1、第6章 Windows操作系統(tǒng)安全評(píng)測(cè),第一部分 教學(xué)組織,一、目的要求 1.掌握Windows操作系統(tǒng)的漏洞掃描方法。 2.了解評(píng)測(cè)操作系統(tǒng)安全的標(biāo)準(zhǔn)和方法。 二、工具器材 1未打補(bǔ)丁的Windows2000操作系統(tǒng)。 2X-Scan3.3漏洞掃描工具。 三、學(xué)習(xí)方式建議 1上課仔細(xì)理解教師授課中的要點(diǎn)，理解漏洞掃描的目的 2課后分別對(duì)Window2000和Windows2003進(jìn)行漏洞掃描，了解二者之間的系統(tǒng)特點(diǎn)。,第二部分 教學(xué)內(nèi)容,操作系統(tǒng)是用來管理計(jì)算機(jī)資源的，各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之上，上層的應(yīng)用軟件要想獲得運(yùn)行的高可靠性和信息的完整性、保密性，必須依賴于操

2、作系統(tǒng)提供的系統(tǒng)軟件的安全性。任何想象中的、脫離操作系統(tǒng)的應(yīng)用軟件的高安全性，就如同幻想在沙灘上建立堅(jiān)不可摧的堡壘一樣，毫無根基。 本章主要介紹Windows操作系統(tǒng)的漏洞掃描方法和評(píng)測(cè)操作系統(tǒng)安全的標(biāo)準(zhǔn)和方法。,6.1 Windows操作系統(tǒng)安全漏洞掃描,漏洞：英文名為Vulnerability，其字面含義是漏洞或者缺乏足夠的防護(hù)。 漏洞掃描：在黑客之前，對(duì)發(fā)現(xiàn)系統(tǒng)的常見漏洞，找出其薄弱之處并進(jìn)行相關(guān)修復(fù)和防范就顯得尤為重要，這項(xiàng)工作稱之為漏洞掃描。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.1 漏洞掃描的功能 目的：自動(dòng)評(píng)估操作系統(tǒng)配置方式不當(dāng)所導(dǎo)致的安全漏洞。 操作系統(tǒng)漏洞掃描

3、主要檢查以下四個(gè)方面： 系統(tǒng)設(shè)置是否符合安全策略 是否有可疑文件 是否存在木馬程序 關(guān)鍵系統(tǒng)文件是否完整,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.1 漏洞掃描的功能 漏洞掃描通常采用兩種策略： 被動(dòng)式策略 概念：被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他與安全規(guī)則抵觸的對(duì)象進(jìn)行檢查 主動(dòng)式策略 概念：主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。利用被動(dòng)式策略的掃描稱為系統(tǒng)安全掃描，利用主動(dòng)式的策略掃描稱為網(wǎng)絡(luò)安全掃描,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.1 漏洞掃描的功能 主要

4、功能： 集中式地找出安全漏洞 降低風(fēng)險(xiǎn)指數(shù) 入侵/反入侵,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.1 漏洞掃描的功能 漏洞掃描檢測(cè)技術(shù)： 基于應(yīng)用的檢測(cè)技術(shù)。 基于主機(jī)的檢測(cè)技術(shù)。 基于目標(biāo)的漏洞檢測(cè)技術(shù)。 基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 對(duì)于維護(hù)一個(gè)如Windows般復(fù)雜的多層結(jié)構(gòu)的操作系統(tǒng)，漏洞掃描是一項(xiàng)不可缺少的組成部分。它能夠模擬黑客的行為，對(duì)操作系統(tǒng)及網(wǎng)絡(luò)進(jìn)行攻擊測(cè)試，以幫助管理員在黑客攻擊之前，找出系統(tǒng)中存在的漏洞。 漏洞掃描一般采用專用工具來實(shí)現(xiàn)，這些專用工具稱為漏洞掃描系統(tǒng)，是用來自動(dòng)檢測(cè)遠(yuǎn)程或本地

