第1章 操作系统安全概述

姓名：刘烨手机：13329946986（短信注意署名）E_mail：liuye@hgpu.edu.cn自我介绍第1章操作系统安全概述1.1系统漏洞1.2Windows系统安全模型1.3Windows注册表安全1.4Windows账号与密码1.5Windows2000安全策略1.6Windows系统其他安全措施本章小结1.1系统漏洞漏洞漏洞产生的原因漏洞的分类漏洞检测漏洞漏洞一词本来的意思是指小孔或缝隙，引申意思为用来表达说话、做事存在不严密的地方。在计算机系统中，漏洞特指系统中存在的一个弱点或缺陷，也叫系统脆弱性（vulnerability），是计算机系统在硬件、软件、协议的设计与实现过程中或系统安全策略上存在的缺陷和不足。非法用户可利用漏洞获得计算机系统的额外权限，在未经授权的情况下访问或提高其访问权限，从而破坏系统的安全性。漏洞产生的原因漏洞产生的原因在于程序员不正确和不安全的编程引起的。虽然程序员在设计系统时，考虑了很多安全因素，但是由于操作系统功能庞大、涉及内容多，而且开发团队人员众多，总会有考虑不周的地方，这就是通常所说的系统的漏洞。漏洞对系统造成的危害在于它可能会被攻击者利用，继而破坏系统的正常运行，而它本身不会直接对系统造成危害。漏洞是广泛存在的，不同的设备、操作系统、应用系统都可能会存在安全漏洞。漏洞的分类程序逻辑结构漏洞程序设计错误漏洞开放式协议造成的漏洞人为因素造成的漏洞程序逻辑结构漏洞这类漏洞有可能是程序员在编写程序时，因为程序的逻辑设计不合理或者错误而造成的。这类漏洞最典型的例子要数微软的Windows2000用户登录的中文输入法漏洞。非授权人员可以通过登录界面的输入法的帮助文件绕过Windows的用户名和密码验证而取得计算机的最高访问权限。这类漏洞也有可能是合法的程序用途被黑客利用去做不正当的用途。程序设计错误漏洞这类漏洞是程序员在编写程序时由于技术上的疏忽而造成的。这类漏洞最典型的例子是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。开放式协议造成的漏洞目前，在互联网上用户之间的通信普遍采用TCP/IP协议。TCP/IP协议的最初设计者在设计通信协议时，只考虑到了协议的实用性，而没有考虑到协议的安全性，所以在TCP/IP协议中存在着很多漏洞。比如说，利用TCP/IP协议的开放性和透明性嗅探网络数据包，窃取数据包里面的用户口令和密码等信息；TCP协议三次握手的潜在缺陷导致的拒绝服务攻击等。人为因素造成的漏洞在计算机网络中，人为因素造成的安全漏洞可能是整个网络系统中存在的最大安全隐患。网络管理员或者网络用户都拥有相应的权限，他们利用这些权限进行非法操作是可能的，隐患是存在的。如，操作口令被泄露，磁盘上的机密文件被人利用及未将临时文件删除导致重要信息被窃取，这些都可能使内部网络遭受严重破坏。漏洞被人掌握的情况已知漏洞指已经被人们发现，并被人们广为传播的公开漏洞。未知漏洞指那些已经存在但还没有被人发现的漏洞，这种类型漏洞的特征是虽然它们没有被发现，但它们在客观上已经存在了，它们带给计算机网络安全的是隐蔽的威胁。0day漏洞0day漏洞是指已经被发掘出来，但还没有大范围传播开的漏洞，也就是说，这种类型的漏洞有可能掌握在极少数人的手里。漏洞检测①微软公司提供的MBSA（MicrosoftBaselineSecurityAnalyzer）工具，它可以对Windows系统的漏洞扫描，分析系统安全配置并形成相关的报表。MBSA工具可以检查Windows系统的漏洞、弱口令、IIS漏洞、SQL漏洞及检测安全升级等。②金山毒霸漏洞扫描工具。③360安全卫士漏洞扫描工具。④瑞星漏洞扫描工具。⑤X-scan漏洞扫描工具。1.2Windows系统安全模型登陆过程安全账号管理器用户账号数据库本地安全授权LSA安全策略数据库审计日志安全引用监视器SRM核心模式用户模式Windows安全模型登录流程登录流程接受本地用户或远程用户的登录请求，使用户名和系统之间建立联系。用户登录时，Windows系统会弹出一个交互对话框，要求用户输入用户名、密码等信息。如果用户信息有效，系统将开始确认用户身份。Windows系统把用户信息通过安全系统传输到安全账号管理器，安全账号管理器确认用户身份后返回安全标识（SecurityIdentifier，SID），然后本地安全权威开始构造访问令牌，与用户进行的所有操作相连接。访问令牌的内容将决定允许或拒绝用户所发出的访问要求。登录本地安全授权验证安全账号管理数据库中的认证安全账号管理器放回SIDs本地安全权威创建读写令牌本地安全权威创建主体本地安全授权本地安全授权确保用户有读写系统的权限，进而产生访问令牌，管理本地安全策略并提供交互式的认证服务。同时，本地安全授权控制审计策略，记录安全引用监视器生成的审计信息，能使Windows系统和第三方供应商的有效确认软件包共同管理安全性策略。本地安全授权是一个保护子系统，主要负责下列任务：加载所有的认证包，包括检查存在于注册表中\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA中的AuthenticationPackages值；为用户找回本地组的SID以及用户的权限；创建用户的访问令牌；管理本地安全服务的服务账号；存储和映射用户权限；管理审计策略和设置；管理信任关系等。安全账号管理器安全账号管理器维护账号的安全性数据库（SAM数据库），该数据库包含所有用户和组的账号信息。用户名和密码等信息通过散列函数并被加密，现有的技术不能将打乱的口令恢复。SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现。