最新2019-Windows操作系统安全技术-PPT课件

操作系统安全第七章Windows操作系统安全技术计算机科学与工程系第七章Windows操作系统安全技术7.1身份验证7.2访问的安全控制7.3注册表安全7.4域管理机制7.5文件系统安全7.6安全设置7.7日志7.8服务包与补丁包更新7.9Windows7安全机制十大革新计算机科学与工程系7.1身份验证7.1.1基本概念•1用户账户(Account）•所谓用户账户，是计算机使用者的身份标识。每一个使用计算机的人，必须凭借他的用户账户才能进入计算机，进而访问计算机中的资源。用户账户有两种基本类型：本地用户账户和全局用户账户（域用户账户）•（1）本地用户账户创建于网络客户机，它的作用范围仅仅限于创建它的计算机，用于控制用户对该计算机上资源的访问。•（2）域用户账户创建于服务器（域控制器），可以在网络中任何计算机上登录，使用范围是整个网络。计算机科学与工程系7.1身份验证•Windows系统常用的内置账户：•（1）Guest:来宾账户。•（2）Administrator:系统管理员账户，具有最高权限。•2组(Group）组是一组相关账号的集合，即用户账户的一种容器，提供了为一组用户同时设定权利和权限的可能。•使用组的目的：简化对网络的管理，通过组可以一次性地为一批用户授予一定的权利和权限。计算机科学与工程系7.1身份验证Windows系统中的组有三种基本类型：•本地组•全局组•特别组计算机科学与工程系计算机科学与工程系本地组（1）本地组•（工作组网络环境的组）用于创建网络客户机，控制对所创建的计算机资源的访问。它的成员是用户账户和全局组，它在一个本地的系统或者域中进行维护。本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理。计算机科学与工程系全局组（2）全局组（域环境中的组）用于创建服务器（域控制器），控制对域资源的访问。系统管理员可以利用全局组有效地将用户按他们的需要进行安排。•Windows系统提供了三类全局组：•1）管理员组（DomainAdmins）•2）用户组（DomainUsers）•3）域客人组（DomainGuests）计算机科学与工程系（3）特别组•Windows系统为了特定的目的创建了特别组。通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格，特别组不可以通过用户管理器为其增加新成员，同时它也不可以被浏览和修改。•Windows系统提供的的特别组如下：•1）System：Windows操作系统•2）Creatorowner：创建对对象拥有所有权的用户•3）Interactive：以交互的方式在本地系统登录入网的所有用户•4）Network：系统中所有通过网络连接的用户•5）Everyone：登录上网的系统中的所有用户（包括Interactive和Network组）需要注意的是，在特别组中，所有登录账户都是Everyone组的成员特别组计算机科学与工程系计算机科学与工程系1)用户账户的管理从安全角度考虑，应注意如下几点：•（1）要保证用户不会从隶属于的组中获得超过其任务要求的额外权限，同时用户隶属于的组能满足它的任务要求。•（2）图7-2为Windows2000/XP系统中用户属性对话框的“配置文件标签”对话框，一个登录脚本可以被分配给一个或者多个用户组账户，脚本文件一般是可执行文件（扩展名为.exe）或者是批处理文件（扩展名为.cmd或者.bat）。若设置了登录脚本，则系统在每次登录的时候都会运行此脚本。7.1.2账户安全管理计算机科学与工程系2)系统管理员账户的管理在安装Windows系统时系统管理员账户自动产生，该账户不会因为多次登录失败而被锁住，它不能被删除，但可以更名。•（1）系统管理员口令设置为了使对系统的野蛮攻击和猜测变得更加困难，应该选择随即的、可打印的并且大小写混合的字符串来设置系统管理员，尤其是系统域管理员（主域控制器的系统管理员）的口令。其他服务器的管理员应采用与域控制器中管理员不同的密码，以便更安全的保证域的绝对管理权限。•（2）系统管理员账户安全管理新建一个拥有域级系统管理员权限的用户再将系统管理员的权限设置为最低或更换管理员账户名是保护系统管理员账户的常用措施。7.1.2账户安全管理计算机科学与工程系7.1.2账户安全管理3)组的安全管理措施如下：•（1）本地一般用户组的成员在不扩大其访问权限的条件下可以产生它们自己的用户组；•（2）应该清楚用户组的成员设置是否得当，要对其进行仔细的观察；•（3）为了使具有相同安全策略的用户组在登录时间、密码和权限等方面保持一致，可以用组将其组织在一起；•（4）由于域控制器的复制组复制的数据库是安全性数据库，所以不能将全局组用户或者本地一般用户组加入到复制组中；•（5）DomainGuests组和Guests组与普通用户组一样，其中的成员决定其运作方式，与Guests帐号具有独特的性质不一样。计算机科学与工程系7.1.3Windows身份验证7.1.3Windows身份验证要使用户和系统之间建立联系，本地用户必须请求本地登录进行身份验证，远程用户必须请求远程登录进行身份验证。Windows远程登录身份验证经过如下阶段•SMB验证协议•LM验证机制•NTLM验证机制•Kerberos验证体系计算机科学与工程系用户请求访问•登录前，客户端计算机缓存密码的哈希值并放弃密码。客户端向服务器发送一个请求，该请求包括用户名以及纯文本格式的请求。服务器发送质询消息•服务器生成一个称为质询的16字节随机数（即NONCE），并将它发送到客户端。客户端发送应答消息•客户端使用由用户的密码生成的一个密码哈希值来加密服务器发送的质询。它以应答的形式将这个加密的质询发回到服务器。服务器将质询和应答发送到域控制器•服务器将用户名、原始质询以及应答从客户端计算机发送到域控制器。域控制器比较质询和应答以对用户进行身份验证•域控制器获取该用户的密码哈希值，然后使用该哈希值对原始质询进行加密。