CISP-11-Windows操作系统安全

Windows操作系统安全中国信息安全测评中心2008年11月课程目的了解windows系统的设计原理了解Windows的安全特性能够对windows系统进行安全配置授课方式：讲解、演示、学员实际操作Windows系统安全配置与管理Windows系统安全性Windows体系构架Windows安全配置Windows系统高级安全配置Windows的审计分析TCSEC安全等级安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制。大部分UNIX达到此标准。C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIXandHoneywellMULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如HoneywellXTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如HoneywellSCOMP基于C2级标准的安全组件灵活的访问控制----要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-----WindowsNT很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。强制登陆----WindowsNT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计----因为WindowsNT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问----WindowsNT不允许直接访问系统里的资源。系统漏洞导致的损失2004年，Mydoom所造成的经济损失已经达到261亿美元。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。Windows系统安全配置与管理Windows系统安全性Windows系统构架Windows安全配置Windows系统高级安全配置Windows的审计分析WindowsNT系统构架服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备管理器设备、文件驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动HAL（硬件抽象层）Microkernel安全引用监视器进程地址空间系统地址空间线程线程线程进程和线程什么是进程？•代表了运行程序的一个实例•每一个进程有一个私有的内存地址空间什么是线程？•进程内的一个执行上下文•进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程•运行程序的“主”函数•可以在同一个进程中创建其他的线程•可以创建额外的进程系统进程基本的系统进程SystemIdleProcess这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间smss.exe会话管理子系统，负责启动用户会话csrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe本地安全身份验证服务器svchost.exe包含很多系统服务SPOOLSV.EXE将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe托盘区的拼音图标系统进程树smss.exe对话管理器第一个创建的进程引入参数HKLM\System\CurrentControlSet\Control\SessionManager装入所需的子系统(csrss)，然后winlogoncsrss.exeWin32子系统winlogon.exe登录进程：装入services.exe和lsass.exe显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit中的进程（通常只是userinit.exe)services.exe服务控制器：也是几项服务的出发点服务的开始进程不是services.exe的一部分(由HKLM\System\CurrentControlSet\Services驱动)lsass.exe本地安全验证服务器（打开SAM）userinit.exe登陆之后启动。启动外壳（通常是Explorer.exe—见HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell)装入配置文件，恢复驱动器标识符映象，然后退出explorer.exe和它的孩子是所有交互式应用的创建者附加的系统进程•mstask.exe允许程序在指定时间运行。(系统服务)•regsvc.exe允许远程注册表操作。(系统服务)•winmgmt.exe提供系统管理信息(系统服务)。•inetinfo.exe通过Internet信息服务的管理单元提供信息服务连接和管理。(系统服务)•tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)•dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。。。。。。安全的元素安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：S-1-5-163499331-18283675290-12989372637-500访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表访问控制列表包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。安全的元素安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：S-1-5-163499331-18283675290-12989372637-500访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表访问控制列表包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。S表示该字符串是SIDSID的版本号，对于win2k来说，是1标志符的颁发机构，对于win2k的帐户，颁发机构就是NT，值是5表示一系列的子颁发机构最后一个标志着域内的帐户和组windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWin32application•使用户登陆生效•生成安全访问令牌•管理本地安全策略•记录SRM审核消息产生的事件日志负责SAM数据库的控制与维护•防止大部分用户和进程对对象的直接访问•根据本地安全策略的审核策略生成审核信息用户登录认证过程Windows系统安全配置与管理Windows系统安全性Windows系统构架Windows安全配置Windows系统高级安全配置Windows的审计分析身份认证访问控制安全配置程序数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基本安全注意事项Win2000安装配置建立和选择分区选择安装目录不安装多余的组件停止多余的服务安装系统补丁多余的组件Internt信息服务（IIS）（如不需要）索引服务IndexingService消息队列服务（MSMQ）远程安装服务远程存储服务终端服务终端服务授权Win2K服务名称描述认启动类建议启动类别Alerter局域网中当系统发生问题时向系统管理员发出警报，对普通用户可自动“已禁用”或“手动”ApplicationManagementWin2K引入了一种基于msi文件格式（应用程序安装信息程序包文件手动手动ClipBook通过NetworkDDE和NetworkDDEDSDM提供的网络动态数据交换服手动已禁用COM+EventSystem提供事件的自动发布到订阅COM组件。手动ComputerBrowser维护网上邻居中计算机的最新列表，并将这个列表通知给请求的程自动自动DHCPClientDHCPClient（动态主机配置协议客户端）：DHCP是一种提供动态自动已禁用DistributedFileSystem管理分布于局域网或广域网的逻辑卷。自动手动DistributedLinkTrackiDLTC能跟踪文件在网络域的NTFS卷中移动状况，并发出通知。普通自动手动DistributedLinkTracki保存文件在域中卷之间移动的信息。手动手动DistributedTransaction并列事务，是分布于两个以上的数据库，消息队列，文件系统，或自动手动DNSClient将域名解析为IP地址。除非您没有连入任何网络，否则应设为“自自动EventLog该服务能记录程序和系统发送的出错消息。虽然日志包含了对诊断自动FaxService在Win95中支持的传真功能现在在Win2K中重新被予以支持，而且与手动已禁用FileReplication在多个服务器间维护文件目录内容的文件同步。手动IISAdminService允许通过Internet信息服务的管理单元管理Web和FTP服务自动IndexingService索引服务能针对本地硬盘或共享网络驱动器上的文档内容和属性建�手动已禁用InfraredMonitor支持安装在这台计算机上的红外设备并且检测在有效范围内的其它自动InternetConnectionSha为局域网计算机提供Internet共享连接。这个服务为多台联网的电手动已禁用IntersiteMessaging允许在WindowsAdvancedServer站点间发送和接收消息。已禁用IPSECPolicyAgent该代理服务允许IP安全策略对两台计算机之间传输的数据包进行加�已禁用KerberosKeyDistributi产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(t已禁用LicenseLoggingService自动LogicalDiskManager逻辑磁盘管理器监视狗服务自动LogicalDiskManagerAd磁盘管理请求的系统管理服务手动Messenger发送和接收由系统管理员或由Alerter服务所发送消息的服务。由自动手动”或“已禁用”NetLogon简单说就是在局域网上验证登录信息的选项。一般用户可以将其设手动手动”或“已禁用”NetMeetingRemoteDeskt该服务能通过NetMeeting允许有权用户远程访问Windows