Windows系统安全技术.ppt

1、Windows系统安全技术,提纲,系统安全模型 服务安全性 降低风险,Windows系统安全模型,操作系统安全定义, 信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,信息安全评估标准,ITSEC和TCSEC TCSEC描述的系统安全级别 D-A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准,TCSEC定义的内容,没有安全性可言，例如MS DOS,不区分用户，基本的访问控制,有自主的访问安全性，区分用户,标记安全保护，如System V等,结构化内容保护，支持硬件保护,安全域，数据隐藏与分

2、层、屏蔽,校验级保护，提供低级别手段,C2级安全标准的要求,自主的访问控制 对象再利用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问,Windows系统的安全架构,Windows 系统内置支持用户认证、访问 控制、管理、审核。,Windows系统的安全组件,访问控制的判断（Discretion access control） 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件

3、的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源 审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。,Windows安全子系统的组件,安全标识符（Security Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-321265

4、7521-1234321321-500 访问令牌（Access tokens）: 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候由登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。,Windows安全子系统的组件,安全描述符（Security descriptors）： Windows 系统中的任何对象的属性都有安全描述符这

5、部分。它保存对象的安全配置。 访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。 访问控制项（Access control entries）: 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。,Windows安全子系统,安

6、全子系统包括以下部分： Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM),Windows 安全子系统,Winlogon,加载GINA，监视认证顺序,加载认证包,支持额外的验证机制,为

7、认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,Windows安全子系统,Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在

8、该键，Winlogon将使用默认值MSGINA.DLL,Windows安全子系统,本地安全认证（Local Security Authority）： 本地安全认证（LSA）是一个被保护的子系统，它负责以下任务： 调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。 重新找回本地

9、组的SIDs和用户的权限。 创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户权限。 管理审核的策略和设置。 管理信任关系。,Windows安全子系统,安全支持提供者的接口（Security Support Provide Interface）： 微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。 认证包（Authentication Package）： 认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证

10、包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。,Windows安全子系统,安全支持提供者（Security Support Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种： Msnsspc.dll：微软网络挑战/反应认证模块 Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用 Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和

11、PCT（Private Communication Technology）协议通信的时候用到。,Windows安全子系统,网络登陆（Netlogon）： 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。 安全账号管理者（Security Account Manager）： 安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam，在域

12、复制的过程中，Sam包将会被拷贝。,Windows的密码系统,Windows NT及Win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。安全标识是唯一的，即使是相同的用户名，在每次创建时获得的安全标识都时完全不同的。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。,服务安全性,IIS服务安全配置,禁用或删除所有的示例应用程序 示例只是示例

13、；在默认情况下，并不安装它们，且从不在生产服务器上安装。请注意一些示例安装，它们只可从 http:/localhost 或 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissamplesIIS 文档 IISHelp c:winnthelpiishelp数据访问 MSADC c:program filescommon filessystemmsadc,IIS服务安全配置,删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这

14、些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器。 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 主目录 | 配置 | 删除无用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是 Administrators（完全控制） System（完全控制） Everyone (R) 将IIS目录重新定向 更

15、改系统默认路径，自定义WEB主目录路径并作相应的权限设置。 使用专门的安全工具 微软的IIS安全设置工具：IIS Lock Down ；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。 下载并安装最新的补丁,终端服务安全,输入法漏洞造成的威胁,net user abc 123 /add net localgroup administrators abc /add 注册表DontDisplayLastUserName 1,降低风险,安全修补程序,Windows系列 Service Pack NT(SP6A)、2000(SP4)、XP(SP2) Hotfix Microsoft出品的hfne

16、tchk程序 检查补丁安装情况 ,Netbios的安全设置,Win2000 取消绑定文件和共享绑定 打开 控制面板网络高级高级设置 选择网卡并将Microsoft 网络的文件和打印共享的复选框取消并禁止SERVER服务即可以禁止139端口 SystemControlsetServicesNetBTParameters Name: SMBDeviceEnabled （0禁止445端口） WinNT 在WinNT下取消NetBIOS与TCP/IP协议的绑定。可以按如下步骤进行： 点击“控制面板-网络-NetBIOS接口-WINS客户（TCP/IP)-禁用”，再点“确定”，然后重启。 这样NT的计算

17、机名和工作组名也隐藏了。,Netbios的安全设置,禁止匿名连接列举帐户名需要对注册表做以下修改。 注：不正确地修改注册表会导致严重的系统错误，请慎重行事！1运行注册表编辑器（Regedt32.exe）。 2定位在注册表中的下列键上： HKEY_LOCAL_MACHINESystemtCurrentControlLSA 3在编辑菜单栏中选取加一个键值： Value Name:RestrictAnonymous Data Type:REG_DWORD Value:1（Windows2000下为2） 4退出注册表编辑器并重启计算机，使改动生效。,Netbios的安全设置,Win2000的本地安全策

18、略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）,Windows 2000注册表,所有的配置和控制选项都存储在注册表中 分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本机相关配置