計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)課件第4章第5節(jié)

4.5Windows系統(tǒng)安全4.5.1Windows安全子系統(tǒng)4.5.2Windows系統(tǒng)登錄認(rèn)證4.5.3Windows系統(tǒng)訪問控制4.5.4其他安全機(jī)制1計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）4.5Windows系統(tǒng)安全Windows滿足TCSEC中B等級(jí)安全性的兩個(gè)要求：1）可信路徑功能。防止特洛伊木馬程序在用戶登錄時(shí)截獲用戶的用戶名和口令。例如，在Windows中，通過<Ctrl+Alt+Del>組合鍵序列來實(shí)現(xiàn)可信路徑功能。<Ctrl+Alt+Del>是系統(tǒng)默認(rèn)的系統(tǒng)登錄/注銷組合鍵序列，系統(tǒng)級(jí)別很高，理論上木馬程序想要屏蔽掉該鍵序列的響應(yīng)或得到這個(gè)事件響應(yīng)是不可能的。2）可信設(shè)施管理。要求針對(duì)各種管理功能有單獨(dú)的賬戶角色。例如，針對(duì)管理員、負(fù)責(zé)計(jì)算機(jī)備份的用戶和標(biāo)準(zhǔn)用戶分別提供單獨(dú)的賬戶。2計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）4.5.1Windows安全子系統(tǒng)3計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）Windows系統(tǒng)在安全設(shè)計(jì)上有專門的安全子系統(tǒng)，安全子系統(tǒng)主要由本地安全授權(quán)（LSA）、安全賬戶管理（SAM）和安全引用監(jiān)視器（SRM）等模塊組成。4.5.1Windows安全子系統(tǒng)4計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（1）登錄進(jìn)程WinlogonWinlogon在收集好用戶的登錄信息后，就調(diào)用本地安全授權(quán)（LSA,LocalSecurityAuthority）的LsaLogonUser命令，把用戶的登錄信息傳遞給LSA。實(shí)際認(rèn)證部分的功能是通過LSA來實(shí)現(xiàn)的。Winlogon、LogonUI和LSA三部分相互協(xié)作實(shí)現(xiàn)了Windows的登錄認(rèn)證功能。4.5.1Windows安全子系統(tǒng)5計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（2）本地安全授權(quán)子系統(tǒng)（LocalSecurityAuthoritySubSystem，LSASS）這是一個(gè)運(yùn)行%SystemRoot%\System32\Lsass.exe的用戶模式進(jìn)程，負(fù)責(zé)本地系統(tǒng)安全策略（例如允許哪些用戶登錄到本地機(jī)器上、口令策略、授予用戶和用戶組的權(quán)限，以及系統(tǒng)安全設(shè)計(jì)設(shè)置）、用戶認(rèn)證，以及發(fā)送安全審計(jì)消息到事件日志（EventLog）中。本地安全授權(quán)服務(wù)（Lsasrv—%SystemRoot%\System32\Lsasrv.dll）是LSASS加載的一個(gè)庫(kù)，它實(shí)現(xiàn)了這些功能中的絕大部分。4.5.1Windows安全子系統(tǒng)6計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（2）本地安全授權(quán)子系統(tǒng)（LocalSecurityAuthoritySubSystem，LSASS）LSASS策略數(shù)據(jù)庫(kù)是包含本地系統(tǒng)安全策略設(shè)置的數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)被存儲(chǔ)在注冊(cè)表中，位于HKLM\SECURITY的下面。它包含的信息：哪些域是可信任的，從而可以認(rèn)證用戶的登錄請(qǐng)求；誰允許訪問系統(tǒng)，以及如何訪問（交互式登錄、網(wǎng)絡(luò)登錄，或者服務(wù)登錄）；分配給誰哪些權(quán)限；執(zhí)行哪一種安全審計(jì)。LSASS策略數(shù)據(jù)庫(kù)也保存一些“秘密”，包括域登錄（domainlogon）在本地緩存的信息，以及Windows服務(wù)的用戶—賬戶登錄信息。4.5.1Windows安全子系統(tǒng)7計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（3）安全賬戶管理器（SecurityAccountManager，SAM）SAM服務(wù)負(fù)責(zé)管理一個(gè)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含了本地機(jī)器上已定義的用戶名和組。SAM服務(wù)是在%SystemRoot%\System32\Samsrv.dll中實(shí)現(xiàn)的，它運(yùn)行在Lsass進(jìn)程中。SAM數(shù)據(jù)庫(kù)在非域控制器的系統(tǒng)上，包含了已定義的本地用戶和用戶組，連同它們的口令及其他屬性。在域控制器上，SAM數(shù)據(jù)庫(kù)保存了該系統(tǒng)的管理員恢復(fù)賬戶的定義及其口令。該數(shù)據(jù)庫(kù)被存儲(chǔ)在注冊(cè)表的HKLM\SAM下面。4.5.1Windows安全子系統(tǒng)8計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（4）安全引用監(jiān)視器（SecurityRefrenceMonitor，SRM）SRM負(fù)責(zé)訪問控制和審計(jì)策略，由LSA支持。SRM提供客體（文件、目錄等）的存取權(quán)限，檢查主體（用戶賬戶等）的權(quán)限，產(chǎn)生必要的審計(jì)信息?？腕w的安全屬性由安全控制項(xiàng)（ACE）來描述，全部客體的ACE組成訪問控制表（ACL）。沒有ACL的客體意味著任何主體都可訪問。而有ACL的客體則由SRM檢查其中的每一項(xiàng)ACE，從而決定主體的訪問是否被允許。4.5.1Windows安全子系統(tǒng)9計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（5）認(rèn)證包（AuthenticationPackage）認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。這包括運(yùn)行在Lsass進(jìn)程和客戶進(jìn)程環(huán)境中的動(dòng)態(tài)鏈接庫(kù)（DLL），認(rèn)證DLL負(fù)責(zé)檢查一個(gè)給定的用戶名和口令是否匹配，如果匹配的話，則向LSASS返回有關(guān)用戶安全標(biāo)識(shí)的細(xì)節(jié)信息，以供Lsass利用這些信息來生成令牌。（6）網(wǎng)絡(luò)登錄（Netlogon）網(wǎng)絡(luò)登錄服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的SID和用戶權(quán)限。4.5.1Windows安全子系統(tǒng)10計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（7）活動(dòng)目錄（ActiveDirectory）活動(dòng)目錄是一個(gè)目錄服務(wù)，它包含了一個(gè)數(shù)據(jù)庫(kù)，其中存放了關(guān)于域中對(duì)象的信息。域（Domain）是由一組計(jì)算機(jī)和與它們相關(guān)聯(lián)的安全組構(gòu)成的，每個(gè)安全組被當(dāng)作單個(gè)實(shí)體來管理?；顒?dòng)目錄存儲(chǔ)了有關(guān)該域中的對(duì)象的信息，這樣的對(duì)象包括用戶、組和計(jì)算機(jī)。域用戶和組的口令信息、權(quán)限也被存儲(chǔ)在活動(dòng)目錄中，而活動(dòng)目錄則是在一組被指定為該域的域控制器的機(jī)器之間進(jìn)行復(fù)制的。活動(dòng)目錄不是Windows系統(tǒng)必需安裝的一種服務(wù)。4.5.1Windows安全子系統(tǒng)11計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）（8）AppLocker管理應(yīng)用程序AppLocker是一種機(jī)制，它允許管理員指定哪些可執(zhí)行文件、DLL和腳本可以被指定的用戶和組使用。AppLocker由一個(gè)驅(qū)動(dòng)程序（%SystemRoot%\System32\Drivers\Appid.sys）和一個(gè)運(yùn)行在SvcHost進(jìn)程中的服務(wù)（%SystemRoot%\System32\Appidsvc.dll）組成。4.5.2Windows系統(tǒng)登錄認(rèn)證12計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.安全主體類型（1）用戶賬戶：在Windows中一般有兩種用戶：本地用戶和域用戶。（2）組賬戶：具有相似工作或有相似資源要求的用戶可以組成一個(gè)工作組（也稱為用戶組）。（3）計(jì)算機(jī)：計(jì)算機(jī)實(shí)際上是另外一種類型的用戶。在活動(dòng)目錄的結(jié)構(gòu)中，計(jì)算機(jī)層是由用戶層派生出的，它具備用戶的大多數(shù)特性。因此，計(jì)算機(jī)也被看做主體（4）服務(wù)：近年來，微軟試圖分解服務(wù)的特權(quán)，但在同一用戶下的不同服務(wù)還是存在權(quán)限濫用的問題。