系统安全加固

11系统安全加固启明星辰高峡WINDOWS安全配置与管理Part1233Windows的安全性Windows安全基础Windows安全配置Windows安全管理44Windows基于C2级标准的安全组件灵活的访问控制----要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-----WindowsNT很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。强制登陆----WindowsNT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计----因为WindowsNT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问----WindowsNT不允许直接访问系统里的资源。55WindowsNT系统构架服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备管理器设备、文件驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll.dllWin32UserGDI图形驱动HALMicrokernel安全引用监视器66Windows2003系统体系结构进程间通信管理器77进程地址空间系统地址空间线程线程线程进程和线程什么是进程？进程是程序在一个数据集合上的运行过程每个进程有一个私有内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程88系统进程基本的系统进程SystemIdleProcess这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间smss.exe会话管理子系统，负责启动用户会话csrss.exe子系统服务器进程,用户模式Win32子系统的一部分winlogon.exe管理用户登录services.exe用于管理启动和停止服务lsass.exe本地安全身份验证服务器svchost.exe包含很多系统服务SPOOLSV.EXE将文件加载到内存中以便迟后打印。(系统服务)explorer.exe资源管理器internat.exe托盘区的拼音图标99系统进程树smss.exe对话管理器第一个创建的进程引入参数HKLM\System\CurrentControlSet\Control\SessionManager装入所需的子系统(csrss)，然后winlogoncsrss.exeWin32子系统winlogon.exe登录进程：装入services.exe和lsass.exe显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit中的进程（通常只是userinit.exe)services.exe服务控制器：用于管理启动和停止服务该进程也会处理在计算机启动和关机时运行的服务。(由HKLM\System\CurrentControlSet\Services驱动)lsass.exe本地安全验证服务器（打开SAM）userinit.exe登陆之后启动。启动外壳（通常是Explorer.exe—见HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell)装入配置文件，恢复驱动器标识符映象，然后退出explorer.exe和它的孩子是所有交互式应用的创建者1010附加的系统进程•mstask.exe允许程序在指定时间运行。(系统服务)•regsvc.exe允许远程注册表操作。(系统服务)•winmgmt.exe提供系统管理信息(系统服务)。•inetinfo.exe通过Internet信息服务的管理单元提供信息服务连接和管理。(系统服务)•tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)•dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。。。。。。1111Windows的安全性Windows安全基础Windows安全配置Windows安全管理1212安全的元素安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：S-1-5-163499331-18283675290-12989372637-500访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及系统访问控制列表访问控制列表包括DACL和SACL，灵活访问控制列表（DACL）里记录用户和组以及它们的相关权限。系统访问控制列表（SACL）包含为对象审计的事件。在访问控制列表里拒绝访问(deny)优先于允许访问(allow)SID的版本号，对于win2k来说是1标志符的颁发机构，对于win2k来说，颁发机构是NT，值为5子颁发机构最后一个标志着域内的帐户和组13知名的SIDSID：S-1-5-域-500Administrator系统管理员的用户帐户。默认情况下，它是唯一能够完全控制系统的用户帐户。SID：S-1-5-域-501Guest无个人帐户的人员的用户帐户。此用户帐户不需要密码。SID：S-1-5-域-512DomainAdmins一个全局组，其成员被授权管理该域。默认情况下，DomainAdmins组属于所有加入域的计算机（包括域控制器）上的Administrators组。