5、主機(jī)安全漏洞的程序（安全漏洞通常指硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略方面存在的安全缺陷）。使用漏洞掃描系統(tǒng)可以評(píng)估操作系統(tǒng)及網(wǎng)絡(luò)的安全級(jí)別，并生成評(píng)估報(bào)告，提供相應(yīng)的整改措施。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 根據(jù)檢測(cè)對(duì)象的不同，漏洞掃描系統(tǒng)可分為： 網(wǎng)絡(luò)漏洞掃描系統(tǒng) 操作系統(tǒng)漏洞掃描系統(tǒng) 數(shù)據(jù)庫漏洞掃描系統(tǒng),6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 網(wǎng)絡(luò)漏洞掃描系統(tǒng) 網(wǎng)絡(luò)型漏洞掃描系統(tǒng)是指通過網(wǎng)絡(luò)遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)漏洞的程序，對(duì)網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行安全漏洞檢測(cè)和分析，從而發(fā)現(xiàn)可能被入侵者非法利用的漏

6、洞。漏洞掃描器多數(shù)采用基于特征的匹配技術(shù)，與基于誤用檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng)相類似。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 網(wǎng)絡(luò)漏洞掃描系統(tǒng) 網(wǎng)絡(luò)型的漏洞掃描系統(tǒng)主要模仿黑客經(jīng)由網(wǎng)絡(luò)端發(fā)出封包，以主機(jī)接收到封包時(shí)的響應(yīng)作為判斷標(biāo)準(zhǔn)，進(jìn)而了解主機(jī)的操作系統(tǒng)、服務(wù)、及各種應(yīng)用程序的漏洞，其運(yùn)作的架構(gòu)如圖6.1所示。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 網(wǎng)絡(luò)漏洞掃描系統(tǒng),圖6.1 網(wǎng)絡(luò)型漏洞掃描系統(tǒng)整體架構(gòu),6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 網(wǎng)絡(luò)漏洞掃描系統(tǒng) 網(wǎng)絡(luò)型漏洞掃描系統(tǒng)

7、的主要功能如下： 服務(wù)掃描偵測(cè)。提供well-known port service的掃描偵測(cè)及well-known port以外的ports掃描偵測(cè)。 后門程序掃描偵測(cè)。提供PC Anywhere、NetBus、Back Orifice、Back Orifice2000(BackdoorBo2k)等遠(yuǎn)程控制程序（后門程序）的掃描偵測(cè)。 密碼破解掃描偵測(cè)。提供密碼破解的掃描功能，包括操作系統(tǒng)及程序密碼破解掃描，如FTP、POP3、Telnet.等。 應(yīng)用程序掃描偵測(cè)。提供已知的破解程序執(zhí)行掃描偵測(cè)，包括CGI-BIN、Web Server漏洞、FTP Server等的掃描偵測(cè)。,6.1 Wind

8、ows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 網(wǎng)絡(luò)漏洞掃描系統(tǒng) 網(wǎng)絡(luò)型漏洞掃描系統(tǒng)的主要功能如下： 阻斷服務(wù)掃描測(cè)試。提供阻斷服務(wù)(Denial Of Service)的掃描攻擊測(cè)試。 系統(tǒng)安全掃描偵測(cè)。如NT的 Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)、安全掃描偵測(cè)。 分析報(bào)表。產(chǎn)生分析報(bào)表，并告訴管理者如何去修補(bǔ)漏洞。 安全知識(shí)庫的更新。所謂安全知識(shí)庫就是黑客入侵手法的知識(shí)庫，必須時(shí)常更新，才能落實(shí)掃描。,6.1 Windows

9、操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 主機(jī)型安全漏洞掃描系統(tǒng) 主機(jī)型漏洞掃描系統(tǒng)主要是針對(duì)操作系統(tǒng)內(nèi)部問題作更深入的掃描，如Windows、Unix等，它可彌補(bǔ)網(wǎng)絡(luò)型安全漏洞掃描器只從外面通過網(wǎng)絡(luò)檢查系統(tǒng)安全的不足。主機(jī)型漏洞掃描系統(tǒng)一般采用Client/Server的架構(gòu)，如圖6.2所示,6.1 Windows操作系統(tǒng)安全漏洞掃描,圖6.2 主機(jī)型漏洞掃描系統(tǒng)整體架構(gòu),6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 主機(jī)型安全漏洞掃描系統(tǒng) 主機(jī)型安全漏洞掃描器主要的功能如下： 1）重要資料鎖定。利用安全的Checksum(SHA1)來監(jiān)控重要資

