6---Windows-操作系统安全评测

1、第6章 Windows操作系统安全评测,第一部分 教学组织,一、目的要求 1.掌握Windows操作系统的漏洞扫描方法。 2.了解评测操作系统安全的标准和方法。 二、工具器材 1未打补丁的Windows2000操作系统。 2X-Scan3.3漏洞扫描工具。 三、学习方式建议 1上课仔细理解教师授课中的要点，理解漏洞扫描的目的 2课后分别对Window2000和Windows2003进行漏洞扫描，了解二者之间的系统特点。,第二部分 教学内容,操作系统是用来管理计算机资源的，各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操

2、作系统提供的系统软件的安全性。任何想象中的、脱离操作系统的应用软件的高安全性，就如同幻想在沙滩上建立坚不可摧的堡垒一样，毫无根基。 本章主要介绍Windows操作系统的漏洞扫描方法和评测操作系统安全的标准和方法。,6.1 Windows操作系统安全漏洞扫描,漏洞：英文名为Vulnerability，其字面含义是漏洞或者缺乏足够的防护。 漏洞扫描：在黑客之前，对发现系统的常见漏洞，找出其薄弱之处并进行相关修复和防范就显得尤为重要，这项工作称之为漏洞扫描。,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能 目的：自动评估操作系统配置方式不当所导致的安全漏洞。 操作系统漏洞扫描

3、主要检查以下四个方面： 系统设置是否符合安全策略 是否有可疑文件 是否存在木马程序 关键系统文件是否完整,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能 漏洞扫描通常采用两种策略： 被动式策略 概念：被动式策略就是基于主机之上，对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查 主动式策略 概念：主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描，利用主动式的策略扫描称为网络安全扫描,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能 主要

4、功能： 集中式地找出安全漏洞 降低风险指数 入侵/反入侵,6.1 Windows操作系统安全漏洞扫描,6.1.1 漏洞扫描的功能 漏洞扫描检测技术： 基于应用的检测技术。 基于主机的检测技术。 基于目标的漏洞检测技术。 基于网络的检测技术。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 对于维护一个如Windows般复杂的多层结构的操作系统，漏洞扫描是一项不可缺少的组成部分。它能够模拟黑客的行为，对操作系统及网络进行攻击测试，以帮助管理员在黑客攻击之前，找出系统中存在的漏洞。 漏洞扫描一般采用专用工具来实现，这些专用工具称为漏洞扫描系统，是用来自动检测远程或本地

5、主机安全漏洞的程序（安全漏洞通常指硬件、软件、协议的具体实现或系统安全策略方面存在的安全缺陷）。使用漏洞扫描系统可以评估操作系统及网络的安全级别，并生成评估报告，提供相应的整改措施。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 根据检测对象的不同，漏洞扫描系统可分为： 网络漏洞扫描系统 操作系统漏洞扫描系统 数据库漏洞扫描系统,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 网络漏洞扫描系统 网络型漏洞扫描系统是指通过网络远程检测目标网络和主机系统漏洞的程序，对网络系统和设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏

6、洞。漏洞扫描器多数采用基于特征的匹配技术，与基于误用检测技术的入侵检测系统相类似。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 网络漏洞扫描系统 网络型的漏洞扫描系统主要模仿黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务、及各种应用程序的漏洞，其运作的架构如图6.1所示。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 网络漏洞扫描系统,图6.1 网络型漏洞扫描系统整体架构,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 网络漏洞扫描系统 网络型漏洞扫描系统

7、的主要功能如下： 服务扫描侦测。提供well-known port service的扫描侦测及well-known port以外的ports扫描侦测。 后门程序扫描侦测。提供PC Anywhere、NetBus、Back Orifice、Back Orifice2000(BackdoorBo2k)等远程控制程序（后门程序）的扫描侦测。 密码破解扫描侦测。提供密码破解的扫描功能，包括操作系统及程序密码破解扫描，如FTP、POP3、Telnet.等。 应用程序扫描侦测。提供已知的破解程序执行扫描侦测，包括CGI-BIN、Web Server漏洞、FTP Server等的扫描侦测。,6.1 Wind

8、ows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 网络漏洞扫描系统 网络型漏洞扫描系统的主要功能如下： 阻断服务扫描测试。提供阻断服务(Denial Of Service)的扫描攻击测试。 系统安全扫描侦测。如NT的 Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全扫描侦测。 分析报表。产生分析报表，并告诉管理者如何去修补漏洞。 安全知识库的更新。所谓安全知识库就是黑客入侵手法的知识库，必须时常更新，才能落实扫描。,6.1 Windows

