第七章-操作系統(tǒng)安全

第7章操作系統(tǒng)的安全內(nèi)容介紹一、操作系統(tǒng)的安全標準及發(fā)展二、操作系統(tǒng)安全設(shè)計的要求三、常見系統(tǒng)的安全設(shè)計特性介紹四、Windows的安全設(shè)置策略五、作業(yè)Page1一、安全操作系統(tǒng)的研究發(fā)展操作系統(tǒng)的安全性在計算機信息系統(tǒng)的整體安全性中具有至關(guān)重要的作用沒有操作系統(tǒng)提供的安全性，信息系統(tǒng)的安全性是沒有基礎(chǔ)的1.1標準的發(fā)展1.2應(yīng)用的研究Page21.1（操作系統(tǒng)）國際安全評價標準的發(fā)展及其聯(lián)系Page3國際安全評價標準的發(fā)展及其聯(lián)系Page4國際安全評價標準的發(fā)展及其聯(lián)系類別級別名稱主要特征DD低級保護沒有安全保護CC1自主安全保護自主存儲控制C2受控存儲控制單獨的可查性，安全標識BB1標識的安全保護強制存取控制，安全標識B2結(jié)構(gòu)化保護面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗證設(shè)計形式化的最高級描述和驗證Page5安全級別列表各級的代表系統(tǒng)：Page6各級的具體講解：D級是最低的安全級別，擁有這個級別的操作系統(tǒng)是完全不可信任的。對于硬件來說，是沒有任何保護措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。Page7國際安全評價標準的發(fā)展及其聯(lián)系C1是C類的一個安全子級。這種級別的系統(tǒng)對硬件有某種程度的保護，如用戶擁有注冊賬號和口令，系統(tǒng)通過賬號和口令來識別用戶是否合法，并決定用戶對程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對文件和目標的訪問權(quán)。文件的擁有者和超級用戶可以改變文件的訪問屬性，從而對不同的用戶授予不通的訪問權(quán)限。Page8國際安全評價標準的發(fā)展及其聯(lián)系使用附加身份驗證就可以讓一個C2級系統(tǒng)用戶在不是超級用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級使系統(tǒng)管理員能夠給用戶分組，授予他們訪問某些程序的權(quán)限或訪問特定的目錄。Page9國際安全評價標準的發(fā)展及其聯(lián)系B級中有三個級別，B1級即標志安全保護（LabeledSecurityProtection），是支持多級安全（例如：秘密和絕密）的第一個級別，這個級別說明處于強制性訪問控制之下的對象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限Page10國際安全評價標準的發(fā)展及其聯(lián)系B2級，又叫結(jié)構(gòu)保護級別（StructuredProtection），它要求計算機系統(tǒng)中所有的對象都要加上標簽，而且給設(shè)備（磁盤、磁帶和終端）分配單個或者多個安全級別Page11國際安全評價標準的發(fā)展及其聯(lián)系B3級，又叫做安全域級別（SecurityDomain），使用安裝硬件的方式來加強域的安全，例如，內(nèi)存管理硬件用于保護安全域免遭無授權(quán)訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統(tǒng)上Page12國際安全評價標準的發(fā)展及其聯(lián)系A(chǔ)級，又稱驗證設(shè)計級別（VerifiedDesign），是當前橙皮書的最高級別，它包含了一個嚴格的設(shè)計、控制和驗證過程。該級別包含了較低級別的所有的安全特性設(shè)計必須從數(shù)學角度上進行驗證，而且必須進行秘密通道和可信任分布分析?？尚湃畏植迹═rustedDistribution）的含義是：硬件和軟件在物理傳輸過程中已經(jīng)受到保護，以防止破壞安全系統(tǒng)Page13我國安全標準簡介用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級它的安全保護機制使用戶具備自主安全保護的能力，保護用戶的信息免受非法的讀寫破壞。Page14我國安全標準簡介用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級除具備第一級所有的安全保護功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有的用戶對自己的行為的合法性負責。Page15我國安全標準簡介用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級除繼承前一個級別的安全功能外，還要求以訪問對象標記的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制保護Page16我國安全標準簡介用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級在繼承前面安全級別安全功能的基礎(chǔ)上，將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分直接控制訪問者對訪問對象的存取，從而加強系統(tǒng)的抗?jié)B透能力Page17我國安全標準簡介用戶自主保護級系統(tǒng)審計保護級安全標記保護級結(jié)構(gòu)化保護級訪問驗證保護級這一個級別特別增設(shè)了訪問驗證功能，負責仲裁訪問者對訪問對象的所有訪問活動Page18國外安全操作系統(tǒng)的發(fā)展1965年美國貝爾實驗室和麻省理工學院的MAC課題組等一起聯(lián)合開發(fā)一個稱為Multics的新操作系統(tǒng)，其目標是要向大的用戶團體提供對計算機的并發(fā)訪問，支持強大的計算能力和數(shù)據(jù)存儲，并具有很高的安全性。貝爾實驗室中后來參加UNIX早期研究的許多人當時都參加了Multics的開發(fā)工作。由于Multics項目目標的理想性和開發(fā)中所遇到的遠超預期的復雜性使得結(jié)果不是很理想。事實上連他們自己也不清楚什么時候，開發(fā)到什么程度才算達到設(shè)計的目標。雖然Multics未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的第一步，Multics為后來的安全操作系統(tǒng)研究積累了大量的經(jīng)驗。Adept-50是一個分時安全操作系統(tǒng)，可以實際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的研究成果。安全Adept-50運行于IBM/360硬件平臺，它以一個形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎(chǔ)，實現(xiàn)了美國的一個軍事安全系統(tǒng)模型，為給定的安全問題提供了一個比較形式化的解決方案。在該系統(tǒng)中可以為客體標上敏感級別（SensitivityLevel）屬性。系統(tǒng)支持的基本安全條件是，對于讀操作不允許信息的敏感級別高于用戶的安全級別（Clearance）；在授權(quán)情況下，對于寫操作允許信息從高敏感級別移向低敏感級別。1969年B.W.Lampson通過形式化表示方法運用主體（Subject）、客體（Object）和訪問矩陣（AccessMatrix）的思想第一次對訪問控制問題進行了抽象。1972年，J.P.Anderson在一份研究報告中提出了訪問監(jiān)控器（ReferenceMonitor）、引用驗證機制（ReferenceValidationMechanism）、安全內(nèi)核（SecurityKernel）和安全建模等重要思想。LINVSⅣ是1984年開發(fā)的基于UNIX的一個實驗安全操作系統(tǒng)，系統(tǒng)的安全性可達到美國國防部橘皮書的B2級。它以4.1BSDUnix為原型，實現(xiàn)了身份鑒別、自主訪問控制、強制訪問控制、安全審計、特權(quán)用戶權(quán)限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)的一個安全操作系統(tǒng)，它最初是在IBMPC/AT平臺上實現(xiàn)的。SecureXenix對Xenix進行了大量的改造開發(fā)，并采用了一些形式化說明與驗證技術(shù)。它的目標是TCSEC的B2到A1級。