第八章操作系统安全

第八章操作系统安全

课程内容

口第一部分操作系统安全基础

口第二部分Windows操作系统安全

口第三部分Linux/Unix操作系统安

全

第一部分：操作系统安全基础

操作系统概述

•操作系统的发展

•安全操作系统的发展

•操作系统安全等级

8.1操作系统概述

・通常计算机由两部分组成：硬件和软

・裸作系统是系统软件中最基本的部分，

主要作用是：

管理系统资源；

共享系统资源，对资源合理调度；

提供输入输出的便利，简化用户工作；

规定用户接口，发现并处理各种错误的发生。

操作系统

操作系统是用户与计算机硬件系统之间接口，是

计算机资源的管理者，处理机管理、存储器管理、

I/O设备、管理、文件管理。

操作系统

■任何操作系统都会存在系统缺陷，主要问题集中于:

•用户和组

•文件系统

•系统默认设置和使用

•未修补的系统故障

•不正确或不存在的审核过程

全球操作系统分布统计列表

・操作系统•主机数量•占有率

•1•Linux•171,623•26.3%

•2•MSWindows•152,682•23.4%

•3•BSDFamily•147,602•22.6%

•4•Solaris/SunOS•94,230•18.4%

•5•IRIX•29,384•8.5%

,6•Apple/MAC•13,736•2.1%

•7•AIX•10,865•1.7%

•8•HP/UX•10,237•1.6%

•9•ReliantUnix/Sinix•3,971•0.6%

*।

•DigitalUnix•3,775•0.6%

Oi

•SCOUnix•2,507•0.4%

*

C•NovellNetware♦2,285*0.4%

•总数•642,899•98.6%

操作系统安全定义

•信息安全的五类服务，作为安全的操作系统时必须提供的

•有些操作系统所提供的服务是不健全的、默认关闭的

信息安全评估标准

•TCSEC(TrustedComputerSystemevaluationCiiteria)信任的计算机

系统评估标准描述的系统安全级别

-D9A

•CC(CommonCiitical)标准即信息技术安全评估通用标准

•/tpep/library/ccitse/index.html

•BS7799:2000标准体系(英国标准协会制定的信息安全标准)，规定了

企业建立信息安全管理体系的具体要求和实施细则。

•/information+secuirty/page/index.html

•ISO17799标准,信息技术一信息安全管理实施细则

TCSEC定义的内容

A级校验级保护，所有安装必须由管理员控制

B3级安全域，数据隐藏与分层、屏蔽

强制性保护功能，即

B2级安全策略模式，结构化内容保护用户必须与安全等级

相连

B1级对象标记安全保护，如SystemV等

C2级有自主的访问安全性，区分用户提供审慎的保护，并为

用户的行动和责任提供

C1级不区分用户，基本的访问控制审计能力

D级没有安全性可言，例如MSDOS

C2级安全标准的要求

1.自主的访问控制

2,对象再利用必须由系统控制

3.用户标识和认证

4•审计活动

•能够审计所有安全相关事件和个人活动

•只有管理员才有权限访问

CC国际通用准则

•CC将评估过程划分为功能和保证两部

分，评估等级分为EAL1、EAL2、EAL3、

EAL4、EAL5、EAL6和EAL7共七个等级。每

一级均需评估7个功能类，分别是配置管

理、分发和操作、开发过程、指导文献、

生命期的技术支持、测试和脆弱性评估。

几种操作系统的安全等级

操作系统级别

OSF/1B1级

Linux/Unix/NetwareC2级

MSWinNT/2000C2级

SalorisC2级

D0S/Win9XD级

操作系统安全机制

•特殊安全机制

-加密机制

-数字签名机制

-访问控制机制

-数据完整性机制

-认证机制

-数据填充机制

•广泛安全机制

-信任的建立和安全标签的应用

第二部分：Windows操作系统安全

•安全环境及特性

•系统信息安全

•系统安全机制

•典型安全配置

•IIS安全

,攻击实例分析

Windows安全

•Windows2000中的对象类型有：乂件、

文件夹、打印机、I/。设备、窗口、线程、

进程和内存。

•本地的Windows2000安全子系统包括下

列关键组件：安全标识符、访问g臂％为

全描述符、访问控制列表和访问控制条目。

Windows系统的安全架构

inistration

Control

CorporateSecurityPolicy

WindowsNT系统内置支持用户认证、访问

控制、管理、审核。

0.2.1Windows系统的安全组件

•访问控制的判断(Discretionaccesscontrol)

