1、Windows NT 的安全機(jī)制簡(jiǎn)介,內(nèi)容提綱,1、Windows NT 簡(jiǎn)介 2、Windows NT 的體系結(jié)構(gòu) 3、Windows NT 的安全子系統(tǒng) 4、Windows NT 的安全服務(wù) 5、Windows NT 的安全管理,Windows NT 簡(jiǎn)介,Windows NT 是一個(gè)網(wǎng)絡(luò)操作系統(tǒng)，它有兩個(gè)版本：Windows NT Workstation 和 Windows NT Server。這兩個(gè)版本的NT都有相同的核心支持、網(wǎng)絡(luò)支持和安全系統(tǒng)。 Workstation是為單個(gè)用戶高性能地運(yùn)行應(yīng)用程序服務(wù)的，而Server則是為多用戶網(wǎng)絡(luò)提供服務(wù)。 在此，我們所討論的都是基于Wind

2、ows NT Server。,Windows NT 簡(jiǎn)介,Windows NT Server 一方面是為了滿足目前商業(yè)計(jì)算機(jī)世界的需要，另一方面也是最容易安裝、管理和使用的網(wǎng)絡(luò)操作系統(tǒng)。這種強(qiáng)健的多用途的網(wǎng)絡(luò)操作系統(tǒng)提供了可靠的文件和打印服務(wù)，同時(shí)也提供了運(yùn)行強(qiáng)有力的客戶/服務(wù)器應(yīng)用程序的結(jié)構(gòu)。Windows NT Server是包含有Internet 和 Intranet功能的網(wǎng)絡(luò)操作系統(tǒng)。,Windows NT 簡(jiǎn)介,Windows NT 運(yùn)行于Client/Server模式，其設(shè)計(jì)客體是提供文件和打印服務(wù)；他支持遠(yuǎn)程訪問(wèn)服務(wù) RAS (Remote Access Service)和Int

3、ernet服務(wù)。Windows NT中帶有一個(gè)完全的WEB服務(wù)器組件IIS，所以它可以在Internet上提供WEB服務(wù)。另外，通過(guò)添加軟件，Windows NT 也可以作為防火墻使用。,二、Windows NT 的體系結(jié)構(gòu),Windows NT的體系結(jié)構(gòu),Windows NT是由一組軟件組件組成，他們運(yùn)行在核心模式下。,Windows NT的體系結(jié)構(gòu),(1) 核心模式由執(zhí)行服務(wù)組成，它們構(gòu)成一個(gè)自成體系的操作系統(tǒng)。 (2) 用戶模式由非特權(quán)的服務(wù)組成，這些服務(wù)也稱為受保護(hù)子系統(tǒng)，他們的啟動(dòng)由用戶決定。用戶模式在核心模式之上，用戶模式組件要利用核心模式提供的服務(wù)。,Windows NT的對(duì)象,

4、為了實(shí)現(xiàn)自身的安全特性，Windows NT 把所有的資源作為系統(tǒng)的特殊的對(duì)象。這些對(duì)象包含資源本身，Windows NT 提供了一種訪問(wèn)機(jī)制去使用它們。由于這些基本的原因，所以我們把 Windows NT 還稱為基于對(duì)象的操作系統(tǒng)。,Windows NT的對(duì)象,Windows NT的安全就是基于以下的法則： 用對(duì)象表現(xiàn)所有的資源 只有 Windows NT 才能直接訪問(wèn)這些對(duì)象 對(duì)象能夠包含所有的數(shù)據(jù)和方法 對(duì)象的訪問(wèn)必須通過(guò) Windows NT 的安全子系統(tǒng)的第一次驗(yàn)證 存在幾種單獨(dú)的對(duì)象，每一個(gè)對(duì)象的類型決定了這些對(duì)象能做些什么,Windows NT的對(duì)象,Windows 中首要的對(duì)象

5、類型有： (1)文件 (2)文件夾 (3)打印機(jī) (4)I/O 設(shè)備 (5)窗口 (6)線程 (7)進(jìn)程 (8)內(nèi)存,三、Windows NT 的安全子系統(tǒng),Windows NT的安全子系統(tǒng),Windows NT 安全子系統(tǒng)包含五個(gè)關(guān)鍵的組件： Security identifiers Access tokens Security descriptors Access control lists Access control entries,安全標(biāo)識(shí)符（ Security Identifiers ）,操作系統(tǒng)提供的安全功能中很重要的一點(diǎn)就是責(zé)任確保任何實(shí)體的動(dòng)作將唯一用該實(shí)體標(biāo)識(shí)。每次當(dāng)我們創(chuàng)

6、建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給該用戶或組一個(gè)唯一 SID。它是由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。,訪問(wèn)令牌（ Access Tokens ）,用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給 Windows NT ，然后 Windows NT 檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象， Windows NT 將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。,安全描述符（Security descriptors）,Windows NT 中的任何對(duì)象的屬性都

7、有安全描述符這部分。它保存對(duì)象的安全配置。,訪問(wèn)控制列表（Access control lists）,訪問(wèn)控制列表有兩種：自主訪問(wèn)控制列表（ Discretionary ACL）、系統(tǒng)訪問(wèn)控制列表（System ACL）。自主訪問(wèn)控制列表包含了用戶和組的列表，以及相應(yīng)的權(quán)限。而系統(tǒng)訪問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪問(wèn)的時(shí)間。,訪問(wèn)控制項(xiàng)（Access control entries）,訪問(wèn)控制項(xiàng)（ ACE ）包含了用戶或組的 SID 以及對(duì)象的權(quán)限。訪問(wèn)控制項(xiàng)有兩種：允許訪問(wèn)和拒絕訪問(wèn)。拒絕訪問(wèn)的級(jí)別高于允許訪問(wèn)。,Windows NT的安全子系統(tǒng)的實(shí)現(xiàn),安全子系統(tǒng)包括以下部分： (1

8、)Winlogon (2)Graphical Identification and Authentication (GINA) (3)Local Security Authority(LSA) (4)Security Support Provider Interface(SSPI) (5)Authentication Packages (6)Security support providers (7)Netlogon Service (8)Security Account Manager(SAM),Windows NT的安全子系統(tǒng),Winlogon and Gina:,Winlogon 調(diào)用

9、GINA DLL ，并監(jiān)視安全認(rèn)證序列。而 GINA DLL 提供一個(gè)交互式的界面為用戶登陸提供認(rèn)證請(qǐng)求。 GINA DLL 被設(shè)計(jì)成一個(gè)獨(dú)立的模塊，當(dāng)然我們也可以用一個(gè)更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的 GINA DLL 。 Winlogon 在注冊(cè)表中查找 ，如果存在 GinaDLL 鍵，Winlogon 將使用這個(gè)DLL，如果不存在該鍵，Winlogon 將使用默認(rèn)值 MSGINA.DLL（ 放在 C:WINNTSystem32msgina.dll ）。,本地安全認(rèn)證（ Local Security Authority ）,本地安全認(rèn)證（ LSA ）是一個(gè)受保護(hù)的子系統(tǒng)，是安

10、全子系統(tǒng)的中心組件。它負(fù)責(zé)以下任務(wù)： (1) 調(diào)用所有的認(rèn)證包，檢查在注冊(cè)表HKLMSYSTEMCurrentControlSetControlLSA 下 AuthenticationPAckages 的值，并調(diào)用該 DLL 進(jìn)行認(rèn)證（ MSV_1.DLL ）。 (2) 重新找回本地組的 SIDs 和用戶的權(quán)限。 (3) 創(chuàng)建用戶的訪問(wèn)令牌。 (4) 管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。 (5) 儲(chǔ)存和映射用戶權(quán)限。 (6) 管理審核的策略和設(shè)置。 (7) 管理信任關(guān)系。,認(rèn)證包（Authentication Packages）,認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過(guò) GINA DLL 的可信認(rèn)證

11、后，認(rèn)證包返回用戶的 SIDs 給 LSA ，然后將其放在用戶的訪問(wèn)令牌中。,安全支持提供者（Security Support Provider）,安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下， Windows NT 安裝了以下三種： Msnsspc.dll ：微軟網(wǎng)絡(luò)挑戰(zhàn) / 反應(yīng)認(rèn)證模塊 Msapsspc.dll ：分布式密碼認(rèn)證挑戰(zhàn) / 反應(yīng)模塊 Schannel.dll ：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來(lái)進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如 Verisign 。這種認(rèn)證方式經(jīng)常在使用 SSL （ Secure Sockets Layer ）和 PCT （

