第七章-操作系统安全

第7章操作系统的安全内容介绍一、操作系统的安全标准及发展二、操作系统安全设计的要求三、常见系统的安全设计特性介绍四、Windows的安全设置策略五、作业Page1一、安全操作系统的研究发展操作系统的安全性在计算机信息系统的整体安全性中具有至关重要的作用没有操作系统提供的安全性，信息系统的安全性是没有基础的1.1标准的发展1.2应用的研究Page21.1（操作系统）国际安全评价标准的发展及其联系Page3国际安全评价标准的发展及其联系Page4国际安全评价标准的发展及其联系类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可查性，安全标识BB1标识的安全保护强制存取控制，安全标识B2结构化保护面向安全的体系结构，较好的抗渗透能力B3安全区域存取监控、高抗渗透能力AA验证设计形式化的最高级描述和验证Page5安全级别列表各级的代表系统：Page6各级的具体讲解：D级是最低的安全级别，拥有这个级别的操作系统是完全不可信任的。对于硬件来说，是没有任何保护措施的，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。Page7国际安全评价标准的发展及其联系C1是C类的一个安全子级。这种级别的系统对硬件有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。Page8国际安全评价标准的发展及其联系使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。Page9国际安全评价标准的发展及其联系B级中有三个级别，B1级即标志安全保护（LabeledSecurityProtection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限Page10国际安全评价标准的发展及其联系B2级，又叫结构保护级别（StructuredProtection），它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别Page11国际安全评价标准的发展及其联系B3级，又叫做安全域级别（SecurityDomain），使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上Page12国际安全评价标准的发展及其联系A级，又称验证设计级别（VerifiedDesign），是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含了较低级别的所有的安全特性设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（TrustedDistribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统Page13我国安全标准简介用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。Page14我国安全标准简介用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。Page15我国安全标准简介用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护Page16我国安全标准简介用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力Page17我国安全标准简介用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动Page18国外安全操作系统的发展1965年美国贝尔实验室和麻省理工学院的MAC课题组等一起联合开发一个称为Multics的新操作系统，其目标是要向大的用户团体提供对计算机的并发访问，支持强大的计算能力和数据存储，并具有很高的安全性。贝尔实验室中后来参加UNIX早期研究的许多人当时都参加了Multics的开发工作。由于Multics项目目标的理想性和开发中所遇到的远超预期的复杂性使得结果不是很理想。事实上连他们自己也不清楚什么时候，开发到什么程度才算达到设计的目标。虽然Multics未能成功，但它在安全操作系统的研究方面迈出了重要的第一步，Multics为后来的安全操作系统研究积累了大量的经验。Adept-50是一个分时安全操作系统，可以实际投入使用，1969年C.Weissman发表了有关Adept-50的安全控制的研究成果。安全Adept-50运行于IBM/360硬件平台，它以一个形式化的安全模型——高水印模型（High-Water-MarkModel）为基础，实现了美国的一个军事安全系统模型，为给定的安全问题提供了一个比较形式化的解决方案。在该系统中可以为客体标上敏感级别（SensitivityLevel）属性。系统支持的基本安全条件是，对于读操作不允许信息的敏感级别高于用户的安全级别（Clearance）；在授权情况下，对于写操作允许信息从高敏感级别移向低敏感级别。1969年B.W.Lampson通过形式化表示方法运用主体（Subject）、客体（Object）和访问矩阵（AccessMatrix）的思想第一次对访问控制问题进行了抽象。1972年，J.P.Anderson在一份研究报告中提出了访问监控器（ReferenceMonitor）、引用验证机制（ReferenceValidationMechanism）、安全内核（SecurityKernel）和安全建模等重要思想。LINVSⅣ是1984年开发的基于UNIX的一个实验安全操作系统，系统的安全性可达到美国国防部橘皮书的B2级。它以4.1BSDUnix为原型，实现了身份鉴别、自主访问控制、强制访问控制、安全审计、特权用户权限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基础上开发的一个安全操作系统，它最初是在IBMPC/AT平台上实现的。SecureXenix对Xenix进行了大量的改造开发，并采用了一些形式化说明与验证技术。它的目标是TCSEC的B2到A1级。1987年，美国TrustedInformationSystems公司以Mach操作系统为基础开发了B3级的Tmach（TrustedMach）操作系统。