9、操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 主机型安全漏洞扫描系统 主机型漏洞扫描系统主要是针对操作系统内部问题作更深入的扫描，如Windows、Unix等，它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。主机型漏洞扫描系统一般采用Client/Server的架构，如图6.2所示,6.1 Windows操作系统安全漏洞扫描,图6.2 主机型漏洞扫描系统整体架构,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 主机型安全漏洞扫描系统 主机型安全漏洞扫描器主要的功能如下： 1）重要资料锁定。利用安全的Checksum(SHA1)来监控重要资

10、料或程序的完整及真实性，如Index.html档。 2）密码检测。采用结合系统信息、字典和词汇组合的规则来检测易猜的密码。 3）系统日志文件和文字文件分析。能够针对系统日志文件，如Unix的syslogs及NT的事件检视(event log)，及其它文字文件(Text files)的内容做分析。 4）动态式的警讯。当遇到违反扫描政策或安全弱点时提供实时警讯并利用email、SNMP traps、呼叫应用程序等方式回报给管理者。 5）分析报表。产生分析报表，并告诉管理者如何去修补漏洞。 6）加密。提供Console 和Agent 之间的TCP/IP连接认证、确认和加密等功能。 7）安全知识库的更

11、新。主机型扫描器由中央控管并更新各主机的Agents 的安全知识库,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 数据库型漏洞扫描系统 除了网络型和主机型漏洞扫描系统外，还有一种专门针对数据库作安全漏洞检查的扫描系统，像是ISS公司的 Database Scanner。其架构和网络型扫描类似，主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户，而且能追踪登入期间的限制活动等。,6.1 Windows操作系统安全漏洞扫描,6.1.2 漏洞扫描系统及其分类 不论是网络型或主机型的漏洞扫描系统，或者是数据库漏洞扫描系统，其最重要的就是安全

12、资料库的更新，这样才能完全地扫描出系统的漏洞。同时在做完更新后，一定还要再作一次新的扫描，因为操作系统的漏洞随时都在发布，新的黑客入侵手法也一直翻新。入侵手法就如同病毒，而安全知识库就如同病毒码，如果一个扫描器背后的安全资料库不健全的话，就无法对企业信息安全作完善的稽核了。因此，在选择一个漏洞扫描系统时，必须考虑到之后知识库更新的内容及能力。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA 微软基准安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微软公司开发的针对Windows操作系统的漏洞扫描系

13、统软件。MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系统的安全评估工具，可扫描操作系统、IIS、SQL 和桌面应用程序，以发现常见的配置错误,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA MBSA的运行需要以下软件的支持： 1）带 Service Pack 4 的 Microsoft Windows NT 4.0 或更高版本的操作系统、Windows 2000 或 Windows XP（本地扫描只能对使用简单文件共享的 Windows XP 计算机执行）

14、； 2）Internet 信息服务 (IIS) 4.0、5.0（进行 IIS 漏洞检查时需要）； 3）SQL Server 7.0、2000（进行 SQL 漏洞检查时需要）； 4）Microsoft Office 2000、XP（进行 Office 漏洞检查时需要）； 5）必须启用/安装下列服务：Server 服务、Remote Registry 服务、File & Print Sharing（文件和打印共享）。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA 在网络环境下，MBSA使用端口 138 和 139 执行扫描。 检查的结果以安全报告的

15、形式提供给用户，在报告中还带有关于修复所发现的任何问题的操作说明，其主要内容包括： 检查将确定并列出属于Local Administrators 组的用户账户。 检查将确定在被扫描的计算机上是否启用了审核。 检查将确定在被扫描的计算机上是否启用了“自动登录”功能。 检查是否有不必要的服务。 检查将确定正在接受扫描的计算机是否为一个域控制器。 检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是NTFS文件系统。 检查将确定在被扫描的计算机上是否启用了内置的来宾账户。 检查将找出使用了空白密码或简单密码的所有本地用户账户。 检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的IE区域

16、安全设置。 检查将确定在被扫描的计算机上运行的是哪一个操作系统。 检查将确定是否有本地用户账户设置了永不过期的密码。 检查将确定被扫描的计算机上是否使用了Restrict Anonymous注册表项来限制匿名连接Service Pack和即时修复程序。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA MBSA V2.0.1的主要功能 1）检查系统配置： a）Windows操作系统。通常，MBSA扫描Windows操作系统（Windows NT 4、Windows 2000、Windows XP、Windows Server 2003）中存在的安全

