1、第4章Windows 2000網(wǎng)絡(luò)執(zhí)行操作系統(tǒng)的保密工作、4.1 Windows 2000的保密工作設(shè)置修訂、4.2 Windows 2000的身份驗(yàn)證服務(wù)體系結(jié)構(gòu)、4.3 Windows 2000的保密工作特性、 4.4 Windows 2000的組策略管理保密工作、4.5審核和入侵檢測(cè)信息安全保障對(duì)當(dāng)今網(wǎng)絡(luò)系統(tǒng)非常重要和重大，涉及從硬件到軟件、從斯坦共和國(guó)門(mén)到網(wǎng)絡(luò)的所有方面的保密工作反應(yīng)歷程。 網(wǎng)絡(luò)執(zhí)行操作系統(tǒng)的保密工作是整個(gè)網(wǎng)絡(luò)系統(tǒng)防偽系統(tǒng)的基礎(chǔ)。 Windows 2000的分布式保密工作反應(yīng)歷程可實(shí)現(xiàn)高級(jí)保密工作整合，保護(hù)和促進(jìn)業(yè)務(wù)發(fā)展。 4.1 Windows 2000的保密工作設(shè)置

2、修訂版作為Windows NT之后的下一代企業(yè)號(hào)級(jí)網(wǎng)絡(luò)執(zhí)行操作系統(tǒng)， Windows 2000的保密工作特性在主要使用網(wǎng)際網(wǎng)絡(luò)上的新型保密工作信息幀工作的Windows 2000中有作為“保密工作手機(jī)網(wǎng)絡(luò)鎖接口”的sspi (securityserviceproviderinterface )，其他的身份驗(yàn)證方式在Windows 2000中為Windows NT 4.0提供網(wǎng)絡(luò)輔助通訊端口Windows 2000為Windows NT 4.0中使用的NTLM (nt局域網(wǎng)管理器)保密工作身份驗(yàn)證反應(yīng)歷程提供輔助通訊端口。 用戶可以遷移到Windows 2000，而不是NTLM的Kerberos

3、保密工作身份驗(yàn)證反應(yīng)歷程。 4.2 Windows 2000的身份驗(yàn)證服務(wù)體系結(jié)構(gòu)是Windows 2000的身份驗(yàn)證服務(wù)在整個(gè)體系結(jié)構(gòu)中實(shí)現(xiàn)的，具體的身份驗(yàn)證服務(wù)體系結(jié)構(gòu)如圖4-1所示。Kerberos的身份驗(yàn)證反應(yīng)歷程Kerberos是基于公鑰技術(shù)的網(wǎng)際網(wǎng)絡(luò)上廣泛使用的保密工作身份驗(yàn)證反應(yīng)歷程。 Kerberos連接協(xié)議定義了在客戶端/牛鼻子分發(fā)中心(KDC)/服務(wù)器之間獲取和使用Kerberos票證的通訊規(guī)則和步驟。 Kerberos身份驗(yàn)證反應(yīng)歷程可以增強(qiáng)Windows 2000的保密工作，加快網(wǎng)絡(luò)應(yīng)用程序服務(wù)的身份驗(yàn)證，建立結(jié)構(gòu)域信任，建立結(jié)構(gòu)域信任在結(jié)構(gòu)域中傳遞信任關(guān)系在混合執(zhí)行操

4、作系統(tǒng)的異構(gòu)網(wǎng)絡(luò)環(huán)境中， Kerberos連接協(xié)議通過(guò)使用統(tǒng)一的用戶數(shù)據(jù)庫(kù)來(lái)身份驗(yàn)證不同的用戶，從而解決了當(dāng)前異構(gòu)環(huán)境中的統(tǒng)一身份驗(yàn)證問(wèn)題。4.3 Windows 2000的保密工作功能，Windows 2000具有數(shù)據(jù)保密工作、企業(yè)間通訊保密工作、企業(yè)和網(wǎng)際網(wǎng)絡(luò)網(wǎng)單簽名on、易用性和可擴(kuò)展的保密工作管理等保密工作功能。 1 .數(shù)據(jù)保密工作數(shù)據(jù)保密工作是指數(shù)據(jù)的保密工作和完全性(2)網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)網(wǎng)絡(luò)數(shù)據(jù)是指局部網(wǎng)絡(luò)中的數(shù)據(jù)以及在不同網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)。 局部網(wǎng)絡(luò)的數(shù)據(jù)是通過(guò)身份驗(yàn)證連接協(xié)議和IP Security加密法實(shí)現(xiàn)的。 在網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)可以通過(guò)IP安全加密法TCP/IP通訊、Wi

