第八章操作系統安全

課程內容

口第一部分操作系統安全基礎

口第二部分Windows操作系統安全

口第三部分Linux/Unix操作系統安

全

第一部分：操作系統安全基礎

操作系統概述

?操作系統的發展

?安全操作系統的發展

?操作系統安全等級

8.1操作系統概述

?通常計算機由兩部分組成：硬件和軟

?裸作系統是系統軟件中最基本的部分，

主要作用是：

管理系統資源；

共享系統資源，對資源合理調度；

提供輸入輸出的便利，簡化用戶工作；

規定用戶接口，發現并處理各種錯誤的發生。

操作系統

操作系統是用戶與計算機硬件系統之間接口，是

計算機資源的管理者，處理機管理、存儲器管理、

I/O設備、管理、文件管理。

操作系統

■任何操作系統都會存在系統缺陷，主要問題集中于:

?用戶和組

?文件系統

?系統默認設置和使用

?未修補的系統故障

?不正確或不存在的審核過程

全球操作系統分布統計列表

?操作系統?主機數量?占有率

?1?Linux?171,623?26.3%

?2?MSWindows?152,682?23.4%

?3?BSDFamily?147,602?22.6%

?4?Solaris/SunOS?94,230?18.4%

?5?IRIX?29,384?8.5%

,6?Apple/MAC?13,736?2.1%

?7?AIX?10,865?1.7%

?8?HP/UX?10,237?1.6%

?9?ReliantUnix/Sinix?3,971?0.6%

*?