10、料或程序的完整及真實(shí)性，如Index.html檔。 2）密碼檢測(cè)。采用結(jié)合系統(tǒng)信息、字典和詞匯組合的規(guī)則來檢測(cè)易猜的密碼。 3）系統(tǒng)日志文件和文字文件分析。能夠針對(duì)系統(tǒng)日志文件，如Unix的syslogs及NT的事件檢視(event log)，及其它文字文件(Text files)的內(nèi)容做分析。 4）動(dòng)態(tài)式的警訊。當(dāng)遇到違反掃描政策或安全弱點(diǎn)時(shí)提供實(shí)時(shí)警訊并利用email、SNMP traps、呼叫應(yīng)用程序等方式回報(bào)給管理者。 5）分析報(bào)表。產(chǎn)生分析報(bào)表，并告訴管理者如何去修補(bǔ)漏洞。 6）加密。提供Console 和Agent 之間的TCP/IP連接認(rèn)證、確認(rèn)和加密等功能。 7）安全知識(shí)庫的更

11、新。主機(jī)型掃描器由中央控管并更新各主機(jī)的Agents 的安全知識(shí)庫,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 數(shù)據(jù)庫型漏洞掃描系統(tǒng) 除了網(wǎng)絡(luò)型和主機(jī)型漏洞掃描系統(tǒng)外，還有一種專門針對(duì)數(shù)據(jù)庫作安全漏洞檢查的掃描系統(tǒng)，像是ISS公司的 Database Scanner。其架構(gòu)和網(wǎng)絡(luò)型掃描類似，主要功能為找出不良的密碼設(shè)定、過期密碼設(shè)定、偵測(cè)登入攻擊行為、關(guān)閉久未使用的帳戶，而且能追蹤登入期間的限制活動(dòng)等。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.2 漏洞掃描系統(tǒng)及其分類 不論是網(wǎng)絡(luò)型或主機(jī)型的漏洞掃描系統(tǒng)，或者是數(shù)據(jù)庫漏洞掃描系統(tǒng)，其最重要的就是安全

12、資料庫的更新，這樣才能完全地掃描出系統(tǒng)的漏洞。同時(shí)在做完更新后，一定還要再作一次新的掃描，因?yàn)椴僮飨到y(tǒng)的漏洞隨時(shí)都在發(fā)布，新的黑客入侵手法也一直翻新。入侵手法就如同病毒，而安全知識(shí)庫就如同病毒碼，如果一個(gè)掃描器背后的安全資料庫不健全的話，就無法對(duì)企業(yè)信息安全作完善的稽核了。因此，在選擇一個(gè)漏洞掃描系統(tǒng)時(shí)，必須考慮到之后知識(shí)庫更新的內(nèi)容及能力。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA 微軟基準(zhǔn)安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微軟公司開發(fā)的針對(duì)Windows操作系統(tǒng)的漏洞掃描系

13、統(tǒng)軟件。MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系統(tǒng)的安全評(píng)估工具，可掃描操作系統(tǒng)、IIS、SQL 和桌面應(yīng)用程序，以發(fā)現(xiàn)常見的配置錯(cuò)誤,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA MBSA的運(yùn)行需要以下軟件的支持： 1）帶 Service Pack 4 的 Microsoft Windows NT 4.0 或更高版本的操作系統(tǒng)、Windows 2000 或 Windows XP（本地掃描只能對(duì)使用簡(jiǎn)單文件共享的 Windows XP 計(jì)算機(jī)執(zhí)行）