5、ndows 2000路由和遠(yuǎn)程訪問(wèn)服務(wù)、在線代理服務(wù)等實(shí)現(xiàn)。 (3)存儲(chǔ)數(shù)據(jù)的保護(hù)存儲(chǔ)數(shù)據(jù)的秘密保持在Windows 2000中有文件加密法系統(tǒng)及數(shù)字簽名等，實(shí)現(xiàn)存儲(chǔ)數(shù)據(jù)的秘密保持。 2 .通訊保密工作Windows 2000提供了多種保密工作連接協(xié)議和用戶模式的內(nèi)置集成。 它通訊端口虛擬私有網(wǎng)絡(luò)技術(shù)和公鑰體制，允許外部用戶使用電子證據(jù)映射到目錄查詢服務(wù)的用戶賬戶。 3 .單簽名Windows 2000的用戶一旦計(jì)程儀接通到網(wǎng)上的單簽名，就可以在網(wǎng)絡(luò)身份驗(yàn)證后，根據(jù)自己擁有的權(quán)限網(wǎng)站數(shù)據(jù)庫(kù)到適當(dāng)?shù)姆?wù)，Windows 2000是用戶的保密工作屬性(security credents ) 4 .

6、安全管理Windows 2000使用保密工作數(shù)字大板塊對(duì)計(jì)算機(jī)進(jìn)行保密工作配置和分析。保密工作數(shù)字鍵大板塊MMC提供多個(gè)管理數(shù)字鍵大板塊，用于實(shí)現(xiàn)工作站、服務(wù)器、結(jié)構(gòu)域控制支重輪的保密工作管理，在這些個(gè)的保密工作模板中，選擇合適的安全策略， 4.4 Windows 2000組策略管理保密工作Windows 2000組策略包括帳戶策略密碼策略設(shè)置密碼的存續(xù)期間、長(zhǎng)度和復(fù)雜性帳戶策略帳戶搖滾樂(lè)策略設(shè)置搖滾樂(lè)時(shí)間、 閾值和重定徑套計(jì)數(shù)器策略Kerberos策略設(shè)置票證壽命本地策略審計(jì)策略特定的本地計(jì)程儀入、 本地策略保密工作選項(xiàng)更改注冊(cè)表值(如網(wǎng)絡(luò)網(wǎng)站數(shù)據(jù)庫(kù))的特定保密工作選項(xiàng)啟用上通告計(jì)程儀成功或

7、失敗監(jiān)視受限制的組管理員對(duì)屬于特定組系統(tǒng)服務(wù)控制各服務(wù)的啟動(dòng)模式注冊(cè)表的文件夾、子文件夾、文件配置權(quán)限默認(rèn)設(shè)置和最小設(shè)置如下、2 .帳戶搖滾樂(lè)策略有效的帳戶搖滾樂(lè)策略有助于阻止攻擊者猜測(cè)帳戶密碼， 下表列出了默認(rèn)奧爾特的帳戶搖滾樂(lè)策略設(shè)置，以及客戶環(huán)境的建議最低設(shè)置。 3 .如果成員服務(wù)標(biāo)高分析策略配置了結(jié)構(gòu)域級(jí)別設(shè)置，則必須為所有成員服務(wù)定義通用設(shè)置。 這是在“成員服務(wù)器OU”的GPO中進(jìn)行的，被稱(chēng)為標(biāo)高分析策略。 通用GPO可自動(dòng)執(zhí)行為每個(gè)服務(wù)配置特定保密工作設(shè)置的過(guò)程。 不能通過(guò)組策略執(zhí)行的其他保密工作設(shè)置也必須手動(dòng)應(yīng)用。 成員服務(wù)器的關(guān)標(biāo)高分析組策略如下： 審計(jì)策略確定如何在服務(wù)器上執(zhí)

