会详细介绍

Kerberosv5办议。

用户通过按下SAS热键（默认为Ctrl+Alt+Dcl）来启动登录过程。Winlogon一旦接收

到此SAS热键就会切换到Winlogon桌面，并调用GINA来显示标准的登录对话框，提示用

户输入用户名、口令和域名称。对域账户而言，用户登录名与用户主体名（UP、）格式一致。

用户主体名由包含在账户中的用户账户名和账户所在域的域名组成，并由“@”字符隔开，

例如cric@Sjiu【nfbscc.nci。一旦用户输入了LPX和口令并选择了正确的域名，G【NA就会将

这些信息传到LSA进行验证。

当LSA接收到用户的登录信息后，将口令使用单向散列函数转换成非可逆的密钥形式,

然后将其存储在以后还可以检索到的证书缓存区中。LSA通过Kerberos验证程序包与域控

制器的密钥分发中心（KeyDistributionCenter,KDC）进行通信。Kerberos验证程序包向KDC

发送一个含有用户身份信息和验证预处理数据的验证服务请求.KDC一旦收到这个验证服

务请求之后，就用自己的密钥对其解密来验证用户是否确实知道口令。

一旦KDC证实了用户的身份，就会为客户返回一个登录会话室钥（用客户密钥加密）,

并且向Kerberos验iE程字包返回一个TGT（TicketGrantingTicket.票据授予票据只该TGT

（用KDC自己的密钥加密）允许用户为获得包括目录计算机上的系统服务在内的域服务而

申请票据。Kerberos验证程序包会将会话密钥解密并将它同TGT一起存储到证书缓存区中

以备后用。

Kerberos险证程序包为本地计算机向KDC发送一个票据请求，KDC则会用会话票据响

应。用户就可以用这个会话票据来请求访问计算机上的系统服务了。然后，LSA确定用户

是否为任何本地安全组的一部分，以及用户在这台计算机上是否拥有任何特权c据此而得到

的SID与来自会话票据的SID一起被LSA用来创建会话令牌。该令牌句柄和登录确认信息

返回到Winlogon,至此，用户就可以进入Windows臬面了。交互式域账户登录的过程如图

5-2所示。

图5・2交互式域账户登录

默认情;兄下，每个域控制器都向域提供了一个Kerberosv5的KDC。当Windows2000

计算机上的Kerberos客户想要向域验证自己的身份时，系统就会从D'S中找出最近可用的

域控制器来进行密钥分配，即变成首选的KDC,在用户登录会话期间，如果首选的KDC失

效，那么客户就会从DNS中另外寻找一个KDC来继续进行验证。如果客户找不到任何可

用于身份验证的域控制器，那么Windows2000就会尝试使用MSVI_0来对用户进行身份验

证。

2kerberos用户身份验证效劳和票据授予效劳过程

3Kerbm、的身份*E过收

KDC1&供了下EUMh

•身停3证表磬（AS）.A3时名户迸行•概,并发行供客户M家请求会诰票TGT

（MK刊SUV）・

•票揖发予服务（TOS）・TOS在发行箫客户TOT的皿E为网络吸务ST（含

话票靠）.

在名户司仪为网络及务情求会话”之■,这尊客户初自己的身倚.AS

纪所提交的量录证书与活动目录申傀闲户&户进行叨竦■以它户的身e・-emu.

AS意会震行一个供名户用"求会话事■的TOT.

X队情况下.TOT*生存叫10小”.每次客户依襄访不一，《修服务时♦会

ttWftTGT.客户纪TGT与妾餐船g的版多名一网贵靖TOS.TftHhTGS

籁会发行f会话”.客户收费法会话9mB看对，它存＜14，己的IM♦存区中.

会话1M加K做字盘**嵬了愣BUI做也m・客户每次请求使用EM务时，S«

从它的IHHt存区中检索票霸，弃翕，效麻襄苗内的般务.上it过程可，JMW.