?DigitalUnix?3,775?0.6%

Oi

?SCOUnix?2,507?0.4%

*

C?NovellNetware?2,285*0.4%

?總數?642,899?98.6%

操作系統安全定義

?信息安全的五類服務，作為安全的操作系統時必須提供的

?有些操作系統所提供的服務是不健全的、默認關閉的

信息安全評估標準

?TCSEC(TrustedComputerSystemevaluationCiiteria)信任的計算機

系統評估標準描述的系統安全級別

-D9A

?CC(CommonCiitical)標準即信息技術安全評估通用標準

?/tpep/library/ccitse/index.html

?BS7799:2000標準體系(英國標準協會制定的信息安全標準)，規定了

企業建立信息安全管理體系的具體要求和實施細則。

?/information+secuirty/page/index.html

?ISO17799標準,信息技術一信息安全管理實施細則

TCSEC定義的內容

A級校驗級保護，所有安裝必須由管理員控制

B3級安全域，數據隱藏與分層、屏蔽

強制性保護功能，即

B2級安全策略模式，結構化內容保護用戶必須與安全等級

相連

B1級對象標記安全保護，如SystemV等

C2級有自主的訪問安全性，區分用戶提供審慎的保護，并為

用戶的行動和責任提供

C1級不區分用戶，基本的訪問控制審計能力

D級沒有安全性可言，例如MSDOS

C2級安全標準的要求

1.自主的訪問控制

2,對象再利用必須由系統控制

3.用戶標識和認證

4?審計活動

?能夠審計所有安全相關事件和個人活動

?只有管理員才有權限訪問

CC國際通用準則

?CC將評估過程劃分為功能和保證兩部

分，評估等級分為EAL1、EAL2、EAL3、

EAL4、EAL5、EAL6和EAL7共七個等級。每

一級均需評估7個功能類，分別是配置管

理、分發和操作、開發過程、指導文獻、

生命期的技術支持、測試和脆弱性評估。

幾種操作系統的安全等級

操作系統級別

OSF/1B1級

Linux/Unix/NetwareC2級

MSWinNT/2000C2級

SalorisC2級

D0S/Win9XD級

操作系統安全機制

?特殊安全機制

-加密機制

-數字簽名機制

-訪問控制機制

-數據完整性機制

-認證機制

-數據填充機制

?廣泛安全機制

-信任的建立和安全標簽的應用

第二部分：Windows操作系統安全

?安全環境及特性

?系統信息安全

?系統安全機制

?典型安全配置

?IIS安全

,攻擊實例分析

Windows安全

?Windows2000中的對象類型有：乂件、

文件夾、打印機、I/。設備、窗口、線程、

進程和內存。

?本地的Windows2000安全子系統包括下

列關鍵組件：安全標識符、訪問g臂％為

全描述符、訪問控制列表和訪問控制條目。

Windows系統的安全架構

inistration

Control

CorporateSecurityPolicy

WindowsNT系統內置支持用戶認證、訪問

控制、管理、審核。

0.2.1Windows系統的安全組件

?訪問控制的判斷(Discretionaccesscontrol)

?允許對象所有者可以控制誰被允許訪問該對象以及訪問的方

式。

?對象重用(Objectreuse)

?當資源(內存、磁盤等)被某應用訪問時，Windows禁止所有

的系統應用訪問該資源，這也就是為什么無法恢復已經被刪除的文

件的原因。

?強制登陸(Mandatorylogon)

?要求所有的用戶必須登陸，通過認證后才可以訪問資源

?審核(Auditing)

?在控制用戶訪問資源的同時，也可以對這些訪問作了相應的記錄。

?對象的訪問控制(Controlofaccesstoobject)

?不允許直接訪問系統的某些資源。必須是該資源允許被訪問，

然后是用戶或應用通過第一次認證后再訪問。

Windows2000安全組件

?安全標識符：

-分配給所有用戶、組和計算機的統計上的唯一號碼

-為了保證SID的惟一性，在生成他們的時候使用一個

公式，結合計算機名，當前時間和當前用戶模式線程

使用CPU時間的總量。SID像這樣：

S-1-5-21-1649288664—1549824960—

1244863647-500

解讀SID

頒發機構代碼，相對標不符

Windows2000總RID,一般為

為5常數

SID

S-1-5-21450700733342045547644011284298-50。

Q

修訂版

s?S-1-1-0Everyone

本編號子頒發機構代g

碼，共有4個；w

具有唯一性*?S-1-2-0Iinteractive用戶

?S-1-3-0CreatorOwner

?S-1-3-1CreatorGroup

?訪問控制令牌：

-訪問令牌由用戶的SID、用戶所屬組的SID和用戶名組

成

-用戶通過驗證后，登陸進程會給用戶一個訪問令牌，

該令牌相當于用戶訪問系統資源的票證，當用戶試圖

訪問系統資源時，將訪問令牌提供給Windows系統,

然后WindowsNT檢查用戶試圖訪問對象上的訪問控

制列表。如果用戶被允許訪問該對象，系統將會分配

給用戶適當的訪問權限。

-訪問令牌是用戶在通過驗證的時候有登陸進程所提供

的，所以改變用戶的權限需要注銷后重新登陸，重新

獲取訪問令牌。

Windows2000安全組件

*安全描述符：

-安全描述符由對象所有者的SID、POSIX子系統使用的

組SID、訪問控制列表和系統訪問控制列表組成。

對象所有者SID

DACLSACL

安全描述符的構成圖。

Windows2000安全組件

?訪問控制列表:

選擇性ACL系匏ACL

用戶A說成功

用戶A完全控制

組所失膿

組避止進入

用尸B改變

訪問控制列表結構圖|

Windows2000安全組件

?訪問控制條目：

-訪問控制條目(AccessControlEntry,

ACE)包含用戶或組的SID和分配給對象的權

限。

Windows安全子系統

?Winlogon

?圖形身份認證和驗證動態鏈接庫(GraphicalIdentification

AndAuthenticationDLL,GINA)

?本地安全管理授權(LocalSecurityAuthoiity,LSA)

?安全支持供應商接口(SecuritySupportProvider

Interface,SSPI)

?驗證軟件包(AuthenticationPackages)

?安全支持供應商(SecuritySupportProviders)

?Netlogon服務

?安全帳戶管理器(SecuHtyAccountManager,SAM)

訪問控制模型

Windows詳細安全環境及特性

D

WinlogonLsass

Netlogon活動目錄*~^活動目錄

LSA41

LSA服務器11SAM月艮務器卜.SAM

策略

Msvl_0.dll

系統Kerberos.dll用戶模式

線程

內核模式

系統服軍調咿

內核模式可調用接口Win32

User,GDI

I/O管理器對

象

管

設備和文圖形驅

件系統驅理

動程序器動程序

內核

硬件抽象層

,2.2Windows2000的登陸安全子系

統

加載GINA,

監視認證順序

提供登陸接口Winlogon

GINA

管理用戶和用戶為認證建立

證書的數據庫安全通道

Windows2000認證與授權訪問

使用賬戶名稱/

口令進行認證

Winlogon

用戶A成功

令牌

訪User=S-1-21-S-1-5-21-1507001333-

問1204550764-1011284298-500

Groupl=EveryOneS-1-1-0

Group2=AdministratorsS-1-5-32-544SRM,安全

參考監視器

允許

Read=AS-1-5-21

Write=administratorsS-1-5-32-544...

823Windows活動目錄

活動目錄是Windows2000完全實現的目錄服務，也是Windows

2000網絡體系的基本結構模型，是Windows2000網絡操作系統的

核心支柱，也是中心管理機構。Microsoft在Windows2000中提供

的活動目錄是一個全面的目錄服務管理方案，也是一個企業級的

目錄服務，具有很好的可伸縮性。活動目錄采用了Internet的標

準協議，它與操作系統緊密地集成在一起。

活動目錄不僅可以管理基本的網絡資源，比如計算機對象、用

戶賬戶、打印機等，它也充分考慮了現代應用的業務需求，為這

些應用提供了基本的管理對象模型，比如用戶賬戶對象具有辦公

電話、手機、呼機、住址、上司、下屬、電子郵件等屬性。幾乎

所有的應用可以直接利用系統提供的目錄服務結構，而且活動目

錄也具有很好的擴充能力，允許應用程序定制目錄中對象的屬性

或者添加新的對象類型。

活動目錄的角色3

Windows服務器

IIWindows客戶■Mgmt配一置:文件

/4kWindows用戶■網絡信息

品引■帳號信息■Mgmt配置文件

臼■網絡信息■服務

，A■特權■策略■打印機

/■配置文件

臼-■文件共享

■

其他目錄■策略一

■Whitepages

網絡設備

■E-Commerce

目錄為下列對象管理焦點:■配置

■用戶和資源■服務質量策略

■安全

■安全策略

■授權

其他NOS

■策略

■Userregistry

■Security

■Policy

防火墻服務

■配置

■安全策略

電子郵件服務器

■虛擬C用網絡策略

■郵箱信息Internet

用

■通訊簿

時n錄信息

■策略

活動目錄的邏輯結構

身份驗證與訪問控制

?身份驗證

-用方在ActiveDirectory中必須有一個

Windows2000用戶帳戶，以登錄到計算機或

域中

-Windows2000支持多重身份驗證機制以供用

戶在進入網絡時證明自己的身份

-用戶帳戶還可用作一些應用程序的服務帳方

-當用戶進入網絡時，用戶必須提供身份驗證信

息以便安全系統身份驗證其身份，之后再決定

要允許該用戶以什么權限訪問網絡資源

身份驗證與訪問控制

?Windows2000支持，包括X.509證書、智能卡

和、Kerberos協議和NTLM協議數種產業標準身份

驗證機制

?在ActiveDirectory中使用“組策略”，根據用

戶的角色和您的安全需要為個別用戶或用戶組指派

特定身份驗證機制

?若身份驗證成功，可以根據身份驗證機制提供的

身份找到用戶帳戶，Windows2000會為用戶提供

一組憑據，該憑據可用來訪問整個網絡上的資源

身份驗證與訪問控制

?訪問控制

-Windows2000通過讓管理員給對象指派安全

性描述符，如文件、打印機和服務等來執行訪

問控制

-管理者不僅可控制對特定對象的訪問，也可控

制對該對象的特定屬性的訪問

-使用對象的ACL,Windows2000會比較關于

客戶端和關于對象的信息來決定用戶對該對象

是否具有所需的訪問權

身份驗證與訪問控制

?精密的訪問控制

-為了給管理者較大的彈性來指派安全性設置，

ActiveDirectory提供對目錄中對象的精密訪問

控制。目錄中的項可以有豐富的架構：用戶或

組可以有數百種屬性，如電話號碼、辦公室號

碼、管理器以及成員所屬的組等

管理委派

?ActiveDirectory讓管理者在域的目

錄林中委派管理任務子集，這樣組織

就可以將域管理的責任分發給數個職

員。可以通過創建包含您想委派控制

的對象的組織單元來對域目錄樹的任

何級別委派管理控制，然后把這些組

織單元的管理控制委派給特定用戶或

組。

