課件3 第3章風(fēng)險(xiǎn)分析.ppt

1、課件3 第3章,安全性分析與風(fēng)險(xiǎn)評(píng)估,第3章 安全性分析與風(fēng)險(xiǎn)評(píng)估,由于操作系統(tǒng)或應(yīng)用系統(tǒng)軟件的龐大與復(fù)雜性，再加上設(shè)計(jì)或開發(fā)過程中引入的缺陷與錯(cuò)誤，現(xiàn)有的各種操作系統(tǒng)平臺(tái)都存在著種種安全隱患，從UNIX到Microsoft操作系統(tǒng)無一例外，只不過是這些平臺(tái)的安全漏洞發(fā)現(xiàn)時(shí)間早晚不同、對(duì)系統(tǒng)造成的危害程度不同而已。,每一種操作系統(tǒng)平臺(tái)上都有目前已經(jīng)被發(fā)現(xiàn)的和潛在的、有待檢測(cè)的各種安全漏洞，往往會(huì)發(fā)生因堵塞舊漏洞又引發(fā)了新漏洞的現(xiàn)象。一個(gè)單位的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的漏洞為網(wǎng)絡(luò)攻擊者制造了機(jī)會(huì)，因此，經(jīng)常性地對(duì)自己?jiǎn)挝坏挠?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行脆弱性檢測(cè)與風(fēng)險(xiǎn)評(píng)估是非常需要的。,3.1 安全漏洞概述,系統(tǒng)安

2、全漏洞，也稱為漏洞或脆弱性(Vulnerability)，是指在系統(tǒng)硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在某種形式的安全方面脆弱性，即安全缺陷，這種缺陷存在的直接后果是允許非法用戶未經(jīng)授權(quán)獲得訪問權(quán)或提升其訪問權(quán)限。入侵者利用這些安全缺陷，可以達(dá)到控制目標(biāo)主機(jī)或造成一些更具破壞性的目的。,漏洞與系統(tǒng)環(huán)境是相互聯(lián)系的。漏洞會(huì)影響很大范圍內(nèi)的軟硬件設(shè)備，包括操作系統(tǒng)本身及其支撐軟件，網(wǎng)絡(luò)客戶和服務(wù)器軟件，網(wǎng)絡(luò)路由器和安全防火墻等。 此外，漏洞問題與時(shí)間也是緊密相關(guān)的。一個(gè)系統(tǒng)從其發(fā)布的那天起，隨著用戶的深入使用，系統(tǒng)漏洞就會(huì)逐漸暴露出來，這些早先被發(fā)現(xiàn)的漏洞可以使用系統(tǒng)供應(yīng)商發(fā)布的補(bǔ)丁軟件

3、進(jìn)行修補(bǔ)，或在以后發(fā)布的新版本中進(jìn)行糾正。,3.1.1 安全漏洞的成因,與軟件、硬件供應(yīng)商相關(guān)的安全漏洞：這類主要包括軟件的各種Bugs、操作系統(tǒng)的補(bǔ)丁、脆弱的服務(wù)程序、網(wǎng)絡(luò)系統(tǒng)及程序的缺省配置中可能設(shè)置的不安全選項(xiàng)；硬件中固有的脆弱性代碼及硬件設(shè)計(jì)與實(shí)現(xiàn)時(shí)的缺陷等也是系統(tǒng)產(chǎn)生安全漏洞的重要原因。,這部分的漏洞原因有兩點(diǎn)： 第一，在程序編寫過程中，編程人員在授意下或?yàn)榱四撤N目的，有意地在程序的隱蔽處留下各種各樣的后門，供日后使用； 第二，由于編程人員水平、經(jīng)驗(yàn)和當(dāng)時(shí)的安全技術(shù)所限，在程序中總會(huì)或多或少的有些不足之處，這些地方有的是影響程序的運(yùn)行效率，有的會(huì)導(dǎo)致非授權(quán)用戶的權(quán)限提升。,與系統(tǒng)管理

