第八章操作系統(tǒng)安全技術(shù)-Windows操作系統(tǒng)安全模型的組成計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型WindowsNT包括一組構(gòu)成Windows安全模型的安全組件。這些組件確保了應(yīng)用程序不能在沒有身份驗(yàn)證和授權(quán)的情況下對(duì)資源進(jìn)行訪問。這些安全組件稱為Windows的安全子系統(tǒng)（WindowsSecuritySubsystem）是WindowsNT系統(tǒng)中安全機(jī)制的最重要核心操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型安全子系統(tǒng)的組件在本地安全管理員進(jìn)程（lsass.exe）的上下文中運(yùn)行，主要包括以下組件：Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackages（AP）Securitysupportproviders（SSP）NetlogonService（Netlogon）SecurityAccountManager(SAM)

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型操作系統(tǒng)安全技術(shù)本地用戶登錄組件用戶登錄GUI組件安全管理組件身份認(rèn)證組件賬號(hào)信息管理組件安全擴(kuò)展組件網(wǎng)絡(luò)用戶登錄組件Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（1）windows登錄（Winlogon）：Winlogon調(diào)用GINADLL，并監(jiān)視安全警告序

(Secure

Attention

Sequence：SAS)SAS是一組組合鍵，默認(rèn)情況下為Ctrl-Alt-Delete它的作用是確保用戶交互式登錄時(shí)輸入的信息被系統(tǒng)所接受，而不會(huì)被其他程序所獲取因此，使用“安全登錄”進(jìn)行登錄，可以確保用戶的帳號(hào)和密碼不會(huì)被攻擊者盜取Winlogon啟動(dòng)時(shí)，在注冊(cè)表中查找以下鍵值：\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon如果存在GinaDLL鍵，Winlogon將使用這個(gè)DLL如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windows登錄（Winlogon）安全登錄可用于檢測(cè)登錄異常情況要啟用“安全登錄”的功能，可以運(yùn)行“control

userpasswords2”命令打開“用戶帳戶”對(duì)話框，選擇“高級(jí)”選中“要求用戶按Ctrl-Alt-Delete”選項(xiàng)后確定即可以后，在每次登錄對(duì)話框出現(xiàn)前都有一個(gè)提示，要求用戶按Ctrl-Alt-Delete組合鍵，目的是為了在登錄時(shí)出現(xiàn)GINA登錄對(duì)話框，因?yàn)橹挥邢到y(tǒng)本身的GINA才能截獲這個(gè)組合鍵信息。而如前面講到的GINA木馬，會(huì)屏蔽掉“安全登錄”的提示，所以如果“安全登錄”的提示無故被屏蔽也是發(fā)現(xiàn)木馬的一個(gè)前兆。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windows登錄（Winlogon）安全警示鍵彈出界面Ctrl-Alt-Delete操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（2）界面識(shí)別與認(rèn)證（GraphicalIdentificationandAuthentication：GINA）動(dòng)態(tài)鏈接庫(kù)GINA提供一個(gè)交互式的界面為用戶登錄提供認(rèn)證請(qǐng)求GINA被設(shè)計(jì)成一個(gè)獨(dú)立的模塊開發(fā)人員也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINADLL

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（3）本地安全管理員（LocalSecurityAuthority：LSA）LSA是WindowsNT安全系統(tǒng)的核心功能模塊，它的主要功能是檢查用戶登錄信息，并依據(jù)安全策略為用戶生成系統(tǒng)訪問令牌（SAT：SystemAccessToken）。它負(fù)責(zé)以下任務(wù)：－調(diào)用所有的認(rèn)證包：檢查在注冊(cè)表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，WindowsNT會(huì)尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并調(diào)用。－重新找回本地組的SIDs和用戶的權(quán)限。－創(chuàng)建用戶的訪問令牌。－管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。－儲(chǔ)存和映射用戶權(quán)限。－管理審核的策略和設(shè)置。－管理信任關(guān)系。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（4）安全支持提供者的接口（SecuritySupportProvideInterface：SSPI）安全支持提供者接口SSPI遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API為應(yīng)用程序和服務(wù)提供請(qǐng)求安全的認(rèn)證連接的方法操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（5）認(rèn)證包（AuthenticationPackage：AP）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證通過GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶SIDs給LSA，然后將其存放在用戶的訪問令牌中操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（6）安全支持提供者（SecuritySupportProvider：SSP）：安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時(shí)候用到。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（7）網(wǎng)絡(luò)登錄（Netlogon）：網(wǎng)絡(luò)登錄服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的SIDs和用戶權(quán)限操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型（8）安全賬號(hào)管理者（SecurityAccountManager：SAM）：SAM存儲(chǔ)帳戶信息的數(shù)據(jù)庫(kù)，并為本地安全管理員（LSA）提供用戶認(rèn)證。SAM保存了注冊(cè)表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會(huì)被拷貝操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成windowsNT的安全模型在WindwosServer2003中，安全子系統(tǒng)還包括安全套接層服務(wù)（SSL）和Kerberose認(rèn)證等。這些組件以動(dòng)態(tài)鏈接庫(kù)（DLL）的形式提供。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型的組成Windows及WindowsNT系列操作系統(tǒng)中的安全組件安全組件描述netlogon.dll這是

NetLogon服務(wù)，它維護(hù)著計(jì)算機(jī)到域控制器的安全通道。它通過安全通道將用戶的憑據(jù)傳遞到域控制器，并返回此用戶的安全標(biāo)識(shí)符和用戶權(quán)限。在WindowsNTVersion4.0中，NetLogon是主域控制器和備份域控制器的復(fù)制協(xié)議；在

WindowsServer2003中，NetLogon服務(wù)使用

DNS將名稱解析到域控制器的

IP地址。msv1_0.dll這是NT局域網(wǎng)管理器（NTLANManager：NTLM）的身份驗(yàn)證協(xié)議。此協(xié)議對(duì)不使用

Kerberos身份驗(yàn)證的客戶端進(jìn)行身份驗(yàn)證。schannel.dll這是安全套接字層

(SSL)身份驗(yàn)證協(xié)議。此協(xié)議在一個(gè)加密的通道而不是安全性較低的通道上提供身份驗(yàn)證。kerberos.dll這是

Kerberos5身份驗(yàn)證協(xié)議kdcsvc.dll這是

Kerberos密鑰分發(fā)中心

(KDC)服務(wù)，此服務(wù)負(fù)責(zé)將授權(quán)票證的票證

(TGT)