1987年，美國TrustedInformationSystems公司以Mach操作系統(tǒng)為基礎(chǔ)開發(fā)了B3級的Tmach（TrustedMach）操作系統(tǒng)。除了進行用戶標識和鑒別及命名客體的存取控制外，它將BLP模型加以改進，運用到對MACH核心的端口、存儲對象等的管理當中。通過對端口間的消息傳送進行控制和對端口、存儲對象、任務(wù)等的安全標識來加強微核心的安全機制。1989年，加拿大多倫多大學開發(fā)了與UNIX兼容的安全TUNIS操作系統(tǒng)。1.2安全操作系統(tǒng)的研究歷程Page19國外安全操作系統(tǒng)的發(fā)展ASOS（ArmySecureOperatingSystem）是針對美軍的戰(zhàn)術(shù)需要而設(shè)計的軍用安全操作系統(tǒng)，由TRW公司1990年發(fā)布完成。ASOS由兩類系統(tǒng)組成，其中一類是多級安全操作系統(tǒng)，設(shè)計目標是TCSEC的A1級；另一類是專用安全操作系統(tǒng)，設(shè)計目標是TCSEC的C2級。兩類系統(tǒng)都支持Ada語言編寫的實時戰(zhàn)術(shù)應(yīng)用程序，都能根據(jù)不同的戰(zhàn)術(shù)應(yīng)用需求進行配置，都可以很容易地在不同硬件平臺間移植，兩類系統(tǒng)還提供了一致的用戶界面。OSF/1是開放軟件基金會于1990年推出的一個安全操作系統(tǒng)，被美國國家計算機安全中心（NCSC）認可為符合TCSEC的B1級，其主要安全性表現(xiàn)4個方面：⑴系統(tǒng)標識；⑵口令管理；⑶強制存取控制和自主存取控制；⑷審計。UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個安全操作系統(tǒng)，被美國國家計算機安全中心（NCSC）認可為符合TCSEC的B2級，除OSF/1外的安全性主要表現(xiàn)在4個方面：⑴更全面的存取控制；⑵最小特權(quán)管理；⑶可信通路；⑷隱蔽通道分析和處理。在1992到1993年之間，美國國家安全局（NSA）和安全計算公司（SCC）的研究人員在TMach項目和LOCK項目的基礎(chǔ)上，共同設(shè)計和實現(xiàn)了分布式可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項目的后繼項目是分布式可信操作系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項目改良了早期的設(shè)計和實現(xiàn)工作，產(chǎn)生了一些供大學研究的原型系統(tǒng)，例如SecureTransactionalResources、DX等。2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)上實現(xiàn)，并且不同尋常地向開放源碼社區(qū)發(fā)布了一個安全性增強型版本的Linux（SELinux）－－包括代碼和所有文檔。與傳統(tǒng)的基于TCSEC標準的開發(fā)方法不同，1997年美國國家安全局和安全計算公司完成的DTOS安全操作系統(tǒng)采用了基于安全威脅的開發(fā)方法。設(shè)計目標包括3個方面：（1）策略靈活性：DTOS內(nèi)核應(yīng)該能夠支持一系列的安全策略，包括諸如國防部的強制存取控制多級安全策略；（2）與Mach兼容，現(xiàn)有的Mach應(yīng)用應(yīng)能在不做任何改變的情況下運行；（3）性能應(yīng)與Mach接近。Page20國內(nèi)安全操作系統(tǒng)的發(fā)展1990年前后，海軍計算技術(shù)研究所和解放軍電子技術(shù)學院分別開始了安全操作系統(tǒng)技術(shù)方面的探討，他們都是參照美國TCSEC標準的B2級安全要求，基于UNIXSystemV3.2進行安全操作系統(tǒng)的研究與開發(fā)。1993年，海軍計算技術(shù)研究所繼續(xù)按照美國TCSEC標準的B2級安全要求，圍繞UnixSVR4.2/SE，實現(xiàn)了國產(chǎn)自主的安全增強包。1995年，在國家“八五”科技攻關(guān)項目――“COSA國產(chǎn)系統(tǒng)軟件平臺”中，圍繞UNIX類國產(chǎn)操作系統(tǒng)COSIXV2.0的安全子系統(tǒng)的設(shè)計與實現(xiàn)，中國計算機軟件與技術(shù)服務(wù)總公司、海軍計算技術(shù)研究所和中國科學院軟件研究所一起參與了研究工作。COSIXV2.0安全子系統(tǒng)的設(shè)計目標是介于美國TCSEC的B1和B2級安全要求之間，當時定義為B1＋，主要實現(xiàn)的安全功能包括安全登錄、自主訪問控制、強制訪問控制、特權(quán)管理、安全審計和可信通路等。1996年，由中國國防科學技術(shù)工業(yè)委員會發(fā)布了軍用計算機安全評估準則GJB2646－96（一般簡稱為軍標），它與美國TCSEC基本一致。1998年，電子工業(yè)部十五所基于UnixWareV2.1按照美國TCSEC標準的B1級安全要求，對Unix操作系統(tǒng)的內(nèi)核進行了安全性增強。1999年10月19日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標準GB17859－1999《計算機信息系統(tǒng)安全保護等級劃分準則》，為計算機信息系統(tǒng)安全保護能力劃分了等級。該標準已于2001年起強制執(zhí)行。Linux自由軟件的廣泛流行對我國安全操作系統(tǒng)的研究與開發(fā)具有積極的推進作用。2001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于Linux的安全操作系統(tǒng)開發(fā)成果。中國科學院信息安全技術(shù)工程研究中心基于Linux資源，開發(fā)完成了符合我國GB17859－1999第三級（相當于美國TCSECB1）安全要求的安全操作系統(tǒng)SecLinux。SecLinux系統(tǒng)提供了身份標識與鑒別、自主訪問控制、強制訪問控制、最小特權(quán)管理、安全審計、可信通路、密碼服務(wù)、網(wǎng)絡(luò)安全服務(wù)等方面的安全功能。依托南京大學的江蘇南大蘇富特軟件股份有限公司開發(fā)完成了基于Linux的安全操作系統(tǒng)SoftOS，實現(xiàn)的安全功能包括：強制訪問控制、審計、禁止客體重用、入侵檢測等。信息產(chǎn)業(yè)部30所控股的三零盛安公司推出的強林Linux安全操作系統(tǒng)，達到了我國GB17859－1999第三級的安全要求。中國科學院軟件所開放系統(tǒng)與中文處理中心基于紅旗Linux操作系統(tǒng)，實現(xiàn)了符合我國GB17859－1999第三級要求的安全功能。中國計算機軟件與技術(shù)服務(wù)總公司以美國TCSEC標準的B1級為安全目標，對其COSIXV2.0進行了安全性增強改造。此外，國防科技大學、總參56所等其他單位也開展了安全操作系統(tǒng)的研究與開發(fā)工作。2001年3月8日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標準GB/T18336－2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》，它基本上等同采用了國際通用安全評價準則CC。該標準已于2001年12月1日起推薦執(zhí)行，這將對我國安全操作系統(tǒng)研究與開發(fā)產(chǎn)生進一步的影響。Page21二、操作系統(tǒng)安全的基本要求與機制什么是操作系統(tǒng)？操作系統(tǒng)的基本功能有哪些？從安全的角度上看，操作系統(tǒng)應(yīng)當提供哪些安全服務(wù)？操作系統(tǒng)安全的主要目標按系統(tǒng)安全策略對用戶的操作進行訪問控制，防止用戶對計算機資源的非法使用包括竊取、篡改和破壞標識系統(tǒng)中的用戶，并對身份進行鑒別監(jiān)督系統(tǒng)運行的安全性保證系統(tǒng)自身的安全性和完整性內(nèi)存保護文件保護普通實體保護存取鑒別等Page22操作系統(tǒng)的安全機制安全機制：是一種技術(shù)、一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程標識與鑒別機制信任的功能性事件檢測審計跟蹤安全恢復2.1標識與鑒別機制2.2訪問控制2.2最小特權(quán)管理2.3可信通路2.4安全審計機制2.5存儲保護、運行保護和I/O保護Page23

