3-2Windows系统安全.ppt

Windows系统安全 Win2K的安全架构 Win2K安全子系统 Windows NT的设计从最初就考虑了安全问题：获得了TCSEC C2认证，这在竞争激烈的商业操作系统市场中是一个不错的业绩 Windows 2000正处于一个类似的标准评估过程中，使用通用标准(Common Criteria, CC) 为了获得更高的级别(B级)，Windows 2000需要在它的设计中融入一些关键的元素，包括(但不限于)： 用于认证的安全登录工具 可自由设定的访问控制 审核 Windows 2000通过它的安全子系统实现了这些功能。图2.1显示了Windows 2000的安全子系统 SRM 处于内核模式 监视用户模式中的应用程序代码发出的资源访问请求并进行检查 所有的安全访问控制应用于所有的安全主体(security principle) 安全主体 用户 组 计算机 用户帐户 如果用户使用账户凭据(用户名和口令)成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。于是，执行代码所进行的操作只受限于运行它的账户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么，黑客首先需要“变成”具有最高权限的账户 系统内建帐户 用户帐户攻击 本地Administrator或SYSTEM账户是最有权力的账户 相对于Administrator和SYSTEM来说，所有其他的账户都只具有非常有限的权限 因此，获取Administrator或SYSTEM账户几乎总是攻击者的最终目标 组 组是用户账户集合的一种容器 Windows 2000具有一些内建的组，它们是预定义的用户容器，也具有不同级别的权限 放到一个组中的所有账户都会继承这些权限。 最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限 系统内建组 域中的组 当Windows 2000系统被提升为域控制器时，同时还会安装一系列预定义的组 权限最高的预定义组包括域管理员(Domain Admins)，它具有域中的所有权限 还有企业管理员(Enterprise Admins)，它具有域森林的全部权限 域内建组 组攻击 本地Administrator或SYSTEM账户是最有权力的账户 本地Windows 2000系统中的本地Administrators组是最有吸引力的目标，因为这个组的成员继承了相当于管理员的权限 Domain Admins和Enterprise Admins是Windows 2000域中最有吸引力的目标，因为用户账户加入到它们当中后将会提升为具有域中的全部权限 相对于Administrators、Domain Admins和Enterprise Admins，所有其他的组都只具有非常有限的权限 获取Administrators、Domain Admins和Enterprise Admins组中的账户几乎总是攻击者的最终目标 特殊用户 Windows NT/2000具有一些特殊身份，它们是处于特定传输状态的账户(例如通过网络登录)或来自于特定位置的账户(例如在键盘上进行交互式登录) 这些身份能够用来调节对资源的访问控制。例如，NT/2000中对特定进程的访问受限于INTERACTIVE(交互)用户 特殊用户 SAM (Security Accounts Manager) 在独立的Windows 2000计算机上，安全账户管理器负责保存用户账户名和口令的信息 口令通过散列并被加密，现有的技术不能将打乱的口令恢复(尽管如此，散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现 在Windows 2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的，但是要访问它们必须通过不同的方法 SYSKEY 从NT4 Service Pack 3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEY SYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密(不是对SAM文件加密，而是对散列) 为了启用SYSKEY，你必须运行SYSKEY命令， SYSKEY 森林、树、域 作用域 信任 边界管理 域 通过将一台或几台Windows 2000服务器提升为域控制器，就可以很容易地创建Windows 2000域 域控制器(Domain Controller, DC)是共享的域信息的安全存储仓库，同时也作为域中认证的中央控制机构 域定义了共享账户的一种分布边界。域中的所有系统都共用一组账户。在NT中，共享的域信