第 01 讲 Windows操作系统安全

1、1http:/ 2http:/ 3http:/ 4http:/ 5http:/ 总线I总线II总线III北桥芯片南桥芯片适配器适配器适配器适配器CPU主存缓存显示适配器6http:/ 适配器适配器适配器适配器7http:/ 8http:/ 9http:/ 10http:/ 11http:/ 12http:/ 13http:/ 14http:/ 15http:/ 16http:/ 创建和删除进程，为线程和进程提供API。17http:/ 18http:/ 19http:/ 20http:/ 21http:/ 22http:/ 23http:/ 24http:/ 25http:/ 名称名称模块所实

2、现的位置模块所实现的位置模式模式何时被启动何时被启动/被加载被加载由谁启动由谁启动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN32的内核模式部分内核系统启动时

3、SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE服务控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接口NA系统启动时SMSS.EXEOS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系统.DLLNA根据需要SMSS.EXEPSXSS.DLLP

4、OSIX子系统进程用户根据需要SMSS.EXE26http:/ KERNEL32.DLLGDI32.DLLUSER32.DLLADVAPI32.DLLWIN32K.SYSPSXSS.DLLPSXDLL.DLLLSASS.EXE27http:/ 28http:/ 29http:/ 30http:/ 31http:/ 32http:/ 33http:/ 34http:/ 35http:/ 36http:/ 37http:/ 38http:/ 39http:/ 40http:/ 41http:/ 42http:/ 1.1.操作系统安全程度的度量标准：目前常用美国国防部系统所制定的操作系统安全程度的度

5、量标准：目前常用美国国防部系统所制定的TCSECTCSEC（“Trusted Computer “Trusted Computer System Evaluation Criteria”System Evaluation Criteria”（19851985），其评估标准主要是基于：），其评估标准主要是基于：系统安全政策（系统安全政策（PolicyPolicy）的制定）的制定系统使用状态的可审性（系统使用状态的可审性（AccountabilityAccountability）安全政策的准确解释和实施的可靠性（安全政策的准确解释和实施的可靠性（AssuranceAssurance）2.2.系统安

6、全程度被分为八个等级（系统安全程度被分为八个等级（D1D1、C1C1、C2C2、B1B1、B2B2、B3B3、A1A1和和A2A2），其中），其中D1D1系统的安全度为最系统的安全度为最低，常见的无密码保护的个人计算机系统即属此类；低，常见的无密码保护的个人计算机系统即属此类；3.3.通常具有密码保护的多用户工作站系统属于通常具有密码保护的多用户工作站系统属于C1C1级级4.4.一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级，因而网络系一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级，因而网络系统安全的难度更大。统安全的难度更大。43http:

7、/ 44http:/ 45http:/ 46http:/ 47http:/ 48http:/ 提供Windows 2000目录服务和复制。它支持轻量级目录访问协议（LDAP）和数据的管理部分Windows 2000中默认的身份验证协议。它用于Windows 2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证。安全子系统的中心组件，它促使访问令牌、管理本地计算机上的安全策略并向用户登录提供身份验证用于Windows NT身份验证的身份验证包。它用于为不支持Kerberos身份验证的Windows客户提供兼容支持一个内核模式组件，它可以避免任何用户或进程直接访问对象而且还可

8、以验证所有对象访问，它还生成相应的审核消息是本地用户和工作组的一个数据库，用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置49http:/ v 账号v 指纹v 视网膜v IC卡v 证书根据获得的标识信息验证客户的身份设置不同对象的访问权限（ACL）根据用户标识和对象的ACL进行访问控制对整个过程（标识鉴别、对象授权、访问控制）进行审核50http:/ 添加、删除账号和组设置对象的ACL登录成功获得访问令牌采用Kerberos或者NTLM协议进行认证检查访问令牌和被访问对象的ACL必要时对验证、授权过程作日志审核登录方式：本地、网络除账号标识外还可采用令牌、指纹、视网膜、IC卡等

9、方式根据用户的权限和对象的ACL进行访问控制令牌 SID zhangsan *SID 读写 执行 更改 51http:/ 52http:/ 53http:/ 54http:/ 55http:/ 56http:/ 57http:/ 58http:/ 账号的属性第一安装windows 2000时将创建两个帐号：Administrator 和 Guest59http:/ 用户帐号的集合1.Windows 2000 包含一些预定义的组，共四类：a)本地组：b)本地域组：c)全局域组：d)通用组：60http:/ 61http:/ 62http:/ 63http:/ 64http:/ 1.识别安全注意序

10、列（Secure Attention Sequence，SAS），并调用相应的GINA处理程序2.向用户命令解释程序授予访问令牌3.加载用户配置文件4.保护计算机和桌面5.控制屏幕保护程序6.处理远程（性能监视器）请求65http:/ 66http:/ 67http:/ 68http:/ 。69http:/ 70http:/ 权限级别权限级别RXWDPO允许的用户动作允许的用户动作No Access 用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和 运行目录中的应用程序AddXW用户可以添加文件和子录Add