12、 Private Communication Technology ）協(xié)議通信的時(shí)候用到。,網(wǎng)絡(luò)登陸（ Netlogon ）,網(wǎng)絡(luò)登陸服務(wù)必須在通過(guò)認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過(guò)安全通道與域中的域控制器建立連接，然后，再通過(guò)安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，取回用戶的 SIDs 和用戶權(quán)限。,安全賬號(hào)管理者（Security Account Manager）,安全賬號(hào)管理者( SAM ) ，它是用來(lái)保存用戶賬號(hào)和口令的數(shù)據(jù)庫(kù)。保存了注冊(cè)表中 HKLMSecuritySam 中的一部分內(nèi)容。不同的域有不同的 Sam ，在域復(fù)制的過(guò)程中， Sam 包將會(huì)被拷

13、貝。,四、Windows NT 的安全服務(wù),驗(yàn)證,應(yīng)用程序要被不同的人訪問(wèn)，無(wú)論使用遠(yuǎn)程 或本地計(jì)算機(jī)。操作系統(tǒng)需要回答的第一個(gè) 問(wèn)題是“這個(gè)人是否有權(quán)力訪問(wèn)這個(gè)應(yīng)用程 序？“。確保用戶就是他們自己聲稱的那個(gè)人 的能力是操作系統(tǒng)必須提供的最重要的安全 功能之一。驗(yàn)證機(jī)制把系統(tǒng)進(jìn)行標(biāo)識(shí)，該標(biāo) 識(shí)用于當(dāng)用戶在系統(tǒng)上工作時(shí)跟蹤他們，同 真實(shí)身份標(biāo)識(shí)綁定在一起。,Microsoft Windows NT 的驗(yàn)證服務(wù),Windows NT 要求在訪問(wèn)系統(tǒng)資源，例如文件，目錄等等，以前進(jìn)行驗(yàn)證。 Windows NT提供了一個(gè)引發(fā)安全性的鍵組合（CTRL-ALT-DEL組合鍵）建立到操作系統(tǒng)的通信，而且也

14、只到操作系統(tǒng)的，以進(jìn)行驗(yàn)證。這種信任路徑機(jī)制的使用可以防止特洛伊木馬程序截獲一個(gè)用戶的初始認(rèn)證信息。,Microsoft Windows NT 的驗(yàn)證服務(wù),缺省的驗(yàn)證機(jī)制是用戶名和密碼。Windows NT提供了設(shè)置密碼有效期限，強(qiáng)度（也就是長(zhǎng)度），歷史，以及使用時(shí)間的能力。Windows NT還針對(duì)可猜測(cè)性或者字典攻擊提供了對(duì)管理員密碼的強(qiáng)度的密碼過(guò)濾器。Windows NT對(duì)儲(chǔ)存在注冊(cè)表中的密碼信息進(jìn)行了加密。這樣的手段降低了對(duì)密碼文件的基于字典的猜測(cè)式攻擊，無(wú)論該文件是在本地機(jī)上或者攻擊者把該文件復(fù)制到其他機(jī)器上。,Microsoft Windows NT 的驗(yàn)證服務(wù),雖然Windows

15、 NT提供了用戶名/密碼驗(yàn)證，它還提供了標(biāo)準(zhǔn)的圖形化標(biāo)識(shí)和驗(yàn)證接口（GINA，Graphical Identification and Authentication），這樣第三方可以很容易的把附加的驗(yàn)證方法集成到Windows NT中。 除GINA外，Windows NT還提供了安全服務(wù)提供者接口（Security Services Provider Interface）和加密應(yīng)用程序編程接口（CAPI，Cryptographic Applications Programming Interface）。這些模塊提供應(yīng)用程序訪問(wèn)操作系統(tǒng)上的加密服務(wù)的標(biāo)準(zhǔn)方法，以及供應(yīng)商為操作系統(tǒng)提供附加加密服務(wù)

16、的標(biāo)準(zhǔn)方法。,Microsoft Windows NT 的驗(yàn)證服務(wù),Windows NT把驗(yàn)證機(jī)制集成到全部安全操作和體系中。分布式應(yīng)用程序使用Windows NT驗(yàn)證機(jī)制進(jìn)行客戶/服務(wù)器訪問(wèn)。這些驗(yàn)證機(jī)制使用挑戰(zhàn)/響應(yīng)協(xié)議，這個(gè)協(xié)議對(duì)密碼進(jìn)行數(shù)學(xué)轉(zhuǎn)換，密碼決不會(huì)以明文形式傳遞。,訪問(wèn)控制,一旦操作系統(tǒng)斷定連接的用戶是正確的用戶，它就必須回答“該用戶可用的信息是什么”。訪問(wèn)控制是防止未經(jīng)授權(quán)的實(shí)體對(duì)系統(tǒng)信息進(jìn)行訪問(wèn)的機(jī)制。典型的操作系統(tǒng)都支持訪問(wèn)控制機(jī)制，該機(jī)制指定可以讀，寫，修改，或者復(fù)制特定的系統(tǒng)對(duì)象。,Windows NT訪問(wèn)控制服務(wù),Windows NT提供兩種形式的訪問(wèn)控制：對(duì)象許可