•允许对象所有者可以控制谁被允许访问该对象以及访问的方

式。

•对象重用(Objectreuse)

•当资源(内存、磁盘等)被某应用访问时，Windows禁止所有

的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文

件的原因。

•强制登陆(Mandatorylogon)

•要求所有的用户必须登陆，通过认证后才可以访问资源

•审核(Auditing)

•在控制用户访问资源的同时，也可以对这些访问作了相应的记录。

•对象的访问控制(Controlofaccesstoobject)

•不允许直接访问系统的某些资源。必须是该资源允许被访问，

然后是用户或应用通过第一次认证后再访问。

Windows2000安全组件

•安全标识符：

-分配给所有用户、组和计算机的统计上的唯一号码

-为了保证SID的惟一性，在生成他们的时候使用一个

公式，结合计算机名，当前时间和当前用户模式线程

使用CPU时间的总量。SID像这样：

S-1-5-21-1649288664—1549824960—

1244863647-500

解读SID

颁发机构代码，相对标不符

Windows2000总RID,一般为

为5常数

SID

S-1-5-21450700733342045547644011284298-50。

Q

修订版

s❖S-1-1-0Everyone

本编号子颁发机构代g

码，共有4个；w

具有唯一性*❖S-1-2-0Iinteractive用户

❖S-1-3-0CreatorOwner

❖S-1-3-1CreatorGroup

•访问控制令牌：

-访问令牌由用户的SID、用户所属组的SID和用户名组

成

-用户通过验证后，登陆进程会给用户一个访问令牌，

该令牌相当于用户访问系统资源的票证，当用户试图

访问系统资源时，将访问令牌提供给Windows系统,

然后WindowsNT检查用户试图访问对象上的访问控

制列表。如果用户被允许访问该对象，系统将会分配

给用户适当的访问权限。

-访问令牌是用户在通过验证的时候有登陆进程所提供

的，所以改变用户的权限需要注销后重新登陆，重新

获取访问令牌。

Windows2000安全组件

*安全描述符：

-安全描述符由对象所有者的SID、POSIX子系统使用的

组SID、访问控制列表和系统访问控制列表组成。

对象所有者SID

DACLSACL

安全描述符的构成图。

Windows2000安全组件

•访问控制列表:

选择性ACL系匏ACL

用户A说成功

用户A完全控制

组所失脓

组避止进入

用尸B改变

访问控制列表结构图|

Windows2000安全组件

•访问控制条目：

-访问控制条目(AccessControlEntry,

ACE)包含用户或组的SID和分配给对象的权

限。

Windows安全子系统

•Winlogon

•图形身份认证和验证动态链接库(GraphicalIdentification

AndAuthenticationDLL,GINA)

•本地安全管理授权(LocalSecurityAuthoiity,LSA)

•安全支持供应商接口(SecuritySupportProvider

Interface,SSPI)

•验证软件包(AuthenticationPackages)

•安全支持供应商(SecuritySupportProviders)

•Netlogon服务

•安全帐户管理器(SecuHtyAccountManager,SAM)

访问控制模型

Windows详细安全环境及特性

D

WinlogonLsass

Netlogon活动目录*~^活动目录

LSA41

LSA服务器11SAM月艮务器卜.SAM

策略

Msvl_0.dll

系统Kerberos.dll用户模式

线程

内核模式

系统服军调咿

内核模式可调用接口Win32

User,GDI

I/O管理器对

象

管

设备和文图形驱

件系统驱理

动程序器动程序

内核

硬件抽象层

,2.2Windows2000的登陆安全子系

统

加载GINA,

监视认证顺序

提供登陆接口Winlogon

GINA

管理用户和用户为认证建立

证书的数据库安全通道

Windows2000认证与授权访问

使用账户名称/

口令进行认证

Winlogon

用户A成功

令牌

访User=S-1-21-S-1-5-21-1507001333-

问1204550764-1011284298-500

Groupl=EveryOneS-1-1-0

Group2=AdministratorsS-1-5-32-544SRM,安全

参考监视器

允许

Read=AS-1-5-21

Write=administratorsS-1-5-32-544...

