搜索
课件166.6节实际操作系统中的安全机制WindowsandUnix6.6实际操作系统的安全机制本节介绍流行的操作系统WindowsNT和UNIX系统中使用的安全机制,它们综合利用前面介绍的各种访问控制技术,有的则和介绍的访问控制技术有所不同。6.6.1WindowsNT操作系统WindowsNT是一个网络操作系统,它有两个版本:WindowsNT的工作站版(WindowsNTWorkstation)和WindowsNT的服务器版(WindowsNTServer)。这两个版本的NT都有相同的核心支持、网络支持和安全系统。主要讨论NT的服务器版WindowsNTServer。WindowsNT运行于Client/Server模式,其设计客体是提供文件和打印服务;它支持远程访问服务RAS(RemoteAccessService)和Internet服务。WindowsNT中带有一个完全的WEB服务器组件——InternetInformationServer(IIS),所以它可以在Internet上提供WEB服务。另外,通过添加软件,WindowsNT也可以作为防火墙使用。一、NT的安全子系统WindowsNTServer的操作系统由一组软件组件组成,它们运行在核心模式下。核心模式由执行服务组成,它们构成一个自成体系的操作系统。用户模式由非特权的服务组成,这些服务也称为受保护子系统,它们的启动由用户决定。用户模式在核心模式之上,用户模式组件要利用核心模式提供的服务。图6-9WindowsNT体系结构其他子系统Win32子系统安全子系统系统服务I/O管理器图形驱动器微内核硬件抽象层对象管理器安全引用监控器进程管理器本地过程调用设施窗口管理器用户模式核心模式执行服务图6-10NT安全子系统登录进程安全策略数据库审计日志本地安全权限LSA安全账号管理器SAM用户账号数据库用户NT登录进程进行三类登录:①本地登录。如果用户登录到一个账号,这个账号存储在本地计算机上的用户账号数据库中,这种情况就属于本地登录。②域登录。如果用户登录到一个账号,这个账号存储在域用户账号数据库中,这种情况就属于域登录。③可信域登录。如果用户登录到一个账号,这个账号存储在可信域的用户账号数据库中,这种情况就属于可信域登录。(1)本地安全授权LSA(LocalSecurityAuthority)LSA是安全系统的中心组件,其功能是:负责管理和协调登录。对象访问和其他安全事件。LSA还协调安全账号管理器(SAM)和安全访问监控器SRM。它还链接到一个安全策略数据库和一个审计日志。(2)安全账号管理器SAM(SecurityAccountManager)。SAM组件管理用户账号数据库。当LSA需要验证用户是否有权限访问对象时,它就与SAM联系。(3)安全访问监控器SRM(SecurityReferenceMonitor)。SRM是一个核心模式下的软件组件,它检查一个用户是否有权限访问一个对象或者是否有权利完成某些动作。二、NT系统的安全机制NT具有很高的安全性,它的安全性体现在两方面,一是保障系统的健壮性,使系统不会因为应用程序的故障造成系统的崩溃;二是增强了防止非法用户入侵和限制用户的非法操作的能力。要想访问NT系统,首先需要在NT系统中拥有一个账户,其次要为该账户设置在系统中的权利(Right)和许可(Permission)权限。权利是指用户对整个系统能够做的事情,如关掉系统、往系统中添加设备、更改系统时间等权利;许可权限是指用户对系统资源所能做的事情,如对文件的读、写、执行、对打印机的管理文档、删除文档等许可。NT系统中有一个安全账户数据库,其中存放用户账户以及该账户具有的权利等,用户对资源的许可权限与相应的资源存放在一起。用户要想访问系统资源,首先向系统登录,NT有一个专用登录进程用于核对用户身份与口令。如果确认账户和口令有效,则把安全账户数据库中有关账户的信息收集在一起,形成一个访问令牌。