17、和系統(tǒng)范圍用戶權(quán)利。對(duì)象許可就是自主訪問(wèn)控制。用戶權(quán)利，在分配給組的時(shí)候，允許一種基于角色的訪問(wèn)控制。Windows NT的內(nèi)核包括安全訪問(wèn)監(jiān)視器（Security Reference Monitor）在系統(tǒng)的一個(gè)單一模塊上實(shí)現(xiàn)了這些訪問(wèn)仲裁控制。,Windows NT訪問(wèn)控制服務(wù),在基于Windows NT的系統(tǒng)上的所有資源，例如文件（僅限NTFS格式），進(jìn)程，打印機(jī)，注冊(cè)表，或者通信設(shè)備，在對(duì)象監(jiān)視器中都用一個(gè)對(duì)象來(lái)表示。在一個(gè)對(duì)象上執(zhí)行指定操作的許可存放在訪問(wèn)控制列表中（ACL，Access Control Lists）。ACL提供了一個(gè)細(xì)粒度的訪問(wèn)控制。它們?cè)试S對(duì)象所有者基于獨(dú)立用戶，

18、或者它們定義的用戶組以及管理員定義的組指定許可。為了管理上的方便同時(shí)提供了本地組和全局組。,Windows NT訪問(wèn)控制服務(wù),系統(tǒng)范圍用戶權(quán)利是一種賦予用戶能力，或者權(quán)限來(lái)進(jìn)行特定系統(tǒng)動(dòng)作，而不會(huì)提供超出他們需要的權(quán)限的方法。可以分別管理27種權(quán)限。這些權(quán)利和限制在登錄的時(shí)候包含在驗(yàn)證過(guò)的用戶名中而且只能在用戶被授予這種權(quán)限的時(shí)候才能改變（通常保留給網(wǎng)絡(luò)管理員）。這意味著沒(méi)有應(yīng)用程序能為一般的用戶修改他們自己的安全性設(shè)置。,責(zé)任,責(zé)任和審核服務(wù)回答發(fā)生了什么？。即使最嚴(yán)格的安全防護(hù)也不能防止所有的安全事故。操作系統(tǒng)提供的安全功能中很重要的一點(diǎn)就是責(zé)任-確保任何實(shí)體的動(dòng)作將唯一用該實(shí)體標(biāo)識(shí)。一個(gè)

19、實(shí)體可以是一個(gè)人，一個(gè)操作系統(tǒng)資源，或者一個(gè)外部系統(tǒng)，例如計(jì)算機(jī)或者網(wǎng)絡(luò)。,Windows NT的責(zé)任服務(wù),Windows NT緊密綁定一個(gè)安全I(xiàn)D（SID，Security ID），SID唯一標(biāo)識(shí)一個(gè)主機(jī)或者域上的用戶。SID是同一次用戶登錄連接的進(jìn)程相聯(lián)系的訪問(wèn)記號(hào)的一部分。它自動(dòng)成為系統(tǒng)產(chǎn)生的任何審核紀(jì)錄的一部分。該服務(wù)提供了所有的用戶可以進(jìn)行的動(dòng)作的完整的責(zé)任-從文件訪問(wèn)到應(yīng)用程序使用。,審核,從安全的觀點(diǎn)看，審核是重現(xiàn)安全相關(guān)事件以支持對(duì)事件的原因和影響的檢查。審核跟蹤或者系統(tǒng)日志信息可以被用來(lái)判斷是否有違反安全策略的事情發(fā)生或者是否有值得懷疑的事情。,Windows NT審核服務(wù),

20、NT系統(tǒng)提供了事件日志（Event Logging）。事件日志可以被配置在系統(tǒng)級(jí)別和對(duì)象級(jí)別記錄安全相關(guān)事件。系統(tǒng)事件包括登錄和退出，文件和對(duì)象訪問(wèn)，用戶權(quán)利的使用，用戶和組管理，安全策略改變，重新啟動(dòng)和關(guān)機(jī)，系統(tǒng)錯(cuò)誤，以及進(jìn)程跟蹤。文件和對(duì)象審核可以被控制在單個(gè)文件，目錄，甚至是驅(qū)動(dòng)器。這些事件的組合足夠滿足可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則（TCSEC-Trusted Computer Security Evaluation Criteria，也就是橘皮書）的要求。,安全分區(qū),從安全的角度看，每一個(gè)系統(tǒng)實(shí)體（用戶或者計(jì)算機(jī)資源）均被分配一個(gè)安全分區(qū)，或者叫做域。一個(gè)安全域是一個(gè)邏輯結(jié)構(gòu)，由實(shí)體被授權(quán)訪