2.1標識與鑒別機制（身份認證）標識：用戶要向系統(tǒng)表明的身份用戶名、登錄ID、身份證號或智能卡應(yīng)當具有唯一性不能被偽造鑒別，對用戶所宣稱的身份標識的有效性進行校驗和測試的過程Page24用戶聲明自己身份的4種方法證實自己所知道的例如密碼、身份證號碼、最喜歡的歌手、最愛的人的名字等等出示自己所擁有的例如智能卡證明自己是誰例如指紋、語音波紋、視網(wǎng)膜樣本、照片、面部特征掃描等等表現(xiàn)自己的動作例如簽名、鍵入密碼的速度與力量、語速等等Page252.2訪問控制訪問控制用來提供授權(quán)用戶在通過身份鑒別后，還需要通過授權(quán)，才能訪問資源或進行操作使用訪問控制機制的目的保護存儲在計算機上的個人信息保護重要信息的機密性維護計算機內(nèi)信息的完整性減少病毒感染機會，從而延緩這種感染的傳播保證系統(tǒng)的安全性和有效性，以免受到偶然的和蓄意的侵犯Page26訪問控制機制的實行確定要保護的資源授權(quán)確定訪問權(quán)限實施訪問權(quán)限Page27系統(tǒng)內(nèi)主體對客體的訪問控制機制自主訪問控制強制訪問控制基于角色的訪問控制Page28在文件和目錄中常用的幾種訪問模式對文件設(shè)置的訪問模式讀拷貝（Read－copy）與單純的讀？？寫刪除（Write－delete）不同的系統(tǒng)可能有不同的寫模式，或復雜的組合（更細致）

寫附加、刪除、寫修改等執(zhí)行（Execute）通常需要同時具備讀權(quán)限無效（Null）：對客體不具備任何訪問權(quán)限Page29考慮目錄對目錄及和目錄相對應(yīng)的文件的訪問操作對目錄而不對文件實施訪問控制對文件而不對目錄實施訪問控制對目錄及文件都實施訪問控制（最好）對目錄的訪問模式讀寫擴展（write－expand）更細的：讀狀態(tài)、修改、附加Page302.3最小特權(quán)管理超級用戶VS.普通用戶主流多用戶操作系統(tǒng)中，超級用戶一般具有所有特權(quán)，而普通用戶不具有任何特權(quán)威脅：超級用戶口令丟失；被冒充；誤操作解決方法：實行最小特權(quán)管理原則參考：http:///developerworks/cn/security/se-limited/Page31橘皮書關(guān)于最小特權(quán)的定義：要求賦予系統(tǒng)中每個使用者執(zhí)行授權(quán)任務(wù)所需的限制性最強的一組特權(quán)，即最低許可這個原則的應(yīng)用將限制因意外、錯誤或未經(jīng)授權(quán)使用而造成的損害Page32最小特權(quán)原則：必不可少的特權(quán)充分性：保證所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作必要性：在充分的前提下加以限制基本思想和出發(fā)點：系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)一種可能的方案：將特權(quán)用戶的特權(quán)加以劃分，形成一組細粒度的特權(quán)Page33最小特權(quán)舉例1在系統(tǒng)中定義系統(tǒng)安全管理員審計員操作員安全操作員網(wǎng)絡(luò)管理員任何一個用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略為了保證系統(tǒng)的安全性，不應(yīng)賦予某人一個以上的職責Page34系統(tǒng)安全管理員對系統(tǒng)資源和應(yīng)用定義安全級限制隱蔽通道活動的機制定義用戶和自主訪問控制的組為所有用戶賦予安全級審計員設(shè)置審計參數(shù)修改和刪除審計系統(tǒng)產(chǎn)生的原始審計信息控制審計歸檔Page35操作員啟動和停止系統(tǒng)，以及完成磁盤一致性檢查等格式化新的存儲介質(zhì)設(shè)置終端參數(shù)允許或不允許登錄，但不能改變口令、用戶的安全紀和其他有關(guān)安全的登錄參數(shù)產(chǎn)生原始的系統(tǒng)記賬數(shù)據(jù)Page36安全操作員：完成安全相關(guān)的日常例行活動；相當于具有特權(quán)能力的操作員。完成操作員的所有責任例行的備份和恢復安裝和拆卸可安裝介質(zhì)Page37網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)軟件，如TCP/IP設(shè)置BUN文件，允許使用Uucp，Uuto等進行網(wǎng)絡(luò)通信設(shè)置與連接服務(wù)器、CRI認證機構(gòu)、ID映射機構(gòu)、地址映射機構(gòu)和網(wǎng)絡(luò)選擇有關(guān)的管理文件啟動和停止RFS，通過RFS共享和安裝資源啟動和停止NFS，通過NFS共享和安裝資源Page38最小特權(quán)舉例2CAP_SETPLEVELCAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN將系統(tǒng)中能進行敏感操作的能力分成26個特權(quán)CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIR由一些特權(quán)用戶分別掌握這些特權(quán)，哪一個特權(quán)用戶都不能獨立完成所有的敏感操作Page39常見的最小特權(quán)管理機制基于文件的特權(quán)機制基于進程的特權(quán)機制目前幾種安全OS的最小特權(quán)管理機制惠普的Presidum/VirtualVault根功能分成42中獨立的特權(quán)最小特權(quán)是惠普可信賴OSVirtualVault的基本特性紅旗安全操作系統(tǒng)RFSOS一個管理角色不擁有另一個管理角色的特權(quán)，攻擊者破獲某個管理角色口令時，不會得到對系統(tǒng)的完全控制Page40SELinux系統(tǒng)中不再有超級用戶，而被分解避免了超級用戶的誤操作或其身份被假冒而帶來的安全隱患Page412.4可信通路可信通路是用戶能夠借以同可信計算基通信的一種機制能夠保證用戶確定是和安全核心通信防止不可信進程如特洛伊木馬等模擬系統(tǒng)的登錄過程而竊取用戶的口令最簡單的辦法：給每個用戶兩臺終端一臺用于處理日常工作；

一臺專門用于和內(nèi)核的硬連接昂貴另一種方法：使用通用終端，通過發(fā)信號給核心不可信軟件不能攔截、覆蓋或偽造的信號安全注意鍵Page42Linux的安全注意鍵在x86平臺上是<Alt>+<Ctrl>+<SYSRq)Page432.5安全審計機制審計是一種事后分析法，一般通過對日志的分析來完成日志：記錄的事件或統(tǒng)計數(shù)據(jù)提供關(guān)于系統(tǒng)使用及性能方面的信息審計：對日志記錄進行分析以清晰的、能理解的方式表述系統(tǒng)信息安全審計：對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查及審核認定違反安全規(guī)則的行為Page44審計機制的主要作用主要作用能詳細記錄與系統(tǒng)安全有關(guān)的行為，并對這些行為進行分析，發(fā)現(xiàn)系統(tǒng)中的不安全因素，保障系統(tǒng)安全能夠?qū)`反安全規(guī)則的行為或企圖提供證據(jù)，幫助追查違規(guī)行為發(fā)生的地點、過程以及對應(yīng)的主體對于已受攻擊的系統(tǒng)，可以提供信息幫助進行損失評估和系統(tǒng)恢復安全操作系統(tǒng)一般都要求采用審計機制來監(jiān)視與安全相關(guān)的活動橘皮書中有明確要求Page452.5.1審計事件審計事件是系統(tǒng)審計用戶動作的基本單位通常根據(jù)要審計行為的不同性質(zhì)加以分類主體：要記錄用戶進行的所有活動客體：要記錄關(guān)于某一客體的所有訪問活動用戶事件標準每個用戶有自己的待審計事件集基本事件集在用戶事件標準中，每個用戶都要審計的公共部分橘皮書從C2級開始要求具有審計功能GB17859-1999從第二級開始就對審計有了明確的要求Page462.5.2審計系統(tǒng)的實現(xiàn)日志記錄器：收集數(shù)據(jù)根據(jù)要審計的審計事件范圍記錄信息輸出：二進制形式，或者可以直接讀取的形式或者直接傳送給數(shù)據(jù)分析機制分析器：分析數(shù)據(jù)輸入：日志分析日志數(shù)據(jù)，使用不同的分析方法來監(jiān)測日志數(shù)據(jù)中的異常行為通告器：通報結(jié)果輸入：分析器的分析結(jié)果把結(jié)果通知系統(tǒng)管理員或其他主體為這些主體提供系統(tǒng)的安全信息輔助他們對系統(tǒng)可能出現(xiàn)的問題進行決策Page47WindowsNT的日志文件系統(tǒng)日志跟蹤各種系統(tǒng)事件記錄由WindowsNT的系統(tǒng)組件產(chǎn)生的事件例如：啟動過程中加載驅(qū)動程序錯誤又如：系統(tǒng)崩潰應(yīng)用程序日志記錄由應(yīng)用程序或系統(tǒng)程序產(chǎn)生的事件例如：應(yīng)用程序產(chǎn)生的狀態(tài)dll失敗又如：應(yīng)用程序的添加安全日志記錄安全相關(guān)的關(guān)鍵安全事件例如：登錄上網(wǎng)/下網(wǎng)，改變訪問權(quán)限，系統(tǒng)啟動和關(guān)閉，與創(chuàng)建/打開/刪除文件等資源使用相關(guān)聯(lián)的事件Page482.6存儲保護、運行保護和I/O保護存儲保護存儲保護需求保護用戶存儲在存儲器中的數(shù)據(jù)保護單元和保護精度：字/字塊/頁面/段單道系統(tǒng)VS多道系統(tǒng)VS多用戶系統(tǒng)存儲器管理和存儲保護之間的關(guān)系存儲基本概念：虛擬地址空間、段內(nèi)存管理的訪問控制：系統(tǒng)段與用戶段基于物理頁號的識別基于描述符的地址解釋機制Page49基于物理頁號的識別每個物理頁號都被加上一個密鑰系統(tǒng)只允許擁有該密鑰的進程訪問該物理頁每個進程分配一個密鑰，裝入進程的狀態(tài)字中每次訪問內(nèi)存時，由硬件對該密鑰進行校驗密鑰：要匹配訪問控制信息（讀寫權(quán)限）要匹配缺點：繁瑣Page50基于描述符的地址解釋機制每個進程有一個“私有”的地址描述符，描述進程對內(nèi)存某頁或某段的訪問模式可以有兩類訪問模式集：用戶狀態(tài)下運行的進程系統(tǒng)模式下運行的進程優(yōu)點：開銷小Page51基于保護環(huán)的運行保護等級域保護機制應(yīng)該保護某一環(huán)不被其外層環(huán)侵入允許在某一環(huán)內(nèi)的進程能夠有效的控制和利用該環(huán)以及該環(huán)以外的環(huán)與進程隔離機制不同在任意時刻，進程可以在任何一個環(huán)內(nèi)運行，并轉(zhuǎn)移到另一個環(huán)。保護進程免遭在同一環(huán)內(nèi)同時運行的其他進程的破壞Page52I/O保護I/O操作一般是特權(quán)操作操作系統(tǒng)對IO操作進行封裝，提供對應(yīng)的系統(tǒng)調(diào)用將設(shè)備看成一個客體，對其應(yīng)用相應(yīng)的訪問控制規(guī)則讀寫兩種針對從處理器到設(shè)備間的路徑Page53三、主流操作系統(tǒng)的安全特性介紹3.1、主流操作系統(tǒng)介紹3.2、各操作系統(tǒng)安全特性原理介紹Page543.1主流操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有三類：UnixLinuxWindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級安全級別的操作系統(tǒng)。但是都存在不少漏洞，如果對這些漏洞不了解，不采取相應(yīng)的措施，就會使操作系統(tǒng)完全暴露給入侵者。Page55UNIX系統(tǒng)UNIX操作系統(tǒng)是由美國貝爾實驗室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個實驗室的產(chǎn)品發(fā)展成為當前使用普遍、影響深遠的主流操作系統(tǒng)。UNIX誕生于20世紀60年代末期，貝爾實驗室的研究人員于1969年開始在GE645計算機上實現(xiàn)一種分時操作系統(tǒng)的雛形，后來該系統(tǒng)被移植到了DEC的PDP-7小型機上。1970年給系統(tǒng)正式取名為Unix操作系統(tǒng)。到1973年，Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。Page56主要特色UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個方面。（1）可靠性高（2）極強的伸縮性（3）網(wǎng)絡(luò)功能強（4）強大的數(shù)據(jù)庫支持功能（5）開放性好Page57Linux系統(tǒng)Linux是一套可以免費使用和自由傳播的類Unix操作系統(tǒng)，主要用于基于Intelx86系列CPU的計算機上。這個系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的Unix兼容產(chǎn)品。Linux最早開始于一位名叫Linus