安全引用监视器安全引用监视器是一个抽象概念，它表现的是一种思想。J.P.Anderson把安全引用监视器的具体实现称为引用验证机制，引用验证机制需要同时满足以下3个原则：①必须具有自我保护能力；②必须总是处于活跃状态；③必须设计得足够小，以利于分析和测试，从而能够证明它的实现是正确的。安全引用监视器是Windows系统的一个组成部分，它以内核模式运行，负责检查Windows系统的读写的合法性，以保护系统免受非法读写。1.3Windows注册表安全注册表注册表结构用注册表编辑器设定注册表访问权限注册表使用的一些技巧攻击IE的恶意代码解决实例注册表注册表用来存储计算机软硬件的各种配置数据，是一个庞大的二进制数据库。注册表中记录了用户安装在计算机上的软件和每个程序的相关信息，用户可以通过注册表调整软件的运行性能，检测和恢复系统错误，定制桌面等。用户修改配置，只需要通过注册表编辑器，单击鼠标，即可轻松完成。系统管理员还可以通过注册表来完成系统远程管理。因而用户掌握了注册表，即掌握了对计算机配置的控制权，用户只需要通过注册表即可将自己计算机的工作状态调整到最佳。Windows中的注册表是一系列的数据库文件，主要存储在\WINNT\System32\Config目录下；有些注册表文件建立和存储在内存中，这些文件的备份也存储在\WINNT\Repair目录下，只有系统的账号才需要访问这些文件。注册表结构注册表只有二个子树：HKEY_LOCAL_MACHINE和HKEY_USERS。但为了便于检索，用注册表编辑器打开注册表时，展现为五个子树，这些子树的总体组成了Windows中所有的系统配置。注册表子树用注册表编辑器设定注册表的访问权限在Windows2000的32位注册表编辑器窗口中，对每个子树都有安全选项。可以对每个子树、项、子项的安全进行设定，从而限制用户对注册表的操作权限。在注册表编辑器操作界面里，在该界面中用鼠标依次单击HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\键值，在右边的窗口中如果发现Policies下面没有System主键，则请在它下面新建一个主键，取名System，然后在右边空白处新建一个DWORD串值，名字取为DisableRegistryTools，把它的值修改为1，这样修改以后，使用这个计算机的人都无法再运行regedit.exe来修改注册表了。注册表使用的一些技巧①ActiveX漏洞防范方法:修改注册表的防范方法：禁用WSHShell对象，阻止运行程序。删除或更名系统文件夹中的wshom.ocx文件，或删除注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}。②Word隐藏木马的防范方法:HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security中的Level值设为3的时候（代表安全度为高），WORD不会运行任何宏；Level值为2时(安全度中)，WORD会询问你是否运行宏。③防范WinNuke黑客程序的攻击:展开注册表到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP，在对应MSTCP键值的右边窗口中新建一个DWORD值，将它命名为“BSDUrgent”，然后将BSDUrgent的键值设为0，重新启动计算机后就可以了。④防止ICMP重定向报文的攻击:修改注册表可以防范重定向报文的攻击，方法是打开注册表，展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，将DWORD值EnableICMPRedirects的键值改为0即可。该参数控制Windows2000是否会改变其路由表以响应网络设备发送给它的ICMP重定向消息，Win2000中默认值为1，表示响应ICMP重定向报文。⑤防止SYN洪水攻击:SYN攻击保护包括减少SYN-ACK重新传输次数，以减少分配资源所保留的时间和路由缓存项资源分配延迟，直到建立连接为止。修改注册表防范SYN洪水攻击的方法是打开注册表，展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，将DWORD值SynAttackProtect的键值改为2即可(默认值为0)。如果synattackprotect=2，则AFD（一种内核模式驱动程序，用于支持基于Windowsocket的应用程序，如ftp、telnet等）的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。攻击IE的恶意代码解决实例①IE的默认首页灰色按钮不可选。这是由于注册表HKEY_USERS\DEAFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。解决方法：将“homepage”的键值修改为“0”。②修改IE起始页。有些IE被修改了起始页后，即时设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被修改了。也就是以下注册表项被篡改：HKEY_LOCAL_MACHINE\Software\InternetExplorer\Main\Default_Page_URL的“Default_Page_URL”子键的键值。解决方法：运行注册表编辑器，修改上述子键的键值，将篡改网站的网址改掉。③网页病毒锁住注册表。注册表被锁住是病毒攻击的常用手段，在你输入regedit命令时，注册表不能够使用，并发现系统提示你没有权限运行该程序。这是