1、2020/8/28,1,第8章 Windows系統(tǒng)安全,2,內(nèi)容提要,8.1 Windows NT 安全體系 介紹 安全模型 8.2 Windows NT的安全環(huán)境 8.3 Windows NT安全保護(hù) 事件日志 IP報(bào)文過(guò)濾 注冊(cè)表修改,3,8.1 Windows NT 安全體系,Windows NT是根據(jù)模塊化結(jié)構(gòu)設(shè)計(jì)而成的。所有的執(zhí)行程序服務(wù)都運(yùn)行在內(nèi)核模式下，整個(gè)Windows NT操作系統(tǒng)由一系列的軟件模塊構(gòu)成。 Windows NT的安全性建立在Windows NT的核心層上，其安全模型屬于Windows NT的子系統(tǒng)。安全子系統(tǒng)控制著對(duì)象的訪問(wèn)。 為防止用戶用戶應(yīng)用程序訪問(wèn)或修改

2、系統(tǒng)重要數(shù)據(jù)，對(duì)處理器采用兩種訪問(wèn)模式 內(nèi)核模式和用戶模式,4,8.1.2 Windows NT的安全模型,Windows NT的安全體系提供了對(duì)事件的審核和跟蹤手段來(lái)監(jiān)控系統(tǒng)中的訪問(wèn)和應(yīng)用。 組成： 登錄過(guò)程 本地安全認(rèn)證 安全賬號(hào)管理器 安全引用監(jiān)視器,5,（1）Windows NT登錄過(guò)程,6,（2）本地安全認(rèn)證(LSA),本地安全認(rèn)證是一個(gè)被保護(hù)的子系統(tǒng)，Window 2000的LSA控制本地安全策略，向用戶提供認(rèn)證服務(wù)和策略。 應(yīng)該限制LSA信息不被匿名訪問(wèn)，需要修改注冊(cè)表： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSAAno

3、nymous 賦值為1，類(lèi)型為REG_DWORD,7,（3）安全賬號(hào)管理,安全賬號(hào)管理(SAM)負(fù)責(zé)SAM數(shù)據(jù)庫(kù)的控制和維護(hù) 可以使用regedt32.exe打開(kāi)注冊(cè)表編輯器，如圖所示,8,9,（4）安全引用監(jiān)視器,以內(nèi)和模式運(yùn)行，負(fù)責(zé)檢查Windows NT Server的合法性，以保護(hù)資源，避免使資源受到破壞。 為對(duì)象的有效訪問(wèn)提供服務(wù)并為用戶提供訪問(wèn)權(quán)限，同時(shí)還能阻止非授權(quán)用戶訪問(wèn)，實(shí)施審計(jì)。 安全應(yīng)用監(jiān)視器對(duì)用戶透明。,10,8.2 Windows NT的安全環(huán)境,對(duì)象和共享資源 文件系統(tǒng) 域和工作組 用戶的權(quán)利和權(quán)限 用戶賬號(hào) 組賬號(hào) 注冊(cè)表,11,8.2.1對(duì)象和共享資源,對(duì)象是W

4、indows NT安全環(huán)境下的基本操作單元。對(duì)象的概念包括了文件、文件目錄、驅(qū)動(dòng)器、進(jìn)程、存儲(chǔ)器等。 對(duì)象和訪問(wèn)控制列表(ACL)的關(guān)系圖,12,8.2.2文件系統(tǒng),Windows NT支持兩種文件系統(tǒng) FAT (File Allocation Table) NTFS (NT File System) 不同的操作系統(tǒng)所采用的文件系統(tǒng)各不相同,13,FAT16文件系統(tǒng) 不能管理大容量的硬盤(pán)。每個(gè)分區(qū)的最大存儲(chǔ)容量只有2.115G； FAT16系統(tǒng)造成硬盤(pán)空間的大量浪費(fèi)。 碎片的產(chǎn)生、處理、文件定位、數(shù)據(jù)安全等方面也均存在致命的缺陷,14,FAT32 文件系統(tǒng) FAT32可支持容量21.1G分區(qū)；

5、 可大大提高硬盤(pán)利用率，使用較小的簇,15,NTFS文件系統(tǒng) 是微軟Windows NT內(nèi)核系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等管理安全特性設(shè)計(jì)的磁盤(pán)格式 結(jié)構(gòu)：卷、簇、主控文件表(MFT)等 NTFS的可恢復(fù)支持 斷電或系統(tǒng)受到破壞后，系統(tǒng)在不運(yùn)行磁盤(pán)修復(fù)實(shí)用程序的情況下，保持完整的文件系統(tǒng)操作和磁盤(pán)的卷結(jié)構(gòu)的完整，但發(fā)生崩潰時(shí)例外。,16,NTFS系統(tǒng)支持安全管理，管理員可以制定可以或不可以存取個(gè)別的文件或目錄的用戶。 容錯(cuò)支持，由于存在FtDisk.sys的容錯(cuò)磁盤(pán)驅(qū)動(dòng)程序。 NTFS壞簇恢復(fù)，F(xiàn)tDisk能夠從容錯(cuò)卷上的一個(gè)壞扇區(qū)恢復(fù)數(shù)據(jù)，除非硬盤(pán)不使用SCSI協(xié)議

