第8章_Window系統(tǒng)安全.ppt

1、2020/8/28,1,第8章 Windows系統(tǒng)安全,2,內(nèi)容提要,8.1 Windows NT 安全體系 介紹 安全模型 8.2 Windows NT的安全環(huán)境 8.3 Windows NT安全保護(hù) 事件日志 IP報文過濾 注冊表修改,3,8.1 Windows NT 安全體系,Windows NT是根據(jù)模塊化結(jié)構(gòu)設(shè)計而成的。所有的執(zhí)行程序服務(wù)都運行在內(nèi)核模式下，整個Windows NT操作系統(tǒng)由一系列的軟件模塊構(gòu)成。 Windows NT的安全性建立在Windows NT的核心層上，其安全模型屬于Windows NT的子系統(tǒng)。安全子系統(tǒng)控制著對象的訪問。 為防止用戶用戶應(yīng)用程序訪問或修改

2、系統(tǒng)重要數(shù)據(jù)，對處理器采用兩種訪問模式 內(nèi)核模式和用戶模式,4,8.1.2 Windows NT的安全模型,Windows NT的安全體系提供了對事件的審核和跟蹤手段來監(jiān)控系統(tǒng)中的訪問和應(yīng)用。 組成： 登錄過程 本地安全認(rèn)證 安全賬號管理器 安全引用監(jiān)視器,5,（1）Windows NT登錄過程,6,（2）本地安全認(rèn)證(LSA),本地安全認(rèn)證是一個被保護(hù)的子系統(tǒng)，Window 2000的LSA控制本地安全策略，向用戶提供認(rèn)證服務(wù)和策略。 應(yīng)該限制LSA信息不被匿名訪問，需要修改注冊表： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSAAno

3、nymous 賦值為1，類型為REG_DWORD,7,（3）安全賬號管理,安全賬號管理(SAM)負(fù)責(zé)SAM數(shù)據(jù)庫的控制和維護(hù) 可以使用regedt32.exe打開注冊表編輯器，如圖所示,8,9,（4）安全引用監(jiān)視器,以內(nèi)和模式運行，負(fù)責(zé)檢查Windows NT Server的合法性，以保護(hù)資源，避免使資源受到破壞。 為對象的有效訪問提供服務(wù)并為用戶提供訪問權(quán)限，同時還能阻止非授權(quán)用戶訪問，實施審計。 安全應(yīng)用監(jiān)視器對用戶透明。,10,8.2 Windows NT的安全環(huán)境,對象和共享資源 文件系統(tǒng) 域和工作組 用戶的權(quán)利和權(quán)限 用戶賬號 組賬號 注冊表,11,8.2.1對象和共享資源,對象是W

4、indows NT安全環(huán)境下的基本操作單元。對象的概念包括了文件、文件目錄、驅(qū)動器、進(jìn)程、存儲器等。 對象和訪問控制列表(ACL)的關(guān)系圖,12,8.2.2文件系統(tǒng),Windows NT支持兩種文件系統(tǒng) FAT (File Allocation Table) NTFS (NT File System) 不同的操作系統(tǒng)所采用的文件系統(tǒng)各不相同,13,FAT16文件系統(tǒng) 不能管理大容量的硬盤。每個分區(qū)的最大存儲容量只有2.115G； FAT16系統(tǒng)造成硬盤空間的大量浪費。 碎片的產(chǎn)生、處理、文件定位、數(shù)據(jù)安全等方面也均存在致命的缺陷,14,FAT32 文件系統(tǒng) FAT32可支持容量21.1G分區(qū)；

5、 可大大提高硬盤利用率，使用較小的簇,15,NTFS文件系統(tǒng) 是微軟Windows NT內(nèi)核系列操作系統(tǒng)支持的、一個特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式 結(jié)構(gòu)：卷、簇、主控文件表(MFT)等 NTFS的可恢復(fù)支持 斷電或系統(tǒng)受到破壞后，系統(tǒng)在不運行磁盤修復(fù)實用程序的情況下，保持完整的文件系統(tǒng)操作和磁盤的卷結(jié)構(gòu)的完整，但發(fā)生崩潰時例外。,16,NTFS系統(tǒng)支持安全管理，管理員可以制定可以或不可以存取個別的文件或目錄的用戶。 容錯支持，由于存在FtDisk.sys的容錯磁盤驅(qū)動程序。 NTFS壞簇恢復(fù)，F(xiàn)tDisk能夠從容錯卷上的一個壞扇區(qū)恢復(fù)數(shù)據(jù)，除非硬盤不使用SCSI協(xié)議

