WindowsServer2003的安全管理

第4章WindowsServer2003的安全管理4.1WindowsServer2003安全架构4.2WindowsServer2003的新安全机制4.3WindowsServer2003的身份验证4.4WindowsServer2003的授权4.5WindowsServer2003的授权管理器4.6WindowsServer2003的安全模式4.7WindowsServer2003的安全管理网络操作系统的安全是网络安全的核心，提高网络安全的基点应该是从操作系统的安全进行着手，Windows系列服务器版目前最新版为Server2003，微软宣称其为迄今为止微软最强大的Windows服务器操作系统。一个安全的网络操作系统的安全性特征是贯穿于整个系统之中的，操作系统要安全就必须保证文件系统、用户帐户目录、用户确认系统、存储管理、交换和环境子系统等的安全性。Windows的安全环境就是将保密性溶入每一个组件的创建过程中，WindowsServer2003的安全设计有很大改进，主要体现在网络身份验证、基于对象的授权、比较完整的安全策略、数据加密保护等，以此来保证服务器的安全。§4.1WindowsServer2003安全架构TSI安全架构如图4-1所示。§4.2WindowsServer2003的新安全机制·授权管理器：WindowsServer2003中的授权管理器是基于角色安全管理的改进，它可以定义角色以及角色执行的任务。·存储用户名和密码：WindowsServer2003的存储用户名和密码功能允许用户连接服务器时使用的用户名和密码与登录网络时使用的用户名和密码不同。此实用工具为用户名和访问Internet资源时所需的凭据提供安全存储。·软件限制策略：这是WindowsServer的新安全策略，防止软件应用程序基于软件的哈希算法、软件的相关文件路径、软件发行者的证书或寄宿该软件的Internet区域来运行。·证书颁发机构：与Windows2000相比，WindowsServer2003证书服务提供了新的PKI功能，旨在展示证书模板编辑功能和为用户和计算机的证书进行自动注册。·受限委派：WindowsServer通过这一新的安全功能，可指定要信任的服务用以委派服务器。§4.2WindowsServer2003的新安全机制·有效权限工具：此工具将计算授予指定用户或组的权限。·加密文件系统(EFS)：在WindowsServer2003中不再需要恢复代理。·Everyone成员身份。内置Everyone组包括AuthenticatedUsers和Guests，但不再包括Anonymous组的成员。在以前的Windows版本中默认权限许是将“完全控制”授予了Everyone组，整个文件系统根本没有安全性可言（就本地访问来说）。·基于操作的审核：基于操作的审核提供了更多描述性的审核事件，并提供用户选择在审核对象访问时要审核的操作。·重新应用安全默认值：此过程可以使用用户重新应用WindowsServer2003家族的默认安全设置。4.3WindowsServer2003的身份验证验证的示意图如图4-2所示4.4WindowsServer2003的授权4.4.1授权基础图4-5是WindowsServer2003的授权模型。4.4.2WindwosServer2003授权在WindowsServer2003中有许多受限的默认授权集。1．NTFS根目录的权限受限更厉害了，非管理员在此目录中既不能写也不能修改任何由其他用户创建的文件。而2000中everyone都有完全控制的权限。在20003中权限如下：Administrator,SystemAccount,CreatorOwner：完全控制;Everyone：读取/执行;User：读取/执行，生成文件夹/追加数据，生成文件/写数据2．默认共享权限限制更严。Everyone现在只有读取的权限。这就是说对于新创建的共享，即使是Administrator，也只有读取的权限了。3．控制台应用限制更严。例如我们常用的cmd.exe。也就MS-DOS窗口。它使用默认的ACL，也就是Administrator：完全控制;System:完全控制;交互方式：读取和执行;服务：读取和执行。4．匿名帐户不在属于Everyone组。而Everyone组只包含验证后的用户和Guest帐户。5．事件日志的安全增强。对于应用和定制日志，交互用户只能在本地读取和写入。管理员才能远程访问。对于系统日志，交互用户只能在本地读取。本地系统、本地服务和网络服务只能在本地写入。只有管理员才能远程读取。4.5WindowsServer2003的授权管理器授权管理器是WindowsServer2003的新功能。4.6WindowsServer2003的安全模式在现在的网络应用中，信息的安全则显得更加重要。这里，我们从用户的角度对Windows的安全性做一些探讨。WindowsServer2003通过一系列的管理工具，以及对用户帐号，口令的管理，对文件、数据授权访问，执行动作的限制，以及对事件的审核达到C2级安全，从用户的角度看，通过这一套完整、可行、易用而非繁琐的措施可以达到较好的效果。Windows的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，许多安全机制不是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁（破坏、非法的编辑等等）。安全机制甚至提供基本的系统功能，例如设置系统时钟。对用户帐号、用户权限及资源权限的合理组合，可以有效地保证安全性。4.6.1WindowsServer2003的安全策略敏感信息在计算机中可能以几种形式存在：·对于用户而言，Windows有以下几种管理手段，这些对安全性有着极大的影响：·用户帐号和用户密码·域名管理·用户组权限·共享资源的权限；·机制对系统操作的影响。