823Windows活动目录

活动目录是Windows2000完全实现的目录服务，也是Windows

2000网络体系的基本结构模型，是Windows2000网络操作系统的

核心支柱，也是中心管理机构。Microsoft在Windows2000中提供

的活动目录是一个全面的目录服务管理方案，也是一个企业级的

目录服务，具有很好的可伸缩性。活动目录采用了Internet的标

准协议，它与操作系统紧密地集成在一起。

活动目录不仅可以管理基本的网络资源，比如计算机对象、用

户账户、打印机等，它也充分考虑了现代应用的业务需求，为这

些应用提供了基本的管理对象模型，比如用户账户对象具有办公

电话、手机、呼机、住址、上司、下属、电子邮件等属性。几乎

所有的应用可以直接利用系统提供的目录服务结构，而且活动目

录也具有很好的扩充能力，允许应用程序定制目录中对象的属性

或者添加新的对象类型。

活动目录的角色3

Windows服务器

IIWindows客户■Mgmt配一置:文件

/4kWindows用户■网络信息

品引■帐号信息■Mgmt配置文件

臼■网络信息■服务

，A■特权■策略■打印机

/■配置文件

臼-■文件共享

■

其他目录■策略一

■Whitepages

网络设备

■E-Commerce

目录为下列对象管理焦点:■配置

■用户和资源■服务质量策略

■安全

■安全策略

■授权

其他NOS

■策略

■Userregistry

■Security

■Policy

防火墙服务

■配置

■安全策略

电子邮件服务器

■虚拟C用网络策略

■邮箱信息Internet

用

■通讯簿

时n录信息

■策略

活动目录的逻辑结构

身份验证与访问控制

・身份验证

-用方在ActiveDirectory中必须有一个

Windows2000用户帐户，以登录到计算机或

域中

-Windows2000支持多重身份验证机制以供用

户在进入网络时证明自己的身份

-用户帐户还可用作一些应用程序的服务帐方

-当用户进入网络时，用户必须提供身份验证信

息以便安全系统身份验证其身份，之后再决定

要允许该用户以什么权限访问网络资源

身份验证与访问控制

•Windows2000支持，包括X.509证书、智能卡

和、Kerberos协议和NTLM协议数种产业标准身份

验证机制

•在ActiveDirectory中使用“组策略”，根据用

户的角色和您的安全需要为个别用户或用户组指派

特定身份验证机制

•若身份验证成功，可以根据身份验证机制提供的

身份找到用户帐户，Windows2000会为用户提供

一组凭据，该凭据可用来访问整个网络上的资源

身份验证与访问控制

•访问控制

-Windows2000通过让管理员给对象指派安全

性描述符，如文件、打印机和服务等来执行访

问控制

-管理者不仅可控制对特定对象的访问，也可控

制对该对象的特定属性的访问

-使用对象的ACL,Windows2000会比较关于

客户端和关于对象的信息来决定用户对该对象

是否具有所需的访问权

身份验证与访问控制

•精密的访问控制

-为了给管理者较大的弹性来指派安全性设置，

ActiveDirectory提供对目录中对象的精密访问

控制。目录中的项可以有丰富的架构：用户或

组可以有数百种属性，如电话号码、办公室号

码、管理器以及成员所属的组等

管理委派

•ActiveDirectory让管理者在域的目

录林中委派管理任务子集，这样组织

就可以将域管理的责任分发给数个职

员。可以通过创建包含您想委派控制

的对象的组织单元来对域目录树的任

何级别委派管理控制，然后把这些组

织单元的管理控制委派给特定用户或

组。

Windows操作系统安全

•安全环境及特隼

❶帐户安全

•系统信息安全❷文件系统安全

•系统安全机制❸其他信息安全

•典型安全配置

•IIS安全

,攻击实例分析

用户帐户

Windows内建帐户

帐户名注释

SYSTEM或

本地计算机的全部特权

LocalSystem

Administrator本地计算机的全部特权

Guest非常有限特权，默认禁止

IUSR_计算机名HS的匿名访问，是Guests组成员

HS的进程外应用程序作为这个帐户运

IWAM_计算机名

行，Guests组成员

TSInternetUser用于终端服务