接下来，域控制器将加密的质询与客户端计算机的应答进行比较。如果匹配，域控制器则发送该用户已经过身份验证的服务器确认。服务器向客户端发送应答•假定凭据有效，服务器授予对所请求的服务或资源的客户端访问权。NTLM身份验证过程计算机科学与工程系计算机科学与工程系7.2访问的安全控制Windows访问控制由与每个进程相关的访问令牌和每个对象相关的安全描述符两个实体管理。7.2.1基本概念1安全标识符(SecurityIdentifiers）•SID也就是安全标识符，是标识用户、组和计算机账户的唯一的号码。其实Windows系统是按SID来区别用户的，不是按用户的用户账户名称，所以建立一个账户A，然后删除后马上再重建一个用户A其实是两个账户。计算机科学与工程系计算机科学与工程系7.2.1基本概念2安全描述符(SecurityDescriptors)•安全描述符是Windows创建对象时所基于结构的一个主要部分，它包含了安全对象相关的安全信息，这意味着Windows可识别的每一个对象（可以是文件对象、注册表键、网络共享、互斥量、信号灯、进程、线程、令牌、硬件、服务、驱动...）都可以保证其安全。•一个安全描述符包含下面的安全信息：•（1）拥有者或基本组对象的安全ID（SID）•（2）DACL指定特殊用户或组的允许或拒绝的访问权限•（3）SACL指定对象通用评估记录尝试的访问类型•（4）一个控制位集合，说明安全描述符的含义或它每个成员计算机科学与工程系计算机科学与工程系7.2.1基本概念3访问令牌(AccessTokens)•访问令牌由用户的SID､用户所属组的SID和用户名组成。•登录时，系统通过比较密码与安全数据库中存储的信息来验证密码。如果密码得到认证，则系统产生访问令牌。令牌是一个数据结构，用于由所有该用户激活的进程和线程。计算机科学与工程系计算机科学与工程系7.2.1基本概念4访问控制列表(AccessControlLists)•一个系统通过访问控制列表(ACL)来判断用户对资源的何种程度的访问。ACL由零个或多个ACE（AccessControlEntries）组成，一个ACE包括一个SID和该SID可访问资源的描述，•ACL分为自由访问控制列表(DiscretionaryACL)系统访问控制列表(SystemACL)•DACL包括户和组的列表，以及相应的权限，允许或是拒绝，用来确定对资源的访问权限。•SACL则用来确定安全资源的审核策略，包含了对象被访问的时间。5访问控制项(AccessControlEntries)•访问控制项由对象的权限以及用户或者组的SID组成。ACE分为允许访问和拒绝访问。允许访问的级别低于拒绝访问。计算机科学与工程系7.2.2Windows安全子系统7.2.2Windows安全子系统WinlogonLSAGINASSPIAuthenticationPackagesSecuritySupportProviderNetlogonSecurityAccountManagement计算机科学与工程系（1）Winlogon•Windows登录服务。是系统启动自动启动的一个程序，是整个登录过程的司令官，监视整个登录的过程，同时加载GINA。（2）GraphicalIdentificationandAuthenticationDLL(GINA)：图形化标识和验证•提供一个为用户登录提供验证请求的交互式界面，被开发成独立的模块。比如说要采用指纹登录的方式，厂商开发指纹认证的接口就可以了。默认是Msgina.dll。GINA调用LSA。（3）LocalSecurityAuthority(LSA)：本地安全授权•是安全子系统的核心，它的作用就是加载认证包，管理域间的信任关系。（4）SecuritySupportProviderInterface(SSPI)：安全支持提供者接口•微软的SSPI很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的验证连接的方法。7.2.2Windows安全子系统计算机科学与工程系（5）AuthenticationPackages：验证包•通过GINADLL的可信验证后，返回用户的SID给LSA，然后将其放在用户的访问令牌中。验证包还可以为真实用户提供验证。（6）Securitysupportproviders：安全支持提供者•实现一些附加的安全机制，安装时以驱动的形式安装。默认情况下有Msnsspc.dll(微软网络挑战/反应认证模块)、Msapsspc.dll(分布式密码认证挑战/反应模块)、Schannel.dll(证书模块)三种。（7）NetlogonService：网络登录服务•是域登录的时候所使用到的，建立安全通道，前面的用户名密码在通道里是加密传输的。（8）SecurityAccountManager(SAM)：安全账户管理者。是一个数据库，用来保存用户账号和口令。7.2.2Windows安全子系统计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系用户登录创建用户进程，将一个访问令牌与之相关SID/口令用户进程访问对象O派生额外进程继承同一访问令牌对象管理程序从访问令牌中读取SID、组SID扫描对象DACL进程SID与对象DACL是否匹配匹配不匹配允许拒绝7.2.3访问控制Windows2000的访问控制过程图计算机科学与工程系7.3注册表安全注册表是Windows的内部数据库，集中存储各种信息资源(用户、应用程序、硬件、网络协议和操作系统信息)，它直接控制Windows的启动、应用程序的运行及硬件驱动程序的装载，Windows操作系统和程序运转的几乎所有的关键信息都记录在注册表中。计算机科学与工程系7.3.1注册表的键及其键值注册表采用键和键值来管理具体的数据信息计算机科学与工程系7.3.2注册表的结构注册表是一个庞大的数据库，它的数据结构由以下5个子树组成：•（1）HKEY_CLASSES_ROOT：管理系统中所有数