课件17：WindowsNT的安全机制.ppt

Windows NT 的安全机制简介 内容提纲 1、Windows NT 简介 2、Windows NT 的体系结构 3、Windows NT 的安全子系统 4、Windows NT 的安全服务 5、Windows NT 的安全管理 Windows NT 简介 Windows NT 是一个网络操作系统，它有 两个版本：Windows NT Workstation 和 Windows NT Server。这两个版本的NT都有 相同的核心支持、网络支持和安全系统。 Workstation是为单个用户高性能地运行 应用程序服务的，而Server则是为多用户网 络提供服务。 在此，我们所讨论的都是基于Windows NT Server。 Windows NT 简介 Windows NT Server 一方面是为了满足 目前商业计算机世界的需要，另一方面也 是最容易安装、管理和使用的网络操作系 统。这种强健的多用途的网络操作系统提 供了可靠的文件和打印服务，同时也提供 了运行强有力的客户/服务器应用程序的结 构。Windows NT Server是包含有Internet 和 Intranet功能的网络操作系统。 Windows NT 简介 Windows NT 运行于Client/Server模式 ，其设计客体是提供文件和打印服务；他 支持远程访问服务 RAS (Remote Access Service)和Internet服务。Windows NT中 带有一个完全的WEB服务器组件IIS，所 以它可以在Internet上提供WEB服务。另 外，通过添加软件，Windows NT 也可以 作为防火墙使用。 二、Windows NT 的体系结构 Windows NT的体系结构 nWindows NT是由一组软件组件组成，他 们运行在核心模式下。 其他子系统Win32子系统安全子系统 用户模式 核心模式 系统服务 I/O 管理器 对象 管理器 安全引 用监控 进程 管理器 本地过程 调用设施 窗口 管理器 图形 驱动器 微内核 硬件抽象层 Windows NT的体系结构 (1) 核心模式由执行服务组成，它们构成一 个自成体系的操作系统。 (2) 用户模式由非特权的服务组成，这些服 务也称为受保护子系统，他们的启动由用 户决定。用户模式在核心模式之上，用户 模式组件要利用核心模式提供的服务。 Windows NT的对象 n为了实现自身的安全特性，Windows NT 把所有的资源作为系统的特殊的对象。这 些对象包含资源本身，Windows NT 提供 了一种访问机制去使用它们。由于这些基 本的原因，所以我们把 Windows NT 还称 为基于对象的操作系统。 Windows NT的对象 Windows NT的安全就是基于以下的法则： n用对象表现所有的资源 n只有 Windows NT 才能直接访问这些对象 n对象能够包含所有的数据和方法 n对象的访问必须通过 Windows NT 的安全 子系统的第一次验证 n存在几种单独的对象，每一个对象的类型 决定了这些对象能做些什么 Windows NT的对象 nWindows 中首要的对象类型有： (1)文件 (2)文件夹 (3)打印机 (4)I/O 设备 (5)窗口 (6)线程 (7)进程 (8)内存 三、Windows NT 的安全子系统 Windows NT的安全子系统 Windows NT 安全子系统包含五个关键的组件： nSecurity identifiers nAccess tokens nSecurity descriptors nAccess control lists nAccess control entries 安全标识符（ Security Identifiers ） n操作系统提供的安全功能中很重要的一点就 是责任确保任何实体的动作将唯一用该 实体标识。每次当我们创建一个用户或一个 组的时候，系统会分配给该用户或组一个唯 一 SID。它是由计算机名、当前时间、当前 用户态线程的CPU耗费时间的总和三个参数 决定以保证它的唯一性。 访问令牌（ Access Tokens ） n用户通过验证后，登陆进程会给用户一个 访问令牌，该令牌相当于用户访问系统资 源的票证，当用户试图访问系统资源时， 将访问令牌提供给 Windows NT ，然后 Windows NT 检查用户试图访问对象上的 访问控制列表。