除了进行用户标识和鉴别及命名客体的存取控制外，它将BLP模型加以改进，运用到对MACH核心的端口、存储对象等的管理当中。通过对端口间的消息传送进行控制和对端口、存储对象、任务等的安全标识来加强微核心的安全机制。1989年，加拿大多伦多大学开发了与UNIX兼容的安全TUNIS操作系统。1.2安全操作系统的研究历程Page19国外安全操作系统的发展ASOS（ArmySecureOperatingSystem）是针对美军的战术需要而设计的军用安全操作系统，由TRW公司1990年发布完成。ASOS由两类系统组成，其中一类是多级安全操作系统，设计目标是TCSEC的A1级；另一类是专用安全操作系统，设计目标是TCSEC的C2级。两类系统都支持Ada语言编写的实时战术应用程序，都能根据不同的战术应用需求进行配置，都可以很容易地在不同硬件平台间移植，两类系统还提供了一致的用户界面。OSF/1是开放软件基金会于1990年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B1级，其主要安全性表现4个方面：⑴系统标识；⑵口令管理；⑶强制存取控制和自主存取控制；⑷审计。UNIXSVR4.1ES是UI（UNIX国际组织）于1991年推出的一个安全操作系统，被美国国家计算机安全中心（NCSC）认可为符合TCSEC的B2级，除OSF/1外的安全性主要表现在4个方面：⑴更全面的存取控制；⑵最小特权管理；⑶可信通路；⑷隐蔽通道分析和处理。在1992到1993年之间，美国国家安全局（NSA）和安全计算公司（SCC）的研究人员在TMach项目和LOCK项目的基础上，共同设计和实现了分布式可信Mach系统（DistributedTrustedMach，DTMach）。DTMach项目的后继项目是分布式可信操作系统（DistributedTrustedOperatingSystem，DTOS）。DTOS项目改良了早期的设计和实现工作，产生了一些供大学研究的原型系统，例如SecureTransactionalResources、DX等。2001年，Flask由NSA在Linux操作系统上实现，并且不同寻常地向开放源码社区发布了一个安全性增强型版本的Linux（SELinux）－－包括代码和所有文档。与传统的基于TCSEC标准的开发方法不同，1997年美国国家安全局和安全计算公司完成的DTOS安全操作系统采用了基于安全威胁的开发方法。设计目标包括3个方面：（1）策略灵活性：DTOS内核应该能够支持一系列的安全策略，包括诸如国防部的强制存取控制多级安全策略；（2）与Mach兼容，现有的Mach应用应能在不做任何改变的情况下运行；（3）性能应与Mach接近。Page20国内安全操作系统的发展1990年前后，海军计算技术研究所和解放军电子技术学院分别开始了安全操作系统技术方面的探讨，他们都是参照美国TCSEC标准的B2级安全要求，基于UNIXSystemV3.2进行安全操作系统的研究与开发。1993年，海军计算技术研究所继续按照美国TCSEC标准的B2级安全要求，围绕UnixSVR4.2/SE，实现了国产自主的安全增强包。1995年，在国家“八五”科技攻关项目――“COSA国产系统软件平台”中，围绕UNIX类国产操作系统COSIXV2.0的安全子系统的设计与实现，中国计算机软件与技术服务总公司、海军计算技术研究所和中国科学院软件研究所一起参与了研究工作。COSIXV2.0安全子系统的设计目标是介于美国TCSEC的B1和B2级安全要求之间，当时定义为B1＋，主要实现的安全功能包括安全登录、自主访问控制、强制访问控制、特权管理、安全审计和可信通路等。1996年，由中国国防科学技术工业委员会发布了军用计算机安全评估准则GJB2646－96（一般简称为军标），它与美国TCSEC基本一致。1998年，电子工业部十五所基于UnixWareV2.1按照美国TCSEC标准的B1级安全要求，对Unix操作系统的内核进行了安全性增强。1999年10月19日，我国国家技术监督局发布了国家标准GB17859－1999《计算机信息系统安全保护等级划分准则》，为计算机信息系统安全保护能力划分了等级。该标准已于2001年起强制执行。Linux自由软件的广泛流行对我国安全操作系统的研究与开发具有积极的推进作用。2001年前后，我国安全操作系统研究人员相继推出了一批基于Linux的安全操作系统开发成果。中国科学院信息安全技术工程研究中心基于Linux资源，开发完成了符合我国GB17859－1999第三级（相当于美国TCSECB1）安全要求的安全操作系统SecLinux。SecLinux系统提供了身份标识与鉴别、自主访问控制、强制访问控制、最小特权管理、安全审计、可信通路、密码服务、网络安全服务等方面的安全功能。依托南京大学的江苏南大苏富特软件股份有限公司开发完成了基于Linux的安全操作系统SoftOS，实现的安全功能包括：强制访问控制、审计、禁止客体重用、入侵检测等。信息产业部30所控股的三零盛安公司推出的强林Linux安全操作系统，达到了我国GB17859－1999第三级的安全要求。中国科学院软件所开放系统与中文处理中心基于红旗Linux操作系统，实现了符合我国GB17859－1999第三级要求的安全功能。中国计算机软件与技术服务总公司以美国TCSEC标准的B1级为安全目标，对其COSIXV2.0进行了安全性增强改造。此外，国防科技大学、总参56所等其他单位也开展了安全操作系统的研究与开发工作。2001年3月8日，我国国家技术监督局发布了国家标准GB/T18336－2001《信息技术安全技术信息技术安全性评估准则》，它基本上等同采用了国际通用安全评价准则CC。该标准已于2001年12月1日起推荐执行，这将对我国安全操作系统研究与开发产生进一步的影响。Page21二、操作系统安全的基本要求与机制什么是操作系统？操作系统的基本功能有哪些？从安全的角度上看，操作系统应当提供哪些安全服务？操作系统安全的主要目标按系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的非法使用包括窃取、篡改和破坏标识系统中的用户，并对身份进行鉴别监督系统运行的安全性保证系统自身的安全性和完整性内存保护文件保护普通实体保护存取鉴别等Page22操作系统的安全机制安全机制：是一种技术、一些软件或实施一个或更多安全服务的过程标识与鉴别机制信任的功能性事件检测审计跟踪安全恢复2.1标识与鉴别机制2.2访问控制2.2最小特权管理2.3可信通路2.4安全审计机制2.5存储保护、运行保护和I/O保护Page23

2.1标识与鉴别机制（身份认证）标识：用户要向系统表明的身份用户名、登录ID、身份证号或智能卡应当具有唯一性不能被伪造鉴别，对用户所宣称的身份标识的有效性进行校验和测试的过程Page24用户声明自己身份的4种方法证实自己所知道的例如密码、身份证号码、最喜欢的歌手、最爱的人的名字等等出示自己所拥有的例如智能卡证明自己是谁例如指纹、语音波纹、视网膜样本、照片、面部特征扫描等等表现自己的动作例如签名、键入密码的速度与力量、语速等等Page252.2访问控制访问控制用来提供授权用户在通过身份鉴别后，还需要通过授权，才能访问资源或进行操作使用访问控制机制的目的保护存储在计算机上的个人信息保护重要信息的机密性维护计算机内信息的完整性减少病毒感染机会，从而延缓这种感染的传播保证系统的安全性和有效性，以免受到偶然的和蓄意的侵犯Page26访问控制机制的实行确定要保护的资源授权确定访问权限实施访问权限Page27系统内主体对客体的访问控制机制自主访问控制强制访问控制基于角色的访问控制Page28在文件和目录中常用的几种访问模式对文件设置的访问模式读拷贝（Read－copy）与单纯的读？？写删除（Write－delete）不同的系统可能有不同的写模式，或复杂的组合（更细致）

写附加、删除、写修改等执行（Execute）通常需要同时具备读权限无效（Null）：对客体不具备任何访问权限Page29考虑目录对目录及和目录相对应的文件的访问操作对目录而不对文件实施访问控制对文件而不对目录实施访问控制对目录及文件都实施访问控制（最好）对目录的访问模式读写扩展（write－expand）更细的：读状态、修改、附加Page302.3最小特权管理超级用户VS.普通用户主流多用户操作系统中，超级用户一般具有所有特权，而普通用户不具有任何特权威胁：超级用户口令丢失；被冒充；误操作解决方法：实行最小特权管理原则参考：http:///developerworks/cn/security/se-limited/Page31橘皮书关于最小特权的定义：要求赋予系统中每个使用者执行授权任务所需的限制性最强的一组特权，即最低许可这个原则的应用将限制因意外、错误或未经授权使用而造成的损害Page32最小特权原则：必不可少的特权充分性：保证所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作必要性：在充分的前提下加以限制基本思想和出发点：系统不应给用户超过执行任务所需特权以外的特权一种可能的方案：将特权用户的特权加以划分，形成一组细粒度的特权Page33最小特权举例1在系统中定义系统安全管理员审计员操作员安全操作员网络管理员任何一个用户都不能获取足够的权力破坏系统的安全策略为了保证系统的安全性，不应赋予某人一个以上的职责Page34系统安全管理员对系统资源和应用定义安全级限制隐蔽通道活动的机制定义用户和自主访问控制的组为所有用户赋予安全级审计员设置审计参数修改和删除审计系统产生的原始审计信息控制审计归档Page35操作员启动和停止系统，以及完成磁盘一致性检查等格式化新的存储介质设置终端参数允许或不允许登录，但不能改变口令、用户的安全纪和其他有关安全的登录参数产生原始的系统记账数据Page36安全操作员：完成安全相关的日常例行活动；相当于具有特权能力的操作员。完成操作员的所有责任例行的备份和恢复安装和拆卸可安装介质Page37网络管理员管理网络软件，如TCP/IP设置BUN文件，允许使用Uucp，Uuto等进行网络通信设置与连接服务器、CRI认证机构、ID映射机构、地址映射机构和网络选择有关的管理文件启动和停止RFS，通过RFS共享和安装资源启动和停止NFS，通过NFS共享和安装资源Page38最小特权举例2CAP_SETPLEVELCAP_SETSPRIVCAP_SETUIDCAP_SYSOPSCAP_SETUPRIVCAP_MACUPGRADECAP_FSYSRANGECAP_SETFLEVELCAP_PLOCKCAP_CORECAP_LOADMODCAP_SEC_OPCAP_DEVCAP_OPCAP_NET_ADMIN将系统中能进行敏感操作的能力分成26个特权CAP_OWNERCAP_AUDITCAP_COMPATCAP_DACREADCAP_DACWRITECAP_DEVCAP_FILESYSCAP_MACREADCAP_WRITECAP_MOUNTCAP_MULTIDIR由一些特权用户分别掌握这些特权，哪一个特权用户都不能独立完成所有的敏感操作Page39常见的最小特权管理机制基于文件的特权机制基于进程的特权机制目前几种安全OS的最小特权管理机制惠普的Presidum/VirtualVault根功能分成42中独立的特权最小特权是惠普可信赖OSVirtualVault的基本特性红旗安全操作系统RFSOS一个管理角色不拥有另一个管理角色的特权，攻击者破获某个管理角色口令时，不会得到对系统的完全控制Page40SELinux系统中不再有超级用户，而被分解避免了超级用户的误操作或其身份被假冒而带来的安全隐患Page412.4可信通路可信通路是用户能够借以同可信计算基通信的一种机制能够保证用户确定是和安全核心通信防止不可信进程如特洛伊木马等模拟系统的登录过程而窃取用户的口令最简单的办法：给每个用户两台终端一台用于处理日常工作；

一台专门用于和内核的硬连接昂贵另一种方法：使用通用终端，通过发信号给核心不可信软件不能拦截、覆盖或伪造的信号安全注意键Page42Linux的安全注意键在x86平台上是<Alt>+<Ctrl>+<SYSRq)Page432.5安全审计机制审计是一种事后分析法，一般通过对日志的分析来完成日志：记录的事件或统计数据提供关于系统使用及性能方面的信息审计：对日志记录进行分析以清晰的、能理解的方式表述系统信息安全审计：对系统中有关安全的活动进行记录、检查及审核认定违反安全规则的行为Page44审计机制的主要作用主要作用能详细记录与系统安全有关的行为，并对这些行为进行分析，发现系统中的不安全因素，保障系统安全能够对违反安全规则的行为或企图提供证据，帮助追查违规行为发生的地点、过程以及对应的主体对于已受攻击的系统，可以提供信息帮助进行损失评估和系统恢复安全操作系统一般都要求采用审计机制来监视与安全相关的活动橘皮书中有明确要求Page452.5.1审计事件审计事件是系统审计用户动作的基本单位通常根据要审计行为的不同性质加以分类主体：要记录用户进行的所有活动客体：要记录关于某一客体的所有访问活动用户事件标准每个用户有自己的待审计事件集基本事件集在用户事件标准中，每个用户都要审计的公共部分橘皮书从C2级开始要求具有审计功能GB17859-1999从第二级开始就对审计有了明确的要求Page462.5.2审计系统的实现日志记录器：收集数据根据要审计的审计事件范围记录信息输出：二进制形式，或者可以直接读取的形式或者直接传送给数据分析机制分析器：分析数据输入：日志分析日志数据，使用不同的分析方法来监测日志数据中的异常行为通告器：通报结果输入：分析器的分析结果把结果通知系统管理员或其他主体为这些主体提供系统的安全信息辅助他们对系统可能出现的问题进行决策Page47WindowsNT的日志文件系统日志跟踪各种系统事件记录由WindowsNT的系统组件产生的事件例如：启动过程中加载驱动程序错误又如：系统崩溃应用程序日志记录由应用程序或系统程序产生的事件例如：应用程序产生的状态dll失败又如：应用程序的添加安全日志记录安全相关的关键安全事件例如：登录上网/下网，改变访问权限，系统启动和关闭，与创建/打开/删除文件等资源使用相关联的事件Page482.6存储保护、运行保护和I/O保护存储保护存储保护需求保护用户存储在存储器中的数据保护单元和保护精度：字/字块/页面/段单道系统VS多道系统VS多用户系统存储器管理和存储保护之间的关系存储基本概念：虚拟地址空间、段内存管理的访问控制：系统段与用户段基于物理页号的识别基于描述符的地址解释机制Page49基于物理页号的识别每个物理页号都被加上一个密钥系统只允许拥有该密钥的进程访问该物理页每个进程分配一个密钥，装入进程的状态字中每次访问内存时，由硬件对该密钥进行校验密钥：要匹配访问控制信息（读写权限）要匹配缺点：繁琐Page50基于描述符的地址解释机制每个进程有一个“私有”的地址描述符，描述进程对内存某页或某段的访问模式可以有两类访问模式集：用户状态下运行的进程系统模式下运行的进程优点：开销小Page51基于保护环的运行保护等级域保护机制应该保护某一环不被其外层环侵入允许在某一环内的进程能够有效的控制和利用该环以及该环以外的环与进程隔离机制不同在任意时刻，进程可以在任何一个环内运行，并转移到另一个环。保护进程免遭在同一环内同时运行的其他进程的破坏Page52I/O保护I/O操作一般是特权操作操作系统对IO操作进行封装，提供对应的系统调用将设备看成一个客体，对其应用相应的访问控制规则读写两种针对从处理器到设备间的路径Page53三、主流操作系统的安全特性介绍3.1、主流操作系统介绍3.2、各操作系统安全特性原理介绍Page543.1主流操作系统概述目前服务器常用的操作系统有三类：UnixLinuxWindowsNT/2000/2003Server。这些操作系统都是符合C2级安全级别的操作系统。但是都存在不少漏洞，如果对这些漏洞不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者。Page55UNIX系统UNIX操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。UNIX诞生于20世纪60年代末期，贝尔实验室的研究人员于1969年开始在GE645计算机上实现一种分时操作系统的雏形，后来该系统被移植到了DEC的PDP-7小型机上。1970年给系统正式取名为Unix操作系统。到1973年，Unix系统的绝大部分源代码都用C语言重新编写过，大大提高了Unix系统的可移植性，也为提高系统软件的开发效率创造了条件。Page56主要特色UNIX操作系统经过20多年的发展后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色，其中主要特色包括5个方面。（1）可靠性高（2）极强的伸缩性（3）网络功能强（4）强大的数据库支持功能（5）开放性好Page57Linux系统Linux是一套可以免费使用和自由传播的类Unix操作系统，主要用于基于Intelx86系列CPU的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix兼容产品。Linux最早开始于一位名叫Linus

Torvalds的计算机业余爱好者，当时他是芬兰赫尔辛基大学的学生。目的是想设计一个代替Minix（是由一位名叫AndrewTannebaum的计算机教授编写的一个操作系统示教程序）的操作系统。这个操作系统可用于386、486或奔腾处理器的个人计算机上，并且具有Unix操作系统的全部功能。Page58Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证GPL(GeneralPublicLicense)保护下的自由软件，也有好几种版本，如RedHatLinux、Slackware，以及国内的XteamLinux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。Page59Linux典型的优点有7个。（1）完全免费（2）完全兼容POSIX1.0标准（3）多用户、多任务（4）良好的界面（5）丰富的网络功能（6）可靠的安全、稳定性能（7）支持多种平台Page60Windows系统WindowsNT（NewTechnology）是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等众多版本，并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows9X相比，WindowsNT的网络功能更加强大并且安全。Page61WindowsNT系列操作系统WindowsNT系列操作系统具有以下三方面的优点。（1）支持多种网络协议由于在网络中可能存在多种客户机，如Windows95/98、AppleMacintosh、Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议、IPX/SPX等。WindowsNT系列操作支持几乎所有常见的网络协议。（2）内置Internet功能随着Internet的流行和TCP/IP协议组的标准化，WindowsNT内置了IIS（InternetInformationServer），可以使网络管理员轻松的配置WWW和FTP等服务。（3）支持NTFS文件系统Windows9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。Page62内容介绍IIS安全IE安全Windows系统安全防御Unix/LinuxUnix/Linux帐户安全Unix/Linux文件系统安全应用程序Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows安全策略Windows安全特性Windows文件系统安全3.2、各操作系统安全特性原理介绍Page63Windows安全性需求设计目标一致的、健壮的、基于对象的安全模型满足商业用户的安全需求一台机器上多个用户之间安全地共享资源进程，内存，设备，文件，网络安全模型服务器管理和保护各种对象客户通过服务器访问对象服务器扮演客户，访问对象访问的结果返回给服务器Page64Windows系统安全防御Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page65Windows系统的安全架构Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件Page66Windows系统的安全架构WindowsNT/2K的安全包括6个主要的安全元素：审计：Audit管理：Administration加密：Encryption权限控制：AccessControl用户认证：UserAuthentication安全策略：CorporateSecurityPolicyPage67Windows系统的安全架构WindowsNT/2K系统内置支持用户认证、访问控制、管理、审核。安全策略：CorporateSecurityPolicy用户认证：UserAuthentication加密Encryption审计Audit权限控制AccessControl管理

AdministrationPage68Windows系统的安全架构Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件Page69C2级别操作系统的安全组件

由于Windows是C2级别的操作系统，下面介绍作为C2级别的操作系统中所包含的安全组件：访问控制的判断（Discretionaccesscontrol）对象重用（Objectreuse）强制登陆（Mandatorylogon）审核（Auditing）对象的访问控制（Controlofaccesstoobject）

Page70Windows系统的安全架构Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件Page71组策略ActiveDirectory服务用户Windows2000安全模型本地安全策略Kerberos审核日志SRM内核MSV1_0NetlogonWindowsNT客户和服务器Windows2000客户和服务器SAM登录本地安全授权（LSA）提供Windows2000目录服务和复制。它支持轻量级目录访问协议（LDAP）和数据的管理部分Windows2000中默认的身份验证协议。它用于Windows2000计算机之间以及支持Kerberos身份验证的客户之间的所有身份验证。安全子系统的中心组件，它促使访问令牌、管理本地计算机上的安全策略并向用户登录提供身份验证用于WindowsNT身份验证的身份验证包。它用于为不支持Kerberos身份验证的Windows客户提供兼容支持一个内核模式组件，它可以避免任何用户或进程直接访问对象而且还可以验证所有对象访问，它还生成相应的审核消息是本地用户和工作组的一个数据库，用于对本地用户的登录身份进行验证以及对所有登录的用户权限进行设置Page72Windows系统的安全架构Windows系统的安全架构C2级别操作系统的安全组件Windows2000安全模型Windows2000核心安全组件Page73标识鉴别授权访问控制审计安全策略账号指纹视网膜

IC卡证书根据获得的标识信息验证客户的身份设置不同对象的访问权限（ACL）根据用户标识和对象的ACL进行访问控制对整个过程（标识鉴别、对象授权、访问控制）进行审核Windows2000核心安全组件1、chenaifeng2、liweiming3、sunyongjunSAM数据库LSASRMLSAPage74Windows系统安全防御Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page75Windows子系统安全Windows2000安全子系统的工作机理Windows系统的对象Windows系统服务Windows基本的系统进程Windows安全子系统的组件Windows子系统安全Page76Windows2000安全子系统的工作机理安全引用监视器（SRM）1、chenaifeng2、liweiming3、sunyongjunSAM或者AD身份鉴别子系统（LSA）账户管理子系统对象授权管理子系统（LSA）审计子系统（LSA）添加、删除账号和组设置对象的ACL登录成功获得访问令牌采用Kerberos或者NTLM协议进行认证检查访问令牌和被访问对象的ACL必要时对验证、授权过程作日志审核登录方式：本地、网络除账号标识外还可采用令牌、指纹、视网膜、IC卡等方式根据用户的权限和对象的ACL进行访问控制令牌SIDzhangsan*****SID读写执行更改Page77Windows系统的对象

为了实现自身的安全特性，Windows2K/NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/NT提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把Windows2K/NT称为基于对象的操作系统。Microsoft的安全法则： Windows中首要的对象类型：文件文件夹打印机I/O设备窗口线程进程内存这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。Page78单击“开始”

指向“设置”

然后单击“控制面板”

双击“管理工具”

然后双击“服务”：在列表框中显示的是系统可以使用的服务

Windows2k下可以在命令行中输入services.msc打开服务列表。Windows的系统服务介绍Page79服务包括三种启动类型：自动、手动、已禁用。自动-Windows2000启动的时候自动加载服务手动-Windows2000启动的时候不自动加载服务，在需要的时候手动开启已禁用-Windows2000启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置Windows系统服务的启动类型Page80服务项目驱动程式Start数值内容记录HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service目前微软对Start内容的定义有0、1、2、3、4等五种状态,。Windows系统服务的加载模式Page81基本的系统进程smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe输入法

Windows基本的系统进程Page82Windows主要系统进程详细介绍会话管理器(SMSS.EXE)：Win2K在启动过程中第一个启动的用户模式进程优先的用户模式进程进程实现的主要功能关闭系统 改变系统时间绕过文件访问权限/审核来执行备份加载/卸载设备驱动程序调整页面文件连接调试器到某个进程WINLOGON（.EXE）服务控制管理器(SCM)，由SERVICES.EXE实现本地安全性鉴别子系统(LSASS.EXE)图形化标识和鉴别(GraphicalIdentificationandAuthentication－GINA)模块处理用户登录凭证Page83Windows安全子系统的组件

WindowsNT安全子系统包含五个关键的组件：Securityidentifiers，Accesstokens，Securitydescriptors，Accesscontrollists，AccessControlEntries。 安全标识符（SecurityIdentifiers）:

就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装WindowsNT后，也会得到一个唯一的SID。

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：

S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Accesstokens）:

用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给WindowsNT，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，WindowsNT将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。Page84Windows安全子系统的组件安全描述符（Securitydescriptors）：

Windows2000中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。包含和被保护对象相关联的安全信息的数据结构。安全描述符包括谁拥有对象，以何种方式访问以及何种审查访问类型等信息访问控制列表（Accesscontrollists）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Accesscontrolentries）:

访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。Page85安全子系统包括以下部分：

Winlogon

GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportproviders

NetlogonServiceSecurityAccountManager(SAM)

Winlogon、LocalSecurityAuthority以及Netlogon

服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。Windows安全子系统的具体内容SSPIWinlogonGINALocalSecurityAuthorityAuthenticationPackagesSecuritySupportProvidersSecurityAccountManagerNetlogonPage86WinlogonandGina:Winlogon调用GINADLL，并监视安全认证序列。Winlogon查找注册表中\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

，Windows安全子系统WinlogonGinaandLSA本地安全认证（LocalSecurityAuthority）：调用所有的认证包，检查在注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，重新找回本地组的SIDs和用户的权限创建用户的访问令牌管理本地安装的服务所使用的服务账号储存和映射用户权限管理审核的策略和设置管理信任关系。Page87Windows安全子系统

SSPIandSSP安全支持提供者（SecuritySupportProvider）：安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，WindowsNT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）协议通信的时候用到。安全支持提供者的接口（SecuritySupportProvideInterface）：微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。认证包（AuthenticationPackage）：认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。，Page88网络登陆（Netlogon）：

网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。安全账号管理者（SecurityAccountManager）：

安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中\HKLM\Security\Sam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。Windows安全子系统NetlogonandSAMPage89当从Windows2000ProfessionalorServer登录时,Windows2000用两种过程验证本地登录.Windows2000尝试使用Kerberos作为基本验证方式.如果找不到KeyDistributionCenter(KDC)服务,Windows会使用WindowsNTLanManager(NTLM)安全机制来验证在本地SAM中的用户。本地登录验证过程如下:输入用户名及密码然后按回车键.GraphicalIdentificationandAuthentication(GINA)会收集这些信息.GINA传送这些安全信息给LocalSecurityAuthority(LSA)来进行验证.TheLSA传送这些信息给SecuritySupportProviderInterface(SSPI).SSPI是一个与Kerberos和NTLM通讯的接口服务.SSPI传送用户名及密码给KerberosSSP.KerberosSSP检查目的机器是本机还是域名.如果是本机,Kerberos返回错误消息给SSPI.如果找不到KDC,机器生成一个用户不可见的内部错误.这个内部错误促发SSPI通知GINA.GINA再次传送这些安全信息给LSA.LSA再次传送这些安全信息给SSPI.这次,SSPI传送用户名及密码给NTLMdriverMSV1-0SSP.NTLMdriver用Netlogon

服务和本地SAM来验证用户.如果NTLM和Kerberos都不能验证你的帐号,你会收到下列错误消息提示您输入正确的用户名和密码.Windows2000本地登录过程Page90Windows系统安全防御Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page91什么是用户帐号？账号账号的属性第一安装windows2000时将创建两个帐号：Administrator和GuestPage92什么是组？组用户帐号的集合Windows2000包含一些预定义的组，共四类：本地组：本地域组：全局域组：通用组：Page93Windows帐户安全——SID介绍在学习系统帐户之前先了解一些SIDSID(SecurityIdentifiers)在Windows2000/XP/2003系统中每个用户帐号所对应着的一个唯一字符串Windows系统根据SID来识别用户和组的,以及分配他们响应的访问权限SID格式:S-R-X-Y(1)-Y(2)--Y(N)S:表示该字符串是SIDR:SID的版本号

X:标识符的颁发机构

Y(1),Y(2)...:子颁发机构

Y(N):相关标识符RID,标识域内帐户和组Page94Windows帐户安全——SID介绍在同一个域中,帐户的区别在于RID一些常见的RID值:Administrator:500Guest:501NT/W2K域中创建的第一个帐号:1000SID相关工具:User2sid:用于通过用户名获得主机的SIDSid2user:用于通过已知主机的SID获得用户名

Whoami:能够探明主机域名,用户名,登录用户信息。还能显示完整的登录信息以及域名及其SIDPage95windowsNT及win2000中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。Windows系统中的账号SAMPage96安全账号管理器的具体表现就是%SystemRoot%\system32\config\sam文件。sam文件是windowsNT的用户帐户数据库,所有2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。sam文件可以认为类似于unix系统中的passwd文件，不过没有这么直观明了。passwd使用的是存文本的格式保存信息，这是一个linux

passwd文件内容的例子

root：8L7v6：0：0:root:/root:/bin/bash

msql:!!:502:504:/home/msql:/bin/bash

unix中的passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料，不同资料中使用“:"分割格式如下账号名称:密码:uid:gid:个人资料:用户目录：shell

除了密码是加密的以外(这里的密码部分已经shadow了)其他项目非常清楚明了。而Windows中就不是这样，虽然也是用文件保存账号信息，不过如果我们用编辑器打开这些NT的sam文件，除了乱码什么也看不到。因为NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。注册表中的

HKEY_LOCAL_MACHINE\SAM\SAMHKEY_LOCAL_MACHINE\SECURITY\SAM

保存的就是SAM文件的内容，在正常设置下仅对system是可读写的。安全账号管理器：SAMPage97Windows系统安全Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page98身份验证知道你是谁，才能授予访问权限Page99验证身份的四种方法：Whatyouknow→ 密码Whatyouhave→ 智能卡、RFIDWhoyouare→ 指纹、视网膜扫描Whereyouare→ 网络基于IP（欺骗？）身份验证Page100Winlogon用户登录过程GINA识别安全注意序列（SecureAttentionSequence，SAS），并调用相应的GINA处理程序向用户命令解释程序授予访问令牌加载用户配置文件保护计算机和桌面控制屏幕保护程序处理远程（性能监视器）请求Page101登录WINDOWS系统的方式本地登录网络登录网络登录网络登录Page102Windows系统安全Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page103

权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。下面列出了用户的特定权利：

Accessthiscomputerfromnetwork可使用户通过网络访问该计算机。

Addworkstationtoadomain允许用户将工作站添加到域中。

Backupfilesanddirectories授权用户对计算机的文件和目录进行备份。

Changethesystemtime用户可以设置计算机的系统时钟。

Loadandunloaddevicedrive允许用户在网络上安装和删除设备的驱动程序。

Restorefilesanddirectories允许用户恢复以前备份的文件和目录。

Shutdownthesystem允许用户关闭系统。Windows系统的用户权利Page104权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、SetPermission(P)和TakeOwnership(O)。后面显示了这些任务是如何与各种权限级别相关联的。

Windows系统的用户权限窗口内存文件夹文件打印机I/O设备进程线程账号对象Page105目录权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录ReadRX具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子录AddandReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录FullcontrolRXWDPO有Change的权限，另外用户可以更改权限和获取目录的所有权如果对目录有Execute(X)权限，表示可以穿越目录，进入其子目录Windows系统的权限

目录权限Page106文件权限权限级别RXWDPO允许的用户动作NoAccess

用户不能访问该文件ReadRX用户可以读取该文件，如果是应用程序可以运行ChangeRXWD有Read的权限，还可用修和删除文件FullcontrolRXWDPO包含Change的权限，还可以更改权限和获取文件的有权Windows系统的权限

文件权限Page107下表列出从最大限制到最小限制的共享权限共享权限级别允许的用户动作NoAccess(不能访问)禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享Read(读)目录的子目录，还允许查看文件的数据和运行应用程序Change(更改)具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录Fullcontrol(完全控制)具有“更改”权限中允许的操作，另外还允许更改权限(只适用于NTFS卷)和获所有权(只适用于NTFS卷)共享点一定要小心地分配。因为权限仅仅是分配给共享点的，任何共享点下的文件：或目录都足以和共享点本身相同的权限被访问的。Windows系统的权限

共享权限共享权限共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NTServer服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。Page108Windows系统安全Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page109Windows文件系统安全NTFS:磁盘特性文件权限特性数据加密特性审计特性Page110Windows文件系统安全——文件权限特性只有管理员可以设置文件系统权限可以添加/修改/删除/需要设置的用户可以修改用户的权限拒绝的优先级别高于允许Page111

Windows文件系统安全——文件权限特性拒绝访问的结果：Page112Windows文件系统安全——数据加密特性Page113Windows文件系统安全——审计特性注意：要为文件或目录设置审计功能，要确保使用的是administrator组的成员登录Page114Windows系统安全Windows系统的安全架构Windows子系统安全Windows帐户安全Windows身份验证Windows验证及授权Windows文件系统安全Windows安全策略Windows安全特性Page115Windows安全策略本地安全策略：

Secpol.msc,Windows自带的安全管理工具。包含了允许或禁止和人访问系统、帐户和密码、用户权限、安全审核等安全属性的设置帐户策略本地策略公钥策略IP安全策略Page116账户策略帐户策略所有安全策略都是基于计算机的策略。帐户策略定义在计算机上，然而却可影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集：密码策略。用于域或本地用户帐户。确定密码设置（如强制执行和有效期限）。帐户锁定策略。用于域或本地用户帐户。确定某个帐户被锁定在系统之外的情况和时间长短。Kerberos策略。用于域用户帐户。确定与Kerberos相关的设置（如票的有限期限和强制执行）。本地计算机策略中没有Kerberos策略。对于域帐户，只有一种帐户策略。账户策略必须在“默认域策略”中定义，且由组成该域的域控制器实施。域控制器始终从“默认域策略组策略对象”中获得账户策略，即使存在应用到该域控制器所在的部门的不同账户策略。默认情况下，加入到域（如成员计算机）中的工作站和服务器也同样接收到各自本地账户的相同账户策略。然而，本地帐户策略可能不同于域帐户策略，例如，当为各个本地帐户定义帐户策略时即是如此。与帐户策略具有类似行为的“安全选项”有两个策略。它们是：网络访问：允许匿名SID/NAME转换网络安全登录时间超时时强制注销Page117本地策略Page118公钥策略公钥策略概述使用组策略中的公钥策略设置可以：使计算机自动向企业证书颁发机构提交证书申请并安装颁发的证书。这有助于确保计算机能获得在组织内执行公钥加密操作（例如，为Internet协议安全(IPSec)或客户端验证）所需的证书创建和分发证书信任列表(CTL)。证书信任列表是根

证书颁发机构(CA)的证书的签名列表，管理员认为该列表对指定目的来说值得信任，例如客户身份验证或安全电子邮件。例如，如果认为证书颁发机构的证书对IPSec而言可以信任，但对客户身份验证不足以信任，则通过证书信任列表可