从上靖过程中可以野出.MTOT的最主要好处IUM少了KDC必fHHU沪・«

息的次量.四射t个过414M余，但用户依一发做内觥是怆\自己的春码用豪日・

图5-4显示了客户机、KDC、活动目录和使用Kerberos身份验证协议的网络服务器三

者之间的关系。

图5-4Kerberos身份验证过程

5.5.3Kerheros的票据

出于保密性考虑，服务票据中的大部分数据都用服务器的密钥进行了加需，当然，为了

客户能够管理自己的票据，每个票据都需要一个非敏感性的头信息，以供任何程序都不用对

票据进行解密就可以访问到这个头信息。

以下的票据信息都是非加密的。

•票据格式的版本号。在Windows2000Kerberosv5协议中，该版本号为5,

•发布票据的域的名称。

•密钥发行中心的服务器名称。

而以下的票据信息则被服务器的密钥进行了保护。

•客户和服务之间为安全传输而共享的会话密钥。

•客户所在域的名称。

・客户名称。

•票据起始时间。

•票据生存时间(有效时间)。

票据(包括TGT和ST)是有生存时间的，那么当票据过期后会发生什么情况呢？

Kerberos协议改进网络和服务器性能的一种方式就是：当某个票据过期时，客户将不会得到

任何通知。这是因为如果Kerberos对所有发布了耍证的客户进行通知，那么用户的KDC和

网络性能将会受到很大的影响，

下面让我们来看一下过期的TGT和ST的情况。

第一种情加是当某个客户的TGT过期,井口客户正在请求一个用干某个网络资源的ST

时。此时当客户请求新的ST时，KDC将响应一个错误消息，客户必须从KDC请求一个新

的TGT。

第二种情况是当客户试图使用一个过期的ST访问一个网络资源时。此时如果客户通过

一个ST访问位于服务器上的某个资源，那么该服务器将响应一个错误信息，客户必须从

KDC请求一个新的ST。当客户被认证通过之后，他便可以访问服务器上的资源了。如果

ST是在客户已连接到资源的期诃过期的，那么客户不会立即断开连接：但是，当为户下一

次请求访问该资源时，就需要上述过程来进行访问。

3.账户平安策略(远程登陆)(考)

访问控制〔选择+简答〕

1.Windows的访问控制模型及组件

强制访问控制(Mandatoryaccesscontrol：MAC)

自主访问控制(Discretionaryaccesscontrol:DAC)主流操作系统，防火墙(ACLs)等都是基于自主访

问

控制机制来实现访问控制。

基F角色的访问控制(Rolebasedaccesscontrol:RBAC

基于任务的访问控制模型(TBAC)

基于属性的访问控制模型

使用控制模型UCON

2.主体和客体的平安描述

在Windows2000系统中，平安主体(SecurityPrincipal)不仅仅包括用户，还包

括组和效劳等主动的实体：而客体那么包括文件、文件夹、打印机、注册表、活动目录项以及

其他对象。

客体的平安描述

用户登录时，系统为其创立访问令牌

用户启动程序时，线程获取令牌的拷贝程序请求访问客体时，提交令牌。

系统使用该令牌与客体的平安描述进行比拟来执行访问检查和控制

3,用户和组：本地组和域组(全局组，域本地组，通用组)(考)

(1)本地组(localgroup)是本地计算机上的用户账户的集合。可使用本地组给本地组所

计算机上的资源分配权限。Windows2000在本地平安性数据库(SAM)中创立本地组。

意将这个本地组同具有域本地作用域的ActiveDirectory组区别开来。

使用本地组的原那么如下，

□只可在创立本地组的计算机上使用本地组。本地组权限只提供对本地组所在计算上资源的访问。

□可在运行Windows2000的非域控制器的计算机上使用本地组，不能在域控制器创立本地组。这是因

为域控制器不能拥有与ActiveDirectory效劳中数据库独立平安性数据库。

口可使用本地组来限制本地用户和组访问网络资源的能力，而无须创立域组。能够添加到本地组的用

户必须满足如下条件。

□本地组只包含来自本地组所在计算机上的本地用户账户。

□本地组不能使其他任何组的成员。

(2)域本地组(DomainLocalGroup)

在管理域资源时，我们一股会把权限指派给本地域组。而不会直接指

派给用户账户。

成员：同一个域中的其他本地域组；森林中的任何域的用户成员；整个森林的全局组和通用组

特点：仅管理本地域内的资源

在创立它的域中，只能在这个域中复制，不会出现在GC中

(3)全局组(GlobalGroup)