Kerberos密钥分发中心服务帐户，只

krbtgt

在域控制器上出现，默认是禁止的

组

帐户名注释

Administrators成员具有本地计算机的全部权限

Users本地计算机上全部帐户，权限较低

Guests与Users具有相同权限

AuthenticatedUsers隐藏组，包含所有已登录帐户

没有Administrators权限高，但接

BackupOperators

近

Replicator用于域中的文件复制

没有Administrators权限高，但接

ServerOperators

近

礁源触绯rators权限高，但接

AccountOperatorsV

'C/XX-ABAA■BA■AAAk士T7I7RP=i/口4^4^

组

帐户名注释

包括通过物理控制台或者终端服

INTERACTIVE

务登录到本地系统的所有用户

当前网络所有用户，包括Guests

Everyone

和来自其他域的用户

Network通过网络访问指定资源的用户

Windows特殊组

Windows操作系统安全

•安全环境及特伴❶帐户安全

•系统信息安全.❷文件系统安全

❸其他信息安全

•系统安全机制

•典型安全配置

•IIS安全

,攻击实例分析

8.2.3Windows支持的文件系统

类型安全性描述

1976年设计，不支持长文件名，最

FAT无

大支持2GB空间；

FAT的替代技术，支持长文件名，

FAT32无

支持更大的文件空间；

微软为WindowsNT操作系统而设

NTFS支持计，提供相对完善的安全性，支持

长文件名，支持更大的文件空间。

第二部分：Windows操作系统安全

安全环境及特隼❶帐户安全

系统信息安全❷文件系统安全

❸其他信息安全

系统安全机制

典型安全配置

HS安全

攻击实例分析

注册表

•注册表(Registry)是微软公司从

Windows95系统开始(至目前最新WM2000

系统依然使用的是它)，引入用于代替原先

Win32系统里.ini文件，管理配置系统运行参

数的一个全新的核心数据库。

注册表：安全

注册表：安全

Windows2000安装盘中附

带SYSKEY工具。

Windows操作系统安全

•安全环境及特性

❶安全策略

,系统信息安全

©IPSEC

,系统安全机制.❸协议过滤/防火墙

•典型安全配置❹审计/日志

❺其他安全机制

,ns安全

,攻击实例分析

安全策略：帐户安全策略

开始一管理工具一本地安全策略

安全策略：帐户安全策略

，本地安全设置,|n|x|

操作®查看M-国画|＞鼠I鬻

树|策略本地设置有效设置

号＞安全设置域］密码必须符合复杂性要求已停用已停用

-H帐户策略践密码长度最小值0个字符0个字符

颗密码最长存留期

42天42天

3帐户锁定策略躅1密码最短存密期0天。天

E本地策略盘］强制密码历史0个记住的密码0个记住的密码

等审核策略践为城中所有用户使用可还原的.,.已停用已停用

强壮密码应符合的规则

+

个人名字使用重复

或呢称的字符

L=强壮的密码

Windows2000口令破解的一个测试结果

­在一台高端PC机（4个CPU）上强行破解

-5.5小时内破解字母-数字口令

-45小时破解字母-数字-部分符号口令

-480小时破解字母-数字-全部符号口令

•在200台集群服务器上强行破解

-15分钟破解字母-数字-全部符号口令

0I//

账号策略

•账号锁定策略

1］复位帐户锁定计数器没有定义没有定义

阈帐户锁定时间没有定义没有定义

•密只期帐户锁定阈值0次无效登录0次无须登录

跚密码必须符合复杂性要求已停用已停用

跚密码长度最小值0个字符0个字符

躅密码最长存留期42天42天

掰密码最短存留期o天:。天:

助强制密码历史0个记住的密码0个记住的密码

掰为域中所有用户使用可还原的…已停用已停用

密码策略的推荐设置

强制执行密码历史记录24个密码

密码最长期限42天

密码最短期限2天

密码必须符合复杂性要求启用

■

为域中所有用户使用可还

原的加密来储存密码禁用

针对远程破解的策略定制

・密码复杂性要求

•账户锁定策略的推荐设置

策略默认设置推荐最低设置1

帐户锁定时间未定义30分钟

帐户锁定阈值05次无效登录

复位帐户锁定计数未定义30分钟

器

帐号、口令策略修改

■推荐修改为:

密码长度最小值8字符

密码最长存留期90天

密码最短存留期30天

帐号锁定计数器5次

帐户锁定时间5分钟

帐户锁定阀值1分钟

•设置帐号策略后可能导致不符合帐号策略的帐号无法登陆,

需修改帐号密码（注：管理员不受帐号策略限制，但管理

员密码应复杂）

Windows2000上的RUNAS

WindowsNTResourceKit中曾提供su工具在最低权限

用户帐户的上下文中执行任务指令格式举例

runas/user:mydomain\adiministrator"mmc

%windir%\system32\devmgmt.mscM

安全策略：本地安全策略

运行gpedit.msc打开组策略编辑

做本地安全设置

函|【

操作（⑷查看M]<>.固男，阕

树|策略本地设置有效设置

学安全设置嗖］审核帐户登录事件无审核无审核

圈审核目录服务访问无审核无审核

E遂帐户策略

询审核过程追踪无审核无审核

等密码策略

画审核帐户管理无审核无审核

帐户锁定策略

霞］审核策略更改无审核无审核

S力本地策略

审核策略跚审核特权使用无审核无审核

等用户权利指派腐审核对象访问无审核无审核

常安全选项国审核登录事件无审核无审核

BU公钥策略回审核系统事件无审核无审核

_|经过加密的数据恢复代理

电IP安全策喀，在本地机器

_________________________________________.______________________,,_________

安全策略：本地安全策略

■本地安全设置,［□1x］

操作®登看⑵①♦|直的隰|图

,本地安全设置,1□!x|

树1

镰作@）查看⑦8-）鼠由

学安全设置包画|

策略1本地设置

E帐户策国树|有效设置▲

力密码IJJ安全设置明取得文件或其它对象的所有权AdministratorsAdministrators

窗］配置系统性能AdministratorsAdministrators

3帐户B父帐户策略

E力本地策曜空密码策咯圜修改固件环境值AdministratorsAdministrators

酒审核帐户锁定策略躅管理审核和安全日志AdministratorsAdministrators

等用户BH本地策略融装载和卸载设备驱动程序AdministratorsAdministrators

国安全常审核策略瞠）增加进度优先级AdministratorsAdministrators

蹑］添加配额AdministratorsAdministrators

Bi_J公钥策理

常安全透项跚从远端系统强制关机AdministratorsAdministrators

_］经过

□.口公钥策略国调试程序AdministratorsAdministrators

艮IP安全？11经过加密的数据恢复代理

殴］创建页面文件AdministratorsAdministrators

曼IP安全策略，在本地机器回还原文件和目录BackupOperator%...BackupOperators^...

蹒备份文件和目录BackupOperators,...BackupOperators,...

竭跳过遍历检查Everyone；Users,Po...Everyone,Users^Po.,,

理|配置单一进程PowerUsers,Admini..,PowerUser51Admini…

躅更改系统时间PowerUsers,Admini...PowerUsers,Admini...

:践关闭系统PowerUsers,Backu.,.PowerUsers’Backu..,

圜从插接工作站中取出计算机Users,PowerUsers,...Users3PowerUsers,...

国在本地登录YANQING2000\IUS...YANQING2000\IU5...

融作为批处理作业登录YANQING2000\IUS...YANQING2000\IU5...

跚从网络访问此计算机YANQING2000\IWA...YANQING2000\IWA...

跚允许计篁机和用户帐户被信任…

掰同步目录服务数据.一，

1zJ

।卜

安全策略：本地安全策略

■本地安全设置,[□1x]

操作也）查看⑦如.I国画」园I包

树,本地安全设置-!□Ix|

|值的.'•鼠|图

‘?安全设置镰作@）查看（Y）0•i

白口帐户策屏树I熊本地安全设置|口1X

常密码康舆全设置］操作®查看00I」6f|I隹1画|X眠I闺

等帐户

E3帐户策R树|融I本地设置有效设置

E力本地策曜3密挹场可被缓冲保存的前次登录个数（...次登录次登录

1中安全设置1010

学审核昌帐户龈］在密码到期前提示用尸更改密码

E帐户策略14天14天

等用户E本地策任3密码策咯殴］在断开会话之前所需的空闲时间15分钟15分钟

常审核

M安全M1户锁定策咯掰允许弹出可移动NTF5媒体AdministratorsAdministrators

冷雕圜身份验证级别

臼口公钥策展E3本地策略LANManager发送LM&NTLM响应发送LM&NTLM响应

3安全_3审核策略跚未釜名驱动程序的安装操作没有定义没有定义

经过糜未签名非驱动程序的安装操作

EU公钥策UR用户权利指派没有定义没有定义

函允许服务器操作员计划任务（仅…

艮IP安全负口经过安全选项没有定义没有定义

冕IP安全］曰＜_J公钥策略畿重命名来宾帐尸没有定义没有定义

_）经过加密的数据恢复代理嬲重命名系统管理员帐户没有定义没有定义

曷安全策略，在本地机器

IP园对匿名连接的额外限制无.依赖于默认许…无.依赖于默认许...

圆智能卡移除操作无操作无操作

国安全通道:对安全通道数据进行…巳启用已启用

跚安全通道:对安全通道数据进行…已启用已启用

跚对客户端通讯进行数字签名（如…巳启用巳启用