计算机网络信息安全理论与实践教程第17章

第 17章 Windows系统安全 第 17章 Windows系统安全 17.1 Windows 系统安全概况17.2 Windows 系统安全分析17.3 Windows 系统安全增强技术方法与流程17.4 Windows 2000 系统安全增强实例17.5 Windows 系统常见漏洞与解决方法17.6 本 章 小 结本章思考与练习第 17章 Windows系统安全 17.1 Windows 系统安全概况 17.1.1 Windows系统架构Windows系统是微软公司研究开发的操作系统，其发展经历了 Windows 3.1、 Windows 98、 Windows NT、 Windows 2000、 Windows XP等多个版面。由于 Windows系统的易用性，许多用户都使用它，特别是其桌面操作系统。下面我们以 Windows XP为例，分析其架构。 Windows XP的结构是层次结构和客户机/服务器结构的混合体，其系统结构如图 17-1所示。第 17章 Windows系统安全 图 17-1 Windows XP的系统结构示意图 第 17章 Windows系统安全 17.1.2 Windows安全模型Windows系统在安全设计上有专门的安全子系统，安全子系统主要由本地安全授权 (LSR)、 安全帐户管理 (SAM)和安全参考监视器 (SRM)等组成，如图 17-2所示。其中，本地安全授权部分提供了许多服务程序，保障用户获得存取系统的许可权。它产生令牌，执行本地安全管理，提供交互式登录认证服务，控制安全审查策略和由 SRM产生的审查记录 信息。 第 17章 Windows系统安全 图 17-2 Windows 2000安全子系统 第 17章 Windows系统安全 安全帐户管理部分保存 SAM数据库，该数据库包含所有组和用户的信息。 SAM提供用户登录认证，负责对用户在Welcome对话框中输入的信息与 SAM数据库中的信息比对，并为用户赋予一个安全标识符 (SID)。 根据网络配置的不同，SAM数据库可能存在于一个或多个 Windows NT系统中。 第 17章 Windows系统安全 安全参考监视器负责访问控制和审查策略，由 LSA支持。SRM提供客体 (文件、目录等 )的存取权限，检查主体 (用户帐户等 )的权限，产生必要的审查信息。客体的安全属性由安全控制项 (ACE)来描述，全部客体的 ACE组成访问控制表 (ACL)。 没有 ACL的客体意味着任何主体都可访问，而有 ACL的客体则由 SRM检查其中的每一项 ACE， 从而决定主体的访问是否被允许。 第 17章 Windows系统安全 17.1.3 Windows安全机制1 Windows认证机制早期 Windows系统的认证机制不很完善，甚至缺乏认证机制。例如 Windows 32、 Windows 98。 随着系统的发展，微软公司逐步增强了 Windows系统的认证机制。以 Windows 2000为例，系统提供两种基本认证类型，即本地认证和网络认证。其中，本地认证根据用户的本地计算机或 Active Directory帐户确认用户的身份。而网络验证根据此用户试图访问的任何网络服务确认用户的身份。为提供这种类型的身份验证， Windows 2000安全系统集成了三种不同的身份验证技术： Kerberos V5、 公钥证书和 NTLM。 第 17章 Windows系统安全 2 Windows访问控制机制Windows NT/XP的安全性达到了橘皮书 C2级，实现了用户级自主访问控制。它的访问控制机制如图 17-3所示。为了实现进程间的安全访问， Windows NT/XP中的对象采用了安全性描述符 (Security desciptor)。 安全性描述符主要由用户 SID(Owner)、 工作组 SID(Group)、 访问控制列表(DACL)和系统访问控制列表 (SACL)组成。 第 17章 Windows系统安全 3 Windows审计 /日志机制日志文件是 Windows系统中一个比较特殊的文件，它记录Windows系统的运行状况，如各种系统服务的启动、运行、关闭等信息。 Windows日志有三种类型 : 系统日志、应用程序日志、安全日志，它们对应的文件名为 SysEvent.evt、AppEvent.evt和 SecEvent.evt。 这些日志文件通常存放在操作系统安装的区域 “ system32config” 目录下。 第 17章 Windows系统安全 4 Windows协议过滤和防火墙针对来自网络上的威胁， Windows NT 4.0、 Windows 2000提供了包过滤机制，通过过滤机制可以限制网络包进入用户计算机。而 Windows XP则自带了防火墙，该防火墙能够监控和限制用户计算机的网络通信。 第 17章 Windows系统安全 5 Windows文件加密系统为了防范入侵者通过物理途径读取磁盘信息，绕过Windows 系统文件访问控制机制，微软公司研究开发了加密的文件系统 EFS。 利用 EFS， 文件中的数据在磁盘上是加密的。用户如果访问加密的文件，则必须拥有这个文件的密钥，才能够打开这个文件，并且像普通文档一样透明地使用它。 第 17章 Windows系统安全 17.2 Windows 系统安全分析 17.2.1 Windows口令帐号和口令是进入 Windows系统的重要凭证，获取帐号和口令信息是入侵者攻击 Windows系统的重要途径。例如，Windows 2000的默认安装允许任何用户通过空用户得到系统所有的帐号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，任何一个远程用户通过同样的方法都能得到帐户列表，进而可以使用非法手段破解帐户密码后，对用户的电脑进行攻击。 第 17章 Windows系统安全 17.2.2 Windows恶意代码由于 Windows系统自身的安全隐患，许多计算机病毒、网络蠕虫、特洛伊木马等安全事件都与 Windows系统相关，例如“ 冲击波 ” 蠕虫。 第 17章 Windows系统安全 17.2.3 Windows应用软件漏洞近来，运行在 Windows平台的应用软件安全隐患日益暴露，这些安全隐患常常导致 Windows系统被非授权访问、非法滥用等。例如 IE浏览器的安全漏洞导致远程攻击者植入木马，进而危及到整个系统的安全。 第 17章 Windows系统安全 17.2.4 Windows系统程序的漏洞Windows系统程序的设计、实现的安全隐患通常带来不少安全问题。例如， RPC程序的漏洞导致缓冲区溢出攻击。 第 17章 Windows系统安全 17.2.5 Windows注册表安全注册表 (Registry)是有关 Windows系统配置的重要文件，存储在系统安装目录 System32Config下。由于所有配置和控制系统数据都存于注册表中，而且 Registry的缺省权限设置是对 “所有人 ”“ 完全控制 ” (FullControl)和 “ 创建 ” (Create)， 因此这种设置可能会使恶意用户删除或者替换掉注册表 (Registry)文件。例如，入侵者通过修改、创建注册表的相关参数设置，让系统启动恶意进程。 第 17章 Windows系统安全 17.2.6 Windows文件共享安全Windows 98以后的系统都提供文件共享安全，但是共享带来的问题是造成信息泄露。例如， Windows 2000、 Windows XP在默认安装后允许任何用户通过空用户连接 (IPC$)得到系统的所有帐号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的 IPC攻击。 第 17章 Windows系统安全 17.2.7 Windows物理临近攻击一些攻击者利用物理接近 Windows系统的条件，借用安全工具强行进入 Windows系统。例如，使用 Off1ine NT Password & Registry Editor软件制作 Linux启动盘，然后用该盘引导系统，进而可以访问 NTFS文件系统。 第 17章 Windows系统安全 17.3 Windows 系统安全增强技术方法与流程 17.3.1 Windows系统安全增强方法概述Windows系统的安全增强是指通过一些安全措施来提高系统的安全防护能力。目前， Windows系统的安全增强方法常见的有下面几种：(1) 安全漏洞打补丁 (Patch)。 很多漏洞本质上是软件设计时的缺陷和错误 (如漏洞等 )，因此需要采用补丁的方式对这些问题进行修复。第 17章 Windows系统安全 (2) 停止服务和卸载软件。有些应用和服务的安全问题较多，目前又没有可行的解决方案，切实有效的方法是在可能的情况下停止该服务，不给攻击者提供机会。 (3) 升级或更换程序。在很多的情况下，安全漏洞只针对一个产品的某一版本有效，此时解决问题的办法就是升级软件。如果升级仍不能解决，则要考虑更换程序。目前，同一应用或服务经常存在多个成熟的程序，还可以找到免费的自由软件，这为更换软件提供了可能性。第 17章 Windows系统安全 (4) 修改配置或权限。有时系统本身并没有安全漏洞，但由于配置或权限设置错误或不合理，给系统安全性带来问题。建议用户根据实际情况和审计结果，对这类配置或权限设置问题进行修改。 (5) 去除特洛伊等恶意程序。系统如果出现过安全事故 (已知的或并未被发现的 )，则在系统中可能存在隐患，例如攻击者留下后门程序等，因此必须去除这些程序。(6) 安装专用的安全工具软件。针对 Windows漏洞修补问题，用户可以安装自动补丁管理程序。 第 17章 Windows系统安全 17.3.2 Windows系统安全增强基本流程Windows系统安全增强是一件繁琐的事情，其基本步骤如下：(1) 确认系统安全增强的安全目标和系统的业务用途。系统安全目标实际上就是用户所期望的系统安全要求，例如防止信息泄露、抗拒绝服务攻击、限制非法访问等。系统的业务用途是后续安全增强的依据，根据系统的业务用途，系统在安装时或策略设置时需进行合适的选择。 第 17章 Windows系统安全 (2) 安装最小化的操作系统。最小化操作系统的目的是减少系统安全隐患数目。系统越大，可能的安全风险就越大，而且管理上也难以顾及。安装最小化的操作系统要求如下：* 尽量使用英文版 Windows操作系统；* 不要安装不需要的网络协议；* 使用 NTFS分区；* 删除不必要的服务和组件。(3) 安装最新系统补丁。系统的漏洞通常成为入侵者进入的途径，因而漏洞的修补是系统安全增强的必要步骤。 第 17章 Windows系统安全 (4) 配置安装的系统服务。根据系统的业务运行的基本要求，应做到以下几点：* 不要安装与系统业务运行无关的网络 /系统服务和应用程序；* 安装最新的应用程序和服务软件，并定期更新服务的安全补丁。第 17章 Windows系统安全 (5) 配置安全策略。安全策略是有关系统的安全设置规则，在 Windows系统中需要配置的安全策略主要有帐户策略、审计策略、远程访问、文件共享等。其中，策略中又要涉及到多个参数，以配置帐户策略为例，策略包含下列项目：* 密码复杂度要求；* 帐户锁定阈值；* 帐户锁定时间；* 帐户锁定计数器。 第 17章 Windows系统安全 (6) 禁用 NetBIOS。 NetBIOS提供名称服务和会话服务，这些服务通常给攻击者提供了入侵切入点。为了系统的安全，一般建议禁用 NetBIOS， 其方法如下：* 在防火墙上过滤外部网络访问 135 139、 445端口；* 修改注册表，禁用 NetBIOS， 即修改键值。HKLMSYSTEMCurrentControlSetControlLsa：restrictanonymouse=2* 禁用 NetBIOS over TCP/IP；* 禁用 Microsoft网络的文件和打印共享。 第 17章 Windows系统安全 (7) 安全配置帐户。帐户权限设置不当往往导致安全问题出现，在 Windows系统中，设置帐户权限应做到以下几点：* 禁用默认帐号；* 定期检查帐户，尽早发现可疑帐户；* 锁定 Guest帐户。 第 17章 Windows系统安全 (8) 安全配置文件系统。文件系统安全是 Windows系统重要的保护对象，特别是向外提供网络服务的主机系统。文件系统安全的措施通常如下：* 删除不必要的帮助文件和 “% System%Driver ca