如果用户被允许访问该对 象， Windows NT 将会分配给用户适当的 访问权限。 安全描述符（Security descriptors） nWindows NT 中的任何对象的属性都有安全描述符 这部分。它保存对象的安全配置。 访问控制列表（Access control lists） n访问控制列表有两种：自主 访问控制列表（ Discretionary ACL）、系统 访问控制列表（System ACL ）。自主访问控制列表包含 了用户和组的列表，以及相 应的权限。而系统访问控制 列表是为审核服务的，包含 了对象被访问的时间。 访问控制项（Access control entries） n访问控制项（ ACE ）包含了用户或组的 SID 以及对象的权限。访问控制项有两种 ：允许访问和拒绝访问。拒绝访问的级别 高于允许访问。 Windows NT的安全子系统的实现 n安全子系统包括以下部分： (1)Winlogon (2)Graphical Identification and Authentication (GINA) (3)Local Security Authority(LSA) (4)Security Support Provider Interface(SSPI) (5)Authentication Packages (6)Security support providers (7)Netlogon Service (8)Security Account Manager(SAM) Windows NT的安全子系统 Winlogon and Gina: nWinlogon 调用 GINA DLL ，并监视安全认证序 列。而 GINA DLL 提供一个交互式的界面为用户 登陆提供认证请求。 GINA DLL 被设计成一个独 立的模块，当然我们也可以用一个更加强有力的 认证方式（指纹、视网膜）替换内置的 GINA DLL 。 nWinlogon 在注册表中查找 ，如果存在 GinaDLL 键，Winlogon 将使用这个DLL，如果不存在该键 ，Winlogon 将使用默认值 MSGINA.DLL（ 放在 C:WINNTSystem32msgina.dll ）。 本地安全认证（ Local Security Authority ） n本地安全认证（ LSA ）是一个受保护的子系统， 是安全子系统的中心组件。它负责以下任务： (1) 调用所有的认证包，检查在注册表 HKLMSYSTEMCurrentControlSetControlLSA 下 AuthenticationPAckages 的值，并调用该 DLL 进行认证 （ MSV_1.DLL ）。 (2) 重新找回本地组的 SIDs 和用户的权限。 (3) 创建用户的访问令牌。 (4) 管理本地安装的服务所使用的服务账号。 (5) 储存和映射用户权限。 (6) 管理审核的策略和设置。 (7) 管理信任关系。 认证包（Authentication Packages） n认证包可以为真实用户提供认证。通过 GINA DLL 的可信认证后，认证包返回用户的 SIDs 给 LSA ，然后将其放在用户的访问令牌中。 安全支持提供者（Security Support Provider） n安全支持提供者是以驱动的形式安装的，能够实 现一些附加的安全机制，默认情况下， Windows NT 安装了以下三种： nMsnsspc.dll ：微软网络挑战 / 反应认证模块 nMsapsspc.dll ：分布式密码认证挑战 / 反应模块 nSchannel.dll ：该认证模块使用某些证书颁发机构提 供的证书来进行验证，常见的证书机构比如 Verisign 。这种认证方式经常在使用 SSL （ Secure Sockets Layer ）和 PCT （ Private Communication Technology ）协议通信的时候用到。 网络登陆（ Netlogon ） n网络登陆服务必须在通过认证后建立一个 安全的通道。要实现这个目标，必须通过 安全通道与域中的域控制器建立连接，然 后，再通过安全的通道传递用户的口令， 在域的域控制器上响应请求后，取回用户 的 SIDs 和用户权限。 