美国可信计算评价标准.ppt

1、Security Risk Assessment,- Windows,美国可信计算机安全评价标准（ Trusted Computer System Evaluation Criteria，橘皮书 TCSEC） 是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将计算机系统的安全划分为4个等级、7个级别。,2020/8/28,2,TCSEC,TCSEC定义的内容,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如System V等,结构化内容

2、保护，支持硬件保护,安全域，数据隐藏与分层、屏蔽,校验级保护，提供低级别手段,D Minimal protection Reserved for those systems that have been evaluated but that fail to meet the requirements for a higher division,2020/8/28,4,D类安全等级,C类安全等级： C1 Discretionary Security Protection Identification and authentication Separation of users and data

3、Discretionary Access Control (DAC) capable of enforcing access limitations on an individual basis C2 Controlled Access Protection More finely grained DAC Individual accountability through login procedures Audit trails Object reuse Resource isolation Required System Documentation and user manuals.,20

4、20/8/28,5,C类安全等级,B类安全等级： B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。,2020/8/28,6,B类安全等级,A类安全等级： A系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。 A系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。,2020/8/28,7,A类安全等级,1995年7月，W

5、indows NT3.5取得了TCSEC的C2安全级； 1999年3月，NT4获得英国ITSEC组织的E3级别，等同于C2级； Windows 2000也获得了C2安全级别,2020/8/28,8,微软操作系统安全性分析,2000年2月发布 四个版本：Professional, Server, Advanced Server, Datacenter server 容错和冗余，文件系统NTFS5， DFS(distributed file system) 活动目录 安全性” the most secure windows we have ever shipped”,2020/8/28,9,Win

6、dows2000,系统实现安全登录机制，自主访问控制机制，安全审计机制和对象重用保护机制 安全登录 自主访问控制(DAC，discretional access control)： 对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体针对哪些客体可以执行什么操作; 可以非常灵活地对策略进行调整。易用性与可扩展性; 经常被用于商业系统。,2020/8/28,10,C2安全级别的关键要求,与DAC对应的是强制访问控制（mandatory access control, MAC ) 系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安

7、全属性。通过对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。经常用于军事用途。,2020/8/28,11,C2安全级别的关键要求,安全审计 对系统记录和活动进行独立的审查和检查以确定系统控制的适合性，确保符合已建立的安全策略和操作规程，检测安全服务的违规行为 由工具生成和记录安全审计迹，查看和分析审计迹研究和发现系统受到的攻击和安全威胁 对象重用保护： 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源,2020/8/28,12,C2安全级别的关键要求,NT系统实现的两项B安全级的要求： 信任路径功能，用于防止

8、用户登录时被特洛伊木马程序截获用户名和密码 trusted path is simply some mechanism that provides confidence that the user is communicating with what the user intended to communicate with, ensuring that attackers cant intercept or modify whatever information is being communicated 信任机制管理，支持管理功能的单独帐号,2020/8/28,13,NT系统的安全机制,截

9、止2009年5月19日，“绿盟科技”的漏洞库收集了2437条windows系统以及应用软件的漏洞,Windows漏洞,Win2000的bug: 中文版输入法漏洞入侵，使本地用户绕过身份验证机制进入系统内部 Windows终端服务功能，使系统管理员进行远程操作采用图形界面，默认端口3389,2020/8/28,15,漏洞实例,2020/8/28,16,简体中文输入法漏洞,2020/8/28,17,漏洞实例,2020/8/28,18,漏洞实例,2020/8/28,19,漏洞实例,2020/8/28,20,漏洞实例,C:WINDOWSsystem32configSAM L0phtcrack：wind

10、ows系统的口令字猜测工具，可脱机工作；SMB packet capture 工具监听并捕获登录会话，剥离口令字 windows日志 事件查看器 C:windowssystem32config,Windows SAM,SMB: server message block （打印共享） MSRPC: microsoft remote procedure call Netbios, netbios session service 各种网络服务在Windows中的具体实现 http, smtp, pop3等,微软专用协议,Windows 2000开始， IIS随操作系统默认安装 信息泄露 目录遍历 缓

11、冲区溢出 IIS 提供ftp,smtp等服务，且这些服务被激活后以system权限运行,Windows IIS,正确设置TCP/IP筛选,对重要的系统文件如cmd, net等进行严格的权限控制,重要系统文件的权限设置,Windows系统的安全组件,访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有

12、的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。,Windows安全子系统的组件,安全标识符（Security Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配 给改用户或组一个唯一SID。 例： S-1-5-21-1763234323-3212657521-1234321321-500 SID：S

13、-1-5-18名称：Local System说明：操作系统使用的服务帐户。 SID：S-1-5-19名称：NT Authority说明：本地服务 SID：S-1-5-20名称：NT Authority说明：网络服务,访问令牌（Access tokens）: 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。,Windows系统的安全组件,Windows安全子系统的组件,安全描述符（Security descriptors）： Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretionar