04信息安全竞赛培训-Windows安全管理

Windows安全管理培训主要内容Windows系统安全性Windows安全体系构架Windows安全配置Windows系统高级安全配置Windows系统的审计分析操作系统安全定义•信息安全的五类服务，作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的信息安全评估标准ITSEC和TCSECTCSEC描述的系统安全级别D------------ACC(CommonCritical)标准BS7799:2000标准体系ISO17799标准TCSEC安全等级安全级别描述D最低的级别。如MS-DOS计算机，没有安全性可言C1自主安全保护。系统不需要区分用户。可提供根本的访问控制大部分UNIX达到此标准。C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。NT属于C2级的系统B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。如AT＆T的SYSTEMV和UNIXwithMLS以及IBMMVS/ESAB2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如TrustedXENIXandHoneywellMULTICSB3安全域。提出数据隐藏和分层，阻止层之间的交互。如HoneywellXTS-200A校验级设计。需要严格的准确的证明系统不会被危害。如HoneywellSCOMP基于C2级标准的安全组件灵活的访问控制----要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-----WindowsNT很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。强制登陆----WindowsNT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计----因为WindowsNT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问----WindowsNT不允许直接访问系统里的资源。Windows系统漏洞导致的损失2004年，Mydoom所造成的经济损失已经达到261亿美元。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。主要内容Windows系统安全性Windows体系构架Windows安全配置Windows系统高级安全配置Windows的审计分析服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备管理器设备、文件驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动HAL（硬件抽象层）Microkernel安全引用监视器WindowsNT系统构架进程地址空间系统地址空间线程线程线程进程和线程什么是进程？代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程系统进程基本的系统进程SystemIdleProcess这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间smss.exe会话管理子系统，负责启动用户会话csrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe本地安全身份验证服务器svchost.exe包含很多系统服务spoolsv.exe将文件加载到内存中以便迟后打印explorer.exe资源管理器internat.exe托盘区的拼音图标系统进程树smss.exe对话管理器，第一个创建的进程引入参数HKLM\System\CurrentControlSet\Control\SessionManager装入所需的子系统(csrss)，然后winlogoncsrss.exeWin32子系统winlogon.exe登录进程：装入services.exe和lsass.exe显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在HKLM\Software\Microsoft\WindowsNT\WinLogon\Userinit中的进程（通常只是userinit.exe)services.exe服务控制器：也是几项服务的出发点服务的开始进程不是services.exe的一部分(由HKLM\System\CurrentControlSet\Services驱动)lsass.exe本地安全验证服务器（打开SAM）userinit.exe登陆之后启动。启动外壳（通常是Explorer.exe—见HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon\Shell)装入配置文件，恢复驱动器标识符映象，然后退出explorer.exe和它的子进程是所有交互式应用的创建者附加的系统进程mstask.exe允许程序在指定时间运行。(系统服务)regsvc.exe允许远程注册表操作。(系统服务)winmgmt.exe提供系统管理信息(系统服务)。inetinfo.exe通过Internet信息服务的管理单元提供信息服务连接和管理。(系统服务)tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。。。。。。Windows系统的安全架构WindowsNT系统内置支持用户认证、访问控制、管理、审核。Windows系统的安全组件访问控制的判断（Discretionaccesscontrol）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Objectreuse）当资源（内存、磁盘等）被某应用访问时，Windows禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆（Mandatorylogon）要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing）在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Controlofaccesstoobject）不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。Windows安全子系统的组件（1）安全标识符（SecurityIdentifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500访问令牌（Accesstokens）:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows系统，然后WindowsNT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。Windows安全子系统的组件（2）安全描述符（Securitydescriptors）：Windows系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Accesscontrollists）：访问控制列表有两种：任意访问控制列表（DiscretionaryACL）、系统访问控制列表（SystemACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Accesscontrolentries）:访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。Windows安全子系统（1）安全子系统包括以下部分：WinlogonGraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackagesSecuritysupportprovidersNetlogonServiceSecurityAccountManager(SAM)Windows安全子系统（2）WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows安全子系统（3）WinlogonandGina:Winlogon调用GINADLL，并监视安全认证序列。而GINADLL提供一个交互式的界面为用户登陆提供认证请求。GINADLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINADLL。Winlogon在注册表中查找\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLLWindows安全子系统（4）本地安全认证（LocalSecurityAuthority）：本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：调用所有的认证包，检查在注册表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，WindowsNT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。Windows安全子系统（5）安全支持提供者的接口（SecuritySupportProvideInterface）：微软的SecuritySupportProvideInterface很简单地遵循RFC2743和RFC2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。所有通过API调用进行。认证包（AuthenticationPackage）：认证包可以为真实用户提供认证。通过GINADLL的可信认证后，认证包返