8-4 操作系统安全案例分析（2-4）Windows操作系统安全模型

第八章操作系统安全技术-Windows操作系统安全模型的组成计算机系统与网络安全技术Windows操作系统安全模型的组成windowsNT的安全模型WindowsNT包括一组构成Windows安全模型的安全组件。这些组件确保了应用程序不能在没有身份验证和授权的情况下对资源进行访问。这些安全组件称为Windows的安全子系统（WindowsSecuritySubsystem）是WindowsNT系统中安全机制的最重要核心操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型安全子系统的组件在本地安全管理员进程（lsass.exe）的上下文中运行，主要包括以下组件：Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackages（AP）Securitysupportproviders（SSP）NetlogonService（Netlogon）SecurityAccountManager(SAM)

操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型操作系统安全技术本地用户登录组件用户登录GUI组件安全管理组件身份认证组件账号信息管理组件安全扩展组件网络用户登录组件Windows操作系统安全模型的组成windowsNT的安全模型（1）windows登录（Winlogon）：Winlogon调用GINADLL，并监视安全警告序

(Secure

Attention

Sequence：SAS)SAS是一组组合键，默认情况下为Ctrl-Alt-Delete它的作用是确保用户交互式登录时输入的信息被系统所接受，而不会被其他程序所获取因此，使用“安全登录”进行登录，可以确保用户的帐号和密码不会被攻击者盗取Winlogon启动时，在注册表中查找以下键值：\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon如果存在GinaDLL键，Winlogon将使用这个DLL如果不存在该键，Winlogon将使用默认值MSGINA.DLL

操作系统安全技术Windows操作系统安全模型的组成windows登录（Winlogon）安全登录可用于检测登录异常情况要启用“安全登录”的功能，可以运行“control

userpasswords2”命令打开“用户帐户”对话框，选择“高级”选中“要求用户按Ctrl-Alt-Delete”选项后确定即可以后，在每次登录对话框出现前都有一个提示，要求用户按Ctrl-Alt-Delete组合键，目的是为了在登录时出现GINA登录对话框，因为只有系统本身的GINA才能截获这个组合键信息。而如前面讲到的GINA木马，会屏蔽掉“安全登录”的提示，所以如果“安全登录”的提示无故被屏蔽也是发现木马的一个前兆。操作系统安全技术Windows操作系统安全模型的组成windows登录（Winlogon）安全警示键弹出界面Ctrl-Alt-Delete操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（2）界面识别与认证（GraphicalIdentificationandAuthentication：GINA）动态链接库GINA提供一个交互式的界面为用户登录提供认证请求GINA被设计成一个独立的模块开发人员也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL

操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（3）本地安全管理员（LocalSecurityAuthority：LSA）LSA是WindowsNT安全系统的核心功能模块，它的主要功能是检查用户登录信息，并依据安全策略为用户生成系统访问令牌（SAT：SystemAccessToken）。它负责以下任务：－调用所有的认证包：检查在注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，WindowsNT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并调用。－重新找回本地组的SIDs和用户的权限。－创建用户的访问令牌。－管理本地安装的服务所使用的服务账号。－储存和映射用户权限。－管理审核的策略和设置。－管理信任关系。操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（4）安全支持提供者的接口（SecuritySupportProvideInterface：SSPI）安全支持提供者接口SSPI遵循RFC2743和RFC2744的定义，提供一些安全服务的API为应用程序和服务提供请求安全的认证连接的方法操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（5）认证包（AuthenticationPackage：AP）：认证包可以为真实用户提供认证通过GINADLL的可信认证后，认证包返回用户SIDs给LSA，然后将其存放在用户的访问令牌中操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（6）安全支持提供者（SecuritySupportProvider：SSP）：安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（7）网络登录（Netlogon）：网络登录服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型（8）安全账号管理者（SecurityAccountManager：SAM）：SAM存储帐户信息的数据库，并为本地安全管理员（LSA）提供用户认证。SAM保存了注册表中\HKLM\Security\Sam中的一部分内容不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝操作系统安全技术Windows操作系统安全模型的组成windowsNT的安全模型在WindwosServer2003中，安全子系统还包括安全套接层服务（SSL）和Kerberose认证等。这些组件以动态链接库（DLL）的形式提供。操作系统安全技术Windows操作系统安全模型的组成Windows及WindowsNT系列操作系统中的安全组件安全组件描述netlogon.dll这是

NetLogon服务，它维护着计算机到域控制器的安全通道。它通过安全通道将用户的凭据传递到域控制器，并返回此用户的安全标识符和用户权限。在WindowsNTVersion4.0中，NetLogon是主域控制器和备份域控制器的复制协议；在

WindowsServer2003中，NetLogon服务使用

DNS将名称解析到域控制器的

IP地址。msv1_0.dll这是NT局域网管理器（NTLANManager：NTLM）的身份验证协议。此协议对不使用

Kerberos身份验证的客户端进行身份验证。schannel.dll这是安全套接字层

(SSL)身份验证协议。此协议在一个加密的通道而不是安全性较低的通道上提供身份验证。kerberos.dll这是

Kerberos5身份验证协议kdcsvc.dll这是

Kerberos密钥分发中心

(KDC)服务，此服务负责将授权票证的票证

(TGT)