14、； 2）Internet 信息服務(wù) (IIS) 4.0、5.0（進(jìn)行 IIS 漏洞檢查時(shí)需要）； 3）SQL Server 7.0、2000（進(jìn)行 SQL 漏洞檢查時(shí)需要）； 4）Microsoft Office 2000、XP（進(jìn)行 Office 漏洞檢查時(shí)需要）； 5）必須啟用/安裝下列服務(wù)：Server 服務(wù)、Remote Registry 服務(wù)、File & Print Sharing（文件和打印共享）。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA 在網(wǎng)絡(luò)環(huán)境下，MBSA使用端口 138 和 139 執(zhí)行掃描。 檢查的結(jié)果以安全報(bào)告的

15、形式提供給用戶，在報(bào)告中還帶有關(guān)于修復(fù)所發(fā)現(xiàn)的任何問題的操作說明，其主要內(nèi)容包括： 檢查將確定并列出屬于Local Administrators 組的用戶賬戶。 檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了審核。 檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了“自動(dòng)登錄”功能。 檢查是否有不必要的服務(wù)。 檢查將確定正在接受掃描的計(jì)算機(jī)是否為一個(gè)域控制器。 檢查將確定在每一個(gè)硬盤上使用的是哪一種文件系統(tǒng)，以確保它是NTFS文件系統(tǒng)。 檢查將確定在被掃描的計(jì)算機(jī)上是否啟用了內(nèi)置的來賓賬戶。 檢查將找出使用了空白密碼或簡(jiǎn)單密碼的所有本地用戶賬戶。 檢查將列出被掃描計(jì)算機(jī)上的每一個(gè)本地用戶當(dāng)前采用的和建議的IE區(qū)域

16、安全設(shè)置。 檢查將確定在被掃描的計(jì)算機(jī)上運(yùn)行的是哪一個(gè)操作系統(tǒng)。 檢查將確定是否有本地用戶賬戶設(shè)置了永不過期的密碼。 檢查將確定被掃描的計(jì)算機(jī)上是否使用了Restrict Anonymous注冊(cè)表項(xiàng)來限制匿名連接Service Pack和即時(shí)修復(fù)程序。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA MBSA V2.0.1的主要功能 1）檢查系統(tǒng)配置： a）Windows操作系統(tǒng)。通常，MBSA掃描Windows操作系統(tǒng)（Windows NT 4、Windows 2000、Windows XP、Windows Server 2003）中存在的安全

17、問題，如：Guest（來賓）賬戶的狀態(tài)、文件系統(tǒng)類型、可用的文件共享和管理員組的成員。每次OS檢查的說明都會(huì)顯示在安全報(bào)告中，并附帶有關(guān)修復(fù)任何已發(fā)現(xiàn)問題的說明。 b）Internet Information Server。該組檢查將掃描IIS 4.0和5.0中存在的安全問題，如計(jì)算機(jī)上存在的示范應(yīng)用程序和某些虛擬目錄。該工具還將檢查IIS Lockdown工具是否在計(jì)算機(jī)上運(yùn)行，從而幫助管理員配置和保護(hù)他們的IIS服務(wù)器。每次IIS檢查的描述都會(huì)顯示在安全報(bào)告中，并附帶有關(guān)修復(fù)任何已發(fā)現(xiàn)問題的說明。 c）Microsoft SQL Server。該組檢查將掃描SQL Server 7.0和S

18、QL Server 2000中存在的安全問題，如身份驗(yàn)證模式的類型、SM賬戶密碼狀態(tài)和SQL Server賬戶的成員資格。每一次SQL Server檢查的描述都顯示在安全報(bào)告中，并附帶有關(guān)修復(fù)任何已發(fā)現(xiàn)問題的說明。 d）檢查桌面應(yīng)用程序。該組檢查掃描每個(gè)用戶賬戶的Internet Explorer 5.01+區(qū)域設(shè)置以及Office 2000、Office XP和Office System 2003的宏設(shè)置。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA MBSA V2.0.1的主要功能 2）安全更新： MBSA可以通過引用微軟不斷更新和發(fā)布可