访问令牌中包括:用户名与SID用户所属的组及组GID用户对系统所具有的权利然后NT就启动一个用户进程,将该访问令牌与之连接在一起,这个访问令牌就成为用户进程在NT系统中的通行证。用户无论做什么事情,NT中负责安全的进程都会检查其访问令牌,以确定其操作是否合法。用户登录成功之后,只要用户没有注销自己,其在系统中的权利就以访问令牌为准,考虑到效率问题,NT安全系统在此期间不再检查硬盘上的安全账户数据库。在用户登录之后,如果系统管理员修改了他的账户与权利,但这些修改只能在下次登录时才起作用。令牌中仅包含用户的权利,不包含访问资源的许可权限。NT是如何根据访问令牌控制用户对资源的访问控制呢?原来用户对资源具有的许可权限作为该资源的一个属性与资源存放在一起,例如,有一个目录D:\FILES,对其指定USER1只读,USER2完全控制,这两个许可权限作为该目录的属性和目录连接在一起各用户对某个资源(如文件)的许可权限在NT内部以访问控制表(ACL)的形式存放,各用户的许可权限以ACL表项(ACE)的形式表示,ACE中包含了用户名与该用户的许可权限。每个资源对应一个ACL表,上述D:\FILES的ACL表中包含两个ACE,一个记录USER1只读,另一个记录USER2完全控制。当USER1访问该目录时,NT安全系统检查用户的访问令牌并与目录的ACL对照,检查该用户的许可权限是否合法,如果不合法就被拒绝。三、NT的安全策略安全策略是系统所实现的安全功能的各种选项,系统管理员可以利用安全策略对计算机和网络在另一层次上进行安全管理,管理员需要针对环境仔细考虑需要何种安全性以及可能造成何种困难。对于个人账户和组账户可以使用不同的安全策略来管理,这些策略包括口令配置、文件审计和赋予执行系统任务的账号权限。NT的安全策略包括:账户策略:控制用户的设置和维护口令的方式,也提供NT账户锁定的特性。用户权限策略:控制可分配给工作站上的用户或用户组的显式权限。审计策略:控制审计日志中将要出现的事件类型。(1)账户策略账户策略设置口令的最小和最大时间限制、最小长度、设置口令的唯一性并配置账户的锁定特性。账户策略选项参见表6-7。选项说明范围最长密码期限在系统需要用户改变口令前,可以使用的口令的时间限制无限制或1~999天最短密码期限在用户可以改变口令前,必须使用的时间限制,如果设置了密码唯一性,则不允许立即改变密码允许立即改变或1~999天最短密码长度在用户口令中最少的字符数允许空口令或1~14个字符密码唯一性在使用旧口令前,必须使用的新口令数不保留历史或1~24个口令账户不锁定不管登录失败多少次,账户都不锁定锁定账户时登录失败的次数引起锁定的失败登录企图的次数1~999登录失败之后重新启动统计在两次失败的登录企图之间发生锁定的最大分钟数1~99999锁定时间选择“永久”,则锁定账户直到管理员解锁;选择“时间”并输入数字,则锁定账户指定的分钟数。1~99999用户必须登录方能更改密码设置时可防止用户在到期时改变自己的口令,用户必须从管理员处得到帮助。表6.7NT系统账户策略选项(2)用户权限策略用户权限策略管理向组与用户账户授予的权限。有两级用户权限可以分配:用户权限和高级用户权限,用户权限需要经常修改。管理员可以为用户指定从网络访问本计算机、装载与卸载设备驱动程序和可在本机登录。大部分高级用户是那些为WindowsNT写应用程序或设备驱动程序的开发人员,高级用户的权限包括创建一个页文件、把工作站增加到域和作为一种服务登录。(3)审计策略审计功能可以让管理员有选择的跟踪用户与系统的活动。审计策略确定WindowsNT将执行的安全性记录的数量和类型,当被审计的事件发生后,便在计算机的审计日志中增加一项。需要审计的事件参见表6-8。