计算机系统安全原理与技术课件第4章第5节

4.5Windows系统安全4.5.1Windows安全子系统4.5.2Windows系统登录认证4.5.3Windows系统访问控制4.5.4其他安全机制1计算机系统安全原理与技术（第4版）4.5Windows系统安全Windows满足TCSEC中B等级安全性的两个要求：1）可信路径功能。防止特洛伊木马程序在用户登录时截获用户的用户名和口令。例如，在Windows中，通过<Ctrl+Alt+Del>组合键序列来实现可信路径功能。<Ctrl+Alt+Del>是系统默认的系统登录/注销组合键序列，系统级别很高，理论上木马程序想要屏蔽掉该键序列的响应或得到这个事件响应是不可能的。2）可信设施管理。要求针对各种管理功能有单独的账户角色。例如，针对管理员、负责计算机备份的用户和标准用户分别提供单独的账户。2计算机系统安全原理与技术（第4版）4.5.1Windows安全子系统3计算机系统安全原理与技术（第4版）Windows系统在安全设计上有专门的安全子系统，安全子系统主要由本地安全授权（LSA）、安全账户管理（SAM）和安全引用监视器（SRM）等模块组成。4.5.1Windows安全子系统4计算机系统安全原理与技术（第4版）（1）登录进程WinlogonWinlogon在收集好用户的登录信息后，就调用本地安全授权（LSA,LocalSecurityAuthority）的LsaLogonUser命令，把用户的登录信息传递给LSA。实际认证部分的功能是通过LSA来实现的。Winlogon、LogonUI和LSA三部分相互协作实现了Windows的登录认证功能。4.5.1Windows安全子系统5计算机系统安全原理与技术（第4版）（2）本地安全授权子系统（LocalSecurityAuthoritySubSystem，LSASS）这是一个运行%SystemRoot%\System32\Lsass.exe的用户模式进程，负责本地系统安全策略（例如允许哪些用户登录到本地机器上、口令策略、授予用户和用户组的权限，以及系统安全设计设置）、用户认证，以及发送安全审计消息到事件日志（EventLog）中。本地安全授权服务（Lsasrv—%SystemRoot%\System32\Lsasrv.dll）是LSASS加载的一个库，它实现了这些功能中的绝大部分。4.5.1Windows安全子系统6计算机系统安全原理与技术（第4版）（2）本地安全授权子系统（LocalSecurityAuthoritySubSystem，LSASS）LSASS策略数据库是包含本地系统安全策略设置的数据库。该数据库被存储在注册表中，位于HKLM\SECURITY的下面。它包含的信息：哪些域是可信任的，从而可以认证用户的登录请求；谁允许访问系统，以及如何访问（交互式登录、网络登录，或者服务登录）；分配给谁哪些权限；执行哪一种安全审计。LSASS策略数据库也保存一些“秘密”，包括域登录（domainlogon）在本地缓存的信息，以及Windows服务的用户—账户登录信息。4.5.1Windows安全子系统7计算机系统安全原理与技术（第4版）（3）安全账户管理器（SecurityAccountManager，SAM）SAM服务负责管理一个数据库，该数据库包含了本地机器上已定义的用户名和组。SAM服务是在%SystemRoot%\System32\Samsrv.dll中实现的，它运行在Lsass进程中。SAM数据库在非域控制器的系统上，包含了已定义的本地用户和用户组，连同它们的口令及其他属性。在域控制器上，SAM数据库保存了该系统的管理员恢复账户的定义及其口令。该数据库被存储在注册表的HKLM\SAM下面。4.5.1Windows安全子系统8计算机系统安全原理与技术（第4版）（4）安全引用监视器（SecurityRefrenceMonitor，SRM）SRM负责访问控制和审计策略，由LSA支持。SRM提供客体（文件、目录等）的存取权限，检查主体（用户账户等）的权限，产生必要的审计信息。客体的安全属性由安全控制项（ACE）来描述，全部客体的ACE组成访问控制表（ACL）。没有ACL的客体意味着任何主体都可访问。而有ACL的客体则由SRM检查其中的每一项ACE，从而决定主体的访问是否被允许。4.5.1Windows安全子系统9计算机系统安全原理与技术（第4版）（5）认证包（AuthenticationPackage）认证包可以为真实用户提供认证。