計(jì)算機(jī)網(wǎng)絡(luò)安全與管理：第20講 Windows系統(tǒng)安全管理

計(jì)算機(jī)網(wǎng)絡(luò)安全管理

20Windows系統(tǒng)安全管理WindowsandWindowsVistaSecurityWindows是當(dāng)前世界上最流行的O/S好處在于能夠?yàn)榘偃f計(jì)的無技術(shù)基礎(chǔ)的用戶提供一定的安全保障問題在于出現(xiàn)問題也可能影響百萬計(jì)的用戶這里會(huì)回顧一些以前的windows安全問題（2000）之后的安全防御被內(nèi)嵌在windows之內(nèi)WindowsSecurityArchitectureSecurityReferenceMonitor(SRM)一個(gè)內(nèi)核模式的組件，可以檢查訪問權(quán)限生成監(jiān)控日志，操作用戶權(quán)限

LocalSecurityAuthority(LSA)負(fù)責(zé)本地安全策略的執(zhí)行l(wèi)sass.exeSecurityAccountManager(SAM)存儲(chǔ)用戶帳戶與本地用戶和組的安全信息本地登錄時(shí)執(zhí)行對(duì)SAMDB的查找使用MD4存儲(chǔ)密鑰Vista中SAM使用一個(gè)基于口令的派生功能apassword-basedkeyderivationfunction保留口令信息WindowsSecurityArchitectureActiveDirectory(AD)Microsoft’sLDAP目錄Winows使用AD進(jìn)行安全操作當(dāng)用戶通過域而不是本地形式訪問時(shí)驗(yàn)證用戶的機(jī)密信息通過安全途徑傳送并驗(yàn)證WinLogon(本地)和NetLogon(網(wǎng)絡(luò))處理登陸請(qǐng)求LocalvsDomainAccounts一個(gè)網(wǎng)絡(luò)上的windows可以是:domain加入可以通過域或者本地形式登陸如果是本地登陸可能不能訪問一些資源中心的管理并具有更好的安全性workgroup一個(gè)互聯(lián)的計(jì)算機(jī)集合只能使用SAM中的本地帳戶沒有相關(guān)的ADdomain支持WindowsLoginExample域管理員添加用戶信息(name,account,password,groups,privileges)賬戶表現(xiàn)為一個(gè)SecurityID(SID)在一個(gè)域終是唯一的形如:S-1–5–21-AAA-BBB-CCC-RRR用戶名有兩種形式:SAM格式:DOMAIN\UsernameUserPrincipalName(UPN):username@可使用username&password或者smartcard登陸與token(SID,groups,privileges)聯(lián)系指定了用戶與相應(yīng)的每個(gè)進(jìn)程WindowsPrivileges系統(tǒng)性的指派給用戶e.g.備份computer,or改變systemtime有些被認(rèn)為是“危險(xiǎn)”:表現(xiàn)為操作系統(tǒng)的一部分TrustedComputingBase(TCB)privilege程序調(diào)試權(quán)限備份文件與目錄權(quán)限有些是友好的像旁路遍歷檢查權(quán)限bypasstraversecheckingAccessControlLists兩種形式的(ACL):自由選定的DiscretionaryACL(DACL)授權(quán)或拒絕訪問被保護(hù)的資源例如文件，內(nèi)存系統(tǒng)SystemACL(ACL)用于監(jiān)控與Vista中強(qiáng)制的完整性策略AccessControlLists被保護(hù)的對(duì)象被指派相應(yīng)的ACL包括SID訪問控制實(shí)體列表listofaccesscontrolentries(ACEs)每個(gè)ACE包含SID&accessmaskaccessmask可以包含:read,write,create,delete,modify,etcaccessmasks是object-typespecifice.g.service的能力是create,enumerateSecurityDescriptor(SD)數(shù)據(jù)類型包含,DACL,&SACLe.g.Owner:CORP\BlakeACE[0]:AllowCORP\PaigeFullControlACE[1]:AllowAdministratorsFullControlACE[2]:AllowCORP\CherylRead,WriteandDeletehavenoimpliedaccess,如果沒有正在請(qǐng)求訪問者的ACE則拒絕訪問applicationsmustrequestcorrecttypeofacces應(yīng)用程序必須請(qǐng)求正確的訪問控制類型MoreSD’s&AccessChecks每個(gè)DACL中的ACE確定了相應(yīng)的訪問ACE可是允許也可以是拒絕ACEWindows評(píng)估每一條ACE知道訪問被明確允許或拒絕denyACEs在allowACEs之前在GUI下默認(rèn)explicitlyorderifcreateprogrammatically當(dāng)用戶訪問被保護(hù)對(duì)象時(shí)操作系統(tǒng)執(zhí)行檢查對(duì)比user/groupACL中的ACE’sImpersonation進(jìn)程可以有多個(gè)線程通常對(duì)于用戶與服務(wù)器impersonation允許服務(wù)器服務(wù)用戶使用其權(quán)限e.g.ImpersonateNamedPipeClientfunction在當(dāng)前線程上設(shè)置用戶的令牌thenaccesschecksforthatthreadareperformedagainstthistokennotserver’swithuser’saccessrightsMandatoryAccessControlWindowsVista中有完整性控制限制操作改變對(duì)象對(duì)象與原則被標(biāo)記(usingSID)as:Lowintegrity(S-1-16-4096)Mediumintegrity(S-1-16-8192)Highintegrity(S-1-16-12288)Systemintegrity(S-1-16-16384)當(dāng)寫入操作時(shí)要檢查完整性域與級(jí)別多數(shù)使用中高級(jí)別VistaUserAccountWindows弱點(diǎn)Windows,有bugBug被利用泄密Microsoft利用SecurityDevelopmentLifecycle改進(jìn)減少50%bugsWindowsVista完全使用SDLIISv6(inWindowsServer2003)4年只發(fā)現(xiàn)3個(gè)弱點(diǎn)WindowsSecurityDefenses現(xiàn)在的攻擊者不再僅僅是年輕，無政府主義，很多時(shí)候動(dòng)機(jī)來自金錢,有如下領(lǐng)域的防御:accountdefensesnetworkdefensesbufferoverrundefenses.browserdefensesWindows系統(tǒng)加固支持防御的進(jìn)程,減少暴漏的功能,屏蔽屬性用以減少攻擊表面使用

