网络攻击与防护 课件 2_Windows操作系统攻防技术.pptx

Windows操作系统攻防技术

前言操作系统（operationsystem，简称OS）是管理计算机硬件与软件资源的计算机程序。在计算机中，操作系统是其最基本也是最为重要的基础性系统软件。从计算机用户的角度来说，计算机操作系统体现为其提供的各项服务；从程序员的角度来说，其主要是指用户登录的界面或者接口；如果从设计人员的角度来说，就是指各式各样模块和单元之间的联系。经过几十年以来的发展，计算机操作系统已经成为既复杂而又庞大的计算机软件系统之一。因此操作系统的安全问题不仅影响广泛，而且威胁巨大。

Windows操作系统概述Windows攻防技术ARP与DNS欺骗Windows安全配置Windows操作系统攻击

安全操作系统安全操作系统是指该系统能够控制外部对系统信息的访问，即只有经过授权的用户或进程才能对信息资源进行相应的读、写、创建和删除等操作，以保护合法用户对授权资源的正常使用，防止非法入侵者对系统资源的侵占和破坏。

Windows系统安全原理Windows的安全特性通过身份验证和授权这两种相互联系的机制，来控制对系统和网络资源的访问。Microsoft的安全就是基于以下的法则：用对象表现所有的资源只有Windows才能直接访问这些对象对象能够包含所有的数据和方法对象的访问必须通过的安全子系统的第一次验证存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么

Windows系统安全元素主体主体是指提出访问资源具体请求，是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。客体客体是指被访问资源的实体，所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无线通信中的终端。

Windows身份认证Windows身份认证分为：交互式登录过程和网络身份验证。交互式登录：要求用户登录到域账户或本地计算机账户网络身份验证：则是向特定的网络服务提供对身份的证明对于登录到本地计算机账户而言，网络身份验证是每次请求网络服务时要重复手工完成。对于交互登录到域的账户而言，单一登录特性，请求网络服务时会透明完成网络身份验证。

WinlogonWindows身份验证过程相关组件Winlogon负责管理登录相关的安全性工作，处理用户的登录与注销、锁定与解锁工作站等。还要向gina发送事件通知消息，并提供可供GINA调用的各种函数。此外，winlogon还必须保证其与安全相关的操作对其他进程不可见，以免其他进程获取登录密码

GINAWindows身份验证过程相关组件GINA登录进程的验证和身份验证都是GINA所提供的动态链接库（DLL）中实现的。它在系统引导的时候被Winlogon进程所加载。为其提供能够对用户身份进行识别和验证的函数，并将用户的账号和密码反馈给Winlogon.exe。在登录过程中，“欢迎屏幕”和“登录对话框”就是GINA显示的

LSAWindows身份验证过程相关组件LSA-LocalSecurityAuthorityLSA-本地安全授权，Windows系统中一个相当重要的服务，所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码，然后经过密钥机制处理，并调用验证程序包，然后跟存储账号数据库中的密钥进行对比验证，如果验证成功，就根据验证程序包返回的SID创建安全访问令牌，并把令牌句柄和登录信息返回给winlogon

SAMWindows身份验证过程相关组件SAM-SecurityAccountManagerSAM-安全账号管理器，是一个被保护的子系统，它通过存储在计算机注册表中的安全账号来管理用户和用户组的信息。我们可以把SAM看成一个账号数据库。对于没有加入到域的计算机来说，它存储在本地，而对于加入到域的计算机，它存储在域控制器上。

KDCWindows身份验证过程相关组件KDC-KerberosKeyDistributionCenterKerberos密钥发布中心：该服务主要同Kerberos认证协议协同使用，用于在整个活动目录范围内对用户的登录进行验证。如果你确保整个域中没有WindowsNT计算机，可以只使用Kerberos协议，以确保最大的安全性。该服务要在ActiveDirectory服务启动后才能启用。

身份验证程序包身份验证程序包的任务验证用户为用户新建LSA登录会话返回一组绑定到用户安全令牌中的SID身份验证程序包位于某一动态链接库(DLL)中在系统启动期间被本地授权机构LSA所链接接受输入的登录证书，通过验证程序决定是否允许用户登录Windows的身份验证程序包MSV1_0KerberosV5

Windows认证登录过程WinlogonGINALS