事件选择审计登录与注销成功用户成功地登录到工作站或从工作站注销,或用户从网络成功地连接到计算机时;失败上述各操作失败时审计;文件或对象访问成功用户成功地访问被审计的目录、文件、打印机时;失败用户企图访问上述对象但未成功时;用户权限使用成功用户成功的使用用户权限;失败用户企图但未成功用户和组管理成功成功地创建、改变、或删除用户和组,或成功地设置和改变口令;失败上述操作的失败;安全策略改变成功成功改变用户权限与审计策略;失败改变的企图失败;重启动、关闭和系统安全性成功用户成功地重启动或关闭计算机,或发生影响系统安全事件;失败重启动或关闭计算机失败的企图;过程跟踪成功详细地跟踪一些事件信息,如成功的程序启动、处理复制的一些格式、间接对象访问和过程退出;失败上述操作的失败;表6.8需要审计的事件四、NT的资源管理NT系统中,如果你访问自己正在使用的计算机上的资源,这称为访问本地资源,如果访问其他计算机上的资源,则称为远程访问,而不管这台计算机地理上相距的远近。NT系统中资源是指硬盘上的文件、目录和打印机等。下面主要介绍文件与目录的管理。(1)本地资源管理在NT系统中支持对单独的文件、目录设置许可权限的只有NTFS文件系统,要想在WindowsNT中控制本地资源的安全,只能使用NTFS。设置许可权限时,文件与目录的许可权限之间互相影响。例如,如果一个用户连某个目录的读权限都没有,则根本无法对该目录下的文件设置许可权限。在权限设置时应该从根目录开始设置,一级一级逐层设置。在设置许可权限时,最好以组为单位进行管理,组内所有用户对某个文件都设置为相同许可权限。在NT系统中允许一个用户同时属于几个组,以组为单位设置权限时,可能会产生某个用户对一个文件有多种许可权限的问题。NT解决的方法是,将这个用户对这个文件的所有许可权限加到一起作为该用户对这个文件的许可权限。如果该用户在某个组中有“拒绝访问”的许可权限,则“拒绝访问”有优先权,并使其他所有许可权限无效,这个用户的最终许可权限是“拒绝访问”。(2)管理网络共享资源创建共享目录的选项有:共享名远程用户使用共享名连接到本地资源备注浏览共享目录时显示的评注用户个数设置连接到这个共享目录上的最大用户数,缺省为10权限设置远程访问目录上的许可新共享只有当前目录已被共享时才有此选项,允许已共享目录重复共享。共享目录的许可权限包括拒绝访问、读取、更改和完全控制四种。每次WindowsNT计算机启动时,它都创建一些共享资源。Admin是一个特殊共享资源,当远程管理时它总是指向WindowsNT系统目录。每个硬盘的根目录是共享的,在相应的驱动器符号后面跟一个$符号。$符号可以使该共享名在浏览时不出现(隐藏)。只有一个用户知道了另一台机器上的管理员的账户和口令后,才能连接到那台机器的隐藏共享,并可以访问整个分区。隐藏共享由内部ACL表保护,它不能被任何用户修改,包括系统管理员在内。可以通过“不共享”命令停止隐藏共享,但下次机器启动时,隐藏共享由重新自动创建,NT不支持永久停止这种共享。6.6.2UNIX操作系统每一种UNIX系统对良好、基本、单一级别的安全性都给予了必要的支持。UNIX系统内核在一个物理上的安全域中运行,这个域受到硬件的保护。安全域保护着它的内核及安全机制。安全机制是无法旁路的,所以突破UNIX的安全机制依赖于使用合法的手段达到非法的目的。为了防御攻击,必须正确设置文件和目录的属性和访问权限,用户必须懂得如何选择一个可靠的口令,以及如何避免被别人骗取特权。一、普通用户的安全管理1、正确使用口令用户在使用UNIX系统之前必须注册,没有注册名和口令就无法进入UNIX系统。当然,也有一些破解注册名与口令密码的方法,但这些方法只有在UNIX系统中的用户或系统管理员忽视了对口令的正确使用时才有效。UNIX系统对注册过程的处理是十分谨慎的。/ETC/PASSWD文件包含有注册名以及与之对应的口令。当口令攻击者键入一个/ETC/PASSWD中没有的注册名时,LOGIN进程给出一个PASSWORD提示,目的是使攻击者无法确定:是注册