安全账号管理者（Security Account Manager） n安全账号管理者( SAM ) ，它是用来保存 用户账号和口令的数据库。保存了注册表 中 HKLMSecuritySam 中的一部分内容 。不同的域有不同的 Sam ，在域复制的 过程中， Sam 包将会被拷贝。 四、Windows NT 的安全服务 验证 应用程序要被不同的人访问，无论使用远程 或本地计算机。操作系统需要回答的第一个 问题是“这个人是否有权力访问这个应用程 序？“。确保用户就是他们自己声称的那个 人 的能力是操作系统必须提供的最重要的安全 功能之一。验证机制把系统进行标识，该标 识用于当用户在系统上工作时跟踪他们，同 真实身份标识绑定在一起。 Microsoft Windows NT 的验证服务 nWindows NT 要求在访问系统资源，例如 文件，目录等等，以前进行验证。 nWindows NT提供了一个引发安全性的键 组合（CTRL-ALT-DEL组合键）建立到操作 系统的通信，而且也只到操作系统的，以 进行验证。这种信任路径机制的使用可以 防止特洛伊木马程序截获一个用户的初始 认证信息。 Microsoft Windows NT 的验证服务 n缺省的验证机制是用户名和密码。Windows NT 提供了设置密码有效期限，强度（也就是长度） ，历史，以及使用时间的能力。Windows NT还 针对可猜测性或者字典攻击提供了对管理员密码 的强度的密码过滤器。Windows NT对储存在注 册表中的密码信息进行了加密。这样的手段降低 了对密码文件的基于字典的猜测式攻击，无论该 文件是在本地机上或者攻击者把该文件复制到其 他机器上。 Microsoft Windows NT 的验证服务 n虽然Windows NT提供了用户名/密码验证，它还 提供了标准的图形化标识和验证接口（GINA， Graphical Identification and Authentication）， 这样第三方可以很容易的把附加的验证方法集成 到Windows NT中。 n除GINA外，Windows NT还提供了安全服务提供 者接口（Security Services Provider Interface） 和加密应用程序编程接口（CAPI， Cryptographic Applications Programming Interface）。这些模块提供应用程序访问操作系 统上的加密服务的标准方法，以及供应商为操作 系统提供附加加密服务的标准方法。 Microsoft Windows NT 的验证服务 nWindows NT把验证机制集成到全部安全操 作和体系中。分布式应用程序使用Windows NT验证机制进行客户/服务器访问。这些验 证机制使用挑战/响应协议，这个协议对密 码进行数学转换，密码决不会以明文形式传 递。 访问控制 n一旦操作系统断定连接的用户是正确的用 户，它就必须回答“该用户可用的信息是什 么”。访问控制是防止未经授权的实体对系 统信息进行访问的机制。典型的操作系统 都支持访问控制机制，该机制指定可以读 ，写，修改，或者复制特定的系统对象。 Windows NT访问控制服务 nWindows NT提供两种形式的访问控制： 对象许可和系统范围用户权利。对象许可 就是自主访问控制。用户权利，在分配给 组的时候，允许一种基于角色的访问控制 。Windows NT的内核包括安全访问监视 器（Security Reference Monitor）在系统 的一个单一模块上实现了这些访问仲裁控 制。 Windows NT访问控制服务 n在基于Windows NT的系统上的所有资源，例如 文件（仅限NTFS格式），进程，打印机，注册 表，或者通信设备，在对象监视器中都用一个对 象来表示。在一个对象上执行指定操作的许可存 放在访问控制列表中（ACL，Access Control Lists）。ACL提供了一个细粒度的访问控制。它 们允许对象所有者基于独立用户，或者它们定义 的用户组以及管理员定义的组指定许可。为了管 理上的方便同时提供了本地组和全局组。 Windows NT访问控制服务 n系统范围用户权利是一种赋予用户能力， 或者权限来进行特定系统动作，而不会提 供超出他们需要的权限的方法。可以分别 管理27种权限。这些权利和限制在登录的 时候包含在验证过的用户名中而且只能在 用户被授予这种权限的时候才能改变（通 常保留给网络管理员）。