19、擴(kuò)展標(biāo)記語言（Extensible Markup Language，XML）文件（mssecure.xml），來確定將哪些關(guān)鍵安全更新應(yīng)用于系統(tǒng)。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA MBSA V2.0.1的主要功能 2）安全更新： MBSA不僅僅掃描Windows安全更新，而且掃描與其他產(chǎn)品相關(guān)的更新。MBSA V1.2掃描可用于以下產(chǎn)品的安全更新。 Windows NT 4.0（除非通過mbsacli.exe /hf 進(jìn)行掃描，否則只能進(jìn)行遠(yuǎn)程掃描）。 Windows 2000/XP/Server 2003。 IE 5.01及后續(xù)

20、版本（包括面向Windows Server 2003的IE 6.0）。 Windows Media Player 6.4及后續(xù)版本。 IIS 4.0、5.0、5.1和6.0。 SQL Server 7.0/2000（包括Microsoft Data Engine）。 Exchange Server 5.5/2000和2003（包括Exchange Admin Tools）。 Microsoft Office（只能進(jìn)行本地掃描）。 Microsoft Data Access Components（MDAC）2.5、2.6、2.7和2.8版本。 Microsoft Virtual Machine。

21、 MSXML 2.5、2.6、3.0和4.0版本。 BizTalk Server 2000、2002和2004版本。 Commerce Server 2000和2002。 Content Management Server（CMS）2001和2002版本。 SNA Server 4.0、Host Integration Server（HIS）2000和2004版本。,6.1 Windows操作系統(tǒng)安全漏洞掃描,6.1.3 Windows下的漏洞掃描系統(tǒng)MBSA MBSA V2.0.1的掃描方式 1）單臺(tái)計(jì)算機(jī)。MBSA最簡(jiǎn)單的運(yùn)行模式是掃描單臺(tái)計(jì)算機(jī)，典型情況表現(xiàn)為自動(dòng)掃描。當(dāng)選擇選取一臺(tái)計(jì)算

22、機(jī)進(jìn)行掃描時(shí)，可以選擇輸入你想對(duì)其進(jìn)行掃描的計(jì)算機(jī)的名稱或IP地址。默認(rèn)情況下，當(dāng)用戶選中此選項(xiàng)時(shí)，所顯示的計(jì)算機(jī)名將是運(yùn)行該工具的本地計(jì)算機(jī)。 2）多臺(tái)計(jì)算機(jī)。如果用戶選擇選取多臺(tái)計(jì)算機(jī)進(jìn)行掃描時(shí)，你將有機(jī)會(huì)掃描多臺(tái)計(jì)算機(jī)，還可以選擇通過輸入域名掃描整個(gè)域，還可以指定一個(gè)IP地址范圍并掃描該范圍內(nèi)的所有基于Windows的計(jì)算機(jī)。,6.2 操作系統(tǒng)安全評(píng)測(cè),近年來，隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，對(duì)網(wǎng)絡(luò)及信息安全的需求越來越迫切，計(jì)算機(jī)操作系統(tǒng)是網(wǎng)絡(luò)信息系統(tǒng)的核心，其安全性占據(jù)著十分重要的地位，受到了越來越多的關(guān)注。為判斷一個(gè)操作系統(tǒng)是否安全，人們劃分了操作系統(tǒng)的安全級(jí)別。由國際專門機(jī)構(gòu)根

23、據(jù)操作系統(tǒng)的安全程度對(duì)操作系統(tǒng)進(jìn)行嚴(yán)格的評(píng)測(cè)和認(rèn)定。,6.2 操作系統(tǒng)安全評(píng)測(cè),美國國家計(jì)算機(jī)中心于1983年發(fā)表了著名的“可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則”（Trusted Computer Standards Evaluation Criteria，簡(jiǎn)稱TCSEC），指出了可信任計(jì)算機(jī)系統(tǒng)的六項(xiàng)基本需求，其中四項(xiàng)涉及信息的訪問控制，兩項(xiàng)涉及安全保障。,6.2 操作系統(tǒng)安全評(píng)測(cè),該六項(xiàng)基本需求為： 1）安全策略。系統(tǒng)必須提供一個(gè)明確和良好定義的安全策略。對(duì)于識(shí)別出的主體和客體，系統(tǒng)必須有一個(gè)規(guī)則集決定指定的主體是否能訪問指定的客體。計(jì)算機(jī)系統(tǒng)必須實(shí)施強(qiáng)制訪問控制，有效地實(shí)現(xiàn)對(duì)敏感信息（如分級(jí)信息等）

