系統(tǒng)訪問(wèn)控制與審計(jì)技術(shù)課件

系統(tǒng)訪問(wèn)控制與審計(jì)技術(shù)

本章學(xué)習(xí)目標(biāo)：了解幾種基本的訪問(wèn)控制技術(shù)熟悉常用操作系統(tǒng)的安全技術(shù)了解操作系統(tǒng)的審計(jì)技術(shù)系統(tǒng)訪問(wèn)控制與審計(jì)技術(shù)本章學(xué)習(xí)目標(biāo)：11.1訪問(wèn)控制技術(shù)訪問(wèn)控制是在保障授權(quán)用戶(hù)能獲取所需資源的同時(shí)拒絕非授權(quán)用戶(hù)的安全機(jī)制。訪問(wèn)控制也是信息安全理論基礎(chǔ)的重要組成部分。本章講述訪問(wèn)控制的原理、作用、分類(lèi)和研究前沿，重點(diǎn)介紹較典型的自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

11.1.1訪問(wèn)控制技術(shù)的概念

11.1訪問(wèn)控制技術(shù)訪問(wèn)控制是在保障授權(quán)用戶(hù)能獲取11.1訪問(wèn)控制技術(shù)

訪問(wèn)控制與其他安全措施之間的關(guān)系可以用圖11-1來(lái)簡(jiǎn)要說(shuō)明。在用戶(hù)身份認(rèn)證(如果必要)和授權(quán)之后，訪問(wèn)控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶(hù)訪問(wèn)某項(xiàng)資源(目標(biāo))進(jìn)行控制，只有規(guī)則允許時(shí)才能訪問(wèn)，違反預(yù)定的安全規(guī)則的訪問(wèn)行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問(wèn)方式可以是獲取信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫(xiě)或者執(zhí)行。

11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)訪問(wèn)控制與其他安全措施之間的關(guān)11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理訪問(wèn)控制的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶(hù)能做什么，也決定代表一定用戶(hù)身份的進(jìn)程能做什么。訪問(wèn)控制一般包括三種類(lèi)型：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理自主訪問(wèn)控制（DiscretionaryAccessControl，DAC）是一種常用的訪問(wèn)控制方式，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，這種控制是自主的。自主是指主體能夠自主的(可能是間接的)將訪問(wèn)權(quán)或訪問(wèn)權(quán)的某個(gè)子集授予其他主體。

1．自主訪問(wèn)控制自主訪問(wèn)控制是一種比較寬松的訪問(wèn)控制，一個(gè)主體的訪問(wèn)權(quán)限具有傳遞性。傳遞可能會(huì)給系統(tǒng)帶來(lái)安全隱患，某個(gè)主體通過(guò)繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問(wèn)權(quán)限，就可能破壞系統(tǒng)的安全性。這是自主訪問(wèn)控制方式的缺點(diǎn)。

為了實(shí)現(xiàn)完整的自主訪問(wèn)系統(tǒng)，訪問(wèn)控制一般由一個(gè)矩陣來(lái)表示。矩陣中的一行表示一個(gè)主體的所有權(quán)限；一列則是關(guān)于一個(gè)客體的所有權(quán)限；矩陣中的元素是該元素所在行對(duì)應(yīng)的主體對(duì)該元素所在列對(duì)應(yīng)的客體的訪問(wèn)權(quán)限。具體實(shí)現(xiàn)時(shí)，往往是基于矩陣的行或者列來(lái)表達(dá)訪問(wèn)控制信息。

11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理訪問(wèn)控制表(AccessControlList，ACL)是基于訪問(wèn)控制矩陣中列的自主訪問(wèn)控制。

1．自主訪問(wèn)控制(續(xù))（1）訪問(wèn)控制表

對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體Oj附加的訪問(wèn)控制表的結(jié)構(gòu)如下圖所示

在上圖的例子中，對(duì)于客體Oj,主體S0具有讀(r)和執(zhí)行(e)的權(quán)利；主體S1只有讀的權(quán)利；主體S2只有執(zhí)行的權(quán)利；主體Sm具有讀、寫(xiě)(w)和執(zhí)行的權(quán)利。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理1．自主訪問(wèn)控制(續(xù))

(2)訪問(wèn)能力表

訪問(wèn)能力表(AccessCapabilitiesList)是最常用的基于行的自主訪問(wèn)控制。能力(capability)是為主體提供的、對(duì)客體具有特定訪問(wèn)權(quán)限的不可偽造的標(biāo)志，它決定主體是否可以訪問(wèn)客體以及以什么方式訪問(wèn)客體。主體可以將能力轉(zhuǎn)移給為自己工作的進(jìn)程，在進(jìn)程運(yùn)行期間，還可以添加或者修改能力。

能力的轉(zhuǎn)移不受任何策略的限制，所以對(duì)于一個(gè)特定的客體，不能確定所有有權(quán)訪問(wèn)它的主體。因此，訪問(wèn)能力表不能實(shí)現(xiàn)完備的自主訪問(wèn)控制，而訪問(wèn)控制表是可以實(shí)現(xiàn)的。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理1．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理2．強(qiáng)制訪問(wèn)控制

強(qiáng)制訪問(wèn)控制系統(tǒng)為所有的主體和客體指定安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和無(wú)密級(jí)。不同級(jí)別標(biāo)記了不同重要程度和能力的實(shí)體。不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問(wèn)是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。在強(qiáng)制訪問(wèn)控制機(jī)制中，將安全級(jí)別進(jìn)行排序，如按照從高到低排列，規(guī)定高級(jí)別可以單向訪問(wèn)低級(jí)別，也可以規(guī)定低級(jí)別可以單向訪問(wèn)高級(jí)別。這種訪問(wèn)可以是讀，也可以是寫(xiě)或修改。

1）保障信息完整性策略。2）保障信息機(jī)密性策略。

自主訪問(wèn)控制較弱，而強(qiáng)制訪問(wèn)控制又太強(qiáng)，會(huì)給用戶(hù)帶來(lái)許多不便。因此，實(shí)際應(yīng)用中，往往將自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制結(jié)合在一起使用。自主訪問(wèn)控制作為基礎(chǔ)的、常用的控制手段；強(qiáng)制訪問(wèn)控制作為增強(qiáng)的、更加嚴(yán)格的控制手段。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理2．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制模式(RoleBasedAccessControl，RBAC)中，用戶(hù)不是自始至終以同樣的注冊(cè)身份和權(quán)限訪問(wèn)系統(tǒng)，而是以一定的角色訪問(wèn)，不同的角色被賦予不同的訪問(wèn)權(quán)限，系統(tǒng)的訪問(wèn)控制機(jī)制只看到角色，而看不到用戶(hù)。用戶(hù)在訪問(wèn)系統(tǒng)前，經(jīng)過(guò)角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶(hù)獲得特定角色后，系統(tǒng)依然可以按照自主訪問(wèn)控制或強(qiáng)制訪問(wèn)控制機(jī)制控制角色的訪問(wèn)能力。

（1）角色的概念

在基于角色的訪問(wèn)控制中，角色(role)定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中的主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)限。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和?；诮巧脑L問(wèn)控制就是通過(guò)各種角色的不同搭配授權(quán)來(lái)盡可能實(shí)現(xiàn)主體的最小權(quán)限(最小授權(quán)指主體在能夠完成所有必需的訪問(wèn)工作基礎(chǔ)上的最小權(quán)限)。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．基于角色的訪問(wèn)控制

（2）基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制就是通過(guò)定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來(lái)實(shí)現(xiàn)訪問(wèn)控制的。用戶(hù)先經(jīng)認(rèn)證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶(hù)以特定角色訪問(wèn)系統(tǒng)資源，訪問(wèn)控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問(wèn)。這種訪問(wèn)控制方法的具體特點(diǎn)如下：1）提供了三種授權(quán)管理的控制途徑2）系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，便于管理。3）具有較好的提供最小權(quán)利的能力，從而提高了安全性。4）具有責(zé)任分離的能力。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．11.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念1．安全模型

Windows的安全模型由以下幾個(gè)關(guān)鍵部分構(gòu)成：

1）登錄過(guò)程(LogonProcess，LP)。接受本地用戶(hù)或者遠(yuǎn)程用戶(hù)的登錄請(qǐng)求，處理用戶(hù)信息，為用戶(hù)做一些初始化工作。

2）本地安全授權(quán)機(jī)構(gòu)(LocalSecurityAuthority，LSA)。根據(jù)安全賬號(hào)管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶(hù)的登錄信息，并控制審計(jì)和日志。這是整個(gè)安全子系統(tǒng)的核心。

3）安全賬號(hào)管理器(SecurityAccountManager，SAM)。維護(hù)賬號(hào)的安全性管理數(shù)據(jù)庫(kù)(SAM數(shù)據(jù)庫(kù)，又稱(chēng)目錄數(shù)據(jù)庫(kù))。

4）安全引用監(jiān)視器(SecurityReferenceMonitor，SRM)。檢查存取合法性，防止非法存取和修改。

這幾部分在訪問(wèn)控制的不同階段發(fā)揮了各自的作用。11.2Windows2000的訪問(wèn)控制11.2.111.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念2．安全概念

1）安全標(biāo)識(shí)(SecurityIdentifier，SID)：安全標(biāo)識(shí)和賬號(hào)唯一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶(hù)和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫(kù)里。

2）訪問(wèn)令牌(AccessToken)。當(dāng)用戶(hù)登錄時(shí)，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)創(chuàng)建一個(gè)訪問(wèn)令牌，包括用戶(hù)名、所在組、安全標(biāo)識(shí)等信息。

3）主體。用戶(hù)登錄到系統(tǒng)之后，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)構(gòu)造一個(gè)訪問(wèn)令牌，這個(gè)令牌與該用戶(hù)所有的操作相聯(lián)系，用戶(hù)進(jìn)行的操作和訪問(wèn)令牌一起構(gòu)成一個(gè)主體。

4）對(duì)象、資源、共享資源。對(duì)象的實(shí)質(zhì)是封裝了數(shù)據(jù)和處理過(guò)程的一系列信息集合體。資源是用于網(wǎng)絡(luò)環(huán)境的對(duì)象。共享資源是在網(wǎng)絡(luò)上共享的對(duì)象。

5）安全描述符（SecurityDescript）。Windows系統(tǒng)會(huì)為共享資源創(chuàng)建安全描述符，包含了該對(duì)象的一組安全屬性。11.2Windows2000的訪問(wèn)控制11.2.1

安全描述符分為四個(gè)部分：

①所有者安全標(biāo)識(shí)(OwnerSecurityID)。擁有該對(duì)象的用戶(hù)或者用戶(hù)組的SD。

②組安全標(biāo)識(shí)(GroupSecurity)。

③自主訪問(wèn)控制表(DiscretionaryAccessControlList，DAC)。該對(duì)象的訪問(wèn)控制表，由對(duì)象的所有者控制。

④系統(tǒng)訪問(wèn)控制表(SystemAccessControlList，ACL)。定義操作系統(tǒng)將產(chǎn)生何種類(lèi)型的審計(jì)信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個(gè)訪問(wèn)控制表(ACL)都由訪問(wèn)控制項(xiàng)(AccessControlEntries，ACEs)組成，用來(lái)描述用戶(hù)或者組對(duì)對(duì)象的訪問(wèn)或?qū)徲?jì)權(quán)限。ACEs有三種類(lèi)型：AccessAllowed、AccessDenied和SystemAudit。前兩種用于自主訪問(wèn)控制；后一種用于記錄安全日志。

11.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念2．安全概念(續(xù))

Cacls命令安全描述符分為四個(gè)部分：11.2Windows20

當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows系統(tǒng)為它分配一個(gè)SID，并與其他賬號(hào)信息一起存入SAM數(shù)據(jù)庫(kù)。

每次用戶(hù)登錄時(shí)，登錄主機(jī)(通常為工作站)的系統(tǒng)首先把用戶(hù)輸入的用戶(hù)名、口令和用戶(hù)希望登錄的服務(wù)器／域信息送給安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問(wèn)的信息，并返回用戶(hù)的安全標(biāo)識(shí)和用戶(hù)所在組的安全標(biāo)識(shí)，工作站系統(tǒng)為用戶(hù)生成一個(gè)進(jìn)程。服務(wù)器還要記錄用戶(hù)賬號(hào)的特權(quán)、主目錄位置、工作站參數(shù)等信息。

然后，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)創(chuàng)建訪問(wèn)令牌，包括用戶(hù)名、所在組、安全標(biāo)識(shí)等信息。此后用戶(hù)每新建一個(gè)進(jìn)程，都將訪問(wèn)令牌復(fù)制作為該進(jìn)程的訪問(wèn)令牌。

當(dāng)用戶(hù)或者用戶(hù)生成的進(jìn)程要訪問(wèn)某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器將用戶(hù)／進(jìn)程的訪問(wèn)令牌中的SID與對(duì)象安全描述符中的自主訪問(wèn)控制表進(jìn)行比較，從而決定用戶(hù)是否有權(quán)訪問(wèn)對(duì)象。11.2Windows2000的訪問(wèn)控制11.2.2Windows的訪問(wèn)控制過(guò)程當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows系統(tǒng)為它分配一個(gè)SID11.2Windows2000的訪問(wèn)控制11.2.2Windows的訪問(wèn)控制過(guò)程

資源的本地訪問(wèn)權(quán)限共有以下六種，每一種權(quán)限都可設(shè)置為允許或拒絕。1）完全控制2）修改3）讀取及運(yùn)行4）列出文件夾目錄5）讀取6）寫(xiě)入

資源的共享訪問(wèn)權(quán)限共有以下四種：1）完全控制2）讀取3）更改4）拒絕訪問(wèn)11.2Windows2000的訪問(wèn)控制11.2.211.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置1．用戶(hù)管理

刪除所有不需要的賬號(hào)，禁用所有暫時(shí)不用的賬號(hào)。一定要禁用“guest”用戶(hù)。重命名系統(tǒng)默認(rèn)的管理員“Administrator”，然后再創(chuàng)建一個(gè)名為“Administrator”的用戶(hù)，并分配給這個(gè)新用戶(hù)一個(gè)復(fù)雜無(wú)比的口令，最后不讓它屬于任何組。2．使用NTFS文件系統(tǒng)

FAT32無(wú)法提供用戶(hù)所需的針對(duì)于本地的單個(gè)文件與目錄的權(quán)限設(shè)置。NTFS格式是服務(wù)器必須的，使用FAT32文件系統(tǒng)沒(méi)有安全性可言。3．不讓系統(tǒng)顯示上次登錄的用戶(hù)名

通過(guò)修改“管理工具”中的“本地安全策略”的相應(yīng)選項(xiàng)或修改系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。

11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))4．禁止建立空連接

默認(rèn)情況下，任何用戶(hù)可通過(guò)空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼。通過(guò)修改“管理工具”中的“本地安全策略”的相應(yīng)選項(xiàng)或修改系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。

5．打開(kāi)安全審核

Windows2000的安全審計(jì)功能在默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測(cè)。你可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問(wèn)等。設(shè)置“本地安全策略”中“本地策略”的“審核策略”，建議設(shè)置如下：審核策略設(shè)置賬戶(hù)登錄事件成功，失敗賬戶(hù)管理成功，失敗登錄事件成功，失敗對(duì)象訪問(wèn)失敗策略更改成功，失敗特權(quán)使用成功，失敗系統(tǒng)事件失敗11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))

6．關(guān)閉不必要和危險(xiǎn)的系統(tǒng)服務(wù)

安裝好Windows2000后，一般開(kāi)放了數(shù)十項(xiàng)系統(tǒng)或應(yīng)用服務(wù)，做為一個(gè)管理員，應(yīng)該知道各種服務(wù)都是做什么用的，例如有人入侵后須及時(shí)發(fā)現(xiàn)是否運(yùn)行了一些入侵者留下的服務(wù)。管理方法是打開(kāi)“管理工具”>“服務(wù)”，根據(jù)要求啟動(dòng)/停止相應(yīng)的服務(wù)?？蓞⒄崭戒?。7．修改終端服務(wù)的默認(rèn)端口

如有必要才需要此操作，默認(rèn)為3389，可隨意修改為1～65535的端口。鍵值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．網(wǎng)卡的端口篩選

具體情況配置。通過(guò)網(wǎng)卡“屬性”-“TCP/IP協(xié)議屬性”-“高級(jí)”-“選項(xiàng)”-“TCP/IP篩選屬性”來(lái)設(shè)置。根據(jù)服務(wù)器開(kāi)啟的應(yīng)用服務(wù)，添加相應(yīng)的TCP、UDP端口或IP協(xié)議。如一臺(tái)服務(wù)器只作Web和Email服務(wù)器，則可只允許80、110和25端口。11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))

9．IIS安全配置

IIS安全操作步驟：配置“開(kāi)始”—“程序”-“管理工具”-“Internet服務(wù)管理器”。刪除“默認(rèn)站點(diǎn)”的站點(diǎn)。默認(rèn)的IIS發(fā)布目錄為C:\Inetpub，請(qǐng)將這個(gè)目錄刪除。在d盤(pán)或e盤(pán)新建一個(gè)目錄(目錄名隨意)，然后新建一個(gè)站點(diǎn)，將主目錄指向你新建的目錄。10．禁用不必要的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)共享

建議在網(wǎng)絡(luò)屬性中關(guān)閉“Microsoft網(wǎng)絡(luò)客戶(hù)端”和“Microsoft網(wǎng)絡(luò)文件與打印機(jī)共享”的選項(xiàng)。

建議去掉系統(tǒng)的默認(rèn)共享?？赏ㄟ^(guò)Net命令、“計(jì)算機(jī)管理”或修改注冊(cè)表實(shí)現(xiàn)。11．其它建議仔細(xì)查看“本地安全策略”、“計(jì)算機(jī)管理”及“組策略”等相關(guān)組件的功能，了解這些組件對(duì)系統(tǒng)安全的影響。11.2Windows2000的訪問(wèn)控制11.2.311.3安全審計(jì)技術(shù)11.3.1安全審計(jì)概述

審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充，是訪問(wèn)控制的一個(gè)重要內(nèi)容。審計(jì)會(huì)對(duì)用戶(hù)使用何種信息資源、使用的時(shí)間，以及如何使用（執(zhí)行何種操作）進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問(wèn)題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。

審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶(hù)活動(dòng)。審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶(hù)的侵害，同時(shí)還能幫助恢復(fù)數(shù)據(jù)。11.3安全審計(jì)技術(shù)11.3.1安全審計(jì)概述11.3安全審計(jì)技術(shù)11.3.2審計(jì)內(nèi)容

審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括個(gè)人職能、事件重建、入侵檢測(cè)和故障分析。

1）個(gè)人職能（individualaccountability）

審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的技術(shù)手段。如果用戶(hù)被知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過(guò)安全控制措施。

2）事件重建（reconstructionofevents）

在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。

3）入侵檢測(cè)（intrusiondetection）

審計(jì)跟蹤記錄可以用來(lái)協(xié)助入侵檢測(cè)工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或是過(guò)后預(yù)防入侵檢測(cè)活動(dòng)。4）故障分析（problemanalysis）審計(jì)跟蹤可以用于實(shí)時(shí)審計(jì)或監(jiān)控。11.3安全審計(jì)技術(shù)11.3.2審計(jì)內(nèi)容11.3安全審計(jì)技術(shù)11.3.3安全審計(jì)的目標(biāo)

計(jì)算機(jī)安全審計(jì)機(jī)制的目標(biāo)如下：

1)應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問(wèn)題所在；但另一方面，提供的信息應(yīng)不足以使他們自己也能夠進(jìn)行攻擊。

2)應(yīng)優(yōu)化審計(jì)追蹤的內(nèi)容，以檢測(cè)發(fā)現(xiàn)的問(wèn)題，而且必須能從不同的系統(tǒng)資源收集信息。

3)應(yīng)能夠?qū)σ粋€(gè)給定的資源(其他用戶(hù)也被視為資源)進(jìn)行審計(jì)分析，分辨看似正常的活動(dòng)，以發(fā)現(xiàn)內(nèi)部計(jì)算機(jī)系統(tǒng)的不正當(dāng)使用；

4)設(shè)計(jì)審計(jì)機(jī)制時(shí)，應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi)。

概括而言，審計(jì)系統(tǒng)的目標(biāo)至少包括：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；確認(rèn)重建事件的發(fā)生；評(píng)估損失；臨測(cè)系統(tǒng)問(wèn)題區(qū)；提供有效的災(zāi)難恢復(fù)依據(jù)；提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)；提供案件偵破證據(jù)。

11.3安全審計(jì)技術(shù)11.3.3安全審計(jì)的目標(biāo)11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)

審計(jì)通過(guò)對(duì)所關(guān)心的事件進(jìn)行記錄和分析來(lái)實(shí)現(xiàn)。因此審計(jì)過(guò)程包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制幾部分。1．日志的內(nèi)容

通常，對(duì)于一個(gè)事件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶(hù)(地址)、事件和源和目的的位置、事件類(lèi)型、事件成敗等。2．安全審計(jì)的記錄機(jī)制

不同的系統(tǒng)可采用不同的機(jī)制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專(zhuān)用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調(diào)用Syslog來(lái)記錄日志，也可以用SNMP記錄。11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)(續(xù))3．安全審計(jì)分析

通過(guò)對(duì)日志進(jìn)行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計(jì)的根本目的。主要內(nèi)容有：1）潛在侵害分析；2）基于異常檢測(cè)的輪廓；3）簡(jiǎn)單攻擊探測(cè)；4）復(fù)雜攻擊探測(cè)。

4．審計(jì)事件查閱

由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全主要是查閱和存儲(chǔ)的安全。審計(jì)事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。5．審計(jì)事件存儲(chǔ)

審計(jì)事件的存儲(chǔ)也有安全要求，主要有：1）受保護(hù)的審計(jì)蹤跡存儲(chǔ)；2）審計(jì)數(shù)據(jù)的可用性保證；3）防止審計(jì)數(shù)據(jù)丟失。

11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)(續(xù))11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

流行的操作系統(tǒng)都提供審計(jì)的功能。下面以Windows2000Server操作系統(tǒng)為例，在NTFS格式的支持下，說(shuō)明安全審計(jì)的應(yīng)用實(shí)例。

1．審計(jì)子系統(tǒng)結(jié)構(gòu)

在“資源管理器”中，選擇右鍵菜單中的屬性—安全—高級(jí)，再選擇“審核”以激活目錄審核對(duì)話(huà)框，系統(tǒng)管理員可以在這個(gè)窗口選擇跟蹤有效和無(wú)效的文件訪問(wèn)。11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

在“本地安全策”中，系統(tǒng)管理員可以根據(jù)各種用戶(hù)事件的成功和失敗選擇審計(jì)策略，如登錄和退出、文件訪問(wèn)、權(quán)限非法和關(guān)閉系統(tǒng)等。11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

系統(tǒng)管理員可以使用事件查看器的篩選選項(xiàng)根據(jù)一定條件選擇要查看的日志條目。查看條件包括類(lèi)別、用戶(hù)和消息類(lèi)型。11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

Windows的日志文件很多，但主要是系統(tǒng)日志、應(yīng)用程序日志和安全日志三個(gè)。

1）系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。

2）應(yīng)用程序日志。跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載dll（動(dòng)態(tài)鏈接庫(kù)）失敗的信息將出現(xiàn)在日志中。

3）安全日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問(wèn)權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。

11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

2．審計(jì)日志和記錄格式

Windows的審計(jì)日志由一系列的事件記錄組成。每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。

事件記錄頭的“源”指用來(lái)響應(yīng)產(chǎn)生事件記錄的軟件。源可以是一個(gè)應(yīng)用程序、一個(gè)系統(tǒng)服務(wù)或一個(gè)設(shè)備驅(qū)動(dòng)程序。

“類(lèi)型”是事件嚴(yán)重性指示器。在系統(tǒng)和應(yīng)用日志中，類(lèi)型可以是錯(cuò)誤、警告或信息。在安全日志中，類(lèi)型可能是成功審計(jì)或失敗審計(jì)。

“種類(lèi)”指觸發(fā)事件類(lèi)型，主要用在安全日志中指示該類(lèi)事件的成功或失敗審計(jì)已經(jīng)被許可。

11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例

3．事件日志管理特征

Windows提供了大量特征給系統(tǒng)管理員去管理系統(tǒng)事件日志機(jī)制。當(dāng)系統(tǒng)開(kāi)始運(yùn)行時(shí)，系統(tǒng)和應(yīng)用事件日志也自動(dòng)開(kāi)始。當(dāng)日志文件滿(mǎn)并且系統(tǒng)配置規(guī)定它們必須被手工清除時(shí)，日志停止。

4．安全日志的審計(jì)策略

審計(jì)規(guī)則既可以審計(jì)成功操作，又可以審計(jì)失敗操作。包括：1）登錄及注銷(xiāo)；2）用戶(hù)及組管理；3）文件及對(duì)象訪問(wèn)；4）安全性規(guī)則更改；5）重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)級(jí)事件；6）進(jìn)程追蹤；7）文件和目錄審計(jì)。

5．管理和維護(hù)審計(jì)

通常情況下，Windows不是將所有的事件都記錄日志，而需要手動(dòng)啟動(dòng)審計(jì)的功能。選擇“本地安全策略”，選擇設(shè)置相應(yīng)的項(xiàng)目即可。

當(dāng)需要審查審計(jì)日志以跟蹤網(wǎng)絡(luò)或機(jī)器上的異常事件時(shí)，采用一些第三方提供的工具是一個(gè)較有效率的選擇。

11.3安全審計(jì)技術(shù)11.3.5安全審計(jì)應(yīng)用實(shí)例本章小結(jié)

訪問(wèn)控制分自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制三類(lèi)。

針對(duì)Windows2000Server操作系統(tǒng)，介紹了訪問(wèn)控制和安全審計(jì)的實(shí)現(xiàn)過(guò)程。

本章小結(jié)訪問(wèn)控制分自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于作業(yè)及實(shí)驗(yàn)作業(yè)：P2401、2、3、5、7推薦實(shí)驗(yàn)：Windows2000Server的訪問(wèn)控制和審計(jì)實(shí)現(xiàn)。(含Net、Cacls、Gpedit等命令的應(yīng)用。)作業(yè)及實(shí)驗(yàn)作業(yè)：系統(tǒng)訪問(wèn)控制與審計(jì)技術(shù)

本章學(xué)習(xí)目標(biāo)：了解幾種基本的訪問(wèn)控制技術(shù)熟悉常用操作系統(tǒng)的安全技術(shù)了解操作系統(tǒng)的審計(jì)技術(shù)系統(tǒng)訪問(wèn)控制與審計(jì)技術(shù)本章學(xué)習(xí)目標(biāo)：11.1訪問(wèn)控制技術(shù)訪問(wèn)控制是在保障授權(quán)用戶(hù)能獲取所需資源的同時(shí)拒絕非授權(quán)用戶(hù)的安全機(jī)制。訪問(wèn)控制也是信息安全理論基礎(chǔ)的重要組成部分。本章講述訪問(wèn)控制的原理、作用、分類(lèi)和研究前沿，重點(diǎn)介紹較典型的自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

11.1.1訪問(wèn)控制技術(shù)的概念

11.1訪問(wèn)控制技術(shù)訪問(wèn)控制是在保障授權(quán)用戶(hù)能獲取11.1訪問(wèn)控制技術(shù)

訪問(wèn)控制與其他安全措施之間的關(guān)系可以用圖11-1來(lái)簡(jiǎn)要說(shuō)明。在用戶(hù)身份認(rèn)證(如果必要)和授權(quán)之后，訪問(wèn)控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶(hù)訪問(wèn)某項(xiàng)資源(目標(biāo))進(jìn)行控制，只有規(guī)則允許時(shí)才能訪問(wèn)，違反預(yù)定的安全規(guī)則的訪問(wèn)行為將被拒絕。資源可以是信息資源、處理資源、通信資源或者物理資源，訪問(wèn)方式可以是獲取信息、修改信息或者完成某種功能，一般情況可以理解為讀、寫(xiě)或者執(zhí)行。

11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)訪問(wèn)控制與其他安全措施之間的關(guān)11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理訪問(wèn)控制的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用；它決定用戶(hù)能做什么，也決定代表一定用戶(hù)身份的進(jìn)程能做什么。訪問(wèn)控制一般包括三種類(lèi)型：自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理自主訪問(wèn)控制（DiscretionaryAccessControl，DAC）是一種常用的訪問(wèn)控制方式，它基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，這種控制是自主的。自主是指主體能夠自主的(可能是間接的)將訪問(wèn)權(quán)或訪問(wèn)權(quán)的某個(gè)子集授予其他主體。

1．自主訪問(wèn)控制自主訪問(wèn)控制是一種比較寬松的訪問(wèn)控制，一個(gè)主體的訪問(wèn)權(quán)限具有傳遞性。傳遞可能會(huì)給系統(tǒng)帶來(lái)安全隱患，某個(gè)主體通過(guò)繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問(wèn)權(quán)限，就可能破壞系統(tǒng)的安全性。這是自主訪問(wèn)控制方式的缺點(diǎn)。

為了實(shí)現(xiàn)完整的自主訪問(wèn)系統(tǒng)，訪問(wèn)控制一般由一個(gè)矩陣來(lái)表示。矩陣中的一行表示一個(gè)主體的所有權(quán)限；一列則是關(guān)于一個(gè)客體的所有權(quán)限；矩陣中的元素是該元素所在行對(duì)應(yīng)的主體對(duì)該元素所在列對(duì)應(yīng)的客體的訪問(wèn)權(quán)限。具體實(shí)現(xiàn)時(shí)，往往是基于矩陣的行或者列來(lái)表達(dá)訪問(wèn)控制信息。

11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理訪問(wèn)控制表(AccessControlList，ACL)是基于訪問(wèn)控制矩陣中列的自主訪問(wèn)控制。

1．自主訪問(wèn)控制(續(xù))（1）訪問(wèn)控制表

對(duì)系統(tǒng)中一個(gè)需要保護(hù)的客體Oj附加的訪問(wèn)控制表的結(jié)構(gòu)如下圖所示

在上圖的例子中，對(duì)于客體Oj,主體S0具有讀(r)和執(zhí)行(e)的權(quán)利；主體S1只有讀的權(quán)利；主體S2只有執(zhí)行的權(quán)利；主體Sm具有讀、寫(xiě)(w)和執(zhí)行的權(quán)利。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理1．自主訪問(wèn)控制(續(xù))

(2)訪問(wèn)能力表

訪問(wèn)能力表(AccessCapabilitiesList)是最常用的基于行的自主訪問(wèn)控制。能力(capability)是為主體提供的、對(duì)客體具有特定訪問(wèn)權(quán)限的不可偽造的標(biāo)志，它決定主體是否可以訪問(wèn)客體以及以什么方式訪問(wèn)客體。主體可以將能力轉(zhuǎn)移給為自己工作的進(jìn)程，在進(jìn)程運(yùn)行期間，還可以添加或者修改能力。

能力的轉(zhuǎn)移不受任何策略的限制，所以對(duì)于一個(gè)特定的客體，不能確定所有有權(quán)訪問(wèn)它的主體。因此，訪問(wèn)能力表不能實(shí)現(xiàn)完備的自主訪問(wèn)控制，而訪問(wèn)控制表是可以實(shí)現(xiàn)的。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理1．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理2．強(qiáng)制訪問(wèn)控制

強(qiáng)制訪問(wèn)控制系統(tǒng)為所有的主體和客體指定安全級(jí)別，比如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)和無(wú)密級(jí)。不同級(jí)別標(biāo)記了不同重要程度和能力的實(shí)體。不同級(jí)別的主體對(duì)不同級(jí)別的客體的訪問(wèn)是在強(qiáng)制的安全策略下實(shí)現(xiàn)的。在強(qiáng)制訪問(wèn)控制機(jī)制中，將安全級(jí)別進(jìn)行排序，如按照從高到低排列，規(guī)定高級(jí)別可以單向訪問(wèn)低級(jí)別，也可以規(guī)定低級(jí)別可以單向訪問(wèn)高級(jí)別。這種訪問(wèn)可以是讀，也可以是寫(xiě)或修改。

1）保障信息完整性策略。2）保障信息機(jī)密性策略。

自主訪問(wèn)控制較弱，而強(qiáng)制訪問(wèn)控制又太強(qiáng)，會(huì)給用戶(hù)帶來(lái)許多不便。因此，實(shí)際應(yīng)用中，往往將自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制結(jié)合在一起使用。自主訪問(wèn)控制作為基礎(chǔ)的、常用的控制手段；強(qiáng)制訪問(wèn)控制作為增強(qiáng)的、更加嚴(yán)格的控制手段。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理2．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制模式(RoleBasedAccessControl，RBAC)中，用戶(hù)不是自始至終以同樣的注冊(cè)身份和權(quán)限訪問(wèn)系統(tǒng)，而是以一定的角色訪問(wèn)，不同的角色被賦予不同的訪問(wèn)權(quán)限，系統(tǒng)的訪問(wèn)控制機(jī)制只看到角色，而看不到用戶(hù)。用戶(hù)在訪問(wèn)系統(tǒng)前，經(jīng)過(guò)角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶(hù)獲得特定角色后，系統(tǒng)依然可以按照自主訪問(wèn)控制或強(qiáng)制訪問(wèn)控制機(jī)制控制角色的訪問(wèn)能力。

（1）角色的概念

在基于角色的訪問(wèn)控制中，角色(role)定義為與一個(gè)特定活動(dòng)相關(guān)聯(lián)的一組動(dòng)作和責(zé)任。系統(tǒng)中的主體擔(dān)任角色，完成角色規(guī)定的責(zé)任，具有角色擁有的權(quán)限。一個(gè)主體可以同時(shí)擔(dān)任多個(gè)角色，它的權(quán)限就是多個(gè)角色權(quán)限的總和。基于角色的訪問(wèn)控制就是通過(guò)各種角色的不同搭配授權(quán)來(lái)盡可能實(shí)現(xiàn)主體的最小權(quán)限(最小授權(quán)指主體在能夠完成所有必需的訪問(wèn)工作基礎(chǔ)上的最小權(quán)限)。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．基于角色的訪問(wèn)控制

（2）基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制就是通過(guò)定義角色的權(quán)限，為系統(tǒng)中的主體分配角色來(lái)實(shí)現(xiàn)訪問(wèn)控制的。用戶(hù)先經(jīng)認(rèn)證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶(hù)以特定角色訪問(wèn)系統(tǒng)資源，訪問(wèn)控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問(wèn)。這種訪問(wèn)控制方法的具體特點(diǎn)如下：1）提供了三種授權(quán)管理的控制途徑2）系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，便于管理。3）具有較好的提供最小權(quán)利的能力，從而提高了安全性。4）具有責(zé)任分離的能力。11.1訪問(wèn)控制技術(shù)11.1.2訪問(wèn)控制原理3．11.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念1．安全模型

Windows的安全模型由以下幾個(gè)關(guān)鍵部分構(gòu)成：

1）登錄過(guò)程(LogonProcess，LP)。接受本地用戶(hù)或者遠(yuǎn)程用戶(hù)的登錄請(qǐng)求，處理用戶(hù)信息，為用戶(hù)做一些初始化工作。

2）本地安全授權(quán)機(jī)構(gòu)(LocalSecurityAuthority，LSA)。根據(jù)安全賬號(hào)管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶(hù)的登錄信息，并控制審計(jì)和日志。這是整個(gè)安全子系統(tǒng)的核心。

3）安全賬號(hào)管理器(SecurityAccountManager，SAM)。維護(hù)賬號(hào)的安全性管理數(shù)據(jù)庫(kù)(SAM數(shù)據(jù)庫(kù)，又稱(chēng)目錄數(shù)據(jù)庫(kù))。

4）安全引用監(jiān)視器(SecurityReferenceMonitor，SRM)。檢查存取合法性，防止非法存取和修改。

這幾部分在訪問(wèn)控制的不同階段發(fā)揮了各自的作用。11.2Windows2000的訪問(wèn)控制11.2.111.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念2．安全概念

1）安全標(biāo)識(shí)(SecurityIdentifier，SID)：安全標(biāo)識(shí)和賬號(hào)唯一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。安全標(biāo)識(shí)與對(duì)應(yīng)的用戶(hù)和組的賬號(hào)信息一起存儲(chǔ)在SAM數(shù)據(jù)庫(kù)里。

2）訪問(wèn)令牌(AccessToken)。當(dāng)用戶(hù)登錄時(shí)，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)創(chuàng)建一個(gè)訪問(wèn)令牌，包括用戶(hù)名、所在組、安全標(biāo)識(shí)等信息。

3）主體。用戶(hù)登錄到系統(tǒng)之后，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)構(gòu)造一個(gè)訪問(wèn)令牌，這個(gè)令牌與該用戶(hù)所有的操作相聯(lián)系，用戶(hù)進(jìn)行的操作和訪問(wèn)令牌一起構(gòu)成一個(gè)主體。

4）對(duì)象、資源、共享資源。對(duì)象的實(shí)質(zhì)是封裝了數(shù)據(jù)和處理過(guò)程的一系列信息集合體。資源是用于網(wǎng)絡(luò)環(huán)境的對(duì)象。共享資源是在網(wǎng)絡(luò)上共享的對(duì)象。

5）安全描述符（SecurityDescript）。Windows系統(tǒng)會(huì)為共享資源創(chuàng)建安全描述符，包含了該對(duì)象的一組安全屬性。11.2Windows2000的訪問(wèn)控制11.2.1

安全描述符分為四個(gè)部分：

①所有者安全標(biāo)識(shí)(OwnerSecurityID)。擁有該對(duì)象的用戶(hù)或者用戶(hù)組的SD。

②組安全標(biāo)識(shí)(GroupSecurity)。

③自主訪問(wèn)控制表(DiscretionaryAccessControlList，DAC)。該對(duì)象的訪問(wèn)控制表，由對(duì)象的所有者控制。

④系統(tǒng)訪問(wèn)控制表(SystemAccessControlList，ACL)。定義操作系統(tǒng)將產(chǎn)生何種類(lèi)型的審計(jì)信息，由系統(tǒng)的安全管理員控制。其中，安全描述符中的每一個(gè)訪問(wèn)控制表(ACL)都由訪問(wèn)控制項(xiàng)(AccessControlEntries，ACEs)組成，用來(lái)描述用戶(hù)或者組對(duì)對(duì)象的訪問(wèn)或?qū)徲?jì)權(quán)限。ACEs有三種類(lèi)型：AccessAllowed、AccessDenied和SystemAudit。前兩種用于自主訪問(wèn)控制；后一種用于記錄安全日志。

11.2Windows2000的訪問(wèn)控制11.2.1Windows的安全模型與基本概念2．安全概念(續(xù))

Cacls命令安全描述符分為四個(gè)部分：11.2Windows20

當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows系統(tǒng)為它分配一個(gè)SID，并與其他賬號(hào)信息一起存入SAM數(shù)據(jù)庫(kù)。

每次用戶(hù)登錄時(shí)，登錄主機(jī)(通常為工作站)的系統(tǒng)首先把用戶(hù)輸入的用戶(hù)名、口令和用戶(hù)希望登錄的服務(wù)器／域信息送給安全賬號(hào)管理器，安全賬號(hào)管理器將這些信息與SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行比較，如果匹配，服務(wù)器發(fā)給工作站允許訪問(wèn)的信息，并返回用戶(hù)的安全標(biāo)識(shí)和用戶(hù)所在組的安全標(biāo)識(shí)，工作站系統(tǒng)為用戶(hù)生成一個(gè)進(jìn)程。服務(wù)器還要記錄用戶(hù)賬號(hào)的特權(quán)、主目錄位置、工作站參數(shù)等信息。

然后，本地安全授權(quán)機(jī)構(gòu)為用戶(hù)創(chuàng)建訪問(wèn)令牌，包括用戶(hù)名、所在組、安全標(biāo)識(shí)等信息。此后用戶(hù)每新建一個(gè)進(jìn)程，都將訪問(wèn)令牌復(fù)制作為該進(jìn)程的訪問(wèn)令牌。

當(dāng)用戶(hù)或者用戶(hù)生成的進(jìn)程要訪問(wèn)某個(gè)對(duì)象時(shí)，安全引用監(jiān)視器將用戶(hù)／進(jìn)程的訪問(wèn)令牌中的SID與對(duì)象安全描述符中的自主訪問(wèn)控制表進(jìn)行比較，從而決定用戶(hù)是否有權(quán)訪問(wèn)對(duì)象。11.2Windows2000的訪問(wèn)控制11.2.2Windows的訪問(wèn)控制過(guò)程當(dāng)一個(gè)賬號(hào)被創(chuàng)建時(shí)，Windows系統(tǒng)為它分配一個(gè)SID11.2Windows2000的訪問(wèn)控制11.2.2Windows的訪問(wèn)控制過(guò)程

資源的本地訪問(wèn)權(quán)限共有以下六種，每一種權(quán)限都可設(shè)置為允許或拒絕。1）完全控制2）修改3）讀取及運(yùn)行4）列出文件夾目錄5）讀取6）寫(xiě)入

資源的共享訪問(wèn)權(quán)限共有以下四種：1）完全控制2）讀取3）更改4）拒絕訪問(wèn)11.2Windows2000的訪問(wèn)控制11.2.211.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置1．用戶(hù)管理

刪除所有不需要的賬號(hào)，禁用所有暫時(shí)不用的賬號(hào)。一定要禁用“guest”用戶(hù)。重命名系統(tǒng)默認(rèn)的管理員“Administrator”，然后再創(chuàng)建一個(gè)名為“Administrator”的用戶(hù)，并分配給這個(gè)新用戶(hù)一個(gè)復(fù)雜無(wú)比的口令，最后不讓它屬于任何組。2．使用NTFS文件系統(tǒng)

FAT32無(wú)法提供用戶(hù)所需的針對(duì)于本地的單個(gè)文件與目錄的權(quán)限設(shè)置。NTFS格式是服務(wù)器必須的，使用FAT32文件系統(tǒng)沒(méi)有安全性可言。3．不讓系統(tǒng)顯示上次登錄的用戶(hù)名

通過(guò)修改“管理工具”中的“本地安全策略”的相應(yīng)選項(xiàng)或修改系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。

11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))4．禁止建立空連接

默認(rèn)情況下，任何用戶(hù)可通過(guò)空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼。通過(guò)修改“管理工具”中的“本地安全策略”的相應(yīng)選項(xiàng)或修改系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。

5．打開(kāi)安全審核

Windows2000的安全審計(jì)功能在默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測(cè)。你可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問(wèn)等。設(shè)置“本地安全策略”中“本地策略”的“審核策略”，建議設(shè)置如下：審核策略設(shè)置賬戶(hù)登錄事件成功，失敗賬戶(hù)管理成功，失敗登錄事件成功，失敗對(duì)象訪問(wèn)失敗策略更改成功，失敗特權(quán)使用成功，失敗系統(tǒng)事件失敗11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))

6．關(guān)閉不必要和危險(xiǎn)的系統(tǒng)服務(wù)

安裝好Windows2000后，一般開(kāi)放了數(shù)十項(xiàng)系統(tǒng)或應(yīng)用服務(wù)，做為一個(gè)管理員，應(yīng)該知道各種服務(wù)都是做什么用的，例如有人入侵后須及時(shí)發(fā)現(xiàn)是否運(yùn)行了一些入侵者留下的服務(wù)。管理方法是打開(kāi)“管理工具”>“服務(wù)”，根據(jù)要求啟動(dòng)/停止相應(yīng)的服務(wù)。可參照附錄1。7．修改終端服務(wù)的默認(rèn)端口

如有必要才需要此操作，默認(rèn)為3389，可隨意修改為1～65535的端口。鍵值：“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”。

8．網(wǎng)卡的端口篩選

具體情況配置。通過(guò)網(wǎng)卡“屬性”-“TCP/IP協(xié)議屬性”-“高級(jí)”-“選項(xiàng)”-“TCP/IP篩選屬性”來(lái)設(shè)置。根據(jù)服務(wù)器開(kāi)啟的應(yīng)用服務(wù)，添加相應(yīng)的TCP、UDP端口或IP協(xié)議。如一臺(tái)服務(wù)器只作Web和Email服務(wù)器，則可只允許80、110和25端口。11.2Windows2000的訪問(wèn)控制11.2.311.2Windows2000的訪問(wèn)控制11.2.3Windows2000Server系統(tǒng)安全設(shè)置(續(xù))

9．IIS安全配置

IIS安全操作步驟：配置“開(kāi)始”—“程序”-“管理工具”-“Internet服務(wù)管理器”。刪除“默認(rèn)站點(diǎn)”的站點(diǎn)。默認(rèn)的IIS發(fā)布目錄為C:\Inetpub，請(qǐng)將這個(gè)目錄刪除。在d盤(pán)或e盤(pán)新建一個(gè)目錄(目錄名隨意)，然后新建一個(gè)站點(diǎn)，將主目錄指向你新建的目錄。10．禁用不必要的網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)共享

建議在網(wǎng)絡(luò)屬性中關(guān)閉“Microsoft網(wǎng)絡(luò)客戶(hù)端”和“Microsoft網(wǎng)絡(luò)文件與打印機(jī)共享”的選項(xiàng)。

建議去掉系統(tǒng)的默認(rèn)共享?？赏ㄟ^(guò)Net命令、“計(jì)算機(jī)管理”或修改注冊(cè)表實(shí)現(xiàn)。11．其它建議仔細(xì)查看“本地安全策略”、“計(jì)算機(jī)管理”及“組策略”等相關(guān)組件的功能，了解這些組件對(duì)系統(tǒng)安全的影響。11.2Windows2000的訪問(wèn)控制11.2.311.3安全審計(jì)技術(shù)11.3.1安全審計(jì)概述

審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充，是訪問(wèn)控制的一個(gè)重要內(nèi)容。審計(jì)會(huì)對(duì)用戶(hù)使用何種信息資源、使用的時(shí)間，以及如何使用（執(zhí)行何種操作）進(jìn)行記錄與監(jiān)控。審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問(wèn)題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。

審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶(hù)活動(dòng)。審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶(hù)的侵害，同時(shí)還能幫助恢復(fù)數(shù)據(jù)。11.3安全審計(jì)技術(shù)11.3.1安全審計(jì)概述11.3安全審計(jì)技術(shù)11.3.2審計(jì)內(nèi)容

審計(jì)跟蹤可以實(shí)現(xiàn)多種安全相關(guān)目標(biāo)，包括個(gè)人職能、事件重建、入侵檢測(cè)和故障分析。

1）個(gè)人職能（individualaccountability）

審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的技術(shù)手段。如果用戶(hù)被知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過(guò)安全控制措施。

2）事件重建（reconstructionofevents）

在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。

3）入侵檢測(cè)（intrusiondetection）

審計(jì)跟蹤記錄可以用來(lái)協(xié)助入侵檢測(cè)工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或是過(guò)后預(yù)防入侵檢測(cè)活動(dòng)。4）故障分析（problemanalysis）審計(jì)跟蹤可以用于實(shí)時(shí)審計(jì)或監(jiān)控。11.3安全審計(jì)技術(shù)11.3.2審計(jì)內(nèi)容11.3安全審計(jì)技術(shù)11.3.3安全審計(jì)的目標(biāo)

計(jì)算機(jī)安全審計(jì)機(jī)制的目標(biāo)如下：

1)應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問(wèn)題所在；但另一方面，提供的信息應(yīng)不足以使他們自己也能夠進(jìn)行攻擊。

2)應(yīng)優(yōu)化審計(jì)追蹤的內(nèi)容，以檢測(cè)發(fā)現(xiàn)的問(wèn)題，而且必須能從不同的系統(tǒng)資源收集信息。

3)應(yīng)能夠?qū)σ粋€(gè)給定的資源(其他用戶(hù)也被視為資源)進(jìn)行審計(jì)分析，分辨看似正常的活動(dòng)，以發(fā)現(xiàn)內(nèi)部計(jì)算機(jī)系統(tǒng)的不正當(dāng)使用；

4)設(shè)計(jì)審計(jì)機(jī)制時(shí)，應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi)。

概括而言，審計(jì)系統(tǒng)的目標(biāo)至少包括：確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任；確認(rèn)重建事件的發(fā)生；評(píng)估損失；臨測(cè)系統(tǒng)問(wèn)題區(qū)；提供有效的災(zāi)難恢復(fù)依據(jù)；提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù)；提供案件偵破證據(jù)。

11.3安全審計(jì)技術(shù)11.3.3安全審計(jì)的目標(biāo)11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)

審計(jì)通過(guò)對(duì)所關(guān)心的事件進(jìn)行記錄和分析來(lái)實(shí)現(xiàn)。因此審計(jì)過(guò)程包括審計(jì)發(fā)生器、日志記錄器、日志分析器和報(bào)告機(jī)制幾部分。1．日志的內(nèi)容

通常，對(duì)于一個(gè)事件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶(hù)(地址)、事件和源和目的的位置、事件類(lèi)型、事件成敗等。2．安全審計(jì)的記錄機(jī)制

不同的系統(tǒng)可采用不同的機(jī)制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專(zhuān)用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調(diào)用Syslog來(lái)記錄日志，也可以用SNMP記錄。11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)系統(tǒng)11.3安全審計(jì)技術(shù)11.3.4安全審計(jì)