Windows操作系統安全

?安全環境及特隼

?帳戶安全

?系統信息安全?文件系統安全

?系統安全機制?其他信息安全

?典型安全配置

?IIS安全

,攻擊實例分析

用戶帳戶

Windows內建帳戶

帳戶名注釋

SYSTEM或

本地計算機的全部特權

LocalSystem

Administrator本地計算機的全部特權

Guest非常有限特權，默認禁止

IUSR_計算機名HS的匿名訪問，是Guests組成員

HS的進程外應用程序作為這個帳戶運

IWAM_計算機名

行，Guests組成員

TSInternetUser用于終端服務

Kerberos密鑰分發中心服務帳戶，只

krbtgt

在域控制器上出現，默認是禁止的

組

帳戶名注釋

Administrators成員具有本地計算機的全部權限

Users本地計算機上全部帳戶，權限較低

Guests與Users具有相同權限

AuthenticatedUsers隱藏組，包含所有已登錄帳戶

沒有Administrators權限高，但接

BackupOperators

近

Replicator用于域中的文件復制

沒有Administrators權限高，但接

ServerOperators

近

礁源觸緋rators權限高，但接

AccountOperatorsV

'C/XX-ABAA■BA■AAAk士T7I7RP=i/口4^4^

組

帳戶名注釋

包括通過物理控制臺或者終端服

INTERACTIVE

務登錄到本地系統的所有用戶

當前網絡所有用戶，包括Guests

Everyone

和來自其他域的用戶

Network通過網絡訪問指定資源的用戶

Windows特殊組

Windows操作系統安全

?安全環境及特伴?帳戶安全

?系統信息安全.?文件系統安全

?其他信息安全

?系統安全機制

?典型安全配置

?IIS安全

,攻擊實例分析

8.2.3Windows支持的文件系統

類型安全性描述

1976年設計，不支持長文件名，最

FAT無

大支持2GB空間；

FAT的替代技術，支持長文件名，

FAT32無

支持更大的文件空間；

微軟為WindowsNT操作系統而設

NTFS支持計，提供相對完善的安全性，支持

長文件名，支持更大的文件空間。

第二部分：Windows操作系統安全

安全環境及特隼?帳戶安全

系統信息安全?文件系統安全

?其他信息安全

系統安全機制

典型安全配置

HS安全

攻擊實例分析

注冊表

?注冊表(Registry)是微軟公司從

Windows95系統開始(至目前最新WM2000

系統依然使用的是它)，引入用于代替原先

Win32系統里.ini文件，管理配置系統運行參

數的一個全新的核心數據庫。

注冊表：安全

注冊表：安全

Windows2000安裝盤中附

帶SYSKEY工具。

Windows操作系統安全

?安全環境及特性

?安全策略

,系統信息安全

?IPSEC

,系統安全機制.?協議過濾/防火墻

?典型安全配置?審計/日志

?其他安全機制

,ns安全

,攻擊實例分析

安全策略：帳戶安全策略

開始一管理工具一本地安全策略

安全策略：帳戶安全策略

，本地安全設置,|n|x|

操作?查看M-國畫|＞鼠I鬻

樹|策略本地設置有效設置

號＞安全設置域］密碼必須符合復雜性要求已停用已停用

-H帳戶策略踐密碼長度最小值0個字符0個字符

顆密碼最長存留期

42天42天

3帳戶鎖定策略躅1密碼最短存密期0天。天

E本地策略盤］強制密碼歷史0個記住的密碼0個記住的密碼

等審核策略踐為城中所有用戶使用可還原的.,.已停用已停用

強壯密碼應符合的規則

+

個人名字使用重復

或呢稱的字符

L=強壯的密碼

Windows2000口令破解的一個測試結果

-在一臺高端PC機（4個CPU）上強行破解

-5.5小時內破解字母-數字口令

-45小時破解字母-數字-部分符號口令

-480小時破解字母-數字-全部符號口令

?在200臺集群服務器上強行破解

-15分鐘破解字母-數字-全部符號口令

0I//

賬號策略

?賬號鎖定策略

1］復位帳戶鎖定計數器沒有定義沒有定義

閾帳戶鎖定時間沒有定義沒有定義

?密只期帳戶鎖定閾值0次無效登錄0次無須登錄

跚密碼必須符合復雜性要求已停用已停用

跚密碼長度最小值0個字符0個字符

躅密碼最長存留期42天42天

掰密碼最短存留期o天:。天:

助強制密碼歷史0個記住的密碼0個記住的密碼

掰為域中所有用戶使用可還原的…已停用已停用

密碼策略的推薦設置

強制執行密碼歷史記錄24個密碼

密碼最長期限42天

密碼最短期限2天

密碼必須符合復雜性要求啟用

■

為域中所有用戶使用可還

原的加密來儲存密碼禁用

針對遠程破解的策略定制

?密碼復雜性要求

?賬戶鎖定策略的推薦設置

策略默認設置推薦最低設置1

帳戶鎖定時間未定義30分鐘

帳戶鎖定閾值05次無效登錄

復位帳戶鎖定計數未定義30分鐘

器

帳號、口令策略修改

■推薦修改為:

密碼長度最小值8字符

密碼最長存留期90天

密碼最短存留期30天

帳號鎖定計數器5次

帳戶鎖定時間5分鐘

帳戶鎖定閥值1分鐘

?設置帳號策略后可能導致不符合帳號策略的帳號無法登陸,

需修改帳號密碼（注：管理員不受帳號策略限制，但管理

員密碼應復雜）

Windows2000上的RUNAS

WindowsNTResourceKit中曾提供su工具在最低權限

用戶帳戶的上下文中執行任務指令格式舉例

runas/user:mydomain\adiministrator"mmc

%windir%\system32\devmgmt.mscM

安全策略：本地安全策略

運行gpedit.msc打開組策略編輯

做本地安全設置

函|【

操作（⑷查看M]<>.固男，闋

樹|策略本地設置有效設置

學安全設置嗖］審核帳戶登錄事件無審核無審核

圈審核目錄服務訪問無審核無審核

E遂帳戶策略

詢審核過程追蹤無審核無審核

等密碼策略

畫審核帳戶管理無審核無審核

帳戶鎖定策略

霞］審核策略更改無審核無審核

S力本地策略

審核策略跚審核特權使用無審核無審核

等用戶權利指派腐審核對象訪問無審核無審核

常安全選項國審核登錄事件無審核無審核

BU公鑰策略回審核系統事件無審核無審核

_|經過加密的數據恢復代理

電IP安全策喀，在本地機器

_________________________________________.______________________,,_________

安全策略：本地安全策略

■本地安全設置,［□1x］

操作?登看⑵①?|直的隰|圖

,本地安全設置,1□!x|

樹1

鐮作@）查看⑦8-）鼠由

學安全設置包畫|

策略1本地設置

E帳戶策國樹|有效設置▲

力密碼IJJ安全設置明取得文件或其它對象的所有權AdministratorsAdministrators

窗］配置系統性能AdministratorsAdministrators

3帳戶B父帳戶策略

E力本地策曜空密碼策咯圜修改固件環境值AdministratorsAdministrators

酒審核帳戶鎖定策略躅管理審核和安全日志AdministratorsAdministrators

等用戶BH本地策略融裝載和卸載設備驅動程序AdministratorsAdministrators

國安全常審核策略瞠）增加進度優先級AdministratorsAdministrators

躡］添加配額AdministratorsAdministrators

Bi_J公鑰策理

常安全透項跚從遠端系統強制關機AdministratorsAdministrators

_］經過

□.口公鑰策略國調試程序AdministratorsAdministrators

艮IP安全？11經過加密的數據恢復代理

毆］創建頁面文件AdministratorsAdministrators

曼IP安全策略，在本地機器回還原文件和目錄BackupOperator%...BackupOperators^...

蹣備份文件和目錄BackupOperators,...BackupOperators,...

竭跳過遍歷檢查Everyone；Users,Po...Everyone,Users^Po.,,

理|配置單一進程PowerUsers,Admini..,PowerUser51Admini…

躅更改系統時間PowerUsers,Admini...PowerUsers,Admini...

:踐關閉系統PowerUsers,Backu.,.PowerUsers’Backu..,

圜從插接工作站中取出計算機Users,PowerUsers,...Users3PowerUsers,...

國在本地登錄YANQING2000\IUS...YANQING2000\IU5...

融作為批處理作業登錄YANQING2000\IUS...YANQING2000\IU5...

跚從網絡訪問此計算機YANQING2000\IWA...YANQING2000\IWA...

跚允許計篁機和用戶帳戶被信任…

掰同步目錄服務數據.一，

1zJ

?卜

安全策略：本地安全策略

■本地安全設置,[□1x]

操作也）查看⑦如.I國畫」園I包

樹,本地安全設置-!□Ix|

|值的.'?鼠|圖

‘?安全設置鐮作@）查看（Y）0?i

白口帳戶策屏樹I熊本地安全設置|口1X

常密碼康輿全設置］操作?查看00I」6f|I隹1畫|X眠I閨

等帳戶

E3帳戶策R樹|融I本地設置有效設置

E力本地策曜3密挹場可被緩沖保存的前次登錄個數（...次登錄次登錄

1中安全設置1010

學審核昌帳戶齦］在密碼到期前提示用尸更改密碼

E帳戶策略14天14天

等用戶E本地策任3密碼策咯毆］在斷開會話之前所需的空閑時間15分鐘15分鐘

常審核

M安全M1戶鎖定策咯掰允許彈出可移動NTF5媒體AdministratorsAdministrators

冷雕圜身份驗證級別

臼口公鑰策展E3本地策略LANManager發送LM&NTLM響應發送LM&NTLM響應

3安全_3審核策略跚未釜名驅動程序的安裝操作沒有定義沒有定義

經過糜未簽名非驅動程序的安裝操作

EU公鑰策UR用戶權利指派沒有定義沒有定義

函允許服務器操作員計劃任務（僅…

艮IP安全負口經過安全選項沒有定義沒有定義

冕IP安全］曰＜_J公鑰策略畿重命名來賓帳尸沒有定義沒有定義

_）經過加密的數據恢復代理嬲重命名系統管理員帳戶沒有定義沒有定義

曷安全策略，在本地機器

IP園對匿名連接的額外限制無.依賴于默認許…無.依賴于默認許...

圓智能卡移除操作無操作無操作

國安全通道:對安全通道數據進行…巳啟用已啟用

跚安全通道:對安全通道數據進行…已啟用已啟用

跚對客戶端通訊進行數字簽名（如…巳啟用巳啟用