6、或用盡了備用扇區(qū)。,17,8.2.3域和工作組,域 域代表一組域控制器、服務(wù)器、工作站、用戶賬號、策略和域里的對象。域中有多個用戶組，用戶組中有若干用戶。 域由主域控制器來控制。每一個域只能有一個主域控制器，但可以同時擁有多個備份域控制器。 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。電腦聯(lián)入網(wǎng)絡(luò)時，域控制器進(jìn)行鑒別，決定是否可以訪問。,18,域的委托 用戶建立域之間的委托關(guān)系，就可以通過一個登錄標(biāo)識訪問其他域中的資源。 四種委托： 單域模型，用戶數(shù)1萬，單管 完全委托模型,所有域建立雙向委托，每個域都有一份用戶賬號和全局組，繁瑣,19,工作組 一個域內(nèi)可能有成

7、百上千臺計算機(jī)，如果不進(jìn)行分組，會非?；靵y； 工作組是單獨的系統(tǒng)或不屬于一個域的多個系統(tǒng)的有組織的單元，一個系統(tǒng)不屬于域，則它自動成了工作組的成員。 工作組網(wǎng)絡(luò)共享不如域模型安全，但適合小規(guī)模網(wǎng)絡(luò),20,8.2.4用戶的權(quán)利和權(quán)限,用戶權(quán)利是確定用戶可以在計算機(jī)上所執(zhí)行操作的規(guī)則。此外，用戶權(quán)利控制用戶是否可直接或通過網(wǎng)絡(luò)登錄，刪除用戶等。 通常，管理員通過想內(nèi)置組添加用戶賬戶，或創(chuàng)建新組并指派權(quán)利。用戶權(quán)利是通過“組策略”管理的。,21,權(quán)限 對象權(quán)限 只能在NTFS文件系統(tǒng)的分區(qū)中使用。 目錄和文件訪問權(quán)限,22,在NT中為了設(shè)置方便，系統(tǒng)提供了集中權(quán)限的組合，用戶可以直接使用它（標(biāo)準(zhǔn)權(quán)限

8、） 共享權(quán)限 決定用戶從網(wǎng)絡(luò)上訪問系統(tǒng)資源的方式，在NT系統(tǒng)中只能對目錄設(shè)置共享。 對象權(quán)限房門鑰匙 共享權(quán)限大樓門衛(wèi),23,8.2.5用戶賬號,Windows NT的用戶賬號是系統(tǒng)安全的核心。 Windows NT網(wǎng)絡(luò)中發(fā)生的一切活動都可以追溯到特定的授權(quán)用戶。 用戶賬戶通過用戶名和密碼來標(biāo)識，實際上，賬戶的關(guān)鍵標(biāo)識符是SID（安全標(biāo)識符）。 NT安全模型的各組件協(xié)同工作，根據(jù)用戶賬戶的權(quán)限和特權(quán)來允許或拒絕對資源的訪問。,24,8.2.6組賬號,監(jiān)理組，可以簡化對大量用戶進(jìn)行管理和確定權(quán)限的任務(wù)。 一個用戶可以屬于多個組。 用戶可以把目錄和文件的訪問權(quán)限賦予給用戶，也可以賦予組，后者更方便

9、。 三種類型 本地組 能直接訪問本地機(jī)的用戶 全局組 能訪問網(wǎng)上資源的用戶 特別組 為了特定目的,25,8.2.7注冊表,早期的Win3.x對軟硬件工作環(huán)境的配置通過修改.ini文件完成。 Windows95之后，采用了稱為“注冊表”的數(shù)據(jù)庫來統(tǒng)一進(jìn)行管理。 注冊表特點： 修改設(shè)置，不用重啟 新設(shè)備即插即用 可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置，遠(yuǎn)程管理,26,注冊表的體系結(jié)構(gòu),樹狀結(jié)構(gòu) 鍵和子鍵方式組織 按關(guān)鍵字搜索,27,8.3 Windows NT安全保護(hù),8.3.1 事件日志 8.3.2 IP報文過濾 8.3.3 注冊表修改,28,8.3.1事件日志,Windows NT的事件日志記錄著有關(guān)操作