4、者有關(guān)的安全漏洞：實(shí)際上，UNIX類操作系統(tǒng)和微軟的NT類操作系統(tǒng)內(nèi)部都采取了較強(qiáng)的安全機(jī)制，并且為系統(tǒng)管理員提供了許多安全選項(xiàng)，用于配置符合用戶單位安全需要的系統(tǒng)，但是，如果系統(tǒng)管理員不能正確理解各安全選項(xiàng)的作用，并適當(dāng)?shù)剡x用它們，那么操作系統(tǒng)許多內(nèi)在的安全機(jī)制就不能發(fā)揮作用，甚至形成系統(tǒng)安全的“短板”。,與用戶活動(dòng)有關(guān)的安全漏洞：共享目標(biāo)的授權(quán)，賬戶口令的不經(jīng)意泄漏，病毒檢測(cè)不完備，自接Modem繞過內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防范邊界，一機(jī)同時(shí)跨接或分時(shí)跨接內(nèi)部網(wǎng)與Internet，從網(wǎng)上下載含病毒或木馬軟件的文檔資料，私自安裝有缺陷的應(yīng)用軟件，利用軟盤或U盤和其他計(jì)算機(jī)隨意交換文件，私自提高訪問

5、權(quán)限等。此外，還有內(nèi)部不滿用戶以及惡意的離職用戶的實(shí)施的攻擊更是對(duì)系統(tǒng)安全的嚴(yán)重威脅。,3.1.2 安全漏洞的分類,截止2005年1月，Nessus網(wǎng)站上公布的漏洞已經(jīng)超過2000個(gè)，而該網(wǎng)站在2002年上半年公布的漏洞數(shù)目600個(gè)左右，漏洞發(fā)現(xiàn)速度之快令人瞠目。下面是CERT網(wǎng)站公布的19952004年前3季度期間對(duì)漏洞的統(tǒng)計(jì)報(bào)告。報(bào)告的總漏洞數(shù)為15629個(gè)，其中發(fā)布漏洞注釋的僅有1280個(gè)。能夠發(fā)布漏洞注釋，說明人們對(duì)這些漏洞已經(jīng)有了比較清楚的了解，并能對(duì)其進(jìn)行檢測(cè)。,表3-1 1995-2004前三季度的漏洞報(bào)告,一、 按直接危害分類,必須說明的是，雖然在這里我們對(duì)安全漏洞以直接危害進(jìn)

6、行分類，但一個(gè)系統(tǒng)漏洞對(duì)安全造成的威脅卻遠(yuǎn)不限于它的直接可能性，如果攻擊者獲得了對(duì)系統(tǒng)的一般用戶訪問權(quán)限，他就極有可能再通過利用本地漏洞把自己提升為管理員權(quán)限。,1、 遠(yuǎn)程管理員權(quán)限,攻擊者無須一個(gè)賬號(hào)登錄到本地，而是直接獲得遠(yuǎn)程系統(tǒng)的管理員權(quán)限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護(hù)進(jìn)程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護(hù)進(jìn)程本身的邏輯缺陷。,2、 本地管理員權(quán)限,攻擊者在已有一個(gè)本地賬號(hào)能夠登錄到系統(tǒng)的情況下，通過攻擊本地某些有缺陷的程序，競(jìng)爭(zhēng)條件等手段，在本地得到系統(tǒng)的管理員權(quán)限。這種不屬于網(wǎng)絡(luò)攻擊。,3、普通用戶訪問權(quán)限,攻擊者利用服務(wù)器的漏洞，取得系統(tǒng)的普

7、通用戶存取權(quán)限，對(duì)UNIX類系統(tǒng)通常是shell訪問權(quán)限，對(duì)Windows系統(tǒng)通常是cmd.exe的訪問權(quán)限，能夠以一般用戶的身份執(zhí)行程序，存取文件。攻擊者通常攻擊以非root身份運(yùn)行的守護(hù)進(jìn)程，有缺陷的CGI程序等手段獲得這種訪問權(quán)限。,4、權(quán)限提升,攻擊者在本地通過攻擊某些有缺陷的sgid程序，把自己的權(quán)限提升到更高級(jí)別用戶的水平。獲得管理員權(quán)限可以看作是一種特殊的權(quán)限提升，只是因?yàn)橥{的大小不同而把它獨(dú)立出來。,5、讀取受限文件 攻擊者通過利用某些漏洞，讀取系統(tǒng)中他應(yīng)該沒有權(quán)限的文件，這些文件通常是安全相關(guān)的。 6、遠(yuǎn)程拒絕服務(wù) 攻擊者利用這類漏洞，無須登錄即可對(duì)系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使

8、系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。,7、本地拒絕服務(wù),在攻擊者登錄到系統(tǒng)后，利用這類漏洞，可以使系統(tǒng)本身或應(yīng)用程序崩潰。這種漏洞主要因?yàn)槭浅绦驅(qū)σ馔馇闆r的處理失誤。,8、遠(yuǎn)程非授權(quán)文件存取,利用這類漏洞，攻擊者可以不經(jīng)授權(quán)地從遠(yuǎn)程存取系統(tǒng)的某些文件。這類漏洞主要是由一些有缺陷的cgi程序引起的，它們對(duì)用戶輸入沒有做適當(dāng)?shù)暮戏ㄐ詸z查，使攻擊者通過構(gòu)造特別的輸入獲得對(duì)文件存取。,9、口令恢復(fù),因?yàn)椴捎昧撕苋醯目诹罴用芊绞?，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。 10、欺騙 利用這類漏洞，攻擊者可以對(duì)目標(biāo)系統(tǒng)實(shí)施某種形式的欺騙。這通常是由于系

9、統(tǒng)的實(shí)現(xiàn)上存在某些缺陷。,11、服務(wù)器信息泄漏,利用這類漏洞，攻擊者可以收集到對(duì)于進(jìn)一步攻擊系統(tǒng)有用的信息。這類漏洞的產(chǎn)生主要是因?yàn)橄到y(tǒng)程序有缺陷，一般是對(duì)錯(cuò)誤的不正確處理。,二、 按被利用方式分類,漏洞只能以一定的方式被利用，每個(gè)漏洞都要求攻擊處于網(wǎng)絡(luò)空間一個(gè)特定的位置，可能的攻擊方式分為以下四類，但這些分類是有交叉的。,1、 物理接觸：,攻擊者需要能夠物理地接觸目標(biāo)系統(tǒng)才能利用這類漏洞，對(duì)系統(tǒng)的安全構(gòu)成威脅。例如，利用對(duì)目標(biāo)系統(tǒng)的直接操作機(jī)會(huì)或利用目標(biāo)網(wǎng)絡(luò)與Internet的物理連接實(shí)施遠(yuǎn)程攻擊。,2、間接模式：,攻擊者將計(jì)算機(jī)病毒或惡意代碼（如木馬程序）隱藏在因特網(wǎng)網(wǎng)站的網(wǎng)頁(yè)中，等待網(wǎng)絡(luò)

10、用戶把它下載到自己的主機(jī)中，一旦用戶打開這些含“毒”的網(wǎng)頁(yè)，惡意代碼便留駐到用戶系統(tǒng)中。,3、主機(jī)模式：,這是通常的漏洞利用方式。攻擊方為客戶機(jī)，被攻擊方為目標(biāo)主機(jī)。例如攻擊者發(fā)現(xiàn)目標(biāo)主機(jī)的某個(gè)守護(hù)進(jìn)程存在一個(gè)遠(yuǎn)程溢出漏洞，攻擊者可能因此取得主機(jī)的非授權(quán)訪問權(quán)限。,4、客戶機(jī)模式：,當(dāng)一個(gè)用戶訪問網(wǎng)絡(luò)上的一個(gè)主機(jī)，他就可能遭到主機(jī)發(fā)送給自己惡意命令的襲擊?？蛻魴C(jī)不應(yīng)該過度信任主機(jī)。如web瀏覽器IE存在不少漏洞，可以使一些惡意的網(wǎng)站用html標(biāo)記通過那些漏洞在瀏覽的客戶機(jī)中執(zhí)行程序或讀寫文件。,5、中間人方式：,當(dāng)攻擊者位于一個(gè)可以觀察或截獲兩個(gè)機(jī)器之間的通信的位置時(shí)，就可以認(rèn)為攻擊者處于中間