4.6.2在网络中WindowsServer2003的安全性1.通过用户帐号、密码、用户组方式登录到服务器在服务器允许的权限内对资源进行访问、操作。这种方式的可控制性较强，可以针对不同的用户。WindowsServer2003系统首先必须在Server2003中拥有一个帐号，其次，规定该帐号在系统中的权力和权限。在WindowsServer2003系统中，权力专指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等。权限专指用户对系统资源所能做的事情，如对某文件的读、写控制，对打印机队列的管理。Server2003系统中有一个安全帐号数据库，其中存放的内容有用户帐号以及该帐号所具有的权力等。用户对系统资源所具有的权限则与特定的资源一起存放。2.在局部范围内通过资源共享的形式登录网络这种方式建立在NETBIOS的基础之上。对共享的访问不能经过路由器，范围被限制在一个子网范围内，在使用的灵活性上受到限制，通过对共享资源的共享权限的控制达到安全保护。但不能针对不同的用户，当一个用户在通过共享对某一个资源进行操作时（这时共享权限有所扩大），其他用户趁虚而入，而造成对资源的破坏。例如设置NTFS的安全性：WindowsServer2003获得美国政府的C-2安全性认证在很大程度上取决于NTFS文件系统具有很强的安全性。3.在网络中通过TCP/IP协议，对服务器进行访问目前典型应用有FTP、HTTP、等。通过对文件权限的限制和对IP的选择，对登录用户的认证可以在安全性上做到一定的保护。但由于Windows是微软的产品，其透明度并不高，安全隐患有可能就隐藏于此。第一，WindowsServer2003本身有可能存在BUG，一但被发现，就有可能造成损失。第二，由于网络的日益庞大，使通过INTERNET访问某个国家的机密成为可能，假如在编写网络操作系统的同时，为以后通过TCP/IP入侵留下隐藏的人为的漏洞。4.7WindowsServer2003的安全管理最严格的安全防护也不能防止所有的安全事故。操作系统提供的安全功能中很重要的一点就是责任，它确保任何实体的动作将唯一用该实体标识。一个实体可以是一个人，一个操作系统资源，或者一个外部系统，例如计算机或者网络。操作系统的责任服务把所有的安全相关事件同一个标识联系起来。根据以下两个指标评估责任：·机制用来分配责任的强度。·操作系统基于这个信息进行决策的能力。在WindowsServer2003中，安全管理是一项非常重要的服务，它新增加了软件安全策略这一新功能。并且如前所述，在安全架构上增加了许多安全的组件来确保操作系统的安全。但为了保证服务器的安全，管理员还需要根据企业或单位的实际情况来配置相关的安全策略。在WindowsServer2003中，安全管理主要体现在三个主要方面：安全策略管理、安全补丁管理和相关的审核管理。所有的安全设置如图4-20所示。4.8安全工具4.8.1Netstat实用命令Netstat命令是一个端口扫描程序，它能扫描目标机或网络的端口信息，如果端口扫描程序报告端口139在目标机或网络上是开放的，那么使用NBTSTAT命令，可以查询网络机器上的NetBIOS信息的。同时NBTSTAT在进行安全检查时也经常用到。下面我们讲一下这个命令。1.Nbtstat命令格式Nbtstat[-aRemoteName][-AIP_address][-c][-n][-R][-r][-S][-s][iNTerval]参数说明如下：·-a列出为其主机名提供的远程计算机名字表；·-A列出为其IP地址提供的远程计算机名字表；·-c列出包括了IP地址的远程名字高速缓存器；·-n列出本地NetBIOS名字；·-r列出通过广播和WINS解析的名字；·-R消除和重新加载远程高速缓存器名字表；·-S列出有目的地IP地址的会话表；·-s列出会话表对话。4.8.2Netview如果有了空IPC会话，网络入侵者也能获得网络共享列表，否则就无法得到。为此，网络入侵者希望了解到在你的机器上有哪些可用的网络共享。为了收集到这些信息，要采用下列这个标准的netview命令：c:\netview\\[远程主机的IP地址]根据目标机的安全约束规则，可以拒绝或不拒绝这个列表。4.8.3UsersatUsrStat这个命令行实用程序显示特定域中各个用户的用户名、全名以及最后一次登录的日期和时间。下面是根据远程网络通过一个空IPC会话采用这个工具进行的实际剪切和粘贴：C:\NTRESKITusrstatdomain4Usersat\\STUDENT4Administrator--logon:TueNov1708:15:251998Guest--logon:MonNov1612:54:041998IUSR_STUDENT4-INTernetGuestAccouNT-logon:MonNov1615:19:261998IWAM_STUDENT4-WebApplicationManageraccouNT-logon:Neverlaurel--logon:Nevermegan--logon:Never我们现在说明一下。在真正的攻击发生前，把一个映射放到通过#PRE/#DOM标记映射StudeNT4机器及其域活动状态的lmhosts文件中（下面详述）。然后把表目预加载到NetBIOS高速缓存器中，同时建立一个空IPC会话。这个命令是根据域名发出的。最后，该工具会向主域控制器查询这个域。4.8.4Global这个命令行实用程序显示远程服务器或域上全局群组的成员。如上所述，这个实用程序是与Lmhosts/IPC映射一起使用的。下面是global工具的实际俘获。在这个例子中，“域用户”是WindowsNT域中出现的标准默认全局群组。我们在此采用这个工具向Domain1查询“域用户”群组中所有用户的列表。4.8.5local工具local工具象global工具一样操作，不同之处是，它向机器查询本地群组的成员，而不是全局群组的成员。下