11、 and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限， 另外还可以更改文件的内容，删除文件和子目录Full controlRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权如果对目录有Execute (X) 权限，表示可以穿越目录，进入其子目71http:/ 权限级别权限级别RXWDPO允许的用户动作允许的用户动作No Access 用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件Full controlRXWDPO包含Change的权限，还可以更改权

12、限和获取文件的有权72http:/ 共享权限级别允许的用户动作No Access(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据 和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Full control(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)73http:/ 74http:/ Windows有三种类型的事件日志：有三种类型的事件日志：1.系统日志系统日志 跟踪各

13、种各样的系统事件，比如跟踪系统启动过程中的跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。事件或者硬件和控制器的故障。2.应用程序日志应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载跟踪应用程序关联的事件，比如应用程序产生的象装载DLL（动态链接库）失败的信息将出现在日志中。（动态链接库）失败的信息将出现在日志中。3.安全日志安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。动和关闭。注意：安全日志的默认状态是关闭的。75http:/ 76http:/

14、77http:/ 78http:/ 79http:/ 80http:/ 81http:/ 帐户策略帐户策略1.所有安全策略都是基于计算机的策略。帐户策略定义在计算机上，然而却可影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集：a.密码策略。用于域或本地用户帐户。确定密码设置（如强制执行和有效期限）。b.帐户锁定策略。用于域或本地用户帐户。确定某个帐户被锁定在系统之外的情况和时间长短。c.Kerberos 策略。用于域用户帐户。确定与 Kerberos 相关的设置（如票的有限期限和强制执行）。本地计算机策略中没有 Kerberos 策略。2.对于域帐户，只有一种帐户策略。账户策略必须

15、在“默认域策略”中定义，且由组成该域的域控制器实施。域控制器始终从“默认域策略组策略对象”中获得账户策略，即使存在应用到该域控制器所在的部门的不同账户策略。默认情况下，加入到域（如成员计算机）中的工作站和服务器也同样接收到各自本地账户的相同账户策略。然而，本地帐户策略可能不同于域帐户策略，例如，当为各个本地帐户定义帐户策略时即是如此。3.与帐户策略具有类似行为的“安全选项”有两个策略。它们是： a.网络访问：允许匿名 SID/NAME 转换 b.网络安全登录时间超时时强制注销 82http:/ 83http:/ 1.使用组策略中的公钥策略设置可以：a)使计算机自动向企业证书颁发机构提交证书申请

16、并安装颁发的证书。这有助于确保计算机能获得在组织内执行公钥加密操作（例如，为 Internet 协议安全 (IPSec) 或客户端验证）所需的证书b)创建和分发证书信任列表 (CTL)。证书信任列表是根 证书颁发机构 (CA)的证书的签名列表，管理员认为该列表对指定目的来说值得信任，例如客户身份验证或安全电子邮件。例如，如果认为证书颁发机构的证书对 IPSec 而言可以信任，但对客户身份验证不足以信任，则通过证书信任列表可以实现这种信任关系。c)建立常见的受信任的根证书颁发机构。使用该策略设置可以使计算机和用户服从共同的根证书颁发机构（除他们各自信任的根证书颁发机构外）。域中的证书颁发机构不必

17、使用该策略设置，因为它们已经获得了该域中所有用户和计算机的信任。该策略主要用于在不属于本组织的根证书颁发机构中建立信任。d)添加加密数据恢复代理，并更改加密数据恢复策略设置。 84http:/ 85http:/ 86http:/ 87http:/ 88http:/ 89http:/ 90http:/ 91http:/ 92http:/ 93http:/ 94http:/ 95http:/ 96http:/ 97http:/ 98http:/ 99http:/ 100http:/ 101http:/ 102http:/ 103http:/ 104http:/ 105http:/ 106http:

18、/ 107http:/ 108http:/ 109http:/ 110http:/ Pid Process Port Proto Path400 svchost - 135 TCP C:WINNTsystem32svchost.exe8 System - 139 TCP8 System - 445 TCP8 System - 1028 TCP872 rsvp - 1047 TCP C:WINNTSystem32rsvp.exe624 WinMgmt - 1048 TCP C:WINNTSystem32WBEMWinMgmt.exe624 WinMgmt - 1049 TCP C:WINNTSy

19、stem32WBEMWinMgmt.exe540 inetinfo - 1054 TCP C:WINNTSystem32inetsrvinetinfo.exe1616 msdtc - 2692 TCP C:WINNTSystem32msdtc.exe1616 msdtc - 3372 TCP C:WINNTSystem32msdtc.exe8 System - 3778 TCP400 svchost - 135 UDP C:WINNTsystem32svchost.exe8 System - 137 UDP8 System - 138 UDP8 System - 445 UDP256 lsass - 500 UDP C:WINNTsystem32lsass.exe244 services - 1029 UDP C:WINNTsystem32services.exe540 inetinfo - 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe111http:/ 112http:/ 113http:/ 1. 时刻注意安全漏洞和补丁发布时刻注意安全漏洞和补丁发布2. 定期分析日志系统，发现潜在攻击定期分析日志系统，发现潜在攻击3. 注意账号和口令的安全问题注意账号和口令的安全问题4. 注意观察系统异常注意观察系统异常5. 管