11、人方式。因?yàn)楹芏鄷r(shí)候主機(jī)之間以明文方式傳輸有價(jià)值的信息，因此攻擊者可以很容易地攻入其他機(jī)器。對(duì)于某些公鑰加密的實(shí)現(xiàn)，攻擊者可以截獲并取代密鑰偽裝成網(wǎng)絡(luò)上的兩個(gè)節(jié)點(diǎn)來繞過這種限制。,三、 按危害等級(jí)分類,漏洞可以按其對(duì)目標(biāo)主機(jī)的危害程度以及引起的后果的嚴(yán)重性進(jìn)行分類，一般劃分為A、B、C三個(gè)級(jí)別。,1、A類漏洞,它是允許惡意入侵者遠(yuǎn)程訪問并可能會(huì)破壞整個(gè)目標(biāo)系統(tǒng)的漏洞，其中最嚴(yán)重的情況是被遠(yuǎn)程惡意用戶獲取了系統(tǒng)管理員權(quán)限。例如，造成紅色代碼病毒廣泛傳播的微軟操作系統(tǒng)支持的IIS4.0或5.0中的一個(gè)緩沖區(qū)溢出型漏洞就是一種典型的A類漏洞，它支持對(duì)系統(tǒng)的遠(yuǎn)程攻擊。,2、B類漏洞,它是允許本地用戶提

12、高訪問權(quán)限，并可能允許其獲得系統(tǒng)控制的漏洞。例如，允許本地用戶非法訪問的漏洞就屬于此類漏洞。需要說明的是，本地用戶是指在目標(biāo)機(jī)器或網(wǎng)絡(luò)上擁有賬號(hào)的所有客戶，并沒有地理位置上的特殊含義。大多數(shù)B級(jí)漏洞由應(yīng)用程序中的一些缺陷或代碼錯(cuò)誤引起的，有的漏洞則是因?yàn)槌绦蛘{(diào)試期間遺留下來的。,3、C類漏洞,它是任何允許用戶中斷、降低或妨礙系統(tǒng)操作的漏洞，例如，允許拒絕服務(wù)漏洞。拒絕服務(wù)攻擊沒有攻入和對(duì)目標(biāo)主機(jī)進(jìn)行破壞的危險(xiǎn)，攻擊者只是為達(dá)到某種目的，對(duì)目標(biāo)主機(jī)進(jìn)行故意地?fù)v亂，干擾目標(biāo)主機(jī)的正常工作。拒絕服務(wù)攻擊的基本原理是耗盡攻擊目標(biāo)的資源，,3.2 微軟操作系統(tǒng)安全性分析,早在1995年7月，Window

13、s NT的第一版帶服務(wù)包3的NT3.5就取得了美國(guó)TCSEC標(biāo)準(zhǔn)的C2安全級(jí)；1999年3月，帶服務(wù)包3的NT4獲得了英國(guó)ITSEC組織的E3級(jí)別，其等同于C2級(jí)；同年11月，帶服務(wù)包6a的單機(jī)和網(wǎng)絡(luò)配置的NT4都達(dá)到了C2級(jí)；Windows2000的基礎(chǔ)安全體系結(jié)構(gòu)比Windows NT更加健壯，其安全性也能達(dá)到C2級(jí)的標(biāo)準(zhǔn)。,達(dá)到C2安全級(jí)的關(guān)鍵要求是，要求系統(tǒng)實(shí)現(xiàn)安全登錄機(jī)制、自主訪問控制機(jī)制、安全審計(jì)機(jī)制和對(duì)象重用保護(hù)機(jī)制。其中后者就是殘留信息的處理機(jī)制，即，阻止一個(gè)用戶利用或閱讀另一個(gè)用戶已刪除的數(shù)據(jù)，或訪問另一個(gè)用戶曾使用并釋放的內(nèi)存。,NT系統(tǒng)不僅實(shí)現(xiàn)了這些機(jī)制，同時(shí)還實(shí)現(xiàn)了兩項(xiàng)

14、B安全級(jí)的要求，一是信任路徑功能，用于防止用戶登錄時(shí)被特洛伊木馬程序截獲用戶名和密碼；二是信任機(jī)制管理，支持管理功能的單獨(dú)賬號(hào)，例如，給管理員的分離賬號(hào)、可用于備份計(jì)算機(jī)的用戶賬號(hào)和標(biāo)準(zhǔn)用戶等。,3.2.1 Windows 2000的安全子系統(tǒng),Windows2000系統(tǒng)是世界上使用最普遍的系統(tǒng)，了解其安全功能是正確對(duì)其利用的前提。本節(jié)首先介紹Windows2000系列的安全子系統(tǒng)的組成結(jié)構(gòu)，然后再介紹幾個(gè)重要的安全機(jī)制，最后介紹Windows XP新增的安全功能。,一、W2000系列的安全子系統(tǒng)的組成,圖3-1描述了Windows2000系列的安全子系統(tǒng)的組成，其中包括了一些組件和安全數(shù)據(jù)基

15、，下面分別簡(jiǎn)要介紹它們的作用。,圖3-1 Windows2000系列的安全子系統(tǒng)的組成,（1）安全訪問監(jiān)視器(SRM)：,是Windows2000的執(zhí)行程序(WinntSystem32Ntoskrnl.exe)中的組件，其作用是負(fù)責(zé)檢查主體訪問對(duì)象的操作特權(quán)（用戶的權(quán)利）的安全性，并產(chǎn)生有效的安全審計(jì)信息。,（2）本機(jī)安全權(quán)限子系統(tǒng)（Lsass）：,運(yùn)行在 Winnt System32 lsass.exe映像下的用戶模式進(jìn)程，負(fù)責(zé)實(shí)施本機(jī)的安全策略，例如判決是否允許用戶登錄本機(jī)，口令策略管理與實(shí)施，向用戶或組授予特權(quán)，系統(tǒng)安全審計(jì)設(shè)置，用戶鑒別和把安全審計(jì)信息發(fā)送到事件日志等安全功能。本機(jī)安全

16、授權(quán)服務(wù)功能也通過lsass加載的數(shù)據(jù)基實(shí)現(xiàn)了大部分的功能。,（3）lsass策略數(shù)據(jù)基：,用于保存本機(jī)安全策略的配置參數(shù)，它存儲(chǔ)在注冊(cè)表HKLM SECURITY下。它包括的內(nèi)容有：可以信任來自哪些域的驗(yàn)證登錄企圖，誰(shuí)被允許訪問系統(tǒng)及其訪問方式（交互式、網(wǎng)絡(luò)和服務(wù)登錄），誰(shuí)被分配何種特權(quán)和完成什么樣的安全審計(jì)等等。lsass策略數(shù)據(jù)基也存儲(chǔ)“密鑰”，包括用于高速緩存域登錄信息和Win32服務(wù)的用戶賬號(hào)登錄。,（4）安全賬號(hào)管理（SAM）服務(wù)：,由一組管理本機(jī)定義的用戶名和組的數(shù)據(jù)基的子例程提供的服務(wù)功能。SAM服務(wù)由 Winnt System32 samsrv.dll實(shí)現(xiàn)，運(yùn)行在Lsass進(jìn)

17、程中。,（5）Active Directory（活目錄）：,是輕型目錄訪問協(xié)議（LDAPLightweight Directory Access Protocol）的目錄服務(wù)在Windows2000中的實(shí)現(xiàn)，它用數(shù)據(jù)基的形式保存存儲(chǔ)域中對(duì)象的信息，包括用戶、組和計(jì)算機(jī)的信息?？诹钚畔⒑陀蛴脩襞c組的特權(quán)信息也存儲(chǔ)在Active Directory的數(shù)據(jù)基中，該數(shù)據(jù)基被復(fù)制在指定為域控制器的計(jì)算機(jī)上。Active Directory目錄服務(wù)器由Winnt System32 ntdsa.dll，運(yùn)行在Lsass進(jìn)程中。,（6）驗(yàn)證包（Msv1_0.dll和Kerberros.dll）：,其中Kerb

18、erros是Windows2000中交互登錄到域的驗(yàn)證包；Msv1_0 Windows2000中交互登錄到本地計(jì)算機(jī)的驗(yàn)證包。它們是實(shí)現(xiàn)了Windows2000驗(yàn)證策略的DLL，運(yùn)行在Lsass進(jìn)程中。其功能是檢查用戶與口令是否匹配，如果匹配，向Lsass返回用戶安全標(biāo)識(shí)等安全性信息。,（7）登錄過程(Winlogon)：,是運(yùn)行 Winnt System32 winlogon.exe的用戶模式進(jìn)程，負(fù)責(zé)響應(yīng)SAS和管理交互登錄會(huì)話。 （8）圖形標(biāo)識(shí)和驗(yàn)證(GINA)：是運(yùn)行在Winlogon進(jìn)程中一個(gè)用戶模式DLL，Winlogon利用它獲得用戶名、口令或智能卡的PIN。,（9）網(wǎng)絡(luò)登錄服務(wù)

19、(Netlogon)：,是運(yùn)行在Lsass中的Win32服務(wù)，負(fù)責(zé)響應(yīng)Microsoft LAN Manager2 Windows NT(前Windows2000)的網(wǎng)絡(luò)登錄請(qǐng)求，驗(yàn)證與本機(jī)登錄一樣處理，發(fā)給lsass驗(yàn)證。Netlogon中包含一個(gè)用于查找域控制器的查找服務(wù)功能。,（10）內(nèi)核安全設(shè)備驅(qū)動(dòng)程序(KsecDD)：,實(shí)現(xiàn)本機(jī)過程調(diào)用（LPC）接口的內(nèi)核模式函數(shù)庫(kù)。其他內(nèi)核模式安全組件，包括加密文件系統(tǒng)（EFS），利用該接口與用戶模式Lsass通信。KsecDD位于 Winnt System32 Drivers Ksecdd.sys。,（11）遠(yuǎn)程過程調(diào)用（RPC）功能：,RPC允

20、許程序員創(chuàng)建包含任何數(shù)量過程的應(yīng)用程序，它們的一些在本機(jī)上運(yùn)行，另一些則通過網(wǎng)絡(luò)在遠(yuǎn)程機(jī)器上運(yùn)行。在Windows2000中，當(dāng)應(yīng)用程序發(fā)布一個(gè)遠(yuǎn)程I/O請(qǐng)求時(shí)，就啟動(dòng)一個(gè)網(wǎng)絡(luò)操作，操作系統(tǒng)把它向前傳送給重定向程序處理。,重定向程序?qū)⒄?qǐng)求的操作傳遞給遠(yuǎn)程文件系統(tǒng)，在遠(yuǎn)程系統(tǒng)響應(yīng)請(qǐng)求并且返回結(jié)果后，本機(jī)網(wǎng)卡產(chǎn)生中斷請(qǐng)求，內(nèi)核處理該中斷后，原始I/O操作完成，將結(jié)果返回給調(diào)用程序。Windows2000 RPC與安全支持提供程序（SSP）集成在一起，因此RPC客戶機(jī)和服務(wù)器可以使用驗(yàn)證與加密通信，以保證信息安全。RPC功能在圖3-1中未明顯標(biāo)出。,二、Windows 2000系列的主要安全機(jī)制,在

21、Windows2000系列操作系統(tǒng)中采用了符合C2安全等級(jí)的眾多安全機(jī)制，下面重點(diǎn)介紹系統(tǒng)中對(duì)象的保護(hù)機(jī)制、安全審計(jì)和用戶管理等安全機(jī)制的主要內(nèi)容。,1、對(duì)象的保護(hù)機(jī)制,Windows2000被保護(hù)的對(duì)象包括文件、設(shè)備、進(jìn)程、線程、共享存區(qū)、網(wǎng)絡(luò)服務(wù)、注冊(cè)表等20余種，對(duì)這些對(duì)象的保護(hù)與訪問統(tǒng)計(jì)是自主訪問控制和審計(jì)的核心。由于向用戶模式導(dǎo)出的系統(tǒng)資源在內(nèi)核模式是以對(duì)象模式實(shí)現(xiàn)的，因此Windows 2000中的對(duì)象管理器在維護(hù)對(duì)象安全方面起到十分重要的作用。,因此Windows 2000中的對(duì)象管理器在維護(hù)對(duì)象安全方面起到十分重要的作用。為了控制誰(shuí)能操作對(duì)象，安全系統(tǒng)必須首先確認(rèn)用戶標(biāo)識(shí)符，而

22、這種標(biāo)識(shí)符是在用戶登錄系統(tǒng)時(shí)被驗(yàn)證過的。當(dāng)一個(gè)進(jìn)程請(qǐng)求一個(gè)對(duì)象的名柄（Handlle）的時(shí)候，對(duì)象管理器和安全系統(tǒng)利用調(diào)用系統(tǒng)的安全標(biāo)識(shí)符，決定是否給該程序分配它所請(qǐng)求的對(duì)象名柄，只有獲得名柄的進(jìn)程才能訪問對(duì)象。,線程的安全機(jī)制問題,線程可以假設(shè)與進(jìn)程不同的安全環(huán)境，這種機(jī)制稱為“模仿”（impersonation）。當(dāng)線程處于模仿態(tài)時(shí)，安全驗(yàn)證機(jī)制使用線程的安全環(huán)境代替線程所屬進(jìn)程的安全環(huán)境；當(dāng)線程處于非模仿態(tài)時(shí)，安全驗(yàn)證機(jī)制依賴于線程所屬進(jìn)程的安全環(huán)境。 請(qǐng)注意，所有同一個(gè)進(jìn)程中的線程都共享相同的名柄表，當(dāng)線程打開一個(gè)對(duì)象時(shí)，即使它處于模擬狀態(tài)，進(jìn)程中所有線程也可以訪問對(duì)象。,在打開對(duì)象時(shí)

23、，Windows 2000安全模塊要求線程預(yù)先指明想要對(duì)對(duì)象執(zhí)行何種類型的操作，系統(tǒng)根據(jù)線程期望的訪問完成訪問檢查，如果是授權(quán)訪問，就分配給線程的進(jìn)程一個(gè)名柄，該線程或進(jìn)程中其他線程，可以通過名柄對(duì)對(duì)象執(zhí)行相應(yīng)的操作。對(duì)象管理器記錄了在進(jìn)程名柄表中的訪問許可。當(dāng)進(jìn)程使用名柄打開一個(gè)存在的對(duì)象時(shí)，這個(gè)事件將引起對(duì)象管理器執(zhí)行安全訪問驗(yàn)證。,在訪問檢查過程中，對(duì)象管理器的一個(gè)函數(shù)（ObCheckObjectAccess）首先為對(duì)象的安全與線程的安全環(huán)境加鎖，其中對(duì)象安全鎖可以防止系統(tǒng)中其他線程在訪問檢查中改變對(duì)象的安全，線程安全環(huán)境鎖可以防止驗(yàn)證過程中，進(jìn)程的其他線程或不同進(jìn)程改變線程的安全標(biāo)識(shí)符

24、。通過調(diào)用對(duì)象的安全方法，ObCheckObjectAccess函數(shù)可以獲得對(duì)象的安全設(shè)置。,2、安全審計(jì),依據(jù)訪問檢查的結(jié)果，對(duì)象管理器可以生成審計(jì)事件，用戶應(yīng)用程序可以使用Win32函數(shù)直接生成這些審計(jì)事件。內(nèi)核模式代碼通常只允許生成一個(gè)審計(jì)事件。兩個(gè)特殊權(quán)限SeSecurityPrivilege和SeAuditPrivilege與審計(jì)有關(guān)，具有SeSecurityPrivilege權(quán)限的進(jìn)程才能夠管理安全事件登錄（Event Log），并可查看或設(shè)置對(duì)象的SACL（系統(tǒng)訪問控制表）；,本機(jī)系統(tǒng)的審計(jì)規(guī)則控制對(duì)審計(jì)一個(gè)特殊類型安全事件的決定。審計(jì)規(guī)則（也稱為“本機(jī)安全策略”）屬于本機(jī)系統(tǒng)上

25、的Lsass（見圖3-1）安全規(guī)則的一部分。 SRM通過到Lsass的LPC（本地過程調(diào)用）發(fā)送這些審計(jì)記錄。Event Logger隨后將審計(jì)記錄寫入安全事件日志（Event Log）。,3、交互登錄,交互登錄（相對(duì)于網(wǎng)絡(luò)登錄）過程中引發(fā)了登錄進(jìn)程（Winlogon）、Lsass進(jìn)程、一個(gè)或多個(gè)驗(yàn)證包和SAM或活動(dòng)記錄的交互作用，其中，驗(yàn)證包由執(zhí)行檢查的DLL組成，Kerberos是Windows2000中交互登錄到域的驗(yàn)證包，MSV1-0是Windows2000中交互登錄到本地計(jì)算機(jī)的驗(yàn)證包，該包用于可信的域登錄以及沒有可訪問的域控制器情況。,Winlogon是一個(gè)可信進(jìn)程，用于管理與安全相關(guān)的用戶交互，它負(fù)責(zé)協(xié)調(diào)登錄、啟動(dòng)用戶SHELL、處理注銷和管理其他各種與安全相關(guān)的操作，包括登錄口令的輸入、更改以及鎖定與解鎖工作站。,三、Windows XP的安全機(jī)制,微軟在Windows XP的安全性方面做了許多工作，增加了許多新的安全功能。例如，Internet連接防火墻，支持多用戶的加密文件系統(tǒng)，改進(jìn)的訪問控制，對(duì)智能卡的支持等。,（1）Internet連接防火墻,Internet連接防火墻是Windows XP的重要特性之一。它可用于在使用Internet連接共