計算機系統(tǒng)安全原理與技術課件第4章第5節(jié)

4.5Windows系統(tǒng)安全4.5.1Windows安全子系統(tǒng)4.5.2Windows系統(tǒng)登錄認證4.5.3Windows系統(tǒng)訪問控制4.5.4其他安全機制1計算機系統(tǒng)安全原理與技術（第4版）4.5Windows系統(tǒng)安全Windows滿足TCSEC中B等級安全性的兩個要求：1）可信路徑功能。防止特洛伊木馬程序在用戶登錄時截獲用戶的用戶名和口令。例如，在Windows中，通過<Ctrl+Alt+Del>組合鍵序列來實現(xiàn)可信路徑功能。<Ctrl+Alt+Del>是系統(tǒng)默認的系統(tǒng)登錄/注銷組合鍵序列，系統(tǒng)級別很高，理論上木馬程序想要屏蔽掉該鍵序列的響應或得到這個事件響應是不可能的。2）可信設施管理。要求針對各種管理功能有單獨的賬戶角色。例如，針對管理員、負責計算機備份的用戶和標準用戶分別提供單獨的賬戶。2計算機系統(tǒng)安全原理與技術（第4版）4.5.1Windows安全子系統(tǒng)3計算機系統(tǒng)安全原理與技術（第4版）Windows系統(tǒng)在安全設計上有專門的安全子系統(tǒng)，安全子系統(tǒng)主要由本地安全授權（LSA）、安全賬戶管理（SAM）和安全引用監(jiān)視器（SRM）等模塊組成。4.5.1Windows安全子系統(tǒng)4計算機系統(tǒng)安全原理與技術（第4版）（1）登錄進程WinlogonWinlogon在收集好用戶的登錄信息后，就調用本地安全授權（LSA,LocalSecurityAuthority）的LsaLogonUser命令，把用戶的登錄信息傳遞給LSA。實際認證部分的功能是通過LSA來實現(xiàn)的。Winlogon、LogonUI和LSA三部分相互協(xié)作實現(xiàn)了Windows的登錄認證功能。4.5.1Windows安全子系統(tǒng)5計算機系統(tǒng)安全原理與技術（第4版）（2）本地安全授權子系統(tǒng)（LocalSecurityAuthoritySubSystem，LSASS）這是一個運行%SystemRoot%\System32\Lsass.exe的用戶模式進程，負責本地系統(tǒng)安全策略（例如允許哪些用戶登錄到本地機器上、口令策略、授予用戶和用戶組的權限，以及系統(tǒng)安全設計設置）、用戶認證，以及發(fā)送安全審計消息到事件日志（EventLog）中。本地安全授權服務（Lsasrv—%SystemRoot%\System32\Lsasrv.dll）是LSASS加載的一個庫，它實現(xiàn)了這些功能中的絕大部分。4.5.1Windows安全子系統(tǒng)6計算機系統(tǒng)安全原理與技術（第4版）（2）本地安全授權子系統(tǒng)（LocalSecurityAuthoritySubSystem，LSASS）LSASS策略數(shù)據(jù)庫是包含本地系統(tǒng)安全策略設置的數(shù)據(jù)庫。該數(shù)據(jù)庫被存儲在注冊表中，位于HKLM\SECURITY的下面。它包含的信息：哪些域是可信任的，從而可以認證用戶的登錄請求；誰允許訪問系統(tǒng)，以及如何訪問（交互式登錄、網(wǎng)絡登錄，或者服務登錄）；分配給誰哪些權限；執(zhí)行哪一種安全審計。LSASS策略數(shù)據(jù)庫也保存一些“秘密”，包括域登錄（domainlogon）在本地緩存的信息，以及Windows服務的用戶—賬戶登錄信息。4.5.1Windows安全子系統(tǒng)7計算機系統(tǒng)安全原理與技術（第4版）（3）安全賬戶管理器（SecurityAccountManager，SAM）SAM服務負責管理一個數(shù)據(jù)庫，該數(shù)據(jù)庫包含了本地機器上已定義的用戶名和組。SAM服務是在%SystemRoot%\System32\Samsrv.dll中實現(xiàn)的，它運行在Lsass進程中。SAM數(shù)據(jù)庫在非域控制器的系統(tǒng)上，包含了已定義的本地用戶和用戶組，連同它們的口令及其他屬性。在域控制器上，SAM數(shù)據(jù)庫保存了該系統(tǒng)的管理員恢復賬戶的定義及其口令。該數(shù)據(jù)庫被存儲在注冊表的HKLM\SAM下面。4.5.1Windows安全子系統(tǒng)8計算機系統(tǒng)安全原理與技術（第4版）（4）安全引用監(jiān)視器（SecurityRefrenceMonitor，SRM）SRM負責訪問控制和審計策略，由LSA支持。SRM提供客體（文件、目錄等）的存取權限，檢查主體（用戶賬戶等）的權限，產生必要的審計信息?？腕w的安全屬性由安全控制項（ACE）來描述，全部客體的ACE組成訪問控制表（ACL）。沒有ACL的客體意味著任何主體都可訪問。而有ACL的客體則由SRM檢查其中的每一項ACE，從而決定主體的訪問是否被允許。4.5.1Windows安全子系統(tǒng)9計算機系統(tǒng)安全原理與技術（第4版）（5）認證包（AuthenticationPackage）認證包可以為真實用戶提供認證。這包括運行在Lsass進程和客戶進程環(huán)境中的動態(tài)鏈接庫（DLL），認證DLL負責檢查一個給定的用戶名和口令是否匹配，如果匹配的話，則向LSASS返回有關用戶安全標識的細節(jié)信息，以供Lsass利用這些信息來生成令牌。（6）網(wǎng)絡登錄（Netlogon）網(wǎng)絡登錄服務必須在通過認證后建立一個安全的通道。要實現(xiàn)這個目標，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應請求后，重新取回用戶的SID和用戶權限。4.5.1Windows安全子系統(tǒng)10計算機系統(tǒng)安全原理與技術（第4版）（7）活動目錄（ActiveDirectory）活動目錄是一個目錄服務，它包含了一個數(shù)據(jù)庫，其中存放了關于域中對象的信息。域（Domain）是由一組計算機和與它們相關聯(lián)的安全組構成的，每個安全組被當作單個實體來管理?；顒幽夸洿鎯α擞嘘P該域中的對象的信息，這樣的對象包括用戶、組和計算機。域用戶和組的口令信息、權限也被存儲在活動目錄中，而活動目錄則是在一組被指定為該域的域控制器的機器之間進行復制的?；顒幽夸洸皇荳indows系統(tǒng)必需安裝的一種服務。4.5.1Windows安全子系統(tǒng)11計算機系統(tǒng)安全原理與技術（第4版）（8）AppLocker管理應用程序AppLocker是一種機制，它允許管理員指定哪些可執(zhí)行文件、DLL和腳本可以被指定的用戶和組使用。AppLocker由一個驅動程序（%SystemRoot%\System32\Drivers\Appid.sys）和一個運行在SvcHost進程中的服務（%SystemRoot%\System32\Appidsvc.dll）組成。4.5.2Windows系統(tǒng)登錄認證12計算機系統(tǒng)安全原理與技術（第4版）1.安全主體類型（1）用戶賬戶：在Windows中一般有兩種用戶：本地用戶和域用戶。（2）組賬戶：具有相似工作或有相似資源要求的用戶可以組成一個工作組（也稱為用戶組）。（3）計算機：計算機實際上是另外一種類型的用戶。在活動目錄的結構中，計算機層是由用戶層派生出的，它具備用戶的大多數(shù)特性。因此，計算機也被看做主體（4）服務：近年來，微軟試圖分解服務的特權，但在同一用戶下的不同服務還是存在權限濫用的問題。為此，在WindowsVista以后的系統(tǒng)和WindowsServer2008系統(tǒng)中，服務成為了主體，每個服務都有一個應用權限。4.5.2Windows系統(tǒng)登錄認證13計算機系統(tǒng)安全原理與技術（第4版）2.安全標識符Windows并不是根據(jù)每個賬戶的名稱來區(qū)分賬戶的，而是使用安全標識符（SecurityIdentifier，SID）。標識某個特定賬號或組的SID是在創(chuàng)建該賬號或組時由系統(tǒng)的本地安全授權機構（LocalSecurityAuthority，LSA）生成，并與其他賬號信息一起存儲在注冊的一個安全域里。域賬號或組的SID由域LSA生成并作為活動目錄里的用戶或組對象的一個屬性存儲。SID在它們所標識的賬號或組的范圍內是唯一的。每個本地賬號或組的SID在創(chuàng)建它的計算機上是唯一的，機器上的不同賬號或組不能共享同一個SID。SID在整個生存期內也是唯一的。LSA絕不會重復發(fā)放同一個SID，也不重用已刪除賬號的SID。SID是一個48位的字符串，在Windows10系統(tǒng)中，要想查看當前登錄賬戶的SID，可以使用管理員身份啟動命令提示行窗口，然后運行“whoami/user”命令。4.5.2Windows系統(tǒng)登錄認證14計算機系統(tǒng)安全原理與技術（第4版）3.登錄認證（1）本地登錄認證本地登錄指用戶登錄的是本地計算機，對網(wǎng)絡資源不具備訪問權力。本地登錄所使用的用戶名與口令被存儲在本地計算機的安全賬戶管理器（SAM）中，由計算機完成本地登錄驗證，提交登錄憑證包括用戶ID與口令。本地計算機的安全子系統(tǒng)將用戶ID與口令送到本地計算機上的SAM數(shù)據(jù)庫中做憑證驗證。這里需要注意的是，Windows的口令不是以純文本格式存儲在SAM數(shù)據(jù)庫中的，而是將每個口令計算哈希值后進行存儲。本地用戶登錄沒有集中統(tǒng)一的安全認證機制。4.5.2Windows系統(tǒng)登錄認證15計算機系統(tǒng)安全原理與技術（第4版）3.登錄認證（2）基于活動目錄的域登錄認證基于活動目錄的域登錄與本地登錄的方式完全不同。首先，所有的用戶登錄憑證（用戶ID與口令）被集中地存放到一臺服務器上，結束了分散式驗證的行為。該過程必須使用網(wǎng)絡身份認證協(xié)議，這些協(xié)議包括Kerberos、LAN管理器（LM）、NTLAN管理器（NTLM）等，而且這些過程對于用戶而言是透明的。從某種意義上講，這真正做到了統(tǒng)一驗證、一次登錄、多次訪問。4.5.3Windows系統(tǒng)訪問控制16計算機系統(tǒng)安全原理與技術（第4版）1.安全對象在Windows系統(tǒng)中，安全管理的對象包括：文件、目錄、注冊表項、動態(tài)目錄對象、內核對象、服務、線程、進程、防火墻端口、Windows工作站和桌面等，其中最常見的安全對象就是文件。2.訪問控制Windows2000以后的版本中，訪問控制是一種雙重機制，它對用戶的授權基于用戶權限和對象許可。4.5.3Windows系統(tǒng)訪問控制17計算機系統(tǒng)安全原理與技術（第4版）3.組件Windows利用安全子系統(tǒng)來控制用戶對計算機上資源的訪問。安全子系統(tǒng)包括的關鍵組件是：安全性標識符（SID）、訪問令牌（AccessToken）、安全描述符（SecurityDescriptor）、訪問控制列表（AccessControlList）、訪問控制項（AccessControlEntry）、安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）。