8、行審計(jì)。 保密工作選項(xiàng)使用注冊(cè)表值來(lái)確定特定的保密工作設(shè)置。 注冊(cè)表訪問(wèn)控制表決定誰(shuí)可以網(wǎng)站數(shù)據(jù)庫(kù)到注冊(cè)表。 文件訪問(wèn)控制表決定誰(shuí)可以網(wǎng)站數(shù)據(jù)庫(kù)到文件系統(tǒng)。 服務(wù)配置決定了哪些服務(wù)需要啟動(dòng)、停止和禁用。 4 .將使自動(dòng)運(yùn)行功能無(wú)效的介質(zhì)插入驅(qū)動(dòng)器后，自動(dòng)運(yùn)行功能開(kāi)始從該驅(qū)動(dòng)器讀取數(shù)據(jù)。 這將立即啟動(dòng)普通堆計(jì)程儀安裝文件和音頻媒體上的聲音。 為避免惡意pull計(jì)程儀盤(pán)在插入媒體時(shí)啟動(dòng)，組策略將禁用所有驅(qū)動(dòng)程序的自動(dòng)執(zhí)行功能。 用于禁用注冊(cè)表中hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer下所有驅(qū)動(dòng)器的自動(dòng)執(zhí)行功能的配置NoDr

9、iveTypeAutoRun DWORD 0 xFF。 5 .基于成員服務(wù)器的文件訪問(wèn)控制表策略為了增強(qiáng)文件系統(tǒng)的保密工作，對(duì)結(jié)構(gòu)域中所有成員服務(wù)器共有的目錄查詢和文件，在成員服務(wù)器基線保密工作十位大板塊中添加了更多限制權(quán)限。 包括hisecws.inf數(shù)字小大板塊提供的所有文件接入控制的列表，并添加了許多文件夾和文件設(shè)置。增強(qiáng)了4.4.2內(nèi)置帳戶的保密工作，Windows 2000有一些內(nèi)置用戶賬戶，無(wú)法刪除我們最熟悉的兩個(gè)內(nèi)置Windows 2000帳戶是“特邀嘉賓”和“管理員”。 在默認(rèn)奧爾特下，成員服務(wù)和結(jié)構(gòu)域控件支重輪上禁用特邀嘉賓帳戶。 建議不要更改此設(shè)置。 1 .加強(qiáng)本地管理員帳

10、戶的保密工作每個(gè)成員服務(wù)器都有本地帳戶數(shù)據(jù)庫(kù)和本地管理員帳戶，這些帳戶完全控制服務(wù)器。 因此，這個(gè)賬戶非常重要。 最好重命名此帳戶，以確保使用了復(fù)雜的密碼。 此外，還必須確保成員服務(wù)之間沒(méi)有復(fù)制本地管理員密碼。 2 .增強(qiáng)服務(wù)帳戶保密工作的Windows 2000服務(wù)通常在本地系統(tǒng)帳戶下執(zhí)行，但也可以在結(jié)構(gòu)域用戶或本地帳戶下執(zhí)行。 如果可能，請(qǐng)使用本地帳戶，而不是結(jié)構(gòu)域用戶賬戶。由于每個(gè)服務(wù)都在服務(wù)帳戶的安全上下文中運(yùn)行，因此如果攻擊者強(qiáng)制成員服務(wù)器上的服務(wù)，則該服務(wù)帳戶可能用于攻擊結(jié)構(gòu)域上下文支重輪。 在確定用作服務(wù)帳戶的帳戶時(shí)，指定給該帳戶的特權(quán)被限制在保證服務(wù)成功運(yùn)行所需的特權(quán)范圍內(nèi)、4

11、.4.3組策略的保密工作數(shù)字大板塊、 1 .配置組策略設(shè)置存儲(chǔ)位置組策略的存儲(chǔ)位置GPO位于Active Directory中保密工作數(shù)字大板塊文件位于本地文件系統(tǒng)中。 您對(duì)GPO所做的更改將直接保存到Active Directory中，您對(duì)保密工作數(shù)字大板塊文件所做的更改必須先應(yīng)用到Active Directory中的GPO。 2. Windows 2000的保密工作數(shù)字大板塊對(duì)Windows 2000的保密工作數(shù)字大板塊，基本wk.INF適用于Windows 2000專(zhuān)業(yè)版。 Basicsv.inf適用于windows 2000服務(wù)器。 Basicdc.inf適用于基于Windows 20

12、00的結(jié)構(gòu)域控制支重輪。 Securedc.inf和Hisecdc.inf適用于結(jié)構(gòu)域控制支重輪。 Securews.inf和Hisecws.inf適用于成員服務(wù)器和工作站。 4.4.4組策略的實(shí)現(xiàn)建議在兩個(gè)級(jí)別應(yīng)用保密工作設(shè)置，以有效地使用組策略。 一般的結(jié)構(gòu)域級(jí)保密工作要求是特定服務(wù)器的OU級(jí)保密工作要求，包括所有服務(wù)器(包括集成智能服務(wù)器)使用的帳戶策略和審核策略。 1 .創(chuàng)建ou結(jié)構(gòu)創(chuàng)建ou結(jié)構(gòu)的具體步驟如下：步驟1，喀嚦聲plump計(jì)算機(jī)管理軟件Active Directory用戶和計(jì)算機(jī)，打開(kāi)Active Directory。 在步驟2中，右喀嚦聲網(wǎng)絡(luò)域名，然后依次選擇新建、組織單

13、位。 在步驟3中，鍵入成員服務(wù)器，然后喀嚦聲確定。 在第4步中，右鍵喀嚦聲成員服務(wù)器，依次選擇新建、組織單位。 在步驟5中，鍵入應(yīng)用服務(wù)器，然后喀嚦聲確定。 對(duì)文件和打印服務(wù)器、集成智能服務(wù)器和基礎(chǔ)架構(gòu)服務(wù)器重復(fù)步驟5和6。 2 .結(jié)構(gòu)域級(jí)別的策略在建構(gòu)Windows 2000結(jié)構(gòu)域時(shí)，創(chuàng)建了差動(dòng)奧爾特的結(jié)構(gòu)域策略。 有關(guān)應(yīng)用于整個(gè)結(jié)構(gòu)域的保密工作設(shè)置，請(qǐng)創(chuàng)建另一個(gè)策略，網(wǎng)絡(luò)鏈接到更高級(jí)別的差動(dòng)奧爾特策略，修改現(xiàn)有的差動(dòng)奧爾特策略，或3 .上通告計(jì)程儀中的上通告策略成功下載后， 出現(xiàn)一個(gè)包含以下信息的上通告計(jì)程儀上通告。如果沒(méi)有收到成功的上通告計(jì)程儀消息，則必須運(yùn)行secedit/refres

14、hpolicymachine _ policy/enforce并重新啟動(dòng)服務(wù)器以應(yīng)用下載策略： 重新啟動(dòng)后，再次檢查上通告計(jì)程儀，確認(rèn)策略已成功下載。 4 .策略驗(yàn)證策略驗(yàn)證有兩種方法： “本地安全策略”使用MMC身份驗(yàn)證策略步驟1啟動(dòng)本地安全策略MMC。 在步驟2的“保密工作設(shè)置”下，喀嚦聲“本地策略”，然后喀嚦聲“保密工作選項(xiàng)”。 步驟3，在右窗格中，驗(yàn)證有效的設(shè)置列。 “有效設(shè)置”列顯示為所選服務(wù)器角色設(shè)置的數(shù)字大板塊盤(pán)設(shè)置。 使用命令行工具驗(yàn)證策略Secedit此工具包含在Windows 2000中，可用于查看數(shù)字大板塊盤(pán)文件和計(jì)算機(jī)策略之間的差異。 要將數(shù)字大板塊盤(pán)與計(jì)算機(jī)上的當(dāng)前策

15、略進(jìn)行比較，請(qǐng)使用secedit/analyze/db secedit.sdb/CFG、4.5審計(jì)和入侵檢測(cè)命令行。 審計(jì)的主要目的之一是識(shí)別攻擊者對(duì)網(wǎng)絡(luò)所做的操作。 由于一個(gè)攻擊者可能會(huì)試圖危害網(wǎng)絡(luò)上的多臺(tái)計(jì)算機(jī)和數(shù)據(jù)老虎鉗，因此為了了解所有攻擊的程度，必須能夠調(diào)整并集成許多計(jì)算機(jī)的信息。 將計(jì)程儀實(shí)用程序通訊端口到數(shù)據(jù)庫(kù)后，可以輕松地調(diào)整多個(gè)計(jì)程儀的信息。 只要所有計(jì)算機(jī)的時(shí)間保持同步，就可以在時(shí)間字段中排序，并根據(jù)時(shí)間間隔簡(jiǎn)化上通告跟蹤。 審計(jì)上通告分為兩類(lèi)：成功上通告和失敗上通告。成功上通告表示用戶成功獲得了網(wǎng)站數(shù)據(jù)庫(kù)到資源的權(quán)限，失敗上通告表示用戶嘗試網(wǎng)站數(shù)據(jù)庫(kù)到網(wǎng)絡(luò)資源但失敗。 W

16、indows 2000中的保密工作上通告審計(jì)類(lèi)別通常使用計(jì)程儀內(nèi)上通告帳戶計(jì)程儀對(duì)象網(wǎng)站數(shù)據(jù)庫(kù)目錄查詢服務(wù)訪問(wèn)權(quán)限進(jìn)程跟蹤系統(tǒng)事件策略更改，并執(zhí)行4.5.1審計(jì)、 1 .計(jì)程儀上通告用戶每次計(jì)程儀或退出程序到計(jì)算機(jī)時(shí)，如果用戶連接到遠(yuǎn)程服務(wù)器，則在遠(yuǎn)程服務(wù)器的保密工作計(jì)程儀上也生成計(jì)程儀in上通告。 創(chuàng)建或銷(xiāo)毀計(jì)程儀會(huì)話和令牌時(shí)，也會(huì)分別創(chuàng)建計(jì)程儀入上通告。 計(jì)程儀入上通告有助于跟蹤人機(jī)交互嘗試計(jì)程儀服務(wù)的嘗試，以及調(diào)查來(lái)自特定修正器的攻擊。 成功的審計(jì)將在成功的計(jì)程儀入嘗試時(shí)生成審計(jì)條目。 失敗的審計(jì)將在計(jì)程儀定嘗試失敗時(shí)生成審計(jì)條目。 記錄在計(jì)程儀上的計(jì)程儀上通告的ID表示528個(gè)用戶已成

17、功計(jì)程儀到計(jì)算機(jī)。 529有人嘗試用未知用戶名計(jì)程儀，或嘗試用已知用戶名計(jì)程儀，但密碼不正確。 530用戶賬戶嘗試在不行政許可的時(shí)間計(jì)程儀。 531有人嘗試使用無(wú)效的帳戶進(jìn)行計(jì)程儀。 有人試圖使用532過(guò)期的賬戶進(jìn)行計(jì)程儀。 533這個(gè)用戶不能計(jì)程儀到這臺(tái)計(jì)算機(jī)。 2 .賬戶計(jì)程儀入上通告在一個(gè)用戶計(jì)程儀到結(jié)構(gòu)域時(shí)，在結(jié)構(gòu)域控件支重輪上處理計(jì)程儀入。 對(duì)結(jié)構(gòu)域控件支重輪上的帳戶計(jì)程儀入上通告進(jìn)行審計(jì)時(shí)，將顯示該計(jì)程儀嘗試，這些嘗試記錄在身份驗(yàn)證帳戶的結(jié)構(gòu)域控件支重輪上。 帳戶計(jì)程儀入上通告是在身份驗(yàn)證包身份驗(yàn)證用戶的身份驗(yàn)證信息時(shí)創(chuàng)建的。 使用結(jié)構(gòu)域身份驗(yàn)證信息時(shí)，帳戶計(jì)程儀入上通告僅在結(jié)構(gòu)域控件支重輪的上通告計(jì)程儀中生成。 如果提供的身份驗(yàn)證信息是本地SAM數(shù)據(jù)庫(kù)身份驗(yàn)證信息，則在服務(wù)的保密工作上通告計(jì)程儀中創(chuàng)建帳戶計(jì)程儀入上通告。 因?yàn)椤皫粲?jì)程儀入上通告”可以記錄在結(jié)構(gòu)域中的任何有效結(jié)構(gòu)域控制器支重輪中，所以要分析結(jié)構(gòu)域中的所有帳戶計(jì)程儀上通告，除了每個(gè)域控制器的安全日志綁定登錄事件之外，帳戶登錄事件也可以包括“修訂器登錄事件”和“用戶對(duì)成功和失敗的帳戶計(jì)程儀入上通告的審計(jì)作為成員