Torvalds的計算機業(yè)余愛好者，當時他是芬蘭赫爾辛基大學的學生。目的是想設(shè)計一個代替Minix（是由一位名叫AndrewTannebaum的計算機教授編寫的一個操作系統(tǒng)示教程序）的操作系統(tǒng)。這個操作系統(tǒng)可用于386、486或奔騰處理器的個人計算機上，并且具有Unix操作系統(tǒng)的全部功能。Page58Linux是一個免費的操作系統(tǒng)，用戶可以免費獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因為它具有許多優(yōu)點，典型的優(yōu)點有7個。Page59Linux典型的優(yōu)點有7個。（1）完全免費（2）完全兼容POSIX1.0標準（3）多用戶、多任務(wù)（4）良好的界面（5）豐富的網(wǎng)絡(luò)功能（6）可靠的安全、穩(wěn)定性能（7）支持多種平臺Page60Windows系統(tǒng)WindowsNT（NewTechnology）是微軟公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場。WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強大并且安全。Page61WindowsNT系列操作系統(tǒng)WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點。（1）支持多種網(wǎng)絡(luò)協(xié)議由于在網(wǎng)絡(luò)中可能存在多種客戶機，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而這些客戶機可能使用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP協(xié)議、IPX/SPX等。WindowsNT系列操作支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議。（2）內(nèi)置Internet功能隨著Internet的流行和TCP/IP協(xié)議組的標準化，WindowsNT內(nèi)置了IIS（InternetInformationServer），可以使網(wǎng)絡(luò)管理員輕松的配置WWW和FTP等服務(wù)。（3）支持NTFS文件系統(tǒng)Windows9X所使用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時支持FAT和NTFS的磁盤分區(qū)格式。使用NTFS的好處主要是可以提高文件管理的安全性，用戶可以對NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，這樣當多用戶同時訪問系統(tǒng)的時候，可以增加文件的安全性。Page62內(nèi)容介紹IIS安全IE安全Windows系統(tǒng)安全防御Unix/LinuxUnix/Linux帳戶安全Unix/Linux文件系統(tǒng)安全應(yīng)用程序Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows安全策略Windows安全特性Windows文件系統(tǒng)安全3.2、各操作系統(tǒng)安全特性原理介紹Page63Windows安全性需求設(shè)計目標一致的、健壯的、基于對象的安全模型滿足商業(yè)用戶的安全需求一臺機器上多個用戶之間安全地共享資源進程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)安全模型服務(wù)器管理和保護各種對象客戶通過服務(wù)器訪問對象服務(wù)器扮演客戶，訪問對象訪問的結(jié)果返回給服務(wù)器Page64Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page65Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page66Windows系統(tǒng)的安全架構(gòu)WindowsNT/2K的安全包括6個主要的安全元素：審計：Audit管理：Administration加密：Encryption權(quán)限控制：AccessControl用戶認證：UserAuthentication安全策略：CorporateSecurityPolicyPage67Windows系統(tǒng)的安全架構(gòu)WindowsNT/2K系統(tǒng)內(nèi)置支持用戶認證、訪問控制、管理、審核。安全策略：CorporateSecurityPolicy用戶認證：UserAuthentication加密Encryption審計Audit權(quán)限控制AccessControl管理

AdministrationPage68Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page69C2級別操作系統(tǒng)的安全組件

由于Windows是C2級別的操作系統(tǒng)，下面介紹作為C2級別的操作系統(tǒng)中所包含的安全組件：訪問控制的判斷（Discretionaccesscontrol）對象重用（Objectreuse）強制登陸（Mandatorylogon）審核（Auditing）對象的訪問控制（Controlofaccesstoobject）

Page70Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page71組策略ActiveDirectory服務(wù)用戶Windows2000安全模型本地安全策略Kerberos審核日志SRM內(nèi)核MSV1_0NetlogonWindowsNT客戶和服務(wù)器Windows2000客戶和服務(wù)器SAM登錄本地安全授權(quán)（LSA）提供Windows2000目錄服務(wù)和復制。它支持輕量級目錄訪問協(xié)議（LDAP）和數(shù)據(jù)的管理部分Windows2000中默認的身份驗證協(xié)議。它用于Windows2000計算機之間以及支持Kerberos身份驗證的客戶之間的所有身份驗證。安全子系統(tǒng)的中心組件，它促使訪問令牌、管理本地計算機上的安全策略并向用戶登錄提供身份驗證用于WindowsNT身份驗證的身份驗證包。它用于為不支持Kerberos身份驗證的Windows客戶提供兼容支持一個內(nèi)核模式組件，它可以避免任何用戶或進程直接訪問對象而且還可以驗證所有對象訪問，它還生成相應(yīng)的審核消息是本地用戶和工作組的一個數(shù)據(jù)庫，用于對本地用戶的登錄身份進行驗證以及對所有登錄的用戶權(quán)限進行設(shè)置Page72Windows系統(tǒng)的安全架構(gòu)Windows系統(tǒng)的安全架構(gòu)C2級別操作系統(tǒng)的安全組件Windows2000安全模型Windows2000核心安全組件Page73標識鑒別授權(quán)訪問控制審計安全策略賬號指紋視網(wǎng)膜