6、或用盡了備用扇區(qū)。,17,8.2.3域和工作組,域 域代表一組域控制器、服務(wù)器、工作站、用戶賬號(hào)、策略和域里的對(duì)象。域中有多個(gè)用戶組，用戶組中有若干用戶。 域由主域控制器來(lái)控制。每一個(gè)域只能有一個(gè)主域控制器，但可以同時(shí)擁有多個(gè)備份域控制器。 域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器進(jìn)行鑒別，決定是否可以訪問(wèn)。,18,域的委托 用戶建立域之間的委托關(guān)系，就可以通過(guò)一個(gè)登錄標(biāo)識(shí)訪問(wèn)其他域中的資源。 四種委托： 單域模型，用戶數(shù)1萬(wàn)，單管 完全委托模型,所有域建立雙向委托，每個(gè)域都有一份用戶賬號(hào)和全局組，繁瑣,19,工作組 一個(gè)域內(nèi)可能有成

7、百上千臺(tái)計(jì)算機(jī)，如果不進(jìn)行分組，會(huì)非?；靵y； 工作組是單獨(dú)的系統(tǒng)或不屬于一個(gè)域的多個(gè)系統(tǒng)的有組織的單元，一個(gè)系統(tǒng)不屬于域，則它自動(dòng)成了工作組的成員。 工作組網(wǎng)絡(luò)共享不如域模型安全，但適合小規(guī)模網(wǎng)絡(luò),20,8.2.4用戶的權(quán)利和權(quán)限,用戶權(quán)利是確定用戶可以在計(jì)算機(jī)上所執(zhí)行操作的規(guī)則。此外，用戶權(quán)利控制用戶是否可直接或通過(guò)網(wǎng)絡(luò)登錄，刪除用戶等。 通常，管理員通過(guò)想內(nèi)置組添加用戶賬戶，或創(chuàng)建新組并指派權(quán)利。用戶權(quán)利是通過(guò)“組策略”管理的。,21,權(quán)限 對(duì)象權(quán)限 只能在NTFS文件系統(tǒng)的分區(qū)中使用。 目錄和文件訪問(wèn)權(quán)限,22,在NT中為了設(shè)置方便，系統(tǒng)提供了集中權(quán)限的組合，用戶可以直接使用它（標(biāo)準(zhǔn)權(quán)限

8、） 共享權(quán)限 決定用戶從網(wǎng)絡(luò)上訪問(wèn)系統(tǒng)資源的方式，在NT系統(tǒng)中只能對(duì)目錄設(shè)置共享。 對(duì)象權(quán)限房門(mén)鑰匙 共享權(quán)限大樓門(mén)衛(wèi),23,8.2.5用戶賬號(hào),Windows NT的用戶賬號(hào)是系統(tǒng)安全的核心。 Windows NT網(wǎng)絡(luò)中發(fā)生的一切活動(dòng)都可以追溯到特定的授權(quán)用戶。 用戶賬戶通過(guò)用戶名和密碼來(lái)標(biāo)識(shí)，實(shí)際上，賬戶的關(guān)鍵標(biāo)識(shí)符是SID（安全標(biāo)識(shí)符）。 NT安全模型的各組件協(xié)同工作，根據(jù)用戶賬戶的權(quán)限和特權(quán)來(lái)允許或拒絕對(duì)資源的訪問(wèn)。,24,8.2.6組賬號(hào),監(jiān)理組，可以簡(jiǎn)化對(duì)大量用戶進(jìn)行管理和確定權(quán)限的任務(wù)。 一個(gè)用戶可以屬于多個(gè)組。 用戶可以把目錄和文件的訪問(wèn)權(quán)限賦予給用戶，也可以賦予組，后者更方便

9、。 三種類(lèi)型 本地組 能直接訪問(wèn)本地機(jī)的用戶 全局組 能訪問(wèn)網(wǎng)上資源的用戶 特別組 為了特定目的,25,8.2.7注冊(cè)表,早期的Win3.x對(duì)軟硬件工作環(huán)境的配置通過(guò)修改.ini文件完成。 Windows95之后，采用了稱為“注冊(cè)表”的數(shù)據(jù)庫(kù)來(lái)統(tǒng)一進(jìn)行管理。 注冊(cè)表特點(diǎn)： 修改設(shè)置，不用重啟 新設(shè)備即插即用 可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置，遠(yuǎn)程管理,26,注冊(cè)表的體系結(jié)構(gòu),樹(shù)狀結(jié)構(gòu) 鍵和子鍵方式組織 按關(guān)鍵字搜索,27,8.3 Windows NT安全保護(hù),8.3.1 事件日志 8.3.2 IP報(bào)文過(guò)濾 8.3.3 注冊(cè)表修改,28,8.3.1事件日志,Windows NT的事件日志記錄著有關(guān)操作

10、系統(tǒng)或應(yīng)用程序的重要事件。 包括： 應(yīng)用程序日志 由應(yīng)用程序或一般程序記錄的事件 系統(tǒng)日志 由系統(tǒng)組件記錄的事件 安全日志 可以記錄諸如有效和無(wú)效登錄嘗試等安全事件，以及與資源使用有關(guān)的事件,29,查看日志，默認(rèn)的閱讀器 隨時(shí)可以停止或啟動(dòng)服務(wù) C:NET STOP EVENTLOG C:NET START EVENTLOG,30,8.3.2 IP報(bào)文過(guò)濾,Windows 2000 IP 報(bào)文過(guò)濾 “TCP/IP篩選” 路由和遠(yuǎn)程服務(wù)(RRAS) 設(shè)定 用IPSec的策略進(jìn)行定義,31,Windows 2000配備的TCP/IP濾波機(jī)構(gòu)能進(jìn)行簡(jiǎn)單控制。,32,在“TCP/IP篩選”中不能利用源

11、IP地址和標(biāo)志進(jìn)行精細(xì)控制。 Windows 2000 Server中，為了精細(xì)設(shè)定路由規(guī)則，必須使用RRAS （路由和遠(yuǎn)程訪問(wèn)） 輸入過(guò)濾器 輸出過(guò)濾器,33,34,8.3.3 注冊(cè)表修改,基于NT框架的Windows NT和Windows 2000存在著不少致命的漏洞，注冊(cè)表記錄了系統(tǒng)和程序進(jìn)行運(yùn)轉(zhuǎn)的幾乎所有關(guān)鍵信息，通過(guò)更改注冊(cè)表，可以在網(wǎng)絡(luò)內(nèi)部起到一定的安全防范作用。 對(duì)本地登錄的保護(hù) 防止遠(yuǎn)程攻擊,35,對(duì)本地登錄的保護(hù),1)讓用戶名不出現(xiàn)在登錄框中 訪問(wèn)子鍵： HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinl

12、ogon 新建字符串： ”DontDisplayLastUserName”,并把該值設(shè)置為“1”,36,2)抵御Backdoor的破壞 訪問(wèn)子鍵： HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinlogonRun 找到右邊窗口的“Notepad”鍵值，將它刪除即可,37,3)屏蔽“控制面板”中的指定項(xiàng)目,防止用戶進(jìn)行任意設(shè)置。 訪問(wèn)子鍵： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl 新建一個(gè)雙字節(jié)(RE

13、G_DWORD)值項(xiàng),修改其值為1。 然后，新建一個(gè)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl，在該項(xiàng)下新建若干個(gè)字符串(REG_SZ)值項(xiàng): 形式為“序號(hào)控制面板項(xiàng)對(duì)應(yīng)的文件名” 如:屏蔽控制面板中的 “系統(tǒng)”，可以在該項(xiàng)下新建兩個(gè)值項(xiàng)“1” ，值為sysdm.cpl(系統(tǒng)項(xiàng)對(duì)應(yīng)的文件)，重啟桌面使更改生效。,38,不允許使用控制面板 鎖定桌面 禁用Regedit命令 隱藏網(wǎng)上鄰居 禁止屏幕保護(hù)使用密碼 ,39,防止遠(yuǎn)程攻擊,1）設(shè)置生存時(shí)間 訪問(wèn)子鍵： HKEY

14、_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff (0-255 十進(jìn)制，默認(rèn)值128) 說(shuō)明：指定傳出IP數(shù)據(jù)包中設(shè)置的默認(rèn)生存時(shí)間(TTL)值。TTL決定了IP數(shù)據(jù)包在到達(dá)目標(biāo)前在網(wǎng)絡(luò)中生存的最大時(shí)間。它實(shí)際上限定了IP數(shù)據(jù)包在丟棄前允許通過(guò)的路由器數(shù)量。有時(shí)利用此數(shù)值來(lái)探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)。,40,2）防止ICMP重定向報(bào)文的攻擊 訪問(wèn)子鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParamet

15、ersEnableICMPRedirects REG_DWORD 0 x0 (默認(rèn)值為0 x1) 說(shuō)明：該參數(shù)控制Windows 2000是否會(huì)改變其路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備(如路由器)發(fā)送給它的ICMP重定向消息，有時(shí)會(huì)被利用來(lái)干壞事。Win2000中默認(rèn)值為1，表示響應(yīng)ICMP重定向報(bào)文。,41,3）防止SYN洪水攻擊 訪問(wèn)子鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect REG_DWORD 0 x2 (默認(rèn)值為0 x0) 說(shuō)明：SYN攻擊保護(hù)包括減少SYN-ACK重新傳輸次

16、數(shù)，以減少分配資源所保留的時(shí)間。路由緩存項(xiàng)資源分配延遲，直到建立連接為止.如果synattackprotect=2，則AFD的連接指示一直延遲到三路握手完成為止.注意，僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí)，保護(hù)機(jī)制才會(huì)采取措施。,42,4）禁止C$、D$一類(lèi)的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer REG_DWORD 0 x0 5）禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControl