哈工大安全中心-操作系统安全windows-10.ppt

操作系统安全 --Windows 主讲人：翟健宏 Email: zhaijh@hit.edu.cn 办公室:新技术楼509 Tel:0451内容 Windows 2000的安全架构 Windows的安全解决方案 Win2K安全子系统 Windows NT的设计从最初就考虑了安全问题： 获得了TCSEC C2认证，这在竞争激烈的商业操作系统市场中是一个不错的业绩 Windows 2K使用通用标准(Common Criteria, CC) 为了获得更高的级别(B级)，Windows 2000需要在它的设计中融入一些关键的元素，包括(但不限于)： 用于认证的安全登录工具 可自由设定的访问控制 审核 Windows 2000通过它的安全子系统实现了这些功能。 SRM 处于内核模式 监视用户模式中的应用程序代码发出的资源访问请求并进行检查 所有的安全访问控制应用于所有的安全主体(security principle) 安全主体 用户 组 计算机 用户帐户 账户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。 换一种说法，所有的用户模式代码在一个用户账户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码(例如服务)也是运行在一个账户(特殊的本地系统账户SYSTEM)的上下文中的 如果用户使用账户凭据(用户名和口令)成功通过了登录认证，之后他执行的所有命令都具有该用户的权限。 执行代码所进行的操作只受限于运行它的账户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么，黑客首先需要“变成”具有最高权限的账户. 系统内建帐户 用户帐户攻击 本地Administrator或SYSTEM账户是最有权力的账户 相对于Administrator和SYSTEM来说，所有其他的账户都只具有非常有限的权限 因此，获取Administrator或SYSTEM账户几乎总是攻击者的最终目标 组 组是用户账户集合的一种容器 Windows 2000具有一些内建的组，它们是预定义的用户容器，也具有不同级别的权限 放到一个组中的所有账户都会继承这些权限。 最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限 系统内建组 域中的组 当Windows 2000系统被提升为域控制器时，同时还会安装一系列预定义的组 权限最高的预定义组包括域管理员(Domain Admins)，它具有域中的所有权限 还有企业管理员(Enterprise Admins)，它具有域森林的全部权限 域内建组 组攻击 本地Administrator或SYSTEM账户是最有权力的账户 本地Windows 2000系统中的本地Administrators组是最有吸引力的目标，因为这个组的成员继承了相当于管理员的权限 Domain Admins和Enterprise Admins是Windows 2000域中最有吸引力的目标，因为用户账户加入到它们当中后将会提升为具有域中的全部权限 相对于Administrators、Domain Admins和Enterprise Admins，所有其他的组都只具有非常有限的权限 获取Administrators、Domain Admins和Enterprise Admins组中的账户几乎总是攻击者的最终目标 特殊用户 Windows NT/2000具有一些特殊身份，它们是处于特定传输状态的账户(例如通过网络登录)或来自于特定位置的账户(例如在键盘上进行交互式登录)的容器 这些身份能够用来调节对资源的访问控制。例如，NT/2000中对特定进程的访问受限于INTERACTIVE(交互)用户 特殊用户 SAM (Security Accounts Manager) 在独立的Windows 2000计算机上，安全账户管理器负责保存用户账户名和口令的信息 口令通过散列并被加密，现有的技术不能将打乱的口令恢复(尽管如此，散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一，它在文件%systemroot%\system32\config\sam中实现 在Windows 2000域控制器上，用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的，但是要访问它们必须通过不同的方法 SYSKEY 从NT4 Service Pack 3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEY SYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密(不是对SA