為此，在WindowsVista以后的系統(tǒng)和WindowsServer2008系統(tǒng)中，服務(wù)成為了主體，每個(gè)服務(wù)都有一個(gè)應(yīng)用權(quán)限。4.5.2Windows系統(tǒng)登錄認(rèn)證13計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.安全標(biāo)識(shí)符Windows并不是根據(jù)每個(gè)賬戶的名稱來區(qū)分賬戶的，而是使用安全標(biāo)識(shí)符（SecurityIdentifier，SID）。標(biāo)識(shí)某個(gè)特定賬號(hào)或組的SID是在創(chuàng)建該賬號(hào)或組時(shí)由系統(tǒng)的本地安全授權(quán)機(jī)構(gòu)（LocalSecurityAuthority，LSA）生成，并與其他賬號(hào)信息一起存儲(chǔ)在注冊(cè)的一個(gè)安全域里。域賬號(hào)或組的SID由域LSA生成并作為活動(dòng)目錄里的用戶或組對(duì)象的一個(gè)屬性存儲(chǔ)。SID在它們所標(biāo)識(shí)的賬號(hào)或組的范圍內(nèi)是唯一的。每個(gè)本地賬號(hào)或組的SID在創(chuàng)建它的計(jì)算機(jī)上是唯一的，機(jī)器上的不同賬號(hào)或組不能共享同一個(gè)SID。SID在整個(gè)生存期內(nèi)也是唯一的。LSA絕不會(huì)重復(fù)發(fā)放同一個(gè)SID，也不重用已刪除賬號(hào)的SID。SID是一個(gè)48位的字符串，在Windows10系統(tǒng)中，要想查看當(dāng)前登錄賬戶的SID，可以使用管理員身份啟動(dòng)命令提示行窗口，然后運(yùn)行“whoami/user”命令。4.5.2Windows系統(tǒng)登錄認(rèn)證14計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.登錄認(rèn)證（1）本地登錄認(rèn)證本地登錄指用戶登錄的是本地計(jì)算機(jī)，對(duì)網(wǎng)絡(luò)資源不具備訪問權(quán)力。本地登錄所使用的用戶名與口令被存儲(chǔ)在本地計(jì)算機(jī)的安全賬戶管理器（SAM）中，由計(jì)算機(jī)完成本地登錄驗(yàn)證，提交登錄憑證包括用戶ID與口令。本地計(jì)算機(jī)的安全子系統(tǒng)將用戶ID與口令送到本地計(jì)算機(jī)上的SAM數(shù)據(jù)庫(kù)中做憑證驗(yàn)證。這里需要注意的是，Windows的口令不是以純文本格式存儲(chǔ)在SAM數(shù)據(jù)庫(kù)中的，而是將每個(gè)口令計(jì)算哈希值后進(jìn)行存儲(chǔ)。本地用戶登錄沒有集中統(tǒng)一的安全認(rèn)證機(jī)制。4.5.2Windows系統(tǒng)登錄認(rèn)證15計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.登錄認(rèn)證（2）基于活動(dòng)目錄的域登錄認(rèn)證基于活動(dòng)目錄的域登錄與本地登錄的方式完全不同。首先，所有的用戶登錄憑證（用戶ID與口令）被集中地存放到一臺(tái)服務(wù)器上，結(jié)束了分散式驗(yàn)證的行為。該過程必須使用網(wǎng)絡(luò)身份認(rèn)證協(xié)議，這些協(xié)議包括Kerberos、LAN管理器（LM）、NTLAN管理器（NTLM）等，而且這些過程對(duì)于用戶而言是透明的。從某種意義上講，這真正做到了統(tǒng)一驗(yàn)證、一次登錄、多次訪問。4.5.3Windows系統(tǒng)訪問控制16計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.安全對(duì)象在Windows系統(tǒng)中，安全管理的對(duì)象包括：文件、目錄、注冊(cè)表項(xiàng)、動(dòng)態(tài)目錄對(duì)象、內(nèi)核對(duì)象、服務(wù)、線程、進(jìn)程、防火墻端口、Windows工作站和桌面等，其中最常見的安全對(duì)象就是文件。2.訪問控制Windows2000以后的版本中，訪問控制是一種雙重機(jī)制，它對(duì)用戶的授權(quán)基于用戶權(quán)限和對(duì)象許可。4.5.3Windows系統(tǒng)訪問控制17計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.組件Windows利用安全子系統(tǒng)來控制用戶對(duì)計(jì)算機(jī)上資源的訪問。安全子系統(tǒng)包括的關(guān)鍵組件是：安全性標(biāo)識(shí)符（SID）、訪問令牌（AccessToken）、安全描述符（SecurityDescriptor）、訪問控制列表（AccessControlList）、訪問控制項(xiàng)（AccessControlEntry）、安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）。