网络攻防技术 第10章 访问控制机制

第十章访问控制机制2023/6/16网络攻防技术2本章主要内容10.1访问控制概述10.2操作系统访问控制相关机制10.3UAC机制分析10.1访问控制概述网络攻防技术访问控制是指在系统中通过对访问各种资源的操作进行控制，以防止非法用户对系统的入侵以及合法用户对系统资源的违规使用。10.1访问控制概述网络攻防技术将访问动作的发起者和目标定义为主体和客体。访问控制即确定主体是否能够对客体进行访问的控制机制和过程。主体：用户和用户所创建的进程客体：所有资源10.1访问控制概述网络攻防技术什么是访问控制？访问控制的目的:为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用。网络攻防技术访问控制模型

BELL-LAPADULA保密性模型BIBA完整性模型网络攻防技术BELL-LAPADULA保密性模型

基于强制访问控制系统，以敏感度来划分资源的安全级别。数据和用户被划分为以下安全等级：

公开（Unclassified）

受限（Restricted）

秘密（Confidential）

机密（Secret）

高密（TopSecret）网络攻防技术基于两种规则来保障数据的机密度与敏感度：上读(NRU),主体不可读安全级别高于它的数据下写(NWD),主体不可写安全级别低于它的数据BELL-LAPADULA保密性模型

网络攻防技术BIBA完整性模型

对数据提供了分级别的完整性保证，类似于BLP保密性模型，BIBA模型也使用强制访问控制系统。Biba与BLP模型的两个属性是相反的，BLP模型提供保密性，而BIBA模型对于数据的完整性提供保障。网络攻防技术BIBA完整性模型

基于两种规则来保障数据的机密度与敏感度：下读(NRU)属性,主体不能读取安全级别低于它的数据上写(NWD)属性,主体不能写入安全级别高于它的数据网络攻防技术访问控制策略自主访问控制（DAC）（discretionarypolicies）：基于身份的访问控制IBAC(IdentityBasedAccessControl)强制访问控制（MAC）策略(mandatorypolicies)：基于规则的访问控制RBAC（RuleBasedAccessControl）网络攻防技术自主访问控制（DAC）根据主体（用户）的身份及允许的访问权限来决定其访问操作。自主是指具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。缺点：由于信息在移动过程中其访问权限关系会被改变（灵活性高）,无法保护系统的数据流，使信息安全性能降低。网络攻防技术强制访问控制（MAC）在强制访问控制中，系统本身对访问控制矩阵加入了某些强制性的规则，所有主体包括对象的所有者都不能绕过这些限制。主体和客体中用于强制访问判定的要素，是由系统设置的固定内容，用户不能修改。访问控制关系分为：上读-下写方式保证了数据的完整性，下读-上写方式保证了信息的机密性。网络攻防技术强制访问控制（MAC）实例

上读：用户级别低于文件级别的读操作；下写：用户级别大于文件级别的写操作；下读：用户级别大于文件级别的读操作；上写：用户级别低于文件级别的写操作。网络攻防技术访问控制的实现机制访问控制矩阵（AccessControlMatrix）访问控制表（AccessControlLists）访问能力表（CapabilitiesLists）授权关系表（AuthorizationRelation）网络攻防技术访问控制矩阵行对应用户，列对应目标即客体网络攻防技术访问控制表(ACL)访问控制表是以客体为主体建立的。每个客体附加一个可以访问它的主体和访问权明细表。

网络攻防技术访问能力表(CL)访问能力表是以用户为主体建立的，每个主体附加一个该主体可访问的客体和访问权明细表。

网络攻防技术ACL和CL访问方式比较ACLCL鉴别两者鉴别的实体不同浏览访问权限容易困难访问权限回收容易困难之间转换->CL困难->ACL容易网络攻防技术应用授权关系表应用授权关系表直接建立用户与客体的隶属关系，如表中所示，各行分别说明了用户与客体的权限，不同的权限占不同的行。

网络攻防技术2023/6/16网络攻防技术22本章主要内容10.1访问控制概述10.2操作系统访问控制相关机制10.3UAC机制分析2023/6/162310.2操作系统访问控制相关机制认证和授权机制访问检查机制可信通路机制对象重用机制审计机制网络攻防技术访问控制假定：在实施访问控制前，用户的身份已得到验证。鉴别的目标是正确建立用户的身份。认证和授权机制网络攻防技术鉴别：用以检验主体的合法身份授权：用以限制用户对资源的访问级别