17、问题，如：Guest（来宾）账户的状态、文件系统类型、可用的文件共享和管理员组的成员。每次OS检查的说明都会显示在安全报告中，并附带有关修复任何已发现问题的说明。 b）Internet Information Server。该组检查将扫描IIS 4.0和5.0中存在的安全问题，如计算机上存在的示范应用程序和某些虚拟目录。该工具还将检查IIS Lockdown工具是否在计算机上运行，从而帮助管理员配置和保护他们的IIS服务器。每次IIS检查的描述都会显示在安全报告中，并附带有关修复任何已发现问题的说明。 c）Microsoft SQL Server。该组检查将扫描SQL Server 7.0和S

18、QL Server 2000中存在的安全问题，如身份验证模式的类型、SM账户密码状态和SQL Server账户的成员资格。每一次SQL Server检查的描述都显示在安全报告中，并附带有关修复任何已发现问题的说明。 d）检查桌面应用程序。该组检查扫描每个用户账户的Internet Explorer 5.01+区域设置以及Office 2000、Office XP和Office System 2003的宏设置。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA MBSA V2.0.1的主要功能 2）安全更新： MBSA可以通过引用微软不断更新和发布可

19、扩展标记语言（Extensible Markup Language，XML）文件（mssecure.xml），来确定将哪些关键安全更新应用于系统。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA MBSA V2.0.1的主要功能 2）安全更新： MBSA不仅仅扫描Windows安全更新，而且扫描与其他产品相关的更新。MBSA V1.2扫描可用于以下产品的安全更新。 Windows NT 4.0（除非通过mbsacli.exe /hf 进行扫描，否则只能进行远程扫描）。 Windows 2000/XP/Server 2003。 IE 5.01及后续

20、版本（包括面向Windows Server 2003的IE 6.0）。 Windows Media Player 6.4及后续版本。 IIS 4.0、5.0、5.1和6.0。 SQL Server 7.0/2000（包括Microsoft Data Engine）。 Exchange Server 5.5/2000和2003（包括Exchange Admin Tools）。 Microsoft Office（只能进行本地扫描）。 Microsoft Data Access Components（MDAC）2.5、2.6、2.7和2.8版本。 Microsoft Virtual Machine。

21、 MSXML 2.5、2.6、3.0和4.0版本。 BizTalk Server 2000、2002和2004版本。 Commerce Server 2000和2002。 Content Management Server（CMS）2001和2002版本。 SNA Server 4.0、Host Integration Server（HIS）2000和2004版本。,6.1 Windows操作系统安全漏洞扫描,6.1.3 Windows下的漏洞扫描系统MBSA MBSA V2.0.1的扫描方式 1）单台计算机。MBSA最简单的运行模式是扫描单台计算机，典型情况表现为自动扫描。当选择选取一台计算

22、机进行扫描时，可以选择输入你想对其进行扫描的计算机的名称或IP地址。默认情况下，当用户选中此选项时，所显示的计算机名将是运行该工具的本地计算机。 2）多台计算机。如果用户选择选取多台计算机进行扫描时，你将有机会扫描多台计算机，还可以选择通过输入域名扫描整个域，还可以指定一个IP地址范围并扫描该范围内的所有基于Windows的计算机。,6.2 操作系统安全评测,近年来，随着计算机和互联网技术的高速发展，对网络及信息安全的需求越来越迫切，计算机操作系统是网络信息系统的核心，其安全性占据着十分重要的地位，受到了越来越多的关注。为判断一个操作系统是否安全，人们划分了操作系统的安全级别。由国际专门机构根

23、据操作系统的安全程度对操作系统进行严格的评测和认定。,6.2 操作系统安全评测,美国国家计算机中心于1983年发表了著名的“可信任计算机标准评价准则”（Trusted Computer Standards Evaluation Criteria，简称TCSEC），指出了可信任计算机系统的六项基本需求，其中四项涉及信息的访问控制，两项涉及安全保障。,6.2 操作系统安全评测,该六项基本需求为： 1）安全策略。系统必须提供一个明确和良好定义的安全策略。对于识别出的主体和客体，系统必须有一个规则集决定指定的主体是否能访问指定的客体。计算机系统必须实施强制访问控制，有效地实现对敏感信息（如分级信息等）