在实际应用中一般会把隶属同一部门的用户组织成全局组，然后再将全局组参加某本地域组中。总之,

全局组是用来组织某个域的用户账户的，让这些账户一次获得相同的权限。

全局组成员：同一个域的用户；同一个域的其他全局组

特点：其用户成员可访问任何城中的资源；存储在创立它的域中，只能在这个域中复制出现在GC中,

但它的成员不出现。

(4)通用组(UniversalGroup)

通用组和全局组一样，可指派森林中的任何资源的权限给用户，通用组是为了简化多域的管理。

迪用组成员：成员可来自森林中的任何域成员：用户账户、全局组、通用组

特点：可访问任何域中的资源；存储在全局编录GC中。

文件系统

LNTFS权限

NTFS权限是与文件系统相关的访问控制规则，作用的对象是文件和文件夹，它用来指

定哪些用户可以访问文件系统对象以及可以使用什么样的方式访问。

NTFS权限只能使用在、TFS卷上，而不能使用在FAT或FAT32文件系统上。无论用户

是通过计算机控制台还是网络来访问文件或文件夹，NTFS的权限控制都有效。此外，

Windows2000还支持共享的权限控制，该控制在功能上很相似，但只是通过网络来控制用

户对共享的访问。

2.加密文件系统(EFS)

加解密过程(考)

II

（1）文件被复制到临时文件。若复制过程中发生错误，则利用此文件进行恢复，

（2）文件被一个随机产生的Key加密，这个Key叫作文件加密密钥（FEK）,FEK的长

度为128位（仅美国和加拿大），这个文件使用DESX加密算法进行加密。

（3）数据加密区域（DDF）产生，这个区域包含了使用RSA加密的FEK和用户的公钥。

（4）数据恢第区域（DRF）产生，这个区域的目的是为了在用户解密文件的中可能解密

文件不可用（丢失Key、离开公司等）。这些用户叫做恢复代理，恢复代理在加密数据恢复

策略（EDRP）中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP

被使用。在任一种情况下，在一个加密发生时，EDRP必须存在（因此至少有一个恢复代理

被定义）。DRF包含使用RSA加密的FEK和恢复代理的公钥。如果在EDRP列表中有多个

恢复代理，FEK必须用每个恢曳代理的公钥进行加密，因此，必须为个恢史代理创建一个

DRF,

（5）包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

（6）在第（1）步中创建的临时文件被删除。

加密款据j

喟一胃3

ca7<urc的热坦加1宓田和

而下面的操作将在数据被解密时发生。

（1）使用DDF和用户的私钥解密FEK（文件加密密钥）。

（2）使用FEK解密文件。

在恢复代理恢复文件的过程中，将产生同样的操作。只是在第（1）步中是DRF而不是

DDF。

图7-6说明了EFS的数据解密过程。

用户解密

图7-6EFS的数据解密过程

EFS的优势与局限性

加密文件系统的优势

•基于公钥与文件系统紧密结合的加密技术

・无需管理上的设置即可使用，在操作上对用户完全透明。

•支持对单个文件或整个卷的加解密。

•提供内置的数据恢复支持。

加密文件系统的局限性

・增加花费，降低性能

・病毒监测程序尢法起到作用

•其他

系统文件不能被加密（%systemroot%文件夹或根目录中）

太多的恢复代理将影响性能

3.磁盘配额（不考）

磁盘配额是以文件所有权为根底的。

4.网络共享

网络共享的最终访问权限

NTFS权限

NTFS权限指定了用户如何查看及使用本地计算机上数据的限制（包括本地登录的用户）

共享权限

指通过网络连接到共享文件夹的用户的最大权限

AD中共享文件夹的权限

对活动目录用户访问共享的进一步限制

5.动态卷（考）

•简单卷

（1）是单独的一个卷，与根本磁盘分区相似，但无空间和数量限制，当空间不够时可通过扩展卷来扩充空

间（系统卷，启动卷，带区卷，镜像卷、RAID-5卷不能扩展）。

⑵如果计算机只安装了一个硬盘驱动器，那么只能选择简单卷

⑶保证磁盘有1M没被使用

・跨区卷

⑴将简单卷扩展到其他磁盘上就形成了跨区卷

⑵是•个包含多块磁盘上空间的卷（最多32块），向夸区卷中写信息顺序是存满第•块再渐向后面的磁

盘中存，这样可将多块物理磁盘中的空闲空间分配成同一个卷。

⑶可选多个磁盘，可限制大小

•带区卷（软RAID-0加速）

⑴由两个或多个磁盘中的空余空间组成的卷，写数据时，数据被分割成64KB的数据块，然后同时向阵

列中的每块磁盘写入不同数据块，提高磁盘效率，但不具备容错功能。

⑵每个区需一样大

•镜像卷（软RAID-1）

⑴为一个带有一份完全相同的副本的简单卷，它需要两块磁盘，一块存储运作中的数据，一块存储完

全相同的那份副本，当一块失败时，另一块可立即使用。提供容错功能，不提供性能优化

⑵也可通过为简单卷添加一个镜像实现

•RAID-5卷

是具有奇偶校验的带区卷，RAID-5卷至少包含3块磁盘，阵列中任意一块磁盘失败时，都可用另两块

磁盘中的信息做运算，并将失败磁盘中的数据恢复。

平安协议

LIPSEC封装协议（考）

封装模式

IPSec在不同应用需求下有不同的工作模式，分

别为：

传输模式（TransportMode）

一一两部主机之间（点到点）传递的数据加密；用于端到端的连接。两端的系统都必须支持IPSec,

而中间节点系统那么不必支持IPSec,它们只是以普通的方式转发数据包。

隧道模式（TunnelMode）

——两个不同的网段1站点到站点）所传送的数据内容加密或者两个私有IP网段穿越Internet连接；

用于网关对网关的连接。（典型应用VPN）数据包的源和目的终端不必支IPSec,而只有提供平安效劳

的网关才必须支持IPSec。

封装协议

封装协议：

负载安全封装（ESBEncapsulatingSecurityPayload）

认证报头协议（AH,AuthenticationHeader）

协议功能

提供协商安全参数和创建认证密钥等,其参数

IKE由安全关联（SA:SecurityAssociation）

确定

ESP提供加密、认证和完整性保护

AH提供认证和完整性保护

2.在Windows中实现IPSec

默认策略

•客户端（只响应）

该策略用于在大局部时间都不能保证通信的计算机。例如，企业内部网客户可能不需要

PSec,除非另一台计算机发出请求。该策略允许在它活动的计算机上正确响应平安通信请

求。该策略包含一个默认的响应规那么，该规那么允许与请求IPSec的计算机进行协商。对于

该通信，只有被请求的协议和国传输才是平安的。

・效劳器（请求平安性）

该策略用于应在大多数时间保证通信的

计算机。该策略的一个例子就是传输敏感数据的效劳器。在该策略中，计算机接受不平安的传输，但总

是通过从原始发送者那里请求平安性来试图保护其他的通信。如果另一台计算机没有启用IPSec,那么

该策略允许整个通信都是不平安的。

•平安效劳器（需要平安性）

该策略用于始终需要平安通信的计算机。该策略的一个例子就是传输高度敏感数据的效劳器，或者保

护内部网不受外界侵犯的平安性网关。该策略拒绝不平安的传入通信，并且传出的数据始终都是平安的.

不允许不平安的通信，即使对方没有启用IPSeco

建立自定义平安策略（考，综合）：平安策略的定义（筛选器列表，操作，身份验证方法）

要定义计算机的IPSec策略，必须要有访问“组策略”的适当管理员权限，或者是本

地系统Administrators组的成员,

基本的操作步骤如下。

（1）在“1P安全策略管理”中，选择要定义新策略还是编辑当前的策略。

（2）如果需要创建新的策略，则在控制台树中，右击“IP安全策略，在本地机器”，然

后在弹出的菜单中选择“创建1P安全策略”命令。

（3）根据“1P安全策略向导”中的提示进行逐步的设置，直到出现新策略的“属性”

对话框。

（4）如果需要编辑已有的策略，则右击该策略，然后选择“属性”命令。

（5）打开“常规”选项卡，在“名称”中输入惟一的名称，在“描述”中，输入关于安

全策略的说明，例如它将影响的组或域。

（6）如果该计算机是域的一部分，那么，要指定策略代理检杳组策略以便进行更新的时

间间隔，可在“检查策略更改间隔”中键入以分钟为单位的值。

（7）如果对密钥交换的安全性有特殊要求，可单击“高级”按钮。

（8）打开“规则”选项卡，并为策略创建任何需要的规则。

如果正创建新策略，并且新策略没有显示在控制台树中，则可右击“IP安全策略，在

本地机器”，然后选择“刷新”命