21、問(wèn)的所有對(duì)象組成。一個(gè)用戶域也許包括存儲(chǔ)空間，I/O設(shè)備，應(yīng)用程序，以及其他元素。一個(gè)進(jìn)程域只包含那些被授權(quán)使用的系統(tǒng)資源（數(shù)據(jù)，存儲(chǔ)空間，I/O等等）。,Windows NT安全分區(qū)分離服務(wù),Windows NT通過(guò)維護(hù)進(jìn)程間的地址分離提供了進(jìn)程孤立。實(shí)體間的所有訪問(wèn)和通信都通過(guò)仲裁接口。該仲裁是內(nèi)核提供的，在一個(gè)用戶編程不能使用的保護(hù)地址空間中操作。所有的內(nèi)核功能包含在一個(gè)單一的模塊中，即安全訪問(wèn)模塊（Security Reference Module）。這樣把所有安全相關(guān)的功能集中到一個(gè)從一開始就為安全而設(shè)計(jì)單一模塊中。通過(guò)這個(gè)模塊，Windows NT內(nèi)核控制任何應(yīng)用程序可以訪問(wèn)的資源

22、。例如，用一個(gè)普通用戶的許可運(yùn)行的應(yīng)用程序不能訪問(wèn)為其他應(yīng)用程序，或者具有更高權(quán)限的用戶保留的內(nèi)存或者文件系統(tǒng)資源自動(dòng)強(qiáng)制實(shí)現(xiàn)這個(gè)功能。,Windows NT安全分區(qū)分離服務(wù),Windows NT在分配系統(tǒng)緩沖給一個(gè)用戶之前，會(huì)清除該緩沖并且維護(hù)一個(gè)文件使用指針以防止磁盤上文件塊的重用。這樣可以防止用戶之間的不可預(yù)測(cè)的信息流。另外，Windows NT提供應(yīng)用程序在返還交換空間給操作系統(tǒng)之前清除它們的能力，在系統(tǒng)關(guān)機(jī)的情況下也是一樣。這些是很重要的存儲(chǔ)空間重用功能，可以防止攻擊者讀取其他用戶的應(yīng)用程序留下的信息。,五、 Windows NT 的安全管理,Windows NT 的安全管理,Win

23、dows NT通過(guò)一系列的管理工具，以及對(duì)用戶帳號(hào)，口令的管理，對(duì)文件、數(shù)據(jù)授權(quán)訪問(wèn)，執(zhí)行動(dòng)作的限制，以及對(duì)事件的審核來(lái)保證系統(tǒng)安全的。對(duì)用戶帳號(hào)、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。,強(qiáng)化安全的措施,1、加強(qiáng)物理安全管理 1)去掉或鎖死軟盤驅(qū)動(dòng)器，禁止DOS或其他操作系統(tǒng)訪問(wèn) NTFS分區(qū)； 2)在服務(wù)器上設(shè)置系統(tǒng)啟動(dòng)口令，設(shè)置BIOS禁用軟盤引導(dǎo)系 統(tǒng)； 3)不創(chuàng)建任何DOS分區(qū)； 4)保證機(jī)房的物理安全。 2、用最新的ServicePack(SP4或SP5)升級(jí)WindowsNTServer。 3、掌握并使用微軟提供但未設(shè)置的安全功能。 例如：缺省安裝未禁用Guest賬號(hào)，并且給Everyone（每 個(gè)人）工作組授予“完全控制”權(quán)限，沒(méi)有實(shí)施口令策略等。,4、控制授權(quán)用戶的訪問(wèn) 在域里配置適當(dāng)?shù)腘TFS訪問(wèn)控制可以增強(qiáng)網(wǎng)絡(luò)的安全。 取消或更改缺省情況下的Everyone組的“完全控制”權(quán)限， 要始終設(shè)置用戶所能允許的最小的文件夾和文件的訪問(wèn)權(quán) 限。另外，不要共享任何一個(gè)FAT卷。 5、避免給用戶定義特定的訪問(wèn)控制 最明智的作