网络安全导论 实验 第11章 访问控制 实验汇报

第11章实验

访问控制相关概念0121网络安全（CyberSecurity）是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全相关概念访问控制一般指的是针对越权使用资源的防御措施。其基本目的是防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问。从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。访问控制作用：访问控制对于网络安全的机密性和完整性起直接的作用，而对于可用性，访问控制通过对信息的有效控制来实现相关概念客体主体授权访问控制模型

规定需要保护的资源，又称作目标（target)。。也被称为发起者(Initiator)，是一个主动的实体，规定可以访问该资源的实体，（通常指用户或代表用户执行的程序）。

规定可对该资源执行的动作（例如读、写、执行或拒绝访问）。Ps：主客体的关系是相对的。Windows的访问控制02Ps:windows的安全性的两个基本支柱是身份验证（登入）和授权（访问控制）Windows的访问控制访问令牌安全描述符访问控制模型包含有关登录用户的信息(UserSID,GroupSIDS,特权列表privileges)，是与Windows的账户相互对相应的，当某一账户登录时，系统会生成此用户的访问令牌并分发给启动的进程

描述一个安全对象的安全信息，如什么样的用户的什么访问请求可以被允许，什么样的用户或者组的什么访问要被拒绝。安全描述符包含自主决定的访问控制表（DACL），里面包含有访问控制项（ACE），因此可以允许或拒绝特定用户或用户组的访问。它们还包含一个系统访问控制列表（SACL）以控制对象访问请求的日志（logging）访问过程：用户登录时，系统会对用户的帐户名和密码进行身份验证，如果登录成功，我们就把该用户称为安全主体，LSA（LocalSecurityAuthority）将创建访问令牌,安全主体将获取此令牌。Windows2000访问原理简单来讲就是一句话“Aliceopenthefile”，这句话用来表明谁做了一件什么样的事，当然在真实环境中事件发起者并不是Alice这个人本身而是一个具体的线程，这个线程为了获得访问的权限，必须向系统说明自己的身份(SID)，这个身份线程并没有，因此需要向Alice借一个过来，然后以这个(SID)身份登录系统，此时系统会产生一个访问令牌(AccessToken)，而且这个访问令牌包含了用于登录的SID，从此以后这个线程对于系统作的任何操作都会标记为是Alice这个用户所为(需要注意实际情况，系统记录的是SID，而不是Alice这个账户的名字)。而在整个线程执行程序之前，还需要检测这个SID是否有权限进行操作。通用权限01020304通用访问权限标准访问权限SACL访问权限对象说明权限通用访问权限Win32Api定义意义GENERIC_ALL读、写、执行GENERIC_EXECUTE执行操作GENERIC_READ读操作GENERIC_WRITE写操作标准访问权限Win32Api定义意义DELETE删除对象READ_CONTROL可以从安全描述符中读取信息SYNCHRONIZE支持同步使用，多线程处理WRITE_DAC改变安全描述符中的DACLWRITE_OWNER改变所有者的安全描述符权限SACL访问权限：用于控制对SACL（系统访问控制列表）的读取和修改对象说明权限：每一种类型的对象都可以通过这一部分定义属于他们自己的权限，比方说允许发送电子邮件等用户权限用户权限是windows中的第二大权限，主要做用于一台计算机，而不是一个对象其中包括登陆权限和特权，登陆权限控制的是哪些用户运行登录本机，而特权则控制的是哪些用户可以操纵系统资源用户权限和通用权限不同，用户权限是作为计算机安全策略的一部分存在的，在windows2000中，用户权限中的特权和通用权限互相冲突时，要遵照“特权优先原则”安全标识（SID）在Windows2000中，它用来唯一标识一个用户。安全标识分别由访问令牌(AccessToken)，安全描述符(SecurityDescriptor)以及ACE封装。对于本地用户来说SID是由计算机上的本地安全授权中心（LSA）提供的，并存储在本地注册表中。域用户的SID则由域安全授权中心提供，并且不管是位于同一域内的用户，还是不同域的用户，他们的SID都是不同的，不可能有两个用户共享相同的SID。如何保证分配到SID都不相同window2000将生成过的SID储存在SAM(一个本地数据库)中，保证不会产生使用过的SID，在一个网络域内，一台主机产生了新的SID，就将这个SID复制域内的其他主机这种机制成为多主机操作，另一种方式是域内有一个主机专门用来分配SID，被称为单主机操作，单主机操作是现实生活中主要使用的方式本地共享资源的设置以及利用Windows内置程序查看网络是否有入侵行为发生磁盘的权限管理禁用不必要的服务以及禁用或删除不必要的帐户设置更加可靠的密码以及帐户的锁定策略设置系统资源审核01030402改善前目标值74%92%1本地共享资源的设置以及利用Windows内置程序查看网络是否有入侵行为发生改善前目标值74%92%改善前目标值74%92%改善前目标值74%92%检查系统账号以便查看服务器是否存在可疑账号、新增账号；利用Windows安全日志及分析软件，查看管理员登录时间、用户名是否存在异常；检查端口、进程、启动项、计划任务、服务等功能，查看是否有异常，若有，则需立即终止；检查检查系统相关信息，及时更新系统、安装相关的系统补丁。改善前目标值74%92%2磁盘的权限管理、禁用不必要的服务以及禁用或删除不必要的帐户改善前目标值74%92%C盘的c:\inetpub\wwwroot、c:/inetpub/mailroot两个文件夹通常只由Administor角色完全控制。设置权限时通常遵循“优、必要”的原则改善前目标值74%92%禁用不必要的服务以及禁用或删除不必要的帐户改善前