24、访问规则的处理。此外，还需建立自主访问控制机制，确保只有选中的用户或组才能访问指定数据。 2）标记。访问控制标签必须与对应的客体相联系。为了控制对存储在计算机中信息的访问，必须按强制访问控制规则，合理地为每个客体加一个标签，可靠地标识该对象的敏感级别，以及与可能访问该客体的主体相符的访问方式。 3）标识。每个主体都必须被标识。每次访问信息，都必须确定是谁在访问，以及授权访问信息的级别。身份和授权信息必须由计算机系统安全地维护。,6.2 操作系统安全评测,该六项基本需求为： 4）审计。必须记录和保存审计信息，以便在影响安全的行为发生时，能追踪到责任人。一个可信任的系统必须有能力将与安全有关的事件

25、记录到审计记录中。必须有能力选择所记录的审计事件，减少审计开销。必须保护审计数据，以免遭到修改、破坏或非法访问。 5）保证。计算机系统软件机制，能提供充分的保证正确实施以上必须包含硬件项基本需求。这些机制在典型情况下，被嵌入在操作系统中，并被设计成以安全方式执行所赋予的任务。 6）持续保护。实现这些基本需求的可信任机制必须得到持续保护，避免篡改和非授权改变。如果实现安全策略的基本硬件和软件机制本身受到非授权的修改或破坏，则这样的计算机系统不能被认为是真正安全的。持续保护需要在整个计算机系统生命周期中均有意义。,6.2 操作系统安全评测,6.2.1 可信系统评价标准（TCSEC） TCSEC标准

26、将计算机系统的安全性分为以下四个等级（A、B、C、D）八个级别，其结构如下图所示。,图6.3 TCSEC的构成与等级结构,6.2 操作系统安全评测,6.2.2 操作系统评测框架 好的安全策略模型要满足四条重要的标准：完备性(completeness)、正确性(correctness)、一致性(consistency)和清晰性(clarity)。 1）完备性：如果COMPUSEC策略中所有相关的断言都在安全策略模型的安全定义中得以重申，那么我们就说它是完备的。可以通过安全策略模型与COMPUSEC策略之间的映射来证明完备性。映射必须是双向的，举例来说，所有的断言都必须包括在安全策略模型中(包括上

27、面提到的可能得意外遗漏)，并且所有的被包括的断言都必须来源于COMPUSEC策略。 2）正确性：如果安全策略模型的安全定义准确地陈述了所有来源于COMPUSEC策略的安全相关断言，那么我们就说它是正确的。正确性是最难也是最重要的标准。完备性与正确性之间的差别在于，对于前者所有的断言都必须被包括进来，而对于后者它们都必须正确地重新叙述，完备性可以协商，而正确性则是不容协商的。,6.2 操作系统安全评测,6.2.2 操作系统评测框架 3）一致性：如果安全策略模型中没有数学冲突，那么它就是一致的。一个自动工具可以帮助检查它的一致性。开发者应该保证使用的形式化符号的一致性，举例来说，在整个模型中，NU

28、LL集应该表达一致。 4）清晰性：如果安全策略模型简单而没有无关的细节，那么它就是清晰的。然而为了保证安全策略模型不模糊，它又必须包括足够的细节。一个清晰的规范能够使保证论据的建立简单化。对于复杂的安全断言，清晰性特别重要。而开发者、用户、评测员在安全评测上达成一致又是至关重要的。,6.2 操作系统安全评测,6.2.3 基本功能评测 基本功能测评包括 自主访问控制 强制访问控制 安全审计 用户标识与签别 可信路径 数据机密性和完整性 渗透测试及隐通道分析测评,本章小结,操作系统安全评价测度是安全操作系统实现的一个极为重要的环节，信息技术发达的一些国家对此进行了长期深入的研究，形成了一些对实践具

29、有重要指导意义的原则和方法。本章主要对windows操作系统的漏洞扫描方法和评测操作系统安全的标准和方法进行了详细的描述。,实验: Win2003管理员密码的破解,【背景知识】 暴力口令破解方法是使用字母、数字和字符的随机组合反复进行试探性访问。暴力攻击程序通过设置一定的范围和规则反复访问服务器来破解一台服务器或数据文件（从理论上可以破解所有口令）。 字典口令破解方法通过查询一个“字典文件”来尝试破译口令，“字典文件”文件包括一个很长的单词列表，字典攻击可以利用重复的登录或者收集加密的口令，并且试图同字典中的单词匹配，只要口令包含在字典中，就可以进行破解。所以，攻击的结果基于字典的强度，一个有经验的攻击者能通常在攻击之前针对受害者的名字、生日、电话号码、门牌号码、身份证号码中的几位生成相应的字典，这样破解效率更高。字典口令破解方法是最常用的口令破解方法。 应对口令破解的方法是：使用强密码（10位以上，夹杂有数字