美國可信計算評價標準-

SecurityRiskAssessment--

Windows1美國可信計算機安全評價標準（

TrustedComputerSystemEvaluationCriteria，橘皮書

TCSEC）是計算機系統(tǒng)安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC將計算機系統(tǒng)的安全劃分為4個等級、7個級別。

TCSEC2023/12/92TCSEC定義的內(nèi)容沒有安全性可言，例如MSDOS不區(qū)分用戶，基本的訪問控制D級C1級C2級B1級B2級B3級A級有自主的訪問安全性，區(qū)分用戶標記安全保護，如SystemV等結(jié)構(gòu)化內(nèi)容保護，支持硬件保護安全域，數(shù)據(jù)隱藏與分層、屏蔽校驗級保護，提供低級別手段3D—MinimalprotectionReservedforthosesystemsthathavebeenevaluatedbutthatfailtomeettherequirementsforahigherdivision

D類安全等級2023/12/94C類安全等級：C1—DiscretionarySecurityProtectionIdentificationandauthenticationSeparationofusersanddataDiscretionaryAccessControl(DAC)capableofenforcingaccesslimitationsonanindividualbasisC2—ControlledAccessProtectionMorefinelygrainedDACIndividualaccountabilitythroughloginproceduresAudittrailsObjectreuseResourceisolationRequiredSystemDocumentationandusermanuals.

C類安全等級2023/12/95B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統(tǒng)具有強制性保護功能。強制性保護意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。

B類安全等級2023/12/96A類安全等級：A系統(tǒng)的顯著特征是，系統(tǒng)的設計者必須按照一個正式的設計規(guī)范來分析系統(tǒng)。對系統(tǒng)分析后，設計者必須運用核對技術(shù)來確保系統(tǒng)符合設計規(guī)范。A系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個安全策略的正式模型;所有的安裝操作都必須由系統(tǒng)管理員進行；系統(tǒng)管理員進行的每一步安裝操作都必須有正式文檔。

A類安全等級2023/12/971995年7月，WindowsNT3.5取得了TCSEC的C2安全級；1999年3月，NT4獲得英國ITSEC組織的E3級別，等同于C2級；Windows2000也獲得了C2安全級別微軟操作系統(tǒng)安全性分析2023/12/982000年2月發(fā)布四個版本：Professional,Server,AdvancedServer,Datacenterserver容錯和冗余，文件系統(tǒng)NTFS5，DFS(distributedfilesystem)

活動目錄安全性”themostsecurewindowswehaveevershipped”Windows20002023/12/99系統(tǒng)實現(xiàn)安全登錄機制，自主訪問控制機制，安全審計機制和對象重用保護機制安全登錄自主訪問控制(DAC，discretionalaccesscontrol)：對象的屬主來制定針對該對象的保護策略。通常DAC通過授權(quán)列表（或訪問控制列表ACL）來限定哪些主體針對哪些客體可以執(zhí)行什么操作;可以非常靈活地對策略進行調(diào)整。易用性與可擴展性;經(jīng)常被用于商業(yè)系統(tǒng)。C2安全級別的關(guān)鍵要求2023/12/910與DAC對應的是強制訪問控制（mandatoryaccesscontrol,MAC)系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制，用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?。通過對數(shù)據(jù)和用戶按照安全等級劃分標簽，訪問控制機制通過比較安全標簽來確定的授予還是拒絕用戶對資源的訪問。經(jīng)常用于軍事用途。C2安全級別的關(guān)鍵要求2023/12/911安全審計對系統(tǒng)記錄和活動進行獨立的審查和檢查以確定系統(tǒng)控制的適合性，確保符合已建立的安全策略和操作規(guī)程，檢測安全服務的違規(guī)行為由工具生成和記錄安全審計跡，查看和分析審計跡研究和發(fā)現(xiàn)系統(tǒng)受到的攻擊和安全威脅對象重用保護：當資源（內(nèi)存、磁盤等）被某應用訪問時，Windows禁止所有的系統(tǒng)應用訪問該資源C2安全級別的關(guān)鍵要求2023/12/912NT系統(tǒng)實現(xiàn)的兩項B安全級的要求：信任路徑功能，用于防止用戶登錄時被特洛伊木馬程序截獲用戶名和密碼trustedpathissimplysomemechanismthatprovidesconfidencethattheuseriscommunicatingwithwhattheuserintendedtocommunicatewith,ensuringthatattackerscan'tinterceptormodifywhateverinformationisbeingcommunicated信任機制管理，支持管理功能的單獨帳號NT系統(tǒng)的安全機制2023/12/913截止2009年5月19日，“綠盟科技”的漏洞庫收集了2437條windows系統(tǒng)以及應用軟件的漏洞

Windows漏洞14Win2000的bug:中文版輸入法漏洞入侵，使本地用戶繞過身份驗證機制進入系統(tǒng)內(nèi)部Windows終端服務功能，使系統(tǒng)管理員進行遠程操作采用圖形界面，默認端口3389漏洞實例2023/12/915簡體中文輸入法漏洞2023/12/916漏洞實例2023/12/917漏洞實例2023/12/918漏洞實例2023/12/919漏洞實例2023/12/920C:\WINDOWS\system32\config\SAML0phtcrack：windows系統(tǒng)的口令字猜測工具，可脫機工作；SMBpacketcapture工具監(jiān)聽并捕獲登錄會話，剝離口令字windows日志事件查看器C:\windows\system32\configWindowsSAM21SMB:servermessageblock（打印共享）MSRPC:microsoftremoteprocedurecallNetbios,netbiossessionservice各種網(wǎng)絡服務在Windows中的具體實現(xiàn)http,smtp,pop3等微軟專用協(xié)議22Windows2000開始，IIS隨操作系統(tǒng)默認安裝信息泄露目錄遍歷緩沖區(qū)溢出IIS提供ftp,smtp等服務，且這些服務被激活后以system權(quán)限運行WindowsIIS23正確設置TCP/IP篩選24對重要的系統(tǒng)文件如cmd,net等進行嚴格的權(quán)限控制重要系統(tǒng)文件的權(quán)限設置25Windows系統(tǒng)的安全組件訪問控制的判斷（Discretionaccesscontrol） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。

對象重用（Objectreuse）

當資源（內(nèi)存、磁盤等）被某應用訪問時，Windows禁止所有的系統(tǒng)應用訪問該資源，這也就是為什么無法恢復已經(jīng)被刪除的文件的原因。

強制登陸（Mandatorylogon）要求所有的用戶必須登陸，通過認證后才可以訪問資源審核（Auditing）

在控制用戶訪問資源的同時，也可以對這些訪問作了相應的記錄。對象的訪問控制（Controlofaccesstoobject）

不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應用通過第一次認證后再訪問。26Windows安全子系統(tǒng)的組件安全標識符（SecurityIdentifiers）:

就是我們經(jīng)常說的SID，每次當我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一SID。

例：S-1-5-21-1763234323-3212657521-1234321321-500 SID：S-1-5-18

名稱：LocalSystem

說明：操作系統(tǒng)使用的服務帳戶。SID：S-1-5-19

名稱：NTAuthority

說明：本地服務SID：S-1-5-20

名稱：NTAuthority

說明：網(wǎng)絡服務

27訪問令牌（Accesstokens）:

用戶通過驗證后，登陸進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows系統(tǒng)，然后WindowsNT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當?shù)脑L問權(quán)限。訪問令牌是用戶在通過驗證的時候有登陸進程所提供的，所以改變用戶的權(quán)限需要注銷后重新登陸，重新獲取訪問令牌。Windows系統(tǒng)的安全組件28Windows安全子系統(tǒng)的組件安全描述符（Securitydescriptors）：

Windows系統(tǒng)中的任何對象的屬性都有安全描述符這部分。它保存對象的安全配置。訪問控制列表（Accesscontrollists）：訪問控制列表有兩種：任意訪問控制列表（DiscretionaryACL）、系統(tǒng)訪問