80/20規(guī)則并不總能達(dá)到e.g.requiringRPCauthenticationinXPSP2e.g.stripmobilecodesupportonserversservers更容易加固:被用于受控的特定目的服務(wù)器用戶相對(duì)于普通用戶與有更好的配置能力AccountDefenses用戶帳戶可以具有特權(quán)SIDs最小特權(quán)規(guī)定用戶操作剛夠任務(wù)的權(quán)限WindowsXP本地管理員中的用戶

為了應(yīng)用程序兼容性可以使用“SecondaryLogon”運(yùn)行程序also受限制的令牌減少每線程的特權(quán)WindowsVistareversesdefaultwithUAC用戶被提示特權(quán)操作除了服務(wù)器上的管理員LowPrivilegeServiceAccountsWindowsservices在啟動(dòng)后是“

long-lived”processes許多以提高的特權(quán)運(yùn)行但許多并沒有這樣對(duì)“提升”的需求WindowsXPaddedLocalServiceandNetworkserviceaccounts允許服務(wù)

local或

network訪問權(quán)限其他的則使用較低的特權(quán)WindowsXPSP2splitRPCservice(RPCSS)intwo(RPCSSandDCOMServerProcess)實(shí)踐中的最小化特權(quán)例子,seealsoIIS6StrippingPrivileges

另一種防御在應(yīng)用程序啟動(dòng)后剝離賬戶的特權(quán)e.g.Indexserverprocessrunsassystemtoaccessalldiskvolumes之后立即盡快剝離了不必要的特權(quán)使用

AdjustTokenPrivilegesWindowsVista可以詳細(xì)定義服務(wù)的特權(quán)usingChangeServiceConfig2NetworkDefenses比用戶防御的要求更多經(jīng)由網(wǎng)絡(luò)攻擊脆弱點(diǎn)haveIPSecandIPv6withauthenticatednetworkpacketsenabledbydefaultinWindowsVistaIPv4alsoenabledbydefault,expectlessusehavebuilt-insoftwarefirewallblockinboundconnectionsonspecificportsVistacanallowlocalnetaccessonlyoptionallyblockoutboundconnections(Vista)defaultwasoff(XP)butnowdefaulton(Vista)BufferOverrunDefenses許多的破壞利用bufferoverruns進(jìn)行WindowsVistahas“Stack-BasedBufferOverrunDetection(/GS)”defaultenabled源代碼加上/GSoption編譯并不影響所有的函數(shù);onlythosewithatleast4-bytesofcontiguousstackdataandthattakesapointerorbufferasanargumentdefendsagainst“classicstacksmash”WindowsStackand/GSflagBufferOverrunDefensesNoeXecuteNamed(NX)/DataExecutionPrevention(DEP)/eXecutionDisable(XD)阻止代碼在數(shù)據(jù)段執(zhí)行通常被用于Buffer超限應(yīng)用程序使用/NXCOMPAToptionStackRandomization(Vistaonly)隨機(jī)化?；刂稨eap-based棧越界防御:

在每個(gè)堆數(shù)據(jù)上加入并檢查隨機(jī)值heap完整性檢驗(yàn)heap隨機(jī)化

(Vistaonly)OtherDefensesImageRandomizationO/Sbootsinoneof256configurations使

O/S對(duì)于攻擊者更加不可測(cè)Service重啟策略services失敗后可以配置重啟可靠性好但喪失了安全性Vista設(shè)置某些關(guān)鍵服務(wù)只能自動(dòng)重啟兩次，之后需要手動(dòng)只給攻擊者兩次機(jī)會(huì)BrowserDefenseswebbrowser是攻擊的關(guān)鍵點(diǎn)經(jīng)由scriptcode,graphics,helperobjectsMicrosoft對(duì)IE7添加了許多保護(hù)ActiveXopt-inunloadsActiveXcontrolsbydefault首次運(yùn)行需要用戶同意保護(hù)模式IErunsatlowintegritylevel(seeearlier)使惡意軟件更艱難易操作O/SCryptographicServiceslow-levelcryptoforencryption,hashing,signingEncryptingFileSystem(EFS)allowsfiles/directoriestobeencrypted/decryptedtransparentlyforauthorizedusersgeneratesrandomkey,protectedbyDPAPIDataProtecti