4.5.3Windows系統(tǒng)訪問控制18計算機系統(tǒng)安全原理與技術（第4版）3.組件（1）訪問令牌安全引用監(jiān)視器使用訪問令牌來標識一個進程或線程的安全環(huán)境。訪問令牌可以看作是一張電子通行證，里面記錄了用于訪問對象、執(zhí)行程序甚至修改系統(tǒng)設置所需的安全驗證信息。4.5.3Windows系統(tǒng)訪問控制19計算機系統(tǒng)安全原理與技術（第4版）3.組件（2）安全描述符令牌標識了一個用戶的憑證，而安全描述符與一個對象關聯(lián)在一起，規(guī)定了誰可以在這個對象上執(zhí)行哪些操作。版本號：創(chuàng)建此描述符的SRM安全模型的版本。標志：定義了該描述符的類型和內容。該標志指明是否存在DACL和SACL。還包括如SE_DACl_PROTECTED的標志，防止該描述符從另一個對象繼承安全設置。所有者SID：所有者的安全ID，該對象的所有者可以在這個安全描述符上執(zhí)行任何動作。所有者可以是一個單一的SID，也可以是一組SID。所有者具有改變DACL內容的權限。組SID：該對象的主組的安全ID（僅用于POSIX系統(tǒng)）。自主訪問控制列表（DACL，DiscretionaryACL）：規(guī)定了誰可以用什么方式訪問該對象。系統(tǒng)訪問控制列表（SACL，SystemACL）：規(guī)定了哪些用戶的哪些操作應該被記錄到安全審計日志中。4.5.3Windows系統(tǒng)訪問控制20計算機系統(tǒng)安全原理與技術（第4版）3.組件（3）訪問控制表ACLWindows使用ACL來描述訪問權限信息。ACL可由管理員或對象所有者管理。Windows為每一個安全對象保持一份ACL。ACL是對象安全描述符的基本組成部分，它包括有權訪問對象的用戶和組的SID。每個ACL由整個表的表頭和許多訪問控制項（AccessControlEntries，ACE）組成。每一項定義一個個人SID或組SID，訪問掩碼定義了該SID被授予的權限。4.5.4其他安全機制21計算機系統(tǒng)安全原理與技術（第4版）1.文件系統(tǒng)（1）NTFS文件系統(tǒng)的權限控制Windows2000以上的操作系統(tǒng)都建議使用NTFS文件系統(tǒng)，它具有更好的安全性與穩(wěn)定性。NTFS權限控制可以實現(xiàn)較高的安全性，通過給用戶賦予NTFS權限可以有效地控制用戶對文件和文件夾的訪問。NTFS分區(qū)上的每一個文件和文件夾都有一個ACL，該列表記錄了每一個用戶和用戶組對該資源的訪問權限。NTFS可以針對所有的文件、文件夾、注冊表鍵值、打印機和動態(tài)目錄對象進行權限設置。局限性？4.5.4其他安全機制22計算機系統(tǒng)安全原理與技術（第4版）1.文件系統(tǒng)（2）加密文件系統(tǒng)（EncryptingFileSystem，EFS）加密文件系統(tǒng)支持對Windows2000及以上版本中NTFS格式磁盤的文件加密。EFS允許用戶以加密格式存儲磁盤上的數(shù)據(jù)，將數(shù)據(jù)轉換成不能被其他用戶讀取的格式。EFS和BitLocker加密功能的區(qū)別？4.5.4其他安全機制23計算機系統(tǒng)安全原理與技術（第4版）2.用戶賬戶控制（UserAccountControl，UAC）從WindowsVista系統(tǒng)開始，有了全新的用戶賬戶控制功能用戶賬戶控制功能可以限制用戶的權限，從而保證系統(tǒng)的安全。當用戶使用管理員賬戶登錄時，Windows會為該賬戶創(chuàng)建兩個訪問令牌，一個標準令牌，一個管理員令牌。大部分時候，