美国可信计算机安全评价标准

SecurityRiskAssessment--

Windows2025/4/12TCSECTCSEC定义的内容没有安全性可言，例如MSDOS不区分用户，基本的访问控制D级C1级C2级B1级B2级B3级A级有自主的访问安全性，区分用户标记安全保护，如SystemV等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段D—MinimalprotectionReservedforthosesystemsthathavebeenevaluatedbutthatfailtomeettherequirementsforahigherdivision

2025/4/14D类安全等级C类安全等级：C1—DiscretionarySecurityProtectionIdentificationandauthenticationSeparationofusersanddataDiscretionaryAccessControl(DAC)capableofenforcingaccesslimitationsonanindividualbasisC2—ControlledAccessProtectionMorefinelygrainedDACIndividualaccountabilitythroughloginproceduresAudittrailsObjectreuseResourceisolationRequiredSystemDocumentationandusermanuals.

2025/4/15C类安全等级B类安全等级：B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。

2025/4/16B类安全等级2025/4/17A类安全等级1995年7月，WindowsNT3.5取得了TCSEC的C2安全级；1999年3月，NT4获得英国ITSEC组织的E3级别，等同于C2级；Windows2000也获得了C2安全级别2025/4/18微软操作系统安全性分析2000年2月发布四个版本：Professional,Server,AdvancedServer,Datacenterserver容错和冗余，文件系统NTFS5，DFS(distributedfilesystem)

活动目录安全性”themostsecurewindowswehaveevershipped”2025/4/19Windows2000系统实现安全登录机制，自主访问控制机制，安全审计机制和对象重用保护机制安全登录自主访问控制(DAC，discretionalaccesscontrol)：对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表（或访问控制列表ACL）来限定哪些主体针对哪些客体可以执行什么操作;可以非常灵活地对策略进行调整。易用性与可扩展性;经常被用于商业系统。2025/4/110C2安全级别的关键要求与DAC对应的是强制访问控制（mandatoryaccesscontrol,MAC)系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。通过对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。经常用于军事用途。2025/4/111C2安全级别的关键要求安全审计对系统记录和活动进行独立的审查和检查以确定系统控制的适合性，确保符合已建立的安全策略和操作规程，检测安全服务的违规行为由工具生成和记录安全审计迹，查看和分析审计迹研究和发现系统受到的攻击和安全威胁对象重用保护：当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源2025/4/112C2安全级别的关键要求NT系统实现的两项B安全级的要求：信任路径功能，用于防止用户登录时被特洛伊木马程序截获用户名和密码trustedpathissimplysomemechanismthatprovidesconfidencethattheuseriscommunicatingwithwhattheuserintendedtocommunicatewith,ensuringthatattackerscan'tinterceptormodifywhateverinformationisbeingcommunicated信任机制管理，支持管理功能的单独帐号2025/4/113NT系统的安全机制截止2009年5月19日，“绿盟科技”的漏洞库收集了2437条windows系统以及应用软件的漏洞

Windows漏洞Win2000的bug:中文版输入法漏洞入侵，使本地用户绕过身份验证机制进入系统内部Windows终端服务功能，使系统管理员进行远程操作采用图形界面，默认端口33892025/4/115漏洞实例2025/4/116简体中文输入法漏洞2025/4/117漏洞实例2025/4/118漏洞实例2025/4/119漏洞实例2025/4/120漏洞实例C:\WINDOWS\system32\config\SAML0phtcrack：windows系统的口令字猜测工具，可脱机工作；SMBpacketcapture工具监听并捕获登录会话，剥离口令字windows日志事件查看器C:\windows\system32\configWindowsSAMSMB:servermessageblock（打印共享）MSRPC:microsoftremoteprocedurecallNetbios,netbiossessionservice各种网络服务在Windows中的具体实现http,smtp,pop3等微软专用协议Windows2000开始，IIS随操作系统默认安装信息泄露目录遍历缓冲区溢出IIS提供ftp,smtp等服务，且这些服务被激活后以system权限运行WindowsIIS正确设置TCP/IP筛选对重要的系统文件如cmd,net等进行严格的权限控制重要系统文件的权限设置Windows系统的安全组件访问控制的判断（Discretionaccesscontrol） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。

对象重用（Objectreuse）

当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。

强制登陆（Mandatorylogon）要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing）

在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）

不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。Windows安全子系统的组件安全标识符（SecurityIdentifiers）:

就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID。

例：S-1-5-21-1763234323-3212657521-1234321321-500 SID：S-1-5-18

名称：LocalSystem

说明：操作系统使用的服务帐户。SID：S-1-5-19

名称：NTAuthority

说明：本地服务SID：S-1-5-20

名称：NTAuthority

说明：网络服务

访问令牌（Accesstokens）:

用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows系统，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。Windows系统的安全组件Windows安全子系统的组件安全描述符（Securitydescriptors）：

Windows系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（System