第11章 Windows系统的安全机制

第11章

Windows2000系统的安全机制学习目标l

了解Windows2000Server的加密机制l

了解Windows2000Server的认证机制l

了解Windows2000Server的审计机制l

熟练掌握Windows2000Server的基本安全配置11.1windows2000的认证机制11.1.1身份认证Windows2000身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域，然后向域中的任何计算机认证身份。

单一注册在安全性方面提供了两个主要优点：对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率；对管理员而言，由于管理员只需要为每个用户管理一个帐户，域用户所要求的管理支持减少了。

Windows2000身份认证分两部分过程执行：交互式登录和网络身份认证。1.交互式登录交互式登录过程向域帐户或本地计算机确认用户的身份，这一过程根据用户帐户的类型而不同。如果使用域帐户登录，被授权的用户可以访问该域以及任何信任域中的资源。如果使用密码登录到域帐户，Windows2000将使用KerberosV5进行身份认证。如果使用智能卡，Windows2000将使用带证书的KerberosV5身份认证。

2．网络身份认证网络身份认证确认用户对于试图访问的任意网络服务的身份。为了提供这种类型的身份认证，Windows2000安全系统支持多种不同的身份认证机制，包括KerberosV5、安全套接字层/传输层安全(SSL/TLS)以及为了与WindowsNT4.0兼容而提供的NTLM。

11.1.2消息验证1．消息身份验证消息身份验证是验证发送消息的用户就是它们所申明的用户的过程。消息身份验证也保证了消息不被篡改。

2．用户证书用户证书主要用于验证消息发送者的

SID。只有当用户证书在

ActiveDirectory中首次注册时才能验证

SID。3．外部证书外部用户证书包含由证书颁发机构(CA)提供（而不是SID）的信息，以验证发送者的身份。创建证书的CA保证外部证书中的消息。4．服务器身份验证客户使用服务器身份验证功能可以来验证发送到消息队列服务器的查询结果是否没有被篡改，是否为正确的消息队列服务器返回的结果。

11.1.3数字签名Microsoft的数字签名向用户保证：如果某个特定文件已经满足了某项测试级别，则不会被另一个程序的安装进程修改或覆盖。

Windows2000包含以下功能，用于确保您的设备驱动程序和系统文件保持在原始状态，即数字签名状态。l

Windows文件保护l

系统文件检查程序l

文件签名验证1．Windows文件保护在Windows2000之前的Windows版本上，安装操作系统之外的软件可能会覆盖共享的系统文件，如动态链接库（.dll文件）和可执行文件（.exe文件）等。如果系统文件被覆盖，则可能会导致系统性能不可预知、程序运行无规律以及操作系统失败等问题。Windows2000中，“Windows文件保护”能够阻止替换受保护的系统文件，如.sys、.dll、.ocx、.ttf、.fon和.exe文件。启用“Windows文件保护”后，只有在安装以下程序时，系统才允许替换受保护的系统文件：²

使用Update.exe的Windows2000ServicePack²

使用Hotfix.exe的修补程序分发²

使用Winnt32.exe的操作系统升级²

Windows更新2．系统文件检查程序“系统文件检查程序”(sfc.exe)是一个命令行实用程序，其作用是在重新启动计算机之后扫描并验证所有受保护的系统文件的版本。如果系统文件检查程序发现受保护的文件被覆盖，则从%systemroot%\system32\dllcache文件夹中检索文件的正确版本，然后替换不正确的文件。“系统文件检查程序”的具体语法如下：sfc[/scannow][/scanonce][/scanboot][/cancel][/quiet][/enable][/purgecache][/cachesize=x]其中，各参数的含义是：²

/scannow：立即扫描所有受保护的系统文件。²

/scanonce：一次扫描所有受保护的系统文件。²

/scanboot：每次重新启动计算机时扫描所有受保护的系统文件。²

/cancel：取消对受保护系统文件的所有未决扫描。²

/quiet：替换所有不正确的文件版本，而不提示用户。²

/enable：将“Windows文件保护”返回到默认操作，如果检测到不正确的版本则提示用户还原受保护的系统文件。²

/purgecache：清除“Windows文件保护”文件缓存并立即扫描所有受保护的系统文件。²

/cachesize=x：以MB为单位设置“Windows文件保护”文件缓存的大小。3．使用文件签名验证在计算机上安装新软件时，系统文件被未经过签名的或不兼容的版本覆盖，可能会导致系统不稳定。Windows2000提供的系统文件具有Microsoft数字签名，这表明文件是原始的、未被篡改或Microsoft已批准由Windows2000使用的系统文件。使用“文件签名验证”，用户可以标识计算机上未经过签名的文件并查看相应文件的有关信息，如：文件名、文件位置、文件的修改日期、文件类型以及文件的版本号等。11.2Windows2000的审计机制10.2.1审核策略审核策略指定了要审核的安全相关事件的类别。第一次安装Windows2000时所有的审核类别都将被关闭。通过打开各种审核事件类别，可以实现符合单位安全需要的审计策略。可被选来进行审核的事件类别有：审核帐户登录事件；审核帐户管理；审核目录服务访问；审核登录事件；审核对象访问；更改审核策略；审核特权使用；审核过程跟踪；审核系统事件。

10.2.2审核对象的设置每个对象都带有一组安全信息或安全描述符。安全描述符中的一部分内容指定了可以访问对象的组或用户，以及授予这些组或对象的访问类型（权限）。这一部分内容称为自由访问控制列表(DACL)。除了包含权限信息外，对象的安全描述符还包括审核信息。审核信息被称为系统访问控制列表(SACL)。具体说来，SACL指明了：访问对象时要审核的组和用户帐户；对于每个组或用户需要审核的访问事件（如：修改文件），基于对象的DACL中授予的每个组或用户的权限的每个访问事件的成功或失败属性。

11.2.3选择审核项的应用位置审核文件和文件夹时会出现“审核项”对话框。在此对话框中，“应用到”列表显示了可以应用审核项的地方。这些审核项应用的方式取决于是否选中了“仅对此容器内的对象和/或容器应用这些审核项”。默认情况下，该复选框是清除的。10.3Windows2000的加密机制

10.3.1文件加密系统文件加密系统(EFS)提供一种核心文件加密技术，该技术用于在NTFS文件系统卷上存储已加密的文件。使用文件加密系统(EFS)，用户可以对文件进行加密和解密。以保证文件的安全，防止那些未经许可的入侵者访问存储的敏感资料（例如，通过盗窃笔记本计算机或外挂式硬盘驱动器来偷取资料）。用户可以象使用普通文件和文件夹那样使用已加密的文件和文件夹。EFS用户如果是加密者本人，系统会在用户访问这些文件和文件夹时将其自动解密。但是，不允许入侵者访问任何已加密的文件或文件夹。文件的加密过程如下：

（1）每个文件都有一个唯一的文件加密密钥，用于以后对文件资料进行解密。（2）文件的加密密钥在文件之中是加密的，通过与用户的EFS证书对应的公钥进行保护。（3）文件加密密钥同时受到授权恢复代理的公钥的保护。文件的解密过程如下：（1）要解密一个文件，首先要对文件加密密钥进行解密。当用户的私钥与这个公钥匹配时，文件加密密钥就被解密。（2）用户并不是唯一能对文件加密密钥进行解密的人。恢复代理的私钥同样可以对文件加密密钥进行解密。（3）当文件加密密钥被解密后，可以被用户或恢复代理用于文件资料的解密。作为系统的整个安全策略的一部分，“加密文件系统”(EFS)的资料故障恢复是十分有用的。例如，如果用户丢失了文件加密证书和相关的私钥（由于磁盘错误或是其它原因），可以通过指定的故障恢复代理来恢复数据。又如，在商业环境中，单位能够在雇员离开后，利用“资料故障恢复”功能恢复雇员加密的资料。EFS通过实施故障恢复策略要求来提供内置资料的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员将作为被指派的故障恢复代理。当管理员第一次登录到系统上时，默认的故障恢复策略将会自动地添加进去，以便为管理员提供故障恢复代理。资料故障恢复在网络环境中，对于故障恢复策略影响范围中的所有计算机用户，域管理员控制如何执行EFS。在默认的Windows2000安装中，当安装第一个网域控制器时，域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行EFS。域管理员登录到第一网域控制器以更改域的故障恢复策略。因为Windows2000安全子系统处理故障恢复策略的实施、复制和缓冲，用户能够在暂时脱机的系统上执行文件加密，例如便携式计算机（此过程类似于使用缓冲的凭据登录到域帐户）。

10.3.2网络资料的安全性

“网际协议安全(IPSec)”是一种开放标准的框架结构，使用加密安全服务确保通过IP网络的安全保密通讯。IPSec是基于端对端的安全模型，这意味着只有知道IPSec的计算机才是发送和接收的计算机。Windows2000的IPSec实现了基于Internet工程任务组(IETF)IPSec工作组开发的标准。Windows2000路由器服务使用安全虚拟专用网络(VPN)连接提供在LAN和WAN环境中以及通过Internet的路由服务。VPN连接是基于点对点隧道协议(PPTP)和第2层隧道协议(L2TP)的。Microsoft代理服务器通过控制局域网到Internet的通讯使Intranet应用程序的安全性和使用效率达到最高，从而有助于减少这种潜在的危险。Microsoft代理服务器充当了在用户网络和Internet之间带有防火墙类型安全的网关。11.4Windows2000的安全配置

11.4.1安全策略配置

利用windows2000的管理工具“本地安全策略”，可以配置服务器的安全策略。依次选择“开始”

“程序”

“管理工具”

“本地安全策略”，打开“本地安全配置”窗口，如图11-1所示。1．帐户策略2．本地策略

3．IP安全策略配置

11.4.2文件保护

1．Windows文件保护打开“组策略”窗口，在左侧列表里展开“计算机设置”|“管理模板”|“系统”|“Windows文件”，在右侧列表中显示已有的文件保护策略，如图11-15所示，双击列表中的某项，打开设置窗口，如图11-16所示，在该窗口中可设置是否启用这一项开全策略。2．分区、文件夹、文件的安全设置NTFS比FAT16和