这包括运行在Lsass进程和客户进程环境中的动态链接库（DLL），认证DLL负责检查一个给定的用户名和口令是否匹配，如果匹配的话，则向LSASS返回有关用户安全标识的细节信息，以供Lsass利用这些信息来生成令牌。（6）网络登录（Netlogon）网络登录服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SID和用户权限。4.5.1Windows安全子系统10计算机系统安全原理与技术（第4版）（7）活动目录（ActiveDirectory）活动目录是一个目录服务，它包含了一个数据库，其中存放了关于域中对象的信息。域（Domain）是由一组计算机和与它们相关联的安全组构成的，每个安全组被当作单个实体来管理。活动目录存储了有关该域中的对象的信息，这样的对象包括用户、组和计算机。域用户和组的口令信息、权限也被存储在活动目录中，而活动目录则是在一组被指定为该域的域控制器的机器之间进行复制的。活动目录不是Windows系统必需安装的一种服务。4.5.1Windows安全子系统11计算机系统安全原理与技术（第4版）（8）AppLocker管理应用程序AppLocker是一种机制，它允许管理员指定哪些可执行文件、DLL和脚本可以被指定的用户和组使用。AppLocker由一个驱动程序（%SystemRoot%\System32\Drivers\Appid.sys）和一个运行在SvcHost进程中的服务（%SystemRoot%\System32\Appidsvc.dll）组成。4.5.2Windows系统登录认证12计算机系统安全原理与技术（第4版）1.安全主体类型（1）用户账户：在Windows中一般有两种用户：本地用户和域用户。（2）组账户：具有相似工作或有相似资源要求的用户可以组成一个工作组（也称为用户组）。（3）计算机：计算机实际上是另外一种类型的用户。在活动目录的结构中，计算机层是由用户层派生出的，它具备用户的大多数特性。因此，计算机也被看做主体（4）服务：近年来，微软试图分解服务的特权，但在同一用户下的不同服务还是存在权限滥用的问题。为此，在WindowsVista以后的系统和WindowsServer2008系统中，服务成为了主体，每个服务都有一个应用权限。4.5.2Windows系统登录认证13计算机系统安全原理与技术（第4版）2.安全标识符Windows并不是根据每个账户的名称来区分账户的，而是使用安全标识符（SecurityIdentifier，SID）。标识某个特定账号或组的SID是在创建该账号或组时由系统的本地安全授权机构（LocalSecurityAuthority，LSA）生成，并与其他账号信息一起存储在注册的一个安全域里。域账号或组的SID由域LSA生成并作为活动目录里的用户或组对象的一个属性存储。SID在它们所标识的账号或组的范围内是唯一的。每个本地账号或组的SID在创建它的计算机上是唯一的，机器上的不同账号或组不能共享同一个SID。SID在整个生存期内也是唯一的。LSA绝不会重复发放同一个SID，也不重用已删除账号的SID。SID是一个48位的字符串，在Windows10系统中，要想查看当前登录账户的SID，可以使用管理员身份启动命令提示行窗口，然后运行“whoami/user”命令。4.5.2Windows系统登录认证14计算机系统安全原理与技术（第4版）3.登录认证（1）本地登录认证本地登录指用户登录的是本地计算机，对网络资源不具备访问权力。本地登录所使用的用户名与口令被存储在本地计算机的安全账户管理器（SAM）中，由计算机完成本地登录验证，提交登录凭证包括用户ID与口令。本地计算机的安全子系统将用户ID与口令送到本地计算机上的SAM数据库中做凭证验证。这里需要注意的是，Windows的口令不是以纯文本格式存储在SAM数据库中的，而是将每个口令计算哈希值后进行存储。本地用户登录没有集中统一的安全认证机制。4.5.2Windows系统登录认证15计算机系统安全原理与技术（第4版）3.登录认证（2）基于活动目录的域登录认证基于活动目录的域登录与本地登录的方式完全不同。首先，所有的用户登录凭证（用户ID与口令）被集中地存放到一台服务器上，结束了分散式验证的行为。该过程必须使用网络身份认证协议，这些协议包括Kerberos、LAN管理器（LM）、NTLAN管理器（NTLM）等，而且这些过程对于用户而言是透明的。