这意味着没有应 用程序能为一般的用户修改他们自己的安 全性设置。 责任 n责任和审核服务回答“发生了什么？“。即 使最严格的安全防护也不能防止所有的安 全事故。操作系统提供的安全功能中很重 要的一点就是责任-确保任何实体的动作将 唯一用该实体标识。一个实体可以是一个 人，一个操作系统资源，或者一个外部系 统，例如计算机或者网络。 Windows NT的责任服务 nWindows NT紧密绑定一个安全ID（SID， Security ID），SID唯一标识一个主机或 者域上的用户。SID是同一次用户登录连 接的进程相联系的访问记号的一部分。它 自动成为系统产生的任何审核纪录的一部 分。该服务提供了所有的用户可以进行的 动作的完整的责任-从文件访问到应用程序 使用。 审核 n从安全的观点看，审核是重现安全相关事 件以支持对事件的原因和影响的检查。审 核跟踪或者系统日志信息可以被用来判断 是否有违反安全策略的事情发生或者是否 有值得怀疑的事情。 Windows NT审核服务 nNT系统提供了事件日志（Event Logging）。事 件日志可以被配置在系统级别和对象级别记录安 全相关事件。系统事件包括登录和退出，文件和 对象访问，用户权利的使用，用户和组管理，安 全策略改变，重新启动和关机，系统错误，以及 进程跟踪。文件和对象审核可以被控制在单个文 件，目录，甚至是驱动器。这些事件的组合足够 满足可信计算机系统评估准则（TCSEC-Trusted Computer Security Evaluation Criteria，也就是 橘皮书）的要求。 安全分区 n从安全的角度看，每一个系统实体（用户 或者计算机资源）均被分配一个安全分区 ，或者叫做域。一个安全域是一个逻辑结 构，由实体被授权访问的所有对象组成。 一个用户域也许包括存储空间，I/O设备， 应用程序，以及其他元素。一个进程域只 包含那些被授权使用的系统资源（数据， 存储空间，I/O等等）。 Windows NT安全分区分离服务 nWindows NT通过维护进程间的地址分离提供了进程孤立 。实体间的所有访问和通信都通过仲裁接口。该仲裁是 内核提供的，在一个用户编程不能使用的保护地址空间 中操作。所有的内核功能包含在一个单一的模块中，即 安全访问模块（Security Reference Module）。这样把 所有安全相关的功能集中到一个从一开始就为安全而设 计单一模块中。通过这个模块，Windows NT内核控制任 何应用程序可以访问的资源。例如，用一个普通用户的 许可运行的应用程序不能访问为其他应用程序，或者具 有更高权限的用户保留的内存或者文件系统资源自动强 制实现这个功能。 Windows NT安全分区分离服务 nWindows NT在分配系统缓冲给一个用户 之前，会清除该缓冲并且维护一个文件使 用指针以防止磁盘上文件块的重用。这样 可以防止用户之间的不可预测的信息流。 另外，Windows NT提供应用程序在返还 交换空间给操作系统之前清除它们的能力 ，在系统关机的情况下也是一样。这些是 很重要的存储空间重用功能，可以防止攻 击者读取其他用户的应用程序留下的信息 。 五、 Windows NT 的安全管理 Windows NT 的安全管理 nWindows NT通过一系列的管理工具，以 及对用户帐号，口令的管理，对文件、数 据授权访问，执行动作的限制，以及对事 件的审核来保证系统安全的。对用户帐号 、用户权限及资源权限的合理组合，可以 有效地保证安全性。 强化安全的措施 1、加强物理安全管理 1)去掉或锁死软盘驱动器，禁止DOS或其他操作系统访问 NTFS分区； 2)在服务器上设置系统启动口令，设置BIOS禁用软盘引导 系 统； 3)不创建任何DOS分区； 4)保证机房的物理安全。 2、用最新的Service Pack (SP4或SP5)升级Windows NT Server 。 3、掌握并使用微软提供但未设置的安全功能。 例如：缺省安装未禁用Guest账号，并且给Everyone（每 个人）工作组授予“完全控制”权限，没有实施口令策略等。 4、控制授权用户的访问 在域里配置适当的NTFS访问控制可以增强网络的安全 。 取消或更改缺省情况下的Everyone组的“完全控制”权限 ， 要始终设置用户所能允许的最小的文件夹和文件的访问 权 限。另外，不要共享任何一个FAT卷。 5、避免给用户定义特定