访问包括读取数据、更改数据、运行程序、发起连接等。认证和授权机制网络攻防技术Windows登录过程涉及的组件网络攻防技术访问检查机制当进程打开对象（句柄）时，对象管理器就调用SRM向它发送进程期望的访问权限。SRM检查对象的SD是否允许进程请求的访问类型。如果允许，引用监控机就返回一组授权的访问权限，允许进程得到这些权限，同时对象管理器将它们存储在所创建的对象句柄中。网络攻防技术访问检查机制网络攻防技术SRM的允许访问的算法如果对象没有DACL，对象不受保护，允许完全访问如果调用者具备SE_TAKE_OWNERSHIP_NAME特权，则SRM在进一步检查DACL之前立即赋予调用这修改SD中的所有者字段的权限。如果调用者是对象的拥有者，则在进一步审核DACL之前，调用者将被赋予对DACL进行读取控制和写入控制的权限（查看和修改DACL）。按次序检查DACL中的每一个ACE，如果ACE中的SID与令牌中启用的SID匹配，则处理ACE。如果赋予调用者所请求的所有访问权限，则对象访问成功；如果任何一个所请求的访问不能被赋予，则对象访问失败。网络攻防技术可信通路机制可信通路是指提供给用户的在终端和可信计算基之间的直接通路。可信计算基即TCB（TrustedComputingBase）是一个整体概念，指为用户和应用程序提供安全基础的所有系统组件，包括硬件及操作系统提供安全机制的部分，网络攻防技术安全注意序列（SAS）如Windows中敲入SAS（SecureAttentionSequence）或组合键“Ctrl+Alt+Del”时Winlogon调用登录界面，来获得一个用户名和口令。Winlogon使用RegisterHotKey注册C+A+D，当Windows输入系统收到该键盘组合消息，会向Winlogon窗口发送一个特殊的消息。木马应用程序不可能注销winlogon进程对于SAS（SecureAttentionSequence）的所有权。网络攻防技术SAS最早在安全操作系统Xenix的开发中出现，在Xenix通过SAK（SecureAttentionKey）来保证可信通路。在Linux中类似的为击键序列Alt+Sysrq+K安全注意序列（SAS）网络攻防技术对象重用的作用是保证存储介质在分配某个存储单元给用户时，该单元原来存储过的其他用户信息不被泄露。内存和磁盘的Cache出于效率考虑会备份对象信息，要将其格外保护，以免对所有用户泄露信息。对象重用机制网络攻防技术操作系统中对存储过口令的缓冲区一般会进行清零处理。Windows系统通过设置注册表里“HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement”键下的ClearPageFileAtShutdown项值为1，可以在关机时清零页面文件。对象重用机制网络攻防技术安全审计安全审计的概念安全审计的过程Windows安全审计子系统网络攻防技术安全审计的概念定义1：日志是记录的事件或者统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息。定义2：审计是根据一定的策略，在日志中记录系统的历史事件，通过分析这些事件发现系统的漏洞或所受威胁以改进系统的安全性，或者发现系统内部人员的越权操作，对潜在的攻击者起到警告的作用。网络攻防技术安全审计过程事件信息采集：捕获事件并对其关键信息进行提取；

日志记录：将事件信息保存到日志文件中；

日志察看：分析日志文件得到报告，将其反映给管理者。网络攻防技术WindowsXP系统日志（1）系统事件日志；（2）应用程序事件日志；（3）安全事件日志网络攻防技术Windows7系统日志有关Windows系统日志的说明信息类型错误，是很重要的问题，如数据丢失。警告，一般重要，有可能导致问题的事件。信息，描述程序、驱动程序或服务的成功操作。网络攻防技术有关Windows系统日志的说明事件类型系统事件是Windows内核和系统服务对运行情况进行记录的事件。安全事件，也叫做审核事件。系统记录的和安全相关的事件，如用户登录Windows的尝试是否成功。应用程序事件，一般应用程序生成的事件。网络攻防技术Windows审计策略审核策略的更改登录事件的审核对象访问的审核过程追踪的审核特权使用的审核系统事件的审核帐户登录的审核帐户管理的审核网络攻防技术2023/6/16网络攻防技术43本章主要内容10.1访问控制概述10.2操作系统访问控制相关机制10.3UAC机制分析10.3UAC机制分析保护系统完整性的机制用户帐户控制（UserAccountControl）强制完整性级别（MIC）用户界面特权隔离（UIPI）IE保护模式45UAC机制分析网络攻防技术UAC目的：保护系统完整性防止攻击者在用户不能察觉的情况下获得管理员权限支撑：强制完整性级别（MIC）用户界面特权隔离（UIPI）特点：动态提升权限重要应用：IE保护模式46UAC机制分析网络攻防技术强制完整性级别进程、文件、注册表项都被划分了完整性级别不信任(Untrusted)、低(Low)、中(Medium)、高(High)及系统(System)理解：完整性越高的对象，其完整性越需要保护，可以被查看，但是不能轻易被修改，所以低完整性级别的对象不能修改高完整性级别的对象47UAC机制分析网络攻防技术48UAC机制分析网络攻防技术UAC的用户体验动态提升权限：默认情况下用户进程只有中等完整性默认情况下用户进程只有一般用户权限需要提升权限时用户必须面对的提示框49UAC机制分析Windows7中的UAC为了用户的体验引入了白名单50UAC机制分析网络攻防技术利用白名单提权利用白名单中的组件复制恶意文件到关键位置利用白名单中的程序加载恶意文件51UAC机制分析网络攻防技术本章小结访问控制是一种重要的网络安全服务，在计算机和网络系统中实施权限管理访问控制通过一定的机制实现安全策略，访问控制模型是访问控制机制和策略的桥梁。计算机系统中，访问控制的大部分功能在操作系统中实现，相关的有认证和授权、访问检查、可信通路、对象重用和审计机制。2023/6/16网络攻防技术52本章小结访问控制是