DomainAdmins是该组的任何成员创建的任何对象的默认所有者。SID：S-1-5-域-513DomainUsers一个全局组，默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时，默认情况下，帐户将添加到该组中。SID：S-1-5-域-514DomainGuests一个全局组，默认情况下它只有一个成员，即域的内置Guest帐户。1414windowsNT安全模型LogonprocessSAMUserAccountDatabaseSecurityPolicyDatabaseLSAAuditlogWin32subsystemSecurityReferenceMonitorUsermodeKernelmodeSecuritypolicyAuditmessageWin32application•使用户登陆生效•生成安全访问令牌•管理本地安全策略•记录SRM审核消息产生的事件日志负责SAM数据库的控制与维护•防止大部分用户和进程对对象的直接访问•根据本地安全策略的审核策略生成审核信息1515用户登录认证过程1616Windows的安全性Windows安全基础Windows安全配置Windows安全管理1717身份认证访问控制安全配置程序数据的安全EFSIPSecSSL/TLSTCP/IPKerberos证书服务智能卡安全模板组策略权限控制安全分析安全策略组权限NTLM安全管理与维护保护注册表用户管理漏洞与补丁数据备份Windows基本安全注意事项1818Windows安装配置建立和选择分区选择安装目录系统盘必须设置为NTFS格式,方便设置权限系统放置盘只保留administrators和system的用户权限不安装多余的组件停止多余的服务安装系统补丁1919多余的组件Internt信息服务（IIS）（如不需要）索引服务IndexingService消息队列服务（MSMQ）远程安装服务远程存储服务终端服务终端服务授权2020配置Windows服务“控制面板-管理工具”，进入“服务”进行配置（在“运行”键入services.msc）注意事项：服务的依存关系2121用户身份验证交互式登录使用域帐号使用本地计算机帐户网络身份验证NTLM验证Kerberos安全套接字层/传输层安全（SSL/TLS）2222Kerberos工作原理Kerberos用于处理用户或系统身份的身份验证的Internet标准安全协议Kerberos是以票证系统为基础，票证是密钥分发中心发出的一些加密数据包。2323Kerberos工作原理第一步：用户登陆到windows时，winlogon和LSA将用户领到KDC进行身份验证.第二步：验证通过后，KDC提供一个称为票证授予票证（TGT）的初始票证。第三步：在需要访问网上资源时，将TGT提交给DC并请求访问资源的票据。第四步：DC给用户分配一个服务票证（ST）。第五步：在需要访问资源时，处理环境将ST提交给相应资源，然后就会获准依照ACL保护进行资源访问。KDCDC请求的网络ST①②③④⑤KDC:密钥分发中心DC:域控制器2424SSL安全机制SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道2525SYSKEY从NT4ServicePack3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEYSYSKEY是SystemKEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密(不是对SAM文件加密，而是对散列)用来保护SAM数据库不被离线破解启用syskey：在“运行”中键入“syskey”2626SYSKEY2727访问控制NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制2828NTFS与FAT分区权限FAT32NTFS2929文件夹权限读取查看该文件夹中的文件和子文件夹查看文件夹的所有者、权限和属性（如只读、隐藏、存档和系统）写入在该文件夹内新建文件和子文件夹更改文件夹属性，查看文件夹的所有者和权限列出文件夹目录查看该文件夹中的文件和子文件夹的名称读取和运行包括“读取”权限和“列出文件夹目录”权限所允许的操作枚举各个文件夹，以便访问其他文件和文件夹，即使该用户没有那些文件夹的权限修改包括“写入”权限及“读取和运行”权限所允许的操作删除文件夹完全控制包括其他所有NTFS权限允许的操作更改权限、取得所有权和删除子文件夹和文件3030文件权限3131用户权限Administrators组PowerUsers组Users组Everyone组SYSTEM组BackupOperators组Guest组3232用户权限分配可指定用户在操作系统中拥有的可操作范围选择“控制面板”——“管理工具”——“本地安全策略”，打开“本地安全设置”对话框选择“本地策略”——“用户权利分配”3333指定特殊访问权限如果需要对权限划分得更深入细致，就只能使用特殊访问权限文件或文件夹属性的“安全”选项卡中，单击“高级”按钮，显示“高级安全设置”对话框单击“编辑”按钮，显示“权限项目”对话框3434两个有用的特殊访问权限更改权限借助于更改权限，可以将更改某个文件或文件夹访问权限的能力授予其他管理员和用户，但不授予他们“完全控制”的能力取得所有权借助于取得所有权权限，可以将文件或文件夹的拥有权从一个用户账号或者组转移到另一个用户账号或组3535权限控制原则和特点1权限是累计的用