24、訪問規(guī)則的處理。此外，還需建立自主訪問控制機(jī)制，確保只有選中的用戶或組才能訪問指定數(shù)據(jù)。 2）標(biāo)記。訪問控制標(biāo)簽必須與對(duì)應(yīng)的客體相聯(lián)系。為了控制對(duì)存儲(chǔ)在計(jì)算機(jī)中信息的訪問，必須按強(qiáng)制訪問控制規(guī)則，合理地為每個(gè)客體加一個(gè)標(biāo)簽，可靠地標(biāo)識(shí)該對(duì)象的敏感級(jí)別，以及與可能訪問該客體的主體相符的訪問方式。 3）標(biāo)識(shí)。每個(gè)主體都必須被標(biāo)識(shí)。每次訪問信息，都必須確定是誰在訪問，以及授權(quán)訪問信息的級(jí)別。身份和授權(quán)信息必須由計(jì)算機(jī)系統(tǒng)安全地維護(hù)。,6.2 操作系統(tǒng)安全評(píng)測(cè),該六項(xiàng)基本需求為： 4）審計(jì)。必須記錄和保存審計(jì)信息，以便在影響安全的行為發(fā)生時(shí)，能追蹤到責(zé)任人。一個(gè)可信任的系統(tǒng)必須有能力將與安全有關(guān)的事件

25、記錄到審計(jì)記錄中。必須有能力選擇所記錄的審計(jì)事件，減少審計(jì)開銷。必須保護(hù)審計(jì)數(shù)據(jù)，以免遭到修改、破壞或非法訪問。 5）保證。計(jì)算機(jī)系統(tǒng)軟件機(jī)制，能提供充分的保證正確實(shí)施以上必須包含硬件項(xiàng)基本需求。這些機(jī)制在典型情況下，被嵌入在操作系統(tǒng)中，并被設(shè)計(jì)成以安全方式執(zhí)行所賦予的任務(wù)。 6）持續(xù)保護(hù)。實(shí)現(xiàn)這些基本需求的可信任機(jī)制必須得到持續(xù)保護(hù)，避免篡改和非授權(quán)改變。如果實(shí)現(xiàn)安全策略的基本硬件和軟件機(jī)制本身受到非授權(quán)的修改或破壞，則這樣的計(jì)算機(jī)系統(tǒng)不能被認(rèn)為是真正安全的。持續(xù)保護(hù)需要在整個(gè)計(jì)算機(jī)系統(tǒng)生命周期中均有意義。,6.2 操作系統(tǒng)安全評(píng)測(cè),6.2.1 可信系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)（TCSEC） TCSEC標(biāo)準(zhǔn)

26、將計(jì)算機(jī)系統(tǒng)的安全性分為以下四個(gè)等級(jí)（A、B、C、D）八個(gè)級(jí)別，其結(jié)構(gòu)如下圖所示。,圖6.3 TCSEC的構(gòu)成與等級(jí)結(jié)構(gòu),6.2 操作系統(tǒng)安全評(píng)測(cè),6.2.2 操作系統(tǒng)評(píng)測(cè)框架 好的安全策略模型要滿足四條重要的標(biāo)準(zhǔn)：完備性(completeness)、正確性(correctness)、一致性(consistency)和清晰性(clarity)。 1）完備性：如果COMPUSEC策略中所有相關(guān)的斷言都在安全策略模型的安全定義中得以重申，那么我們就說它是完備的?？梢酝ㄟ^安全策略模型與COMPUSEC策略之間的映射來證明完備性。映射必須是雙向的，舉例來說，所有的斷言都必須包括在安全策略模型中(包括上

27、面提到的可能得意外遺漏)，并且所有的被包括的斷言都必須來源于COMPUSEC策略。 2）正確性：如果安全策略模型的安全定義準(zhǔn)確地陳述了所有來源于COMPUSEC策略的安全相關(guān)斷言，那么我們就說它是正確的。正確性是最難也是最重要的標(biāo)準(zhǔn)。完備性與正確性之間的差別在于，對(duì)于前者所有的斷言都必須被包括進(jìn)來，而對(duì)于后者它們都必須正確地重新敘述，完備性可以協(xié)商，而正確性則是不容協(xié)商的。,6.2 操作系統(tǒng)安全評(píng)測(cè),6.2.2 操作系統(tǒng)評(píng)測(cè)框架 3）一致性：如果安全策略模型中沒有數(shù)學(xué)沖突，那么它就是一致的。一個(gè)自動(dòng)工具可以幫助檢查它的一致性。開發(fā)者應(yīng)該保證使用的形式化符號(hào)的一致性，舉例來說，在整個(gè)模型中，NU

28、LL集應(yīng)該表達(dá)一致。 4）清晰性：如果安全策略模型簡(jiǎn)單而沒有無關(guān)的細(xì)節(jié)，那么它就是清晰的。然而為了保證安全策略模型不模糊，它又必須包括足夠的細(xì)節(jié)。一個(gè)清晰的規(guī)范能夠使保證論據(jù)的建立簡(jiǎn)單化。對(duì)于復(fù)雜的安全斷言，清晰性特別重要。而開發(fā)者、用戶、評(píng)測(cè)員在安全評(píng)測(cè)上達(dá)成一致又是至關(guān)重要的。,6.2 操作系統(tǒng)安全評(píng)測(cè),6.2.3 基本功能評(píng)測(cè) 基本功能測(cè)評(píng)包括 自主訪問控制 強(qiáng)制訪問控制 安全審計(jì) 用戶標(biāo)識(shí)與簽別 可信路徑 數(shù)據(jù)機(jī)密性和完整性 滲透測(cè)試及隱通道分析測(cè)評(píng),本章小結(jié),操作系統(tǒng)安全評(píng)價(jià)測(cè)度是安全操作系統(tǒng)實(shí)現(xiàn)的一個(gè)極為重要的環(huán)節(jié)，信息技術(shù)發(fā)達(dá)的一些國家對(duì)此進(jìn)行了長期深入的研究，形成了一些對(duì)實(shí)踐具

29、有重要指導(dǎo)意義的原則和方法。本章主要對(duì)windows操作系統(tǒng)的漏洞掃描方法和評(píng)測(cè)操作系統(tǒng)安全的標(biāo)準(zhǔn)和方法進(jìn)行了詳細(xì)的描述。,實(shí)驗(yàn): Win2003管理員密碼的破解,【背景知識(shí)】 暴力口令破解方法是使用字母、數(shù)字和字符的隨機(jī)組合反復(fù)進(jìn)行試探性訪問。暴力攻擊程序通過設(shè)置一定的范圍和規(guī)則反復(fù)訪問服務(wù)器來破解一臺(tái)服務(wù)器或數(shù)據(jù)文件（從理論上可以破解所有口令）。 字典口令破解方法通過查詢一個(gè)“字典文件”來嘗試破譯口令，“字典文件”文件包括一個(gè)很長的單詞列表，字典攻擊可以利用重復(fù)的登錄或者收集加密的口令，并且試圖同字典中的單詞匹配，只要口令包含在字典中，就可以進(jìn)行破解。所以，攻擊的結(jié)果基于字典的強(qiáng)度，一個(gè)有經(jīng)驗(yàn)的攻擊者能通常在攻擊之前針對(duì)受害者的名字、生日、電話號(hào)碼、門牌號(hào)碼、身份證號(hào)碼中的幾位生成相應(yīng)的字典，這樣破解效率更高。字典口令破解方法是最常用的口令破解方法。 應(yīng)對(duì)口令破解的方法是：使用強(qiáng)密碼（10位以上，夾雜有數(shù)字