从某种意义上讲，这真正做到了统一验证、一次登录、多次访问。4.5.3Windows系统访问控制16计算机系统安全原理与技术（第4版）1.安全对象在Windows系统中，安全管理的对象包括：文件、目录、注册表项、动态目录对象、内核对象、服务、线程、进程、防火墙端口、Windows工作站和桌面等，其中最常见的安全对象就是文件。2.访问控制Windows2000以后的版本中，访问控制是一种双重机制，它对用户的授权基于用户权限和对象许可。4.5.3Windows系统访问控制17计算机系统安全原理与技术（第4版）3.组件Windows利用安全子系统来控制用户对计算机上资源的访问。安全子系统包括的关键组件是：安全性标识符（SID）、访问令牌（AccessToken）、安全描述符（SecurityDescriptor）、访问控制列表（AccessControlList）、访问控制项（AccessControlEntry）、安全引用监视器（SecurityReferenceMonitor，SRM）。4.5.3Windows系统访问控制18计算机系统安全原理与技术（第4版）3.组件（1）访问令牌安全引用监视器使用访问令牌来标识一个进程或线程的安全环境。访问令牌可以看作是一张电子通行证，里面记录了用于访问对象、执行程序甚至修改系统设置所需的安全验证信息。4.5.3Windows系统访问控制19计算机系统安全原理与技术（第4版）3.组件（2）安全描述符令牌标识了一个用户的凭证，而安全描述符与一个对象关联在一起，规定了谁可以在这个对象上执行哪些操作。版本号：创建此描述符的SRM安全模型的版本。标志：定义了该描述符的类型和内容。该标志指明是否存在DACL和SACL。还包括如SE_DACl_PROTECTED的标志，防止该描述符从另一个对象继承安全设置。所有者SID：所有者的安全ID，该对象的所有者可以在这个安全描述符上执行任何动作。所有者可以是一个单一的SID，也可以是一组SID。所有者具有改变DACL内容的权限。组SID：该对象的主组的安全ID（仅用于POSIX系统）。自主访问控制列表（DACL，DiscretionaryACL）：规定了谁可以用什么方式访问该对象。系统访问控制列表（SACL，SystemACL）：规定了哪些用户的哪些操作应该被记录到安全审计日志中。4.5.3Windows系统访问控制20计算机系统安全原理与技术（第4版）3.组件（3）访问控制表ACLWindows使用ACL来描述访问权限信息。ACL可由管理员或对象所有者管理。Windows为每一个安全对象保持一份ACL。ACL是对象安全描述符的基本组成部分，它包括有权访问对象的用户和组的SID。每个ACL由整个表的表头和许多访问控制项（AccessControlEntries，ACE）组成。每一项定义一个个人SID或组SID，访问掩码定义了该SID被授予的权限。4.5.4其他安全机制21计算机系统安全原理与技术（第4版）1.文件系统（1）NTFS文件系统的权限控制Windows2000以上的操作系统都建议使用NTFS文件系统，它具有更好的安全性与稳定性。NTFS权限控制可以实现较高的安全性，通过给用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。NTFS分区上的每一个文件和文件夹都有一个ACL，该列表记录了每一个用户和用户组对该资源的访问权限。NTFS可以针对所有的文件、文件夹、注册表键值、打印机和动态目录对象进行权限设置。局限性？4.5.4其他安全机制22计算机系统安全原理与技术（第4版）1.文件系统（2）加密文件系统（EncryptingFileSystem，EFS）加密文件系统支持对Windows2000及以上版本中NTFS格式磁盘的文件加密。EFS允许用户以加密格式存储磁盘上的数据，将数据转换成不能被其他用户读取的格式。EFS和BitLocker加密功能的区别？4.5.4其他安全机制23计算机系统安全原理与技术（第4版）2.用户账户控制（UserAccountControl，UAC）从WindowsVista系统开始，有了全新的用户账户控制功能用户账户控制功能可以限制用户的权限，从而保证系统的安全。当用户使用管理员账户登录时，Windows会为该账户创建两个访问令牌，一个标准令牌，一个管理员令牌。大部分时候，