4.5.3Windows系統(tǒng)訪問控制18計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.組件（1）訪問令牌安全引用監(jiān)視器使用訪問令牌來標(biāo)識(shí)一個(gè)進(jìn)程或線程的安全環(huán)境。訪問令牌可以看作是一張電子通行證，里面記錄了用于訪問對(duì)象、執(zhí)行程序甚至修改系統(tǒng)設(shè)置所需的安全驗(yàn)證信息。4.5.3Windows系統(tǒng)訪問控制19計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.組件（2）安全描述符令牌標(biāo)識(shí)了一個(gè)用戶的憑證，而安全描述符與一個(gè)對(duì)象關(guān)聯(lián)在一起，規(guī)定了誰可以在這個(gè)對(duì)象上執(zhí)行哪些操作。版本號(hào)：創(chuàng)建此描述符的SRM安全模型的版本。標(biāo)志：定義了該描述符的類型和內(nèi)容。該標(biāo)志指明是否存在DACL和SACL。還包括如SE_DACl_PROTECTED的標(biāo)志，防止該描述符從另一個(gè)對(duì)象繼承安全設(shè)置。所有者SID：所有者的安全I(xiàn)D，該對(duì)象的所有者可以在這個(gè)安全描述符上執(zhí)行任何動(dòng)作。所有者可以是一個(gè)單一的SID，也可以是一組SID。所有者具有改變DACL內(nèi)容的權(quán)限。組SID：該對(duì)象的主組的安全I(xiàn)D（僅用于POSIX系統(tǒng)）。自主訪問控制列表（DACL，DiscretionaryACL）：規(guī)定了誰可以用什么方式訪問該對(duì)象。系統(tǒng)訪問控制列表（SACL，SystemACL）：規(guī)定了哪些用戶的哪些操作應(yīng)該被記錄到安全審計(jì)日志中。4.5.3Windows系統(tǒng)訪問控制20計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）3.組件（3）訪問控制表ACLWindows使用ACL來描述訪問權(quán)限信息。ACL可由管理員或?qū)ο笏姓吖芾?。Windows為每一個(gè)安全對(duì)象保持一份ACL。ACL是對(duì)象安全描述符的基本組成部分，它包括有權(quán)訪問對(duì)象的用戶和組的SID。每個(gè)ACL由整個(gè)表的表頭和許多訪問控制項(xiàng)（AccessControlEntries，ACE）組成。每一項(xiàng)定義一個(gè)個(gè)人SID或組SID，訪問掩碼定義了該SID被授予的權(quán)限。4.5.4其他安全機(jī)制21計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.文件系統(tǒng)（1）NTFS文件系統(tǒng)的權(quán)限控制Windows2000以上的操作系統(tǒng)都建議使用NTFS文件系統(tǒng)，它具有更好的安全性與穩(wěn)定性。NTFS權(quán)限控制可以實(shí)現(xiàn)較高的安全性，通過給用戶賦予NTFS權(quán)限可以有效地控制用戶對(duì)文件和文件夾的訪問。NTFS分區(qū)上的每一個(gè)文件和文件夾都有一個(gè)ACL，該列表記錄了每一個(gè)用戶和用戶組對(duì)該資源的訪問權(quán)限。NTFS可以針對(duì)所有的文件、文件夾、注冊(cè)表鍵值、打印機(jī)和動(dòng)態(tài)目錄對(duì)象進(jìn)行權(quán)限設(shè)置。局限性？4.5.4其他安全機(jī)制22計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）1.文件系統(tǒng)（2）加密文件系統(tǒng)（EncryptingFileSystem，EFS）加密文件系統(tǒng)支持對(duì)Windows2000及以上版本中NTFS格式磁盤的文件加密。EFS允許用戶以加密格式存儲(chǔ)磁盤上的數(shù)據(jù)，將數(shù)據(jù)轉(zhuǎn)換成不能被其他用戶讀取的格式。EFS和BitLocker加密功能的區(qū)別？4.5.4其他安全機(jī)制23計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第4版）2.用戶賬戶控制（UserAccountControl，UAC）從WindowsVista系統(tǒng)開始，有了全新的用戶賬戶控制功能用戶賬戶控制功能可以限制用戶的權(quán)限，從而保證系統(tǒng)的安全。當(dāng)用戶使用管理員賬戶登錄時(shí)，Windows會(huì)為該賬戶創(chuàng)建兩個(gè)訪問令牌，一個(gè)標(biāo)準(zhǔn)令牌，一個(gè)管理員令牌。大部分時(shí)候，