8-系统安全探究.ppt

Windows登录验证模型 WinLogon GINA L S A 协 商 SSPI NTLM SSP Kerberos SSP Windows NT/2000/XP的系统登录过程 登录是通过登录进程WinLogon、LSA、一个或多个身份认证包和SAM的相互作用发生的 身份认证包：执行身份验证检查的动态链接库。 Msvl_0：用于交互式登录的身份认证包 WinLogon：一个受托进程，负责管理与安全性相关的用户相互作用 是从键盘截取登录请求的唯一进程 Windows登录验证过程（以NT为例） 1 2 3 4 5 6 7 8 The Windows access control model Network Authentication，以NTLM为例 NTLM安全验证过程 由于没有口令（加密或者非加密）通过网络传输，极大地提高了远程登录身份验证的安全性 关于Kerberos Version 1，2，3， MIT Version 4，Steve Miller and Clifford Neuman，late 1980s Version 5， John Kohl and Clifford Neuman， RFC 1510 in 1993 RFC 4120 in 2005 Windows 2000 and later use Kerberos as their default authentication method Apples Mac OS X Red Hat Enterprise Linux 4 and later …… From: /digitalguide/images/Misc/kerberos_1.gif Windows 2000的访问控制过程图（小结） Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows 2003中的新安全技术简介 Windows 2000默认安装没有打开任何安全审计 控制面板?管理工具?本地安全策略?本地策略?审计策略 Windows Audit机制 9类可审计事件 以账户管理事件为例 创建（624）和启用（626）账户 更改账户密码（627，628） 更改账户状态（629，630） 对安全组的修改（632，633；636，637） 账户锁定（644，642） 一旦打开上述审计事件，安全审计就会将相关事件在事件查看器的日志中记录下来 修改审计策略后，要重启机器。 对文件和文件夹的审计 必要条件 NTFS 打开“对象访问”事件审核策略 审核设置步骤 ”右键“待审核文件文件夹，”属性“?”安全“?”高级“?”审核”?“添加”?“确定” 选择“审核项目” 6种审计日志 应用程序日志 应用程序和系统产生的事件 系统日志 操作系统自身产生的事件，包括驱动等组件 安全日志 安全事件相关信息 例如：与监视系统、用户和进程活动相关的信息；启动失败等安全服务相关信息 目录服务日志 文件复制日志 DNS服务日志 事件查看器 审计系统服务 对象管理器 有效的Win32函数 调用审计系统服务的进程必须具有SeAuditPrivilege特权 可以防止恶意“淹没”“安全日志” Windows系统的审计数据 二进制结构文件形式存于物理磁盘 每条记录： 事件发生事件 事件源 Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows 2003中的新安全技术简介 Windows的注册表 早期，对系统环境的配置通过*.ini进行 Windows95之后，注册表 注册表是一种数据库 集中存储各种信息资源，包括各种配置信息 注册表的“键”和“键值” 注册表编辑器：树型 系统定义关键字（预定义关键字） 应用程序定义关键字 键值： 值的名称＋值的数据类型＋值 值的类型 Windows安全：NT是分水岭 NT设计目标：TCSEC标准的C2级 在用户级实现自主访问控制 提供对客体的访问的审计机制 实现客体重用 Windows NT 4.0 1999年11月通过美国国防部TCSEC C2级安全认证 Windows NT安全子系统 提供身份鉴别、自主访问控制、客体共享和安全审计等安全特性。 主要由本地安全授权（LSA）、安全账户管理（SAM）和安全参考监视器（SRM）等组成 From：Hacking Exposed Windows: Windows Securit