2022/11/2UNIX操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)安全第8章計算機(jī)系統(tǒng)安全(操作系統(tǒng)安全)Windows操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)加固2022/11/2

計算機(jī)系統(tǒng)的層次結(jié)構(gòu)

從計算機(jī)系統(tǒng)的組成來看，包括硬件、操作系統(tǒng)內(nèi)核、操作系統(tǒng)、服務(wù)和應(yīng)用程序五個部分應(yīng)用程序服務(wù)操作系統(tǒng)操作系統(tǒng)內(nèi)核硬件計算機(jī)系統(tǒng)的層次結(jié)構(gòu)2022/11/2硬件安全保護(hù)技術(shù)

如果攻擊者可以控制中斷矢量表，就可以控制程序的執(zhí)行，從而破壞計算機(jī)系統(tǒng)的正常處理過程。

TRAP#n中斷中斷矢量表內(nèi)存中斷矢量中斷句柄中斷處理過程2022/11/2硬件安全保護(hù)技術(shù)

大多數(shù)CPU的中斷有優(yōu)先權(quán)之分，使得更高優(yōu)先權(quán)的中斷可以搶占正在執(zhí)行的中斷，從而中止當(dāng)前的中斷句柄。在第一級的中斷處理程序必須擁有自己的堆棧，以便在處理更高級別的中斷前保存CPU的執(zhí)行狀態(tài)。當(dāng)中斷處理完畢以后，CPU將恢復(fù)到以前的狀態(tài)，繼續(xù)執(zhí)行中斷處理前正在執(zhí)行的指令。這種情況如果處理不正確，就會帶來安全威脅。2022/11/2硬件安全保護(hù)技術(shù)（續(xù)）除了中斷處理機(jī)制意外，許多處理器也提供了特權(quán)級保護(hù)。例如，Intel80386/80486上的保護(hù)模式就提供了四種特權(quán)級：0操作系統(tǒng)核心1操作系統(tǒng)其余部分2I/O驅(qū)動程序部分3應(yīng)用軟件2022/11/2OSSecurityKeyPointsOS安全概念OS安全訪問OS安全映象OS安全機(jī)制2022/11/2引用監(jiān)視器

引用監(jiān)控器（ReferenceMonitor）：是一種訪問控制，用于協(xié)調(diào)主體對客體的訪問。因此，引用監(jiān)視器能夠識別系統(tǒng)中的程序，控制其它程序的運(yùn)行，負(fù)責(zé)控制對系統(tǒng)資源的訪問。

引用監(jiān)視器的特點(diǎn)包括：是控制對設(shè)備、文件、內(nèi)存、進(jìn)程等對象進(jìn)行訪問的一組訪問控制策略；是所有訪問請求的唯一入口；自身必須是正確和安全的；應(yīng)該足夠小，使得對引用監(jiān)視器的驗(yàn)證容易進(jìn)行。

2022/11/2引用監(jiān)視器（續(xù)）

2022/11/2安全內(nèi)核

安全內(nèi)核（SecureKernel）：安全內(nèi)核是實(shí)現(xiàn)引用監(jiān)視器概念的可信計算基的硬件、固件和軟件的集合體，是系統(tǒng)中與安全性的實(shí)現(xiàn)有關(guān)的部分，包括引用驗(yàn)證機(jī)制、授權(quán)（authorization）機(jī)制和授權(quán)的管理機(jī)制等成分。安全內(nèi)核的特點(diǎn)包括：必須對所有訪問進(jìn)行驗(yàn)證和授權(quán)；自身必須被保護(hù)不被修改；自身的安全性應(yīng)該是可證且安全的。

2022/11/2安全內(nèi)核（續(xù)）

引用驗(yàn)證機(jī)制：J.P.Anderson把引用監(jiān)控器的具體實(shí)現(xiàn)稱為引用驗(yàn)證機(jī)制引用驗(yàn)證機(jī)制是實(shí)現(xiàn)引用監(jiān)控器思想的硬件和軟件的組合。引用驗(yàn)證機(jī)制需同時滿足以下3個原則：（1）必須具有自我保護(hù)能力；（2）必須總是處于活躍狀態(tài)；（3）必須設(shè)計得足夠小，以利于分析和測試，從而能夠證明它的實(shí)現(xiàn)是正確的。2022/11/2可信計算基

可信計算基（TCB：TrustedComputingBase）：是一個計算機(jī)系統(tǒng)中的全部保護(hù)機(jī)制（包括硬件、固件和軟件），他們結(jié)合起來為系統(tǒng)提供全局統(tǒng)一的訪問控制策略。在某些系統(tǒng)中，TCB等同于安全內(nèi)核，即TCB是操作系統(tǒng)的一部分，是整個系統(tǒng)安全性的基礎(chǔ)。2022/11/2可信計算基（續(xù)）引用監(jiān)視器是一個抽象的概念安全內(nèi)核（包括引用驗(yàn)證機(jī)制）是引用監(jiān)視器的實(shí)現(xiàn)TCB包含了安全內(nèi)核以及其他保護(hù)機(jī)制。2022/11/2可信計算基（續(xù)）

2022/11/2操作系統(tǒng)安全性的評估方法

（1）測試（2）形式化驗(yàn)證（3）非形式化驗(yàn)證2022/11/2一、操作系統(tǒng)安全概念安全的門戶和攻擊的對象安全的突破點(diǎn)系統(tǒng)安全的基礎(chǔ)運(yùn)行安全的平臺用戶安全的界面系統(tǒng)恢復(fù)的基礎(chǔ)2022/11/21.操作系統(tǒng)安全的特點(diǎn)程序：一組面向機(jī)器和用戶的程序表格：若干支持運(yùn)行的表格接口：用戶程序和計算機(jī)硬件之間的接口資源：軟、硬件、用戶、接口、數(shù)據(jù)、網(wǎng)絡(luò)管理：管理所有系統(tǒng)資源，包括用戶保護(hù)和控制：對資源進(jìn)行保護(hù)和控制2022/11/2操作系統(tǒng)安全的特點(diǎn)（續(xù)）多道程序與資源共享并行執(zhí)行與相互制約資源分配與資源調(diào)度開放性與規(guī)范性系統(tǒng)調(diào)用與核心編程系統(tǒng)漏洞與缺陷外部攻擊（惡意程序、遠(yuǎn)程調(diào)用）2022/11/22.操作系統(tǒng)的安全漏洞系統(tǒng)設(shè)計缺陷（并發(fā)程序缺陷、隱蔽通道、死區(qū)代碼、調(diào)試程序塊…）隱蔽調(diào)用（BIOS替換、矢量、預(yù)留接口…）調(diào)用陷阱（各類調(diào)用形成的隱患）I/O缺陷（I/O通道在OS的安全限制外）訪問策略（保護(hù)與共享、隔離與連通矛盾）安全機(jī)制限制（決策、時間、次數(shù)、開銷）通用性陷阱（通用性的特權(quán)）2022/11/23.操作系統(tǒng)的安全觀點(diǎn)設(shè)計者觀點(diǎn)：安全機(jī)制如何從一開始就加入操作系統(tǒng)？操作系統(tǒng)中哪些資源需要保護(hù)？如何建立最可靠的安全機(jī)制？如何分層次、分步驟地實(shí)現(xiàn)安全機(jī)制？如何對安全操作系統(tǒng)進(jìn)行評價？需要提供多種安全級別以供選擇2022/11/2操作系統(tǒng)的安全觀點(diǎn)（續(xù)）使用者觀點(diǎn)：什么樣的安全機(jī)制適合于我？建立安全機(jī)制的費(fèi)用、價值和時間如何保護(hù)操作系統(tǒng)的資源？系統(tǒng)安全機(jī)制是否可信？難度如何？系統(tǒng)有沒有漏洞？如何知道？對存在的安全漏洞應(yīng)當(dāng)采取的措施2022/11/2操作系統(tǒng)的安全觀點(diǎn)（續(xù)）應(yīng)用的觀點(diǎn)系統(tǒng)安全的折衷系統(tǒng)安全的無縫連接各種安全機(jī)制之間的沖突系統(tǒng)可使用不止一種安全機(jī)制安全機(jī)制與系統(tǒng)管理結(jié)合2022/11/2操作系統(tǒng)的安全觀點(diǎn)（續(xù)）觀點(diǎn)的誤區(qū)系統(tǒng)的絕對安全總是采用最高安全級別最安全的系統(tǒng)也是最難使用的增加安全性要增加費(fèi)用，降低性能或速度增加更多的安全檢測檢測點(diǎn)越多、檢測程度越高，代價越高2022/11/2二、操作系統(tǒng)映象：兩類關(guān)鍵結(jié)構(gòu)e.g.

磁盤存儲結(jié)構(gòu)系統(tǒng)分區(qū)結(jié)構(gòu)文件系統(tǒng)結(jié)構(gòu)文件分配表目錄索引表操作系統(tǒng)在內(nèi)存中的結(jié)構(gòu)映象操作系統(tǒng)在磁盤中的結(jié)構(gòu)映象e.g.PCB/DTB表格參數(shù)數(shù)據(jù)區(qū)中斷矢量驅(qū)動程序共享程序2022/11/21.操作系統(tǒng)的保護(hù)實(shí)體概念（what,which,why,where,how）實(shí)體：計算系統(tǒng)中的被保護(hù)體主體：使用實(shí)體的活動、事務(wù)與權(quán)者敏感實(shí)體：被保護(hù)實(shí)體（能夠影響系統(tǒng)正常工作的部位和過程，使系統(tǒng)混亂和停止運(yùn)行的關(guān)鍵點(diǎn)）共享實(shí)體是安全關(guān)鍵因素（e.g.內(nèi)存、文件、硬設(shè)備、數(shù)據(jù)結(jié)構(gòu)及保護(hù)機(jī)制本身）2022/11/22.關(guān)鍵結(jié)構(gòu)的安全漏洞

兩種關(guān)鍵結(jié)構(gòu)的暴露性規(guī)范性引發(fā)的通用訪問訪問方式層出不窮軟件工具（匯編asm，DM…）調(diào)試工具（Debug,Codeview…）正常編程（Syscall,API/DLL等）非正常編程（Primitive,未公布的接口函數(shù),強(qiáng)制轉(zhuǎn)接等）2022/11/2三、OSSafeAccessAccessLevel:Intruderport原語（內(nèi)部模塊，僅限系統(tǒng)設(shè)計者使用）系統(tǒng)調(diào)用（內(nèi)部調(diào)用，程序性…）命令調(diào)用（操作+程序，內(nèi)外命令…）宏調(diào)用（shell,宏結(jié)構(gòu)，腳本…）應(yīng)用程序接口API（擴(kuò)展性調(diào)用）重構(gòu)性調(diào)用（DLL,Lab,Units,Obj…）2022/11/21.OSSyscallSysCallChange（文件替換）InterruptChangeScript編程（含Shell等）2022/11/2OSInterruptChangeSeg:Off的表示INT00:00×4:00-03INT10:40×4:40-43INT20:80×4:80-83INTnn:nn×4MemorySeg:Off003FF00000系統(tǒng)參數(shù)區(qū)中斷矢量區(qū)木馬程序……xxxx:yyyyxxxx:yyyy004002022/11/2四、OSSafetyEngines與OS本身密切相關(guān)的基本安全機(jī)制:

用戶鑒別機(jī)制內(nèi)存保護(hù)機(jī)制文件保護(hù)機(jī)制存取控制機(jī)制惡意程序防御機(jī)制2022/11/2OSSafetyEngines依賴于硬件結(jié)構(gòu)機(jī)制間必須相互配合，形成整體安全性安全技術(shù)與其配合可形成多種安全機(jī)制每類安全機(jī)制可細(xì)分為若干子類不同的系統(tǒng)安全機(jī)制實(shí)施不盡相同必須注意系統(tǒng)間安全機(jī)制的沖突2022/11/2OSSafetyEngines管理機(jī)制操作系統(tǒng)執(zhí)行機(jī)制硬件體系結(jié)構(gòu)配合處理器管理作業(yè)、任務(wù)調(diào)度機(jī)制、進(jìn)程、線程調(diào)度機(jī)制流水線、超流水線機(jī)制、超標(biāo)量機(jī)制、CPU運(yùn)行模式、實(shí)模式存儲器管理分區(qū)、分段、分頁CPU運(yùn)行模式、實(shí)模式I/O設(shè)備管理虛擬存儲器管理、設(shè)備隊(duì)列、Spooling、設(shè)備文件、虛擬設(shè)備保護(hù)模式、尋址模式、總線接口與控制、I/O接口控制文件管理文件系統(tǒng)、樹型結(jié)構(gòu)、文件及軟件安全系統(tǒng)配置、PnP技術(shù)、磁盤、磁帶、光盤系統(tǒng)界面窗口管理窗口管理、人機(jī)界面、程序接口、命令接口、環(huán)境接口磁盤結(jié)構(gòu)、存儲結(jié)構(gòu)、視頻模式、視頻切換、顯示存儲區(qū)映射等機(jī)制2022/11/21.OSSafetyStrategy按照實(shí)現(xiàn)復(fù)雜度遞增，按照安全程度遞減：物理上分離：進(jìn)程使用不同的物理實(shí)體時間上分離：具有不同安全要求的進(jìn)程在不同的時間運(yùn)行。邏輯上分離：用戶操作彼此不相互干擾，程序存取范圍限定。密碼上分離：進(jìn)程以一種其他進(jìn)程不了解的方式隱藏數(shù)據(jù)和計算。2022/11/2OSSafetyStrategy前兩種直接有效，但會導(dǎo)致資源利用率下降各種安全分離策略可以彼此結(jié)合避免安全機(jī)制引入的系統(tǒng)負(fù)擔(dān)和開銷必須允許具有不同安全需求的進(jìn)程并發(fā)執(zhí)行2022/11/2OS安全保護(hù)層次以難度和安全性能遞增順序：1）無保護(hù)

敏感進(jìn)程運(yùn)行于獨(dú)立的時間環(huán)境。2）隔離保護(hù)

并發(fā)運(yùn)行的進(jìn)程彼此不會感覺到對方的存在，也不會影響干擾對方。3）共享或非共享保護(hù)

設(shè)置嚴(yán)格的實(shí)體界限，公用實(shí)體對所有用戶開放，私有實(shí)體只為屬主使用。2022/11/2OS安全保護(hù)層次（續(xù)）4）存取權(quán)限保護(hù)。檢查每次存取的有效性，在特定用戶和特定實(shí)體上實(shí)施存取控制，保證只有授權(quán)的存取行為發(fā)生。5）權(quán)能共享保護(hù)。存取權(quán)限共享的擴(kuò)展，系統(tǒng)為實(shí)體動態(tài)地建立共享權(quán)限，共享程度依賴于屬主或者實(shí)體。6）實(shí)體使用限制保護(hù)。不僅限制對實(shí)體的存取，也限制存取后對實(shí)體的使用。如文件可被查看但不能被復(fù)制。2022/11/2OS安全保護(hù)層次（續(xù)）安全控制粒度(granularity)按照不同的安全需求和實(shí)體類型，決定安全控制的程度。例如，對數(shù)據(jù)的存取，可以分別控制在數(shù)位、字節(jié)、單元、字、字段、記錄、文件或者文卷一級。2022/11/23.內(nèi)存保護(hù)機(jī)制1）為什么保護(hù)？多道程序技術(shù)：若干程序共存內(nèi)存，彼此互不影響堆棧訪問技術(shù)：地址增長與主存地址增長不同。區(qū)域保護(hù)技術(shù)：系統(tǒng)與用戶運(yùn)行區(qū)域分開與保護(hù)。2022/11/2內(nèi)存保護(hù)機(jī)制（續(xù)）2）怎樣保護(hù)？系統(tǒng)硬件保護(hù)：如ECC，CPU運(yùn)行模式，RAM分區(qū)操作系統(tǒng)保護(hù)：根據(jù)硬保護(hù)機(jī)制保護(hù)存儲器安全。常用保護(hù)技術(shù)：界址(fence)、界限寄存器(boundregister)重定位、特征位、分段和分頁、虛存機(jī)制2022/11/2內(nèi)存保護(hù)機(jī)制（續(xù)）3）內(nèi)存攻擊與保護(hù)技術(shù)內(nèi)存映象竊取

緩沖區(qū)內(nèi)容截取內(nèi)存跟蹤技術(shù)存儲內(nèi)容分析技術(shù)存儲器鎖定技術(shù)擴(kuò)展存儲器使用技術(shù)2022/11/24.文件保護(hù)機(jī)制文件系統(tǒng)是OS的重要部分和特色文件系統(tǒng)結(jié)構(gòu)極大地影響OS的性能文件系統(tǒng)是OS設(shè)計的基礎(chǔ)與難點(diǎn)文件系統(tǒng)在磁盤上的結(jié)構(gòu)是攻擊的對象文件存儲是易毀的（隨機(jī)性、虛擬性、電磁性、可覆蓋性）2022/11/2文件保護(hù)機(jī)制（續(xù)）文件保護(hù)機(jī)制分為：對文件系統(tǒng)本身的保護(hù)對文件存儲載體的保護(hù)多用戶OS必須提供最小的文件保護(hù)機(jī)制，防止用戶有意或者無意對系統(tǒng)文件和其他用戶文件的存取或修改，用戶數(shù)越多，保護(hù)模式的復(fù)雜性也越大。2022/11/2文件保護(hù)機(jī)制（續(xù)）1）一般性有無保護(hù)基于可信用戶的保護(hù)原則。對于特定文件和敏感文件，采用口令保護(hù)2）分組保護(hù)標(biāo)識一組具有某些相同特性的用戶，分組定義存取權(quán)限（一個有限集合）。明確組隸屬問題（一個用戶不能屬于多個組）以避免二義性。每個用戶只能屬于特定的組，但可擁有多個帳號。（如UNIX，Windows）3）單獨(dú)許可保護(hù)允許用戶對單個文件進(jìn)行保護(hù)（訪問控制）進(jìn)行臨時權(quán)限設(shè)置（口令機(jī)制）2022/11/25.訪問控制機(jī)制1）訪問控制（AccessControl）:也稱存取控制，2）為什么要進(jìn)行訪問控制？防止合法用戶對系統(tǒng)資源的濫用。防止非法用戶欺騙或喬裝合法用戶用戶認(rèn)證和保護(hù)機(jī)制本身也需保護(hù)3）如何進(jìn)行訪問控制？

權(quán)限標(biāo)記：記號、記錄授權(quán)組合：權(quán)能、轉(zhuǎn)讓權(quán)限檢查：識別、監(jiān)控存取驗(yàn)證：檢測、辨別違規(guī)處理：保護(hù)、追蹤2022/11/2訪問控制機(jī)制實(shí)施目錄控制表（CatalogueCtrl）

讀、寫、執(zhí)行授權(quán)、撤權(quán)禁止用戶直接對目錄存取目錄控制表由每個主體建立，是單個主體能存取的實(shí)體表。存取控制表（AccessControllist）記錄所有可存取該實(shí)體的主體及存取方式的一類數(shù)據(jù)結(jié)構(gòu)。每個實(shí)體一張表，不同于目錄表。2022/11/2訪問控制機(jī)制實(shí)施（續(xù)）

存取控制矩陣(accesscontrolmatrix)矩陣的行表示主體，列表示實(shí)體，每個記錄則表示主體對實(shí)體的存取權(quán)限集。

權(quán)能(capability)

權(quán)能：一個提供給主體對實(shí)體具有特定權(quán)限的不可偽造的標(biāo)志。

原理：主體可以建立新的實(shí)體，并指定這些實(shí)體上允許的操作。2022/11/2訪問控制機(jī)制實(shí)施（續(xù)）權(quán)能必須有憑證憑證是不可偽造的權(quán)能必須存放系統(tǒng)擁有憑證而不直接將憑證給用戶用戶通過OS發(fā)出特定請求建立權(quán)能權(quán)能可以被收回2022/11/2訪問控制機(jī)制實(shí)施（續(xù)）面向過程的訪問控制既控制對某個實(shí)體的存取主體,也控制對該實(shí)體的存取方式面向過程的保護(hù)實(shí)現(xiàn)了信息隱藏對實(shí)體控制的實(shí)施手段僅由控制過程所知缺點(diǎn)：當(dāng)實(shí)體頻繁調(diào)用時會影響系統(tǒng)速度在保護(hù)功能和系統(tǒng)開銷間平衡2022/11/26.

惡意程序防御機(jī)制惡意程序防御機(jī)制是一類新的、在原操作系統(tǒng)設(shè)計時并未考慮的安全機(jī)制。惡意程序是所有含有特殊目的、非法進(jìn)入計算機(jī)系統(tǒng)并待機(jī)運(yùn)行、能給系統(tǒng)或者網(wǎng)絡(luò)帶來嚴(yán)重干擾和破壞的程序的總稱。一般可以分為獨(dú)立運(yùn)行類(細(xì)菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。2022/11/2惡意程序防御機(jī)制（續(xù)）惡意程序突破OS早期防御策略早期OS安全模型存在漏洞惡意與"合法"機(jī)制的交叉融合程序的變異性、多形性和隱蔽性惡意程序高度依賴于其運(yùn)行OSOS防御措施因系統(tǒng)不同而異病毒成為惡意程序代名詞防御、檢測、消除、恢復(fù)2022/11/21）防御機(jī)制

病毒生存鏈

運(yùn)行特征、條件和過程進(jìn)入,運(yùn)行,駐留(潛伏)感染(傳播),激活,破壞防御措施

針對病毒的生存鏈采取安全措施設(shè)法打斷生存鏈中的任何環(huán)節(jié)防御機(jī)制與其他安全機(jī)制配合2022/11/21）防御機(jī)制（續(xù)）病毒針對OS的目標(biāo)：敏感數(shù)據(jù)結(jié)構(gòu)：OS在內(nèi)存中的映象：篡改、刪除、替換、運(yùn)行出錯OS在磁盤中的映象：篡改文件結(jié)構(gòu)、指針、分配表、目錄表防御機(jī)制存儲映象、數(shù)據(jù)備份、修改許可區(qū)域保護(hù)、動態(tài)檢疫等2022/11/21）防御機(jī)制（續(xù)）

存儲映象：保存OS關(guān)鍵數(shù)據(jù)結(jié)構(gòu)在內(nèi)存中的映象數(shù)據(jù)備份：備份OS關(guān)鍵文件和存儲結(jié)構(gòu)修改許可：與訪問控制配合的一種認(rèn)證機(jī)制區(qū)域保護(hù)：對關(guān)鍵數(shù)據(jù)區(qū)、參數(shù)區(qū)、內(nèi)核的禁寫動態(tài)檢疫：監(jiān)視敏感操作、活動企圖，活動記錄2022/11/22）檢測、消除與恢復(fù)機(jī)制OS通常不提供病毒檢測和消除功能，留給與OS配套的軟件實(shí)現(xiàn)。理論證明:不存在通用的檢測計算機(jī)病毒的方法和程序，而且大多數(shù)計算機(jī)病毒不能被精確檢測。由于操作系統(tǒng)的復(fù)雜性，系統(tǒng)恢復(fù)是一項(xiàng)非常困難的工作，對受損和恢復(fù)后的系統(tǒng)可信度的驗(yàn)證，也是正待解決的問題。獨(dú)立軟件套件（反病毒軟件）從另一個方面保證了系統(tǒng)的安全性。2022/11/22）檢測、消除與恢復(fù)機(jī)制（續(xù)）問題：正常操作與不正常操作的區(qū)別合法操作與非法操作的區(qū)別漏報、誤報、錯報允許程度檢測的正確性與可信性清除操作的副作用OS版本兼容性問題系統(tǒng)硬、軟件版本的兼容性受損系統(tǒng)的恢復(fù)難度和程度2022/11/27.安全操作系統(tǒng)1）安全OS與OS安全的區(qū)別由OS核心提供安全支持基于安全模型建立的OS

隨安全需求升級的OS

可由用戶自行配置的安全平臺一個可信賴的專用OS2022/11/22）設(shè)計者觀點(diǎn)了解系統(tǒng)的安全性分布建立一個保密環(huán)境下的模型研究達(dá)到安全性的不同方法選擇一種實(shí)現(xiàn)該模型的方法設(shè)計準(zhǔn)確地表達(dá)了模型代碼準(zhǔn)確地表達(dá)了設(shè)計驗(yàn)證設(shè)計或?qū)崿F(xiàn)是可信的2022/11/23）安全OS設(shè)計

專門針對安全性而設(shè)計的操作系統(tǒng)將安全特性加到目前的操作系統(tǒng)中

四個方面的問題：建立模型：安全特性的抽象描述系統(tǒng)設(shè)計：模型、共享與服務(wù)可信度檢測：系統(tǒng)實(shí)現(xiàn)2022/11/2為什么要有“補(bǔ)丁”？原來的OS存在程序漏洞，需要補(bǔ)上。原來的OS存在錯誤，需要覆蓋。原來的OS缺乏某種功能，需要添加。副作用：可能會破壞已有的系統(tǒng)模塊化特性加入補(bǔ)丁后的內(nèi)核安全驗(yàn)證很困難補(bǔ)丁本身的安全性和副作用4）安全補(bǔ)丁設(shè)計2022/11/2UNIX操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)安全第8章計算機(jī)系統(tǒng)安全(操作系統(tǒng)安全)Windows操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)加固2022/11/2UNIXSefetyCase早期的UNIX并不安全應(yīng)用基于相互信任的環(huán)境不采用強(qiáng)保護(hù)機(jī)制“有問題”的超級權(quán)限（超級用戶）常規(guī)UNIX，C1級OSF/1，B1級USL的SVR4/ES，B2級2022/11/2UNIX操作系統(tǒng)的文件系統(tǒng)的一般安全機(jī)制UNIX文件系統(tǒng)的安全機(jī)制包括：－硬件安全保護(hù)（如段保護(hù)等）－用戶及口令管理－組及口令管理－超級用戶及口令管理－訪問控制2022/11/2UNIX操作系統(tǒng)的文件系統(tǒng)的一般安全機(jī)制（續(xù)）

UNIX操作系統(tǒng)用戶及口令管理的內(nèi)容包括：－所有的用戶擁有一個唯一的用戶標(biāo)識（UID：UserID－UID是一個16位的數(shù)字－UID連接到了UNIX口令文件（一般位/etc/passwd）以確定UID對應(yīng)的口令－UDI是用戶在操作系統(tǒng)合法性及擁有相應(yīng)權(quán)限的唯一憑證－UID為0的用戶是系統(tǒng)的超級用戶，擁有一切權(quán)限－口令長度一般小于8個字符－口令一般用DES加密后存放在安全目錄之下（shadowpasswordfile）2022/11/2UNIX操作系統(tǒng)的文件權(quán)限

在UNIX系統(tǒng)中，每個文件和目錄有三組權(quán)限：擁有者(owner)群組用戶(group)其他用戶(others)每一組的權(quán)限又分為三個界別：－讀取(r：read) ：如果該權(quán)限設(shè)置，就可以讀取和訪問文件和目錄。－寫(w：write)：如果該權(quán)限設(shè)置，就可以修改、創(chuàng)建對應(yīng)的文件和目錄。－執(zhí)行(x：eXecute)：如果該權(quán)限設(shè)置，就可以執(zhí)行該文件，或進(jìn)入對應(yīng)的目錄。2022/11/2UNIX操作系統(tǒng)的文件權(quán)（續(xù)）

如果對應(yīng)的位為1，則表示有權(quán)限，否則沒有。如圖8-4-2，文件的權(quán)限為111100100，轉(zhuǎn)化為八進(jìn)制為744（對應(yīng)的字符格式為：-rwxr--r--），表示擁有者擁有讀、寫和執(zhí)行的權(quán)限，組和其他用戶只有讀的權(quán)限

2022/11/2S權(quán)限

為了管理的方便，UNIX操作系統(tǒng)還增加了一個S權(quán)限，并設(shè)置了以下三種權(quán)限：－set-user-id（SUID）：如果設(shè)定了該權(quán)限，當(dāng)文件被執(zhí)行時，將以文件的擁有者的身份執(zhí)行，而不是普通用戶的身份。該權(quán)限對于不可執(zhí)行的文件或目錄無效。－set-group-id（SGID）：與set-user-id相同，當(dāng)文件被執(zhí)行時，將以文件的組的身份來執(zhí)行，而不是一般的用戶身份。－sticky（S）：如果對目目錄設(shè)置該權(quán)限，基本該目錄可以被其他用戶讀寫，但該目錄下的文件和目錄只有擁有者才有權(quán)刪除或更名。

2022/11/2S權(quán)限（續(xù)）

與上述權(quán)限的計算相似，如果對應(yīng)位為1表示有相應(yīng)的權(quán)限。例如，如果文件的權(quán)限對應(yīng)的八進(jìn)制數(shù)為4444（對應(yīng)的字符表示為-r-s--x--x），則擁有者具有讀的權(quán)限，組和其他用戶只具有執(zhí)行的權(quán)限。同時，當(dāng)組和其他用戶執(zhí)行該文件時，將以擁有者的身份執(zhí)行。

2022/11/2UNIX操作系統(tǒng)中目錄的權(quán)限

每個用戶有一個主目錄（HomeDirectory）。用戶必須擁有正確的文件許可權(quán)限才能在目錄下創(chuàng)建、修改、刪除和查閱文件和子目錄。－讀取(r：read) ：可以查找目錄中的文件和子目錄。－寫(w：write)：可以從目錄中刪除和修改文件和子目錄。－執(zhí)行(x：eXecute)：可以進(jìn)入對應(yīng)的目錄。必須擁該權(quán)限才能打開目錄中的文件。2022/11/2UNIX操作系統(tǒng)的文件權(quán)限的管理

UNIX系統(tǒng)中有關(guān)查看、修改文件和目錄權(quán)限的命令包括：－ls：使用ls–l查看對應(yīng)的權(quán)限－chmod修改權(quán)限－chmod：修改擁有者－chgrp：修改組2022/11/2

UNIX操作系統(tǒng)的文件的初始權(quán)限的確定

文件或目錄的初始權(quán)限是由創(chuàng)建者的用戶掩碼（umask）來確定的。umask是一個9位二進(jìn)制數(shù)對應(yīng)的八進(jìn)制數(shù)，例如：當(dāng)umask＝022的用戶創(chuàng)建一個文件時，其初始權(quán)限為777XORumask＝777XOR022＝755。2022/11/2UNIX操作系統(tǒng)中的常用命令

－ps 進(jìn)程列表－netstat 網(wǎng)絡(luò)服務(wù)狀態(tài)－tcpdump 網(wǎng)絡(luò)數(shù)據(jù)包捕獲－kill 進(jìn)程管理－chmod 修改文件、目錄權(quán)限－chgrp 修改文件、目錄的組－chown 修改文件、目錄擁有者－ifconfig 配置網(wǎng)絡(luò)端口－ping 網(wǎng)絡(luò)測試（ping－R）－traceroute： 路由跟蹤－nslookup 域名查詢－umask： 修改用戶掩碼 2022/11/2UNIX操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)安全第8章計算機(jī)系統(tǒng)安全(操作系統(tǒng)安全)Windows操作系統(tǒng)安全技術(shù)實(shí)例分析操作系統(tǒng)加固2022/11/2WinNTSafetyCaseWinNT安全級別為C1級安全標(biāo)識符SID訪問令牌安全描述符訪問控制列表訪問控制項(xiàng)2022/11/2Windows操作系統(tǒng)安全

MicrosoftWindows系列操作系統(tǒng)大致上可分為Windows3.1/95/98/ME及WindowsNT/2000/XP/2003兩個系列。前者主要針對一般的用戶，而后者則針對那些對安全性和穩(wěn)定性有更高要求的用戶。2022/11/2基本概念

（1）安全標(biāo)識（SecurityIdentifiers：SID）安全標(biāo)識SID是WindowsNT系統(tǒng)中最基本的安全對象，它是用來識別用戶或群組，并以此作為用戶或組群擁有訪問權(quán)限的標(biāo)志。當(dāng)新建一個賬號時，系統(tǒng)會為該帳號自動分派一個SID；當(dāng)用戶登錄系統(tǒng)時，系統(tǒng)就會從安全數(shù)據(jù)庫中取出對應(yīng)的SID，并將其存放到系統(tǒng)訪問令牌中。在隨后的存取操作中，就用SAT中的的SID來識別該用戶。SID永遠(yuǎn)都是唯一的，由計算機(jī)名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時間的總和三個參數(shù)決定以保證它的唯一性。例如S-1-5-21-1763234323-3212657521-1234321321-500。2022/11/2基本概念（續(xù)）（2）系統(tǒng)訪問令牌（SystemAccessTokens：SAT）系統(tǒng)訪問令牌是一個用來描述一個進(jìn)程（process)或線程（thread）所擁有權(quán)限的數(shù)據(jù)結(jié)構(gòu)。其內(nèi)容包括用戶名及其安全標(biāo)識SID用戶群組及其群組安全標(biāo)識權(quán)限等。SAT是程序的訪問系統(tǒng)通行證，并以此作為用戶的認(rèn)證和訪問控制的標(biāo)識。2022/11/2基本概念（續(xù)）（3）安全描述符（Securitydescriptors：SD）Windows系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。（4）訪問控制列表（Accesscontrollists：ACL）：訪問控制列表有兩種：任意訪問控制列表（DiscretionaryACL）：包含用戶和組的列表，以及相應(yīng)的權(quán)限。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。系統(tǒng)訪問控制列表（SystemACL）：為審核服務(wù)，包含對象被訪問時間。2022/11/2基本概念（續(xù)）（5）訪問控制項(xiàng)（AccessControlEntries：ACE）訪問控制項(xiàng)（ACE）包含了用戶或組的SID以及對象的權(quán)限。訪問控制項(xiàng)有兩種：允許訪問拒絕訪問拒絕訪問的級別高于允許訪問2022/11/2Windows網(wǎng)絡(luò)模型

MicrosoftWindows系統(tǒng)在網(wǎng)絡(luò)設(shè)計上支持兩種網(wǎng)絡(luò)模型：工作群組（Workgroup）模型網(wǎng)絡(luò)域（Domain）模型。2022/11/2Windows網(wǎng)絡(luò)模型

工作群組（Workgroup）模型工作群組模型適合于小型網(wǎng)絡(luò)，具有相同工作組名稱的各工作站可以參與同一個工作群組各工作站自行維護(hù)各自的賬號及安全策略數(shù)據(jù)庫工作群組成員之間可共享某些資源由于資源管理必須在各工作站上設(shè)定，因此對于大規(guī)模網(wǎng)絡(luò)很難實(shí)施統(tǒng)一的管理。2022/11/2Windows網(wǎng)絡(luò)模型

網(wǎng)絡(luò)域（Domain）模型。網(wǎng)絡(luò)域模型適合于大中型網(wǎng)絡(luò)與工作群組模型的分布式資源管理方式，網(wǎng)絡(luò)域模型采用集中式管理在網(wǎng)域模型里，由一個主域控制器（Primarydomaincontroller：PDC）負(fù)責(zé)儲存所管轄網(wǎng)絡(luò)域內(nèi)的共享賬號數(shù)據(jù)及安全策略數(shù)據(jù)庫每個工作站必須通過主域控制器的認(rèn)證后，才能存取域內(nèi)的資源域的管理員只需要對網(wǎng)絡(luò)主控臺進(jìn)行管理，就可以控制各用戶的訪問權(quán)限通過跨域認(rèn)證和信任，擴(kuò)大資源共享范圍，從而使網(wǎng)絡(luò)域模型適合于大型網(wǎng)絡(luò)環(huán)境。

2022/11/2WindowsNT的安全模型

WindowsNT包括一組構(gòu)成Windows安全模型的安全組件。這些組件確保了應(yīng)用程序不能在沒有身份驗(yàn)證和授權(quán)的情況下對資源進(jìn)行訪問。這些安全組件稱為Windows的安全子系統(tǒng)（WindowsSecuritySubsystem），是WindowsNT系統(tǒng)中安全機(jī)制的最重要核心。2022/11/2WindowsNT的安全模型（續(xù)）安全子系統(tǒng)的組件在本地安全管理員進(jìn)程（lsass.exe）的上下文中運(yùn)行，主要包括以下組件：－Winlogon －GraphicalIdentificationandAuthenticationDLL(GINA)－LocalSecurityAuthority(LSA)－SecuritySupportProviderInterface(SSPI)－AuthenticationPackages（AP）－Securitysupportproviders（SSP）－NetlogonService（Netlogon）－SecurityAccountManager(SAM)

2022/11/2安全子系統(tǒng)中各組件的關(guān)系

2022/11/2WindowsNT的安全模型（續(xù)）

（1）windows登錄（Winlogon）：Winlogon調(diào)用GINADLL，并監(jiān)視安全警告序列

(Secure

Attention

Sequence：SAS)。SAS是一組組合鍵，默認(rèn)情況下為Ctrl-Alt-Delete。它的作用是確保用戶交互式登錄時輸入的信息被系統(tǒng)所接受，而不會被其他程序所獲取。因此，使用“安全登錄”進(jìn)行登錄，可以確保用戶的帳號和密碼不會被攻擊者盜取。Winlogon啟動時，在注冊表中查找以下鍵值：\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon如果存在GinaDLL鍵，Winlogon將使用這個DLL如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL。2022/11/2WindowsNT的安全模型（續(xù)）

（1）windows登錄（Winlogon）（續(xù)）：要啟用“安全登錄”的功能，可以運(yùn)行“control

userpasswords2”命令打開“用戶帳戶”對話框，選擇“高級”選中“要求用戶按Ctrl-Alt-Delete”選項(xiàng)后確定即可以后，在每次登錄對話框出現(xiàn)前都有一個提示，要求用戶按Ctrl-Alt-Delete組合鍵，目的是為了在登錄時出現(xiàn)WindowsXP的GINA登錄對話框，因?yàn)橹挥邢到y(tǒng)本身的GINA才能截獲這個組合鍵信息。而如前面講到的GINA木馬，會屏蔽掉“安全登錄”的提示，所以如果“安全登錄”的提示無故被屏蔽也是發(fā)現(xiàn)木馬的一個前兆。2022/11/2WindowsNT的安全模型（續(xù)）

2022/11/2WindowsNT的安全模型（續(xù)）（2）界面識別與認(rèn)證（GraphicalIdentificationandAuthentication：GINA）動態(tài)鏈接庫

GINA提供一個交互式的界面為用戶登錄提供認(rèn)證請求GINA被設(shè)計成一個獨(dú)立的模塊開發(fā)人員也可以用一個更加強(qiáng)有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINADLL。2022/11/2WindowsNT的安全模型（續(xù)）

（3）本地安全管理員（LocalSecurityAuthority：LSA）LSA是WindowsNT安全系統(tǒng)的核心功能模塊，它的主要功能是檢查用戶登錄信息，并依據(jù)安全策略為用戶生成系統(tǒng)訪問令牌（SystemAccessToken：SAT）。它負(fù)責(zé)以下任務(wù)：－調(diào)用所有的認(rèn)證包：檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該DLL進(jìn)行認(rèn)證（MSV_1.DLL）。在4.0版里，WindowsNT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并調(diào)用。2022/11/2WindowsNT的安全模型（續(xù)）－重新找回本地組的SIDs和用戶的權(quán)限。－創(chuàng)建用戶的訪問令牌。－管理本地安裝的服務(wù)所使用的服務(wù)賬號。－儲存和映射用戶權(quán)限。－管理審核的策略和設(shè)置。－管理信任關(guān)系。2022/11/2WindowsNT的安全模型（續(xù)）

（4）安全支持提供者的接口（SecuritySupportProvideInterface：SSPI）

安全支持提供者接口SSPI遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。2022/11/2WindowsNT的安全模型（續(xù)）（5）認(rèn)證包（AuthenticationPackage：AP）：認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶的SIDs給LSA，然后將其存放在用戶的訪問令牌中。2022/11/2WindowsNT的安全模型（續(xù)）（6）安全支持提供者（SecuritySupportProvider：SSP）：安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，WindowsNT安裝了以下三 種：－Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊－Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用－Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時候用到。2022/11/2WindowsNT的安全模型（續(xù)）（7）網(wǎng)絡(luò)登錄（Netlogon）：網(wǎng)絡(luò)登錄服務(wù)必須在通過認(rèn)證后建立一個安全的通道。要實(shí)現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限。

2022/11/2WindowsNT的安全模型（續(xù)）（8）安全賬號管理者（SecurityAccountManager：SAM）：SAM是存儲帳戶信息的數(shù)據(jù)庫，并為本地安全管理員（LSA）提供用戶認(rèn)證。SAM保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會被拷貝2022/11/2WindowsNT的安全模型（續(xù)）在WindwosServer2003中，安全子系統(tǒng)還包括安全套接層服務(wù)（SSL）和Kerberose認(rèn)證等。這些組件以動態(tài)鏈接庫（DLL）的形式提供。2022/11/2WindowsNT的安全模型（續(xù)）Windows及WindowsNT系列操作系統(tǒng)中的安全組件安全組件描述netlogon.dll這是

NetLogon服務(wù)，它維護(hù)著計算機(jī)到域控制器的安全通道。它通過安全通道將用戶的憑據(jù)傳遞到域控制器，并返回此用戶的安全標(biāo)識符和用戶權(quán)限。在WindowsNTVersion4.0中，NetLogon是主域控制器和備份域控制器的復(fù)制協(xié)議；在

WindowsServer2003中，NetLogon服務(wù)使用

DNS將名稱解析到域控制器的

IP地址。msv1_0.dll這是NT局域網(wǎng)管理器（NTLANManager：NTLM）的身份驗(yàn)證協(xié)議。此協(xié)議對不使用

Kerberos身份驗(yàn)證的客戶端進(jìn)行身份驗(yàn)證。schannel.dll這是安全套接字層

(SSL)身份驗(yàn)證協(xié)議。此協(xié)議在一個加密的通道而不是安全性較低的通道上提供身份驗(yàn)證。kerberos.dll這是

Kerberos5身份驗(yàn)證協(xié)議kdcsvc.dll這是

Kerberos密鑰分發(fā)中心

(KDC)服務(wù)，此服務(wù)負(fù)責(zé)將授權(quán)票證的票證

(TGT)授權(quán)給客戶端lsasrv.dll這是實(shí)施安全策略的

LSA服務(wù)器服務(wù)samsrv.dll這是SAM，它存儲了本地安全帳戶、實(shí)施本地存儲的策略并支持APIntdsa.dll這是目錄服務(wù)模塊，它支持WindowsServer2003復(fù)制協(xié)議和LDAP并管理數(shù)據(jù)的分區(qū)secur32.dll這是將所有組件保存在一起的多身份驗(yàn)證提供程序2022/11/2WindowsNT的安全模型（續(xù)）WindowsNT通過安全子系統(tǒng)建立一個系統(tǒng)存取令牌SAT的大致流程

2022/11/2WindowsNT的安全模型（續(xù)）（1）登錄請求：用戶按下Ctrl+Alt+Del，激活Winlogon程序進(jìn)行登錄進(jìn)程系統(tǒng)。（2）傳遞口令信息：用于輸入賬號和口令后，Winlogon產(chǎn)生口令的哈希值并傳送給安全子系統(tǒng)中的本例安全管理員LSA進(jìn)行處理。（3）核對帳號信息：LSA利用LsaLogonUser系統(tǒng)調(diào)用啟動對應(yīng)的認(rèn)證程序（即認(rèn)證包）以進(jìn)行核對賬號及密碼哈希值。（4）認(rèn)證：認(rèn)證程序依據(jù)SAM，核對賬號及密碼哈希值。2022/11/2WindowsNT的安全模型（續(xù)）（5）創(chuàng)建安全識別碼：如果認(rèn)證成功，SAM則回傳用戶訪問系統(tǒng)的安全標(biāo)識（SecurityIdentifier：SID）以及所屬群組的安全識別碼；否則調(diào)用其它認(rèn)證程序處理。（6）創(chuàng)建登錄會話：認(rèn)證程序建立一個登錄會話（logonsession），并把該登錄會話及安全識別碼交給LSA處理。（7）創(chuàng)建系統(tǒng)訪問令牌：如果登錄成功，則系統(tǒng)訪問令牌SAT將被建立，并回傳給登錄進(jìn)程處理；如果登錄失敗，登錄進(jìn)程將被刪除用戶登錄信息，并向用戶發(fā)送登錄錯誤信息。2022/11/2WindowsNT的安全模型（續(xù)）（8）創(chuàng)建Win32程序：如果登錄成果，登錄進(jìn)程調(diào)用Win32子系統(tǒng)（Win32Subsystem），為用戶創(chuàng)建一個Win32程序，并賦予該程序?qū)?yīng)的系統(tǒng)訪問令牌。（9）執(zhí)行Win32程序；Win32子系統(tǒng)執(zhí)行程序管理器，以便完與用戶的交互。2022/11/2WindowsNT的賬號與群組管理

在安裝WindowsNT系統(tǒng)時，系統(tǒng)會自動建立兩個賬號，這兩個賬號有著不同的權(quán)限。一為Administrator賬號，它擁有最高的權(quán)限，管理計算機(jī)/網(wǎng)域內(nèi)的所有賬號，能存取系統(tǒng)或使用者的所有檔案，對系統(tǒng)的操作及安全有完全的控制權(quán)。另一個則是Guest賬號，供來賓存取計算機(jī)或網(wǎng)域之用。它只能讀取管理者允許的資源，無法對任何檔案做寫入動作。2022/11/2WindowsNT的賬號與群組管理（續(xù)）為了簡化管理在工作群組或是網(wǎng)域里各賬號的使用權(quán)限，WindowsNT使用了群組的觀念把同類型使用者賬號歸成一個群組。這樣只要修改該群組所擁有的權(quán)限，在群組內(nèi)的使用者賬號則自動使用該群組的權(quán)力。然而應(yīng)用于不同網(wǎng)絡(luò)模型的需求，群組可分為區(qū)域群組(LocalGroup)及全域群組(GlobalGroup)兩種。所謂區(qū)域群組即是該群組所設(shè)定的權(quán)限只能應(yīng)用在本機(jī)計算機(jī)上;而全域群組則是可以應(yīng)用在同一個網(wǎng)域里的各工作站上。2022/11/2Windows的口令保護(hù)

對于Windows95/98，用戶口令信息存放在Windows目錄下的.pwl文件里。例如，對于一個叫做guest的用戶，其口令就會存放在文件guest.pwl中。當(dāng)然，.pwl文件里的內(nèi)容都用RC4算法進(jìn)行加密。但是，由于這類文件沒有訪問權(quán)限的限制，因此攻擊者可以獲得這些文件后，采用蠻力破解的方式獲得其中的用戶口令。2022/11/2Windows的口令保護(hù)（續(xù)）

與Windows95/98相比，WindowsNT系統(tǒng)對口令的保存進(jìn)行了改進(jìn)，用戶口令及相關(guān)信息不是保存在文件中，而是儲存在注冊表的HKEY_LOCAL_MACHINE\SAM中。系統(tǒng)管理者除了可以使用注冊表管理工具regedt32.exe修改其權(quán)限限制來讀取其內(nèi)容外，也不能讀取其中的內(nèi)容。2022/11/2Windows的口令保護(hù)（續(xù)）在%SystemRoot%\SYSTEM32\CONFIG\SAM文件也有一份對應(yīng)文件。但是，由于該文件被系統(tǒng)鎖定，因此用戶依然無法讀取其中的內(nèi)容。但是，NT4.0系統(tǒng)安裝后的口令備份文件存放在%SystemRoot%\\REPAIR\SAM，管理員可以直接讀取其中的內(nèi)容。因此，攻擊者如果獲得了該文件，也可以采用蠻力破解的方式獲得用戶口令。2022/11/2Windows的口令保護(hù)（續(xù)）WindowsNT系統(tǒng)在處理使用者密碼時會分成LANManager口令及WindowsNT口令并儲存在SAM里。LANManager口令是為了要與以前的系統(tǒng)兼容而保存下來的，但由于其產(chǎn)生方式不夠安全較易破解，因此后來增加了WindowsNT口令以加強(qiáng)安全度。在LANManger處理口令過程中，若使用者輸入的口令不足14字節(jié)則自動補(bǔ)上0x00，再把14字節(jié)的口令拆成兩部份各自轉(zhuǎn)換成DES密鑰來加密一個固定的8-bit的幻數(shù)（magicnumber），所得的兩組8個字節(jié)（64位）加密值就結(jié)合成所謂的LANManager口令。2022/11/2Windows的口令保護(hù)（續(xù)）

2022/11/2Windows認(rèn)證

WindowsNT系統(tǒng)提供一種稱為ServerMessageBlock(SMB)的應(yīng)用協(xié)議來提供登入網(wǎng)域存取的功能。而SMB所支持的認(rèn)證協(xié)議包括下面四種：－LANManager(LM)challenge/response－WindowsNTLANManagerchallenge/response(NTLM)－WindowsNTLANManagerchallenge/responseVersion2.0(NTLMv2)－Kerberosv5

2022/11/2Windows認(rèn)證

WindowsNT系統(tǒng)上是使用registry里的HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\LMCompatibilityLevel值來控制使用的認(rèn)證方式。其各數(shù)值表示的意義如下：－0：使用LMresponse及NTLMresponse；不使用NTLMv2－1：若有協(xié)商則采用NTLMv2認(rèn)證方式－2：只采用NTLM認(rèn)證方式－3：只采用NTLMv2認(rèn)證方式－4：主域服務(wù)器拒絕LMresponses－5：主域服務(wù)器拒絕LM及NTLMresponses，只接受NTLMv2。

2022/11/2Windows的資源共享

Windows95/98系統(tǒng)在資源共享存取控制方面分兩種安全等級。一是共享級訪問控制(Share-LeverSecurity)這是內(nèi)定采用的方式，就是只要有提供口令就可以訪問共享的資源。另外一種是用戶級訪問控制（User-LeverSecurity）在這種設(shè)定下，用戶必須在遠(yuǎn)程計算機(jī)的認(rèn)證服務(wù)器上（遠(yuǎn)程計算機(jī)所指定的另一臺WindowsNT系統(tǒng)）擁有賬號才能夠訪問共享資源。2022/11/2Windows的資源共享（續(xù)）

對于共享級訪問控制環(huán)境，所設(shè)定的密碼不分大小寫，口令存放在注冊表中：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanManParm1enc是完整存取的口令Parm2enc則是只讀存取的口令這兩種口令只用簡單的異或（XOR）加密，只要取得該口令，再與0x35，0x9a，0x4d，0xa6，0x53，0xa9，0xd4，0x6a這八個數(shù)值進(jìn)行XOR操作，就可以還原原始口令。WindowsNT系統(tǒng)則采用用戶級訪問控制，只有用戶在該系統(tǒng)內(nèi)擁有賬號才能訪問其共享資源。

2022/11/2Windows的注冊表

Windows系統(tǒng)最初使用初始化文件（.ini文件）來記錄應(yīng)用程序或系統(tǒng)程序的配置和控制參數(shù)。但是由于.ini文件多，管理不易且讀取速度慢因此從Windows3.1開始采用注冊表（Registry）來存放這些數(shù)據(jù)。注冊表其實(shí)就是一個reg.dat文件，但是由于其格式的特殊性，因此只能利用regedit.exe進(jìn)行修改和設(shè)置各種值。

2022/11/2Windows的注冊表

Windows注冊表分為五個子樹：－HKEY_LOCAL_MACHINE存放各種關(guān)于硬件、操作系統(tǒng)以及已經(jīng)安裝的軟件的信息。－HKEY_CLASSES_ROOT這是鏈接到HKEY_LOCAL_MACHINE\SOFTWARE\Classes的快捷方式，包含文件關(guān)聯(lián)、OLE（對象鏈接和嵌入）和DDE（動態(tài)數(shù)據(jù)交換）類 定義。2022/11/2Windows的注冊表（續(xù)）

－HKEY_CURRENT_CONFIG這是鏈接到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current的快捷方式，包含了目前硬件的設(shè)定值。－HKEY_CURRENT_USER這個也是一個連往HKEY_USERS\<SIDofUser>的快捷方式，包含了目前登入系統(tǒng)的使用者環(huán)境設(shè)定，網(wǎng)絡(luò)連結(jié)等。－HKEY_USER這個包含了動態(tài)加載使用者profiles的信息。

由于注冊表的重要性，windows系統(tǒng)對注冊表設(shè)置了各種訪問控制權(quán)限。2022/11/2Windows的注冊表（續(xù)）權(quán)限解釋只讀允許用戶和組從注冊表中讀取數(shù)值完全控制允許用戶和組從注冊表中設(shè)置數(shù)值特殊訪問允許用戶和組在給定的注冊項(xiàng)中創(chuàng)建子項(xiàng)詢問值允許用戶和組讀取關(guān)鍵字的值設(shè)置值允許用戶和組設(shè)置關(guān)鍵字的值創(chuàng)建子項(xiàng)允許用戶和組識別創(chuàng)建注冊項(xiàng)的子項(xiàng)計數(shù)子項(xiàng)允許用戶和組識別某注冊項(xiàng)的子項(xiàng)通

知允許用戶和組從注冊表中審計通知事件創(chuàng)建鏈接允許用戶和組在特定項(xiàng)中建立符號鏈接刪

除允許用戶和組在刪除選定的注冊項(xiàng)寫入DAC允許用戶和組將DAC寫入注冊表項(xiàng)寫入Owner允許用戶和組獲得注冊表項(xiàng)的所有權(quán)讀取控制允許用戶和組具有訪問選定注冊表項(xiàng)的安全信息注冊表的訪問控制權(quán)限

2022/11/2Windows的注冊表（續(xù)）為了便于管理，注冊表的訪問控制權(quán)限與固定的組對應(yīng)例如系統(tǒng)管理員組、系統(tǒng)組、用戶組、所有用戶組等。系統(tǒng)管理員、系統(tǒng)和所有用戶三個組對于上述五個子樹的缺省訪問權(quán)限。

2022/11/2Windows的注冊表（續(xù)）注冊表的缺省訪問控制權(quán)限

子樹系統(tǒng)管理員組系統(tǒng)組所用用于組HKEY_LOCAL_MACHINE完全控制完全控制讀取HKEY_CLASSES_ROOT完全控制完全控制讀取HKEY_CURRENT_CONFIG完全控制完全控制讀取HKEY_CURRENT_USER完全控制完全控制完全控制HKEY_USER完全控制完全控制完全控制2022/11/2Windows的注冊表（續(xù)）HKEY_LOCAL_MACHINE子樹下存放了與安全相關(guān)的關(guān)鍵字，包括：－HKEY_LOCAL_MACHINE\SAM：－HKEY_LOCAL_MACHINE\Security：－HKEY_LOCAL_MACHINE\Software\Microsoft\RPC：－HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion2022/11/2Windows的注冊表（續(xù)）注冊表中的項(xiàng)文件HKEY_LOCAL_MACHINE\SAM%SystemRoot%\system32\config\SAMHKEY_LOCAL_MACHINE\Security%SystemRoot%\system32\config\SECURITYHKEY_LOCAL_MACHINE\Software%SystemRoot%\system32\config\softwareHKEY_LOCAL_MACHINE\System&HKEY_CURRENT_CONFIG%SystemRoot%\system32\config\systemHKEY_USER\.DEFAULT%SystemRoot%\system32\config\defaultHKEY_CURRENT_USER%SystemRoot%\Profiles\%username%\Ntuser.dat注冊表的缺省訪問控制權(quán)限

2022/11/2Windows的注冊表（續(xù)）需要說明的是，注冊表中與安全有關(guān)的大部份數(shù)據(jù)也存放在%SystemRoot%\system32\config目錄下以下文件中：－SAM－SECURITY－software－system－default此外，文件%SystemRoot%\Profiles\%username%\Ntuser.dat也存放了網(wǎng)絡(luò)帳號的有關(guān)信息。2022/11/2Windows的NTFS文件系統(tǒng)

新技術(shù)文件系統(tǒng)（NewTechnologyFileSystem：NTFS）在傳統(tǒng)FAT文件系統(tǒng)基礎(chǔ)上，提高了對目錄和文件的訪問控制。NTFS的基本訪問控制權(quán)限包括：讀（R）寫（W）執(zhí)行（X）刪除（D）改變訪問控制權(quán)限（P）擁有者權(quán)限（O）。而對于文件2022/11/2Windows的NTFS文件系統(tǒng)（續(xù)）還有以下訪問控制權(quán)限的組合：－NoAccess：沒有權(quán)限－Read（RX）：僅有讀權(quán)限－Change（RWXD）：讀、寫、執(zhí)行和刪除權(quán)限－FullControl（ALL）：讀、寫、執(zhí)行、刪除，并可改變權(quán)限和取得擁有者權(quán)限－SpecialAccess：讀、寫、執(zhí)行、刪除、改變權(quán)限，也寬衣阿指定取得擁有者資格等任意組合2022/11/2Windows的NTFS文件系統(tǒng)（續(xù)）雖然提供了多種訪問控制，但是操作系統(tǒng)依然無法保證NTFS可以完全避免信息被攻擊者所盜取。為此，NTFS提供了文件系統(tǒng)加密功能。但是，加密后如果用戶忘記口令，會帶來使用上的不方便等問題。而Windows2000新增的加密文件系統(tǒng)（EncryptingFileSystem：EFS）位于Windows核心態(tài)，屬于NTFS檔案系統(tǒng)之上的一個驅(qū)動程序，因此加解密動作都在操作系統(tǒng)內(nèi)核中完成。EFS以公鑰技術(shù)為基礎(chǔ)，利用Windows內(nèi)建的CryptoAPI架構(gòu)，可自動對已選定目錄內(nèi)新產(chǎn)生的文件進(jìn)行加密，自動產(chǎn)生加密密鑰，自動找尋用戶數(shù)字證書及私鑰。當(dāng)用戶讀取文件時，EFS自動解密文件，無需用戶的介入。2022/11/2Windows的NTFS文件系統(tǒng)（續(xù)）2022/11/2Windows的NTFS文件系統(tǒng)（續(xù)）Windows常用命令－任務(wù)管理器 進(jìn)程管理 （Ctrl+Alt+Del）－服務(wù)管理