IC卡證書根據(jù)獲得的標識信息驗證客戶的身份設(shè)置不同對象的訪問權(quán)限（ACL）根據(jù)用戶標識和對象的ACL進行訪問控制對整個過程（標識鑒別、對象授權(quán)、訪問控制）進行審核Windows2000核心安全組件1、chenaifeng2、liweiming3、sunyongjunSAM數(shù)據(jù)庫LSASRMLSAPage74Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page75Windows子系統(tǒng)安全Windows2000安全子系統(tǒng)的工作機理Windows系統(tǒng)的對象Windows系統(tǒng)服務(wù)Windows基本的系統(tǒng)進程Windows安全子系統(tǒng)的組件Windows子系統(tǒng)安全Page76Windows2000安全子系統(tǒng)的工作機理安全引用監(jiān)視器（SRM）1、chenaifeng2、liweiming3、sunyongjunSAM或者AD身份鑒別子系統(tǒng)（LSA）賬戶管理子系統(tǒng)對象授權(quán)管理子系統(tǒng)（LSA）審計子系統(tǒng)（LSA）添加、刪除賬號和組設(shè)置對象的ACL登錄成功獲得訪問令牌采用Kerberos或者NTLM協(xié)議進行認證檢查訪問令牌和被訪問對象的ACL必要時對驗證、授權(quán)過程作日志審核登錄方式：本地、網(wǎng)絡(luò)除賬號標識外還可采用令牌、指紋、視網(wǎng)膜、IC卡等方式根據(jù)用戶的權(quán)限和對象的ACL進行訪問控制令牌SIDzhangsan*****SID讀寫執(zhí)行更改Page77Windows系統(tǒng)的對象

為了實現(xiàn)自身的安全特性，Windows2K/NT把所有的資源作為系統(tǒng)的特殊的對象。這些對象包含資源本身，Windows2K/NT提供了一種訪問機制去使用它們。由于這些基本的原因，所以我們把Windows2K/NT稱為基于對象的操作系統(tǒng)。Microsoft的安全法則： Windows中首要的對象類型：文件文件夾打印機I/O設(shè)備窗口線程進程內(nèi)存這些安全構(gòu)架的目標就是實現(xiàn)系統(tǒng)的牢固性。從設(shè)計來考慮，就是所有的訪問都必須通過同一種方法認證，減少安全機制被繞過的機會。Page78單擊“開始”

指向“設(shè)置”

然后單擊“控制面板”

雙擊“管理工具”

然后雙擊“服務(wù)”：在列表框中顯示的是系統(tǒng)可以使用的服務(wù)

Windows2k下可以在命令行中輸入services.msc打開服務(wù)列表。Windows的系統(tǒng)服務(wù)介紹Page79服務(wù)包括三種啟動類型：自動、手動、已禁用。自動-Windows2000啟動的時候自動加載服務(wù)手動-Windows2000啟動的時候不自動加載服務(wù)，在需要的時候手動開啟已禁用-Windows2000啟動的時候不自動加載服務(wù)，在需要的時候選擇手動或者自動方式開啟服務(wù)，并重新啟動電腦完成服務(wù)的配置Windows系統(tǒng)服務(wù)的啟動類型Page80服務(wù)項目驅(qū)動程式Start數(shù)值內(nèi)容記錄HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service目前微軟對Start內(nèi)容的定義有0、1、2、3、4等五種狀態(tài),。Windows系統(tǒng)服務(wù)的加載模式Page81基本的系統(tǒng)進程smss.exeSessionManagercsrss.exe子系統(tǒng)服務(wù)器進程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序。(系統(tǒng)服務(wù))svchost.exe包含很多系統(tǒng)服務(wù)spoolsv.exe將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))explorer.exe資源管理器internat.exe輸入法

Windows基本的系統(tǒng)進程Page82Windows主要系統(tǒng)進程詳細介紹會話管理器(SMSS.EXE)：Win2K在啟動過程中第一個啟動的用戶模式進程優(yōu)先的用戶模式進程進程實現(xiàn)的主要功能關(guān)閉系統(tǒng) 改變系統(tǒng)時間繞過文件訪問權(quán)限/審核來執(zhí)行備份加載/卸載設(shè)備驅(qū)動程序調(diào)整頁面文件連接調(diào)試器到某個進程WINLOGON（.EXE）服務(wù)控制管理器(SCM)，由SERVICES.EXE實現(xiàn)本地安全性鑒別子系統(tǒng)(LSASS.EXE)圖形化標識和鑒別(GraphicalIdentificationandAuthentication－GINA)模塊處理用戶登錄憑證Page83Windows安全子系統(tǒng)的組件

WindowsNT安全子系統(tǒng)包含五個關(guān)鍵的組件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries。 安全標識符（SecurityIdentifiers）:

就是我們經(jīng)常說的SID，每次當我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID，當你重新安裝WindowsNT后，也會得到一個唯一的SID。

SID永遠都是唯一的，由計算機名、當前時間、當前用戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。例：

S-1-5-21-1763234323-3212657521-1234321321-500 訪問令牌（Accesstokens）:

用戶通過驗證后，登陸進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給WindowsNT，然后WindowsNT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，WindowsNT將會分配給用戶適當?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。Page84Windows安全子系統(tǒng)的組件安全描述符（Securitydescriptors）：

Windows2000中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。包含和被保護對象相關(guān)聯(lián)的安全信息的數(shù)據(jù)結(jié)構(gòu)。安全描述符包括誰擁有對象，以何種方式訪問以及何種審查訪問類型等信息訪問控制列表（Accesscontrollists）：訪問控制列表有兩種：任意訪問控制列表（DiscretionaryACL）、系統(tǒng)訪問控制列表（SystemACL）。任意訪問控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。訪問控制項（Accesscontrolentries）:

訪問控制項（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。當你使用管理工具列出對象的訪問權(quán)限時，列表的排序是以文字為順序的，它并不象防火墻的規(guī)則那樣由上往下的，不過好在并不會出現(xiàn)沖突，拒絕訪問總是優(yōu)先于允許訪問的。Page85安全子系統(tǒng)包括以下部分：

Winlogon

GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportproviders

NetlogonServiceSecurityAccountManager(SAM)

Winlogon、LocalSecurityAuthority以及Netlogon

服務(wù)在任務(wù)管理器中都可以看到，其他的以DLL方式被這些文件調(diào)用。Windows安全子系統(tǒng)的具體內(nèi)容SSPIWinlogonGINALocalSecurityAuthorityAuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonPage86WinlogonandGina:Winlogon調(diào)用GINADLL，并監(jiān)視安全認證序列。Winlogon查找注冊表中\(zhòng)HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

，Windows安全子系統(tǒng)WinlogonGinaandLSA本地安全認證（LocalSecurityAuthority）：調(diào)用所有的認證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，重新找回本地組的SIDs和用戶的權(quán)限創(chuàng)建用戶的訪問令牌管理本地安裝的服務(wù)所使用的服務(wù)賬號儲存和映射用戶權(quán)限管理審核的策略和設(shè)置管理信任關(guān)系。Page87Windows安全子系統(tǒng)

SSPIandSSP安全支持提供者（SecuritySupportProvider）：安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機制，默認情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認證模塊Msapsspc.dll：分布式密碼認證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認證模塊使用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證，常見的證書機構(gòu)比如Verisign。這種認證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時候用到。安全支持提供者的接口（SecuritySupportProvideInterface）：微軟的SecuritySupportProvideInterface很簡單地遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認證連接的方法。認證包（AuthenticationPackage）：認證包可以為真實用戶提供認證。通過GINADLL的可信認證后，認證包返回用戶的SIDs給LSA，然后將其放在用戶的訪問令牌中。，Page88網(wǎng)絡(luò)登陸（Netlogon）：

網(wǎng)絡(luò)登陸服務(wù)必須在通過認證后建立一個安全的通道。要實現(xiàn)這個目標，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。安全賬號管理者（SecurityAccountManager）：

安全賬號管理者，也就是我們經(jīng)常所說的SAM，它是用來保存用戶賬號和口令的數(shù)據(jù)庫。保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復制的過程中，Sam包將會被拷貝。Windows安全子系統(tǒng)NetlogonandSAMPage89當從Windows2000ProfessionalorServer登錄時,Windows2000用兩種過程驗證本地登錄.Windows2000嘗試使用Kerberos作為基本驗證方式.如果找不到KeyDistributionCenter(KDC)服務(wù),Windows會使用WindowsNTLanManager(NTLM)安全機制來驗證在本地SAM中的用戶。本地登錄驗證過程如下:輸入用戶名及密碼然后按回車鍵.GraphicalIdentificationandAuthentication(GINA)會收集這些信息.GINA傳送這些安全信息給LocalSecurityAuthority(LSA)來進行驗證.TheLSA傳送這些信息給SecuritySupportProviderInterface(SSPI).SSPI是一個與Kerberos和NTLM通訊的接口服務(wù).SSPI傳送用戶名及密碼給KerberosSSP.KerberosSSP檢查目的機器是本機還是域名.如果是本機,Kerberos返回錯誤消息給SSPI.如果找不到KDC,機器生成一個用戶不可見的內(nèi)部錯誤.這個內(nèi)部錯誤促發(fā)SSPI通知GINA.GINA再次傳送這些安全信息給LSA.LSA再次傳送這些安全信息給SSPI.這次,SSPI傳送用戶名及密碼給NTLMdriverMSV1-0SSP.NTLMdriver用Netlogon

服務(wù)和本地SAM來驗證用戶.如果NTLM和Kerberos都不能驗證你的帳號,你會收到下列錯誤消息提示您輸入正確的用戶名和密碼.Windows2000本地登錄過程Page90Windows系統(tǒng)安全防御Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page91什么是用戶帳號？賬號賬號的屬性第一安裝windows2000時將創(chuàng)建兩個帳號：Administrator和GuestPage92什么是組？組用戶帳號的集合Windows2000包含一些預定義的組，共四類：本地組：本地域組：全局域組：通用組：Page93Windows帳戶安全——SID介紹在學習系統(tǒng)帳戶之前先了解一些SIDSID(SecurityIdentifiers)在Windows2000/XP/2003系統(tǒng)中每個用戶帳號所對應(yīng)著的一個唯一字符串Windows系統(tǒng)根據(jù)SID來識別用戶和組的,以及分配他們響應(yīng)的訪問權(quán)限SID格式:S-R-X-Y(1)-Y(2)--Y(N)S:表示該字符串是SIDR:SID的版本號

X:標識符的頒發(fā)機構(gòu)

Y(1),Y(2)...:子頒發(fā)機構(gòu)

Y(N):相關(guān)標識符RID,標識域內(nèi)帳戶和組Page94Windows帳戶安全——SID介紹在同一個域中,帳戶的區(qū)別在于RID一些常見的RID值:Administrator:500Guest:501NT/W2K域中創(chuàng)建的第一個帳號:1000SID相關(guān)工具:User2sid:用于通過用戶名獲得主機的SIDSid2user:用于通過已知主機的SID獲得用戶名

Whoami:能夠探明主機域名,用戶名,登錄用戶信息。還能顯示完整的登錄信息以及域名及其SIDPage95windowsNT及win2000中對用戶帳戶的安全管理使用了安全帳號管理器(securityaccountmanager)的機制安全帳號管理器對帳號的管理是通過安全標識進行的，安全標識在帳號創(chuàng)建時就同時創(chuàng)建，一旦帳號被刪除，安全標識也同時被刪除安全標識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標識都時完全不同的。因此，一旦某個帳號被刪除，它的安全標識就不再存在了，即使用相同的用戶名重建帳號，也會被賦予不同的安全標識，不會保留原來的權(quán)限。Windows系統(tǒng)中的賬號SAMPage96安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用戶帳戶數(shù)據(jù)庫,所有2K/NT用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中。sam文件可以認為類似于unix系統(tǒng)中的passwd文件，不過沒有這么直觀明了。passwd使用的是存文本的格式保存信息，這是一個linux

passwd文件內(nèi)容的例子

root：8L7v6：0：0:root:/root:/bin/bash

msql:!!:502:504:/home/msql:/bin/bash

unix中的passwd文件中每一行都代表一個用戶資料，每一個賬號都有七部分資料，不同資料中使用“:"分割格式如下賬號名稱:密碼:uid:gid:個人資料:用戶目錄：shell

除了密碼是加密的以外(這里的密碼部分已經(jīng)shadow了)其他項目非常清楚明了。而Windows中就不是這樣，雖然也是用文件保存賬號信息，不過如果我們用編輯器打開這些NT的sam文件，除了亂碼什么也看不到。因為NT系統(tǒng)中將這些資料全部進行了加密處理，一般的編輯器是無法直接讀取這些信息的。注冊表中的

HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM

保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對system是可讀寫的。安全賬號管理器：SAMPage97Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page98身份驗證知道你是誰，才能授予訪問權(quán)限Page99驗證身份的四種方法：Whatyouknow→ 密碼Whatyouhave→ 智能卡、RFIDWhoyouare→ 指紋、視網(wǎng)膜掃描Whereyouare→ 網(wǎng)絡(luò)基于IP（欺騙？）身份驗證Page100Winlogon用戶登錄過程GINA識別安全注意序列（SecureAttentionSequence，SAS），并調(diào)用相應(yīng)的GINA處理程序向用戶命令解釋程序授予訪問令牌加載用戶配置文件保護計算機和桌面控制屏幕保護程序處理遠程（性能監(jiān)視器）請求Page101登錄WINDOWS系統(tǒng)的方式本地登錄網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄網(wǎng)絡(luò)登錄Page102Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page103

權(quán)利適用于對整個系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當用戶登錄到一個具有某種權(quán)利的帳號時，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。下面列出了用戶的特定權(quán)利：

Accessthiscomputerfromnetwork可使用戶通過網(wǎng)絡(luò)訪問該計算機。

Addworkstationtoadomain允許用戶將工作站添加到域中。

Backupfilesanddirectories授權(quán)用戶對計算機的文件和目錄進行備份。

Changethesystemtime用戶可以設(shè)置計算機的系統(tǒng)時鐘。

Loadandunloaddevicedrive允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動程序。

Restorefilesanddirectories允許用戶恢復以前備份的文件和目錄。

Shutdownthesystem允許用戶關(guān)閉系統(tǒng)。Windows系統(tǒng)的用戶權(quán)利Page104權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。后面顯示了這些任務(wù)是如何與各種權(quán)限級別相關(guān)聯(lián)的。

Windows系統(tǒng)的用戶權(quán)限窗口內(nèi)存文件夾文件打印機I/O設(shè)備進程線程賬號對象Page105目錄權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該目錄ListRX可以查看目錄中的子目錄和文件名，也可以進入其子目錄ReadRX具有List權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序AddXW用戶可以添加文件和子錄AddandReadRXW具有Read和Add的權(quán)限ChangeRXWD有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄FullcontrolRXWDPO有Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán)如果對目錄有Execute(X)權(quán)限，表示可以穿越目錄，進入其子目錄Windows系統(tǒng)的權(quán)限

目錄權(quán)限Page106文件權(quán)限權(quán)限級別RXWDPO允許的用戶動作NoAccess

用戶不能訪問該文件ReadRX用戶可以讀取該文件，如果是應(yīng)用程序可以運行ChangeRXWD有Read的權(quán)限，還可用修和刪除文件FullcontrolRXWDPO包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán)Windows系統(tǒng)的權(quán)限

文件權(quán)限Page107下表列出從最大限制到最小限制的共享權(quán)限共享權(quán)限級別允許的用戶動作NoAccess(不能訪問)禁止對目錄和其中的文件及子目錄進行訪問但允許查看文件名和子目錄名，改變共享Read(讀)目錄的子目錄，還允許查看文件的數(shù)據(jù)和運行應(yīng)用程序Change(更改)具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文數(shù)據(jù)，刪除文件和子目錄Fullcontrol(完全控制)具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限(只適用于NTFS卷)和獲所有權(quán)(只適用于NTFS卷)共享點一定要小心地分配。因為權(quán)限僅僅是分配給共享點的，任何共享點下的文件：或目錄都足以和共享點本身相同的權(quán)限被訪問的。Windows系統(tǒng)的權(quán)限

共享權(quán)限共享權(quán)限共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NTServer服務(wù)器上的文件和目錄，必須首先對它建立共享。共享權(quán)限建立了通過網(wǎng)絡(luò)對共享目錄訪問的最高級別。Page108Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page109Windows文件系統(tǒng)安全NTFS:磁盤特性文件權(quán)限特性數(shù)據(jù)加密特性審計特性Page110Windows文件系統(tǒng)安全——文件權(quán)限特性只有管理員可以設(shè)置文件系統(tǒng)權(quán)限可以添加/修改/刪除/需要設(shè)置的用戶可以修改用戶的權(quán)限拒絕的優(yōu)先級別高于允許Page111

Windows文件系統(tǒng)安全——文件權(quán)限特性拒絕訪問的結(jié)果：Page112Windows文件系統(tǒng)安全——數(shù)據(jù)加密特性Page113Windows文件系統(tǒng)安全——審計特性注意：要為文件或目錄設(shè)置審計功能，要確保使用的是administrator組的成員登錄Page114Windows系統(tǒng)安全Windows系統(tǒng)的安全架構(gòu)Windows子系統(tǒng)安全Windows帳戶安全Windows身份驗證Windows驗證及授權(quán)Windows文件系統(tǒng)安全Windows安全策略Windows安全特性Page115Windows安全策略本地安全策略：

Secpol.msc,Windows自帶的安全管理工具。包含了允許或禁止和人訪問系統(tǒng)、帳戶和密碼、用戶權(quán)限、安全審核等安全屬性的設(shè)置帳戶策略本地策略公鑰策略IP安全策略Page116賬戶策略帳戶策略所有安全策略都是基于計算機的策略。帳戶策略定義在計算機上，然而卻可影響用戶帳戶與計算機或域交互作用的方式。帳戶策略包含三個子集：密碼策略。用于域或本地用戶帳戶。確定密碼設(shè)置（如強制執(zhí)行和有效期限）。帳戶鎖定策略。用于域或本地用戶帳戶。確定某個帳戶被鎖定在系統(tǒng)之外的情況和時間長短。Kerberos策略。用于域用戶帳戶。確定與Kerberos相關(guān)的設(shè)置（如票的有限期限和強制執(zhí)行）。本地計算機策略中沒有Kerberos策略。對于域帳戶，只有一種帳戶策略。賬戶策略必須在“默認域策略”中定義，且由組成該域的域控制器實施。域控制器始終從“默認域策略組策略對象”中獲得賬戶策略，即使存在應(yīng)用到該域控制器所在的部門的不同賬戶策略。默認情況下，加入到域（如成員計算機）中的工作站和服務(wù)器也同樣接收到各自本地賬戶的相同賬戶策略。然而，本地帳戶策略可能不同于域帳戶策略，例如，當為各個本地帳戶定義帳戶策略時即是如此。與帳戶策略具有類似行為的“安全選項”有兩個策略。它們是：網(wǎng)絡(luò)訪問：允許匿名SID/NAME轉(zhuǎn)換網(wǎng)絡(luò)安全登錄時間超時時強制注銷Page117本地策略Page118公鑰策略公鑰策略概述使用組策略中的公鑰策略設(shè)置可以：使計算機自動向企業(yè)證書頒發(fā)機構(gòu)提交證書申請并安裝頒發(fā)的證書。這有助于確保計算機能獲得在組織內(nèi)執(zhí)行公鑰加密操作（例如，為Internet協(xié)議安全(IPSec)或客戶端驗證）所需的證書創(chuàng)建和分發(fā)證書信任列表(CTL)。證書信任列表是根

證書頒發(fā)機構(gòu)(CA)的證書的簽名列表，管理員認為該列表對指定目的來說值得信任，例如客戶身份驗證或安全電子郵件。例如，如果認為證書頒發(fā)機構(gòu)的證書對IPSec而言可以信任，但對客戶身份驗證不足以信任，則通過證書信任列表可