10、系統(tǒng)或應(yīng)用程序的重要事件。 包括： 應(yīng)用程序日志 由應(yīng)用程序或一般程序記錄的事件 系統(tǒng)日志 由系統(tǒng)組件記錄的事件 安全日志 可以記錄諸如有效和無效登錄嘗試等安全事件，以及與資源使用有關(guān)的事件,29,查看日志，默認(rèn)的閱讀器 隨時可以停止或啟動服務(wù) C:NET STOP EVENTLOG C:NET START EVENTLOG,30,8.3.2 IP報文過濾,Windows 2000 IP 報文過濾 “TCP/IP篩選” 路由和遠(yuǎn)程服務(wù)(RRAS) 設(shè)定 用IPSec的策略進(jìn)行定義,31,Windows 2000配備的TCP/IP濾波機(jī)構(gòu)能進(jìn)行簡單控制。,32,在“TCP/IP篩選”中不能利用源

11、IP地址和標(biāo)志進(jìn)行精細(xì)控制。 Windows 2000 Server中，為了精細(xì)設(shè)定路由規(guī)則，必須使用RRAS （路由和遠(yuǎn)程訪問） 輸入過濾器 輸出過濾器,33,34,8.3.3 注冊表修改,基于NT框架的Windows NT和Windows 2000存在著不少致命的漏洞，注冊表記錄了系統(tǒng)和程序進(jìn)行運轉(zhuǎn)的幾乎所有關(guān)鍵信息，通過更改注冊表，可以在網(wǎng)絡(luò)內(nèi)部起到一定的安全防范作用。 對本地登錄的保護(hù) 防止遠(yuǎn)程攻擊,35,對本地登錄的保護(hù),1)讓用戶名不出現(xiàn)在登錄框中 訪問子鍵： HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinl

12、ogon 新建字符串： ”DontDisplayLastUserName”,并把該值設(shè)置為“1”,36,2)抵御Backdoor的破壞 訪問子鍵： HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionWinlogonRun 找到右邊窗口的“Notepad”鍵值，將它刪除即可,37,3)屏蔽“控制面板”中的指定項目,防止用戶進(jìn)行任意設(shè)置。 訪問子鍵： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl 新建一個雙字節(jié)(RE

13、G_DWORD)值項,修改其值為1。 然后，新建一個注冊表項HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl，在該項下新建若干個字符串(REG_SZ)值項: 形式為“序號控制面板項對應(yīng)的文件名” 如:屏蔽控制面板中的 “系統(tǒng)”，可以在該項下新建兩個值項“1” ，值為sysdm.cpl(系統(tǒng)項對應(yīng)的文件)，重啟桌面使更改生效。,38,不允許使用控制面板 鎖定桌面 禁用Regedit命令 隱藏網(wǎng)上鄰居 禁止屏幕保護(hù)使用密碼 ,39,防止遠(yuǎn)程攻擊,1）設(shè)置生存時間 訪問子鍵： HKEY

14、_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0 xff (0-255 十進(jìn)制，默認(rèn)值128) 說明：指定傳出IP數(shù)據(jù)包中設(shè)置的默認(rèn)生存時間(TTL)值。TTL決定了IP數(shù)據(jù)包在到達(dá)目標(biāo)前在網(wǎng)絡(luò)中生存的最大時間。它實際上限定了IP數(shù)據(jù)包在丟棄前允許通過的路由器數(shù)量。有時利用此數(shù)值來探測遠(yuǎn)程主機(jī)操作系統(tǒng)。,40,2）防止ICMP重定向報文的攻擊 訪問子鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParamet

15、ersEnableICMPRedirects REG_DWORD 0 x0 (默認(rèn)值為0 x1) 說明：該參數(shù)控制Windows 2000是否會改變其路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備(如路由器)發(fā)送給它的ICMP重定向消息，有時會被利用來干壞事。Win2000中默認(rèn)值為1，表示響應(yīng)ICMP重定向報文。,41,3）防止SYN洪水攻擊 訪問子鍵： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect REG_DWORD 0 x2 (默認(rèn)值為0 x0) 說明：SYN攻擊保護(hù)包括減少SYN-ACK重新傳輸次

16、數(shù)，以減少分配資源所保留的時間。路由緩存項資源分配延遲，直到建立連接為止.如果synattackprotect=2，則AFD的連接指示一直延遲到三路握手完成為止.注意，僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時，保護(hù)機(jī)制才會采取措施。,42,4）禁止C$、D$一類的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer REG_DWORD 0 x0 5）禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControl