【课件】Windows 2000系统安全

结构化内容保护，支持硬件保护 标记安全保护，如System V等
有自主的访问安全性，区分用户 不区分用户，基本的访问控制
2021/6/10
D级
没有安全性可言，例如MS DOS
29
Windows访问控制机制（C2级安全标 准的要求）
• 自主的访问控制 • 对象再利用必须由系统控制 • 用户标识和认证 • 审计活动
• 安全描述符: –安全描述符由对象所有者的SID、POSIX子系统 使用的组SID、访问控制列表和系统访问控制列 表组成。
2021/6/10
13
Windows 2000安全组件
• 访问控制列表:
2021/6/10
14
Windows 2000安全组件
• 访问控制条目: –访问控制条目（Access Control Entry，ACE）包 含用户或组的SID和分配给对象的权限。
Name is Administrator
Domain is CORP
Type of SID is SidTypeUser
2021/6/10
11
Windows 2000安全组件
• 访问控制令牌 : –访问令牌由用户的SID、用户所属组的SID和用户名 组成
2021/6/10
12
Windows 2000安全组件
2021/6/10
23
Netlogon
•
Net logon服务必须为认证的传输建立一个安全的
通道。
•
为了达到这种效果，要定位—个域控制器来建立
安全通道。
•
最后，通过这条安全通道来传递用户的认证再以
用户SID及用户权限的形式接收到域控制器的响应。
2021/6/10
24
安全帐号管理(SAM)
•
安全帐号管理实际上是一个掌管用户和用户证
2021/6/10
31
Windows 2000的默认账号
账户名 System/localsystem Administrator Guest IUER_计算机名 IWAM_计算机名 TSInternetUser Krbtgt
注释 本地计算机的所有特权 同上；可以改名，但不能删除 有限的权限，默认禁用 IIS的匿名访问，guests组成员 IIS进程外应用程序运行的账号， Guests组成员
➢ 安全支持供应商接口（Security Support Provider Interface，SSPI）
➢ 验证软件包（Authentication Packages）
➢ 安全支持供应商（Security Support Providers）
➢ Netlogon服务
➢ 安全帐户管理器（Security Account Manager，SAM）
2021/6/10
10
查看SID
C:\>user2sid Administrator
S-1-5-21-1507001333-1204550764-1011284298-500
Number of subauthorities is 5
Domain is CORP
C:\>sid2user 5 21 1507001333 1204550764 1011284298 500
▪ 在域中，从1000开始的RID代表用户账户 ▪ Windows 2000(或者使用适当工具的恶意黑客)总是将具有
RID 500的账户识别为管理员
2021/6/10
9
其它的SID
▪ S-1-1-0 ▪ S-1-2-0 ▪ S-1-3-0 ▪ S-1-3-1
Everyone Interactive用户 Creator Owner Creator Group
进程和内存。
➢本地的Windows 2000安全子系统包括下列关键组件： 安全标识符、访问令牌、安全描述符、访问控制列表和 访问控制条目。
2021/6/10
5
Windows 2000安全组件
• 安全标识符:
–分配给所有用户、组和计算机的统计上的唯一号码
–为了保证SID的惟一性，在生成他们的时候使用一个 公式，结合计算机名，当前时间和当前用户模式线程 使用CPU时间的总量。SID像这样：
33
Windows 2000默认共享
• C$、D$… … • Ipc$：远程会话管理 • Admin$：指向%WinDir%目录，用于远
2021/6/10
15
Windows安全子系统
提供登陆接口
SSPI
提供真正的 用户校验
Winlogon GINA LSA
加载GINA， 监视认证顺序
加载认证包
Authentication Packages Security Account Management
Security Support Provider
22
安全支持供应
•
安全支持供应是安装驱动程序来支持额外的安
全机制。WindowsNT默认安装包括以下：
• ．Msnsspc.dll：微软网络(MSN)挑战／响应认证方法。
• . Msapsspc.dll：分布式密码认证(DPA)挑战／响应方
Hale Waihona Puke 法，也用于MSN。• ．Schannel.Dll 利用证书授权机购(如VeriSign)所发 布的证书来时行验证。这种认证方法通常是在安全套 接字层(SSL)或私有通信技术(PCT)协议连接时所使用。
2021/6/10
注释 成员具有本地计算机的全部权限 所有账号，较低的权限 有限的权限，与users相同 特殊的隐含组，包含所有已登录的用户
用于域中的文件复制 没有administrators权限高，但十分接近 没有administrators权限高，但十分接近 没有administrators权限高，但十分接近 没有administrators权限高，但十分接近
所定义的一般安全服务API极为相似安全服务提供商API
为应用程序和服务要求安全认证连接提供了解决方法。
2021/6/10
21
认证信息包
•
认证包的内容提供真正的用户验证。认证包检
查通过GINA DLL所得到的证书，当用户的证书被检验
后，认证包向LSA返回SID，包括用户的访问令牌。
2021/6/10
2021/6/10
17
Winlogon
•
Winlogon主要负责管理用户登录和注销过程，
并加载GINA DLL并监视安全认证的顺序。
2021/6/10
18
GINA DLL
➢ GINA DLL为登陆和登陆请求提供接口。GINA DLL 被设计成独立的模块并可被更强壮的认证机制所 代替。目前有很多强有力的认证设备可以使用， 比如利用指纹认证来代替默认的GINA DLL。
说总是为5)
▪ 然后是4个子颁发机构代码(本例中是21和后续的3个长
数字串)和一个相对标识符(Relative Identifier，RID，本
例中是500)
2021/6/10
7
SID的生成
▪ SID中的一部分是各系统和域惟一具有的，而另一部分(RID)
是跨所有系统和域共享的
▪ 当安装Windows 2000时，本地计算机会颁发一个随机的SID。
• （1）Windows认证机制
• 以Windows 2000为例，提供两种认证： 本地认证和网络认证。
• （2）Windows访问控制机制：
• WindowsNT/XP的安全性达到C2级，C2 级实现了何种访问控制？
• （3）Windows审计和日志机制
• （4）Windows协议过虑和防火墙
•202（1/6/150 ）Windows文件系统加密系统
中的Authentication Packages值 ➢ 为用户找回本地组的SID以及用户的权限 ➢ 创建用户的访问令牌 ➢ 管理本地安全服务的服务帐号 ➢ 存储和映射用户权限 ➢ 管理审计策略和设置 ➢ 管理信任关系
2021/6/10
20
安全支持供应商接口(SSPl)
•
微软的安全支持供应商接口利RFC2743及RFC2744
Netlogon
支持额外的 验证机制
管理用户和用户
为认证建立
2021/6/10 证书的数据库
安全通道
16
Windows安全子系统
➢ Winlogon
➢ 图形身份认证和验证动态链接库（Graphical Identification And Authentication DLL，GINA）
➢ 本地安全管理授权（Local Security Authority， LSA）
书的数据库。它存储在Windows NET 注册表的一部分。
每个域都有不同的SAM，作为两台域服务器复制的一部
分。
2021/6/10
25
Windows 2000认证与授权访问
使用账户名称/ 口令进行认证
Winlogon
用户A
成功
令牌 访 User=S-1-5-21-1507001333问 1204550764-1011284298-500
– 能够审计所有安全相关事件和个人活动 – 只有管理员才有权限访问
2021/6/10
30
Windows 2000的默认目录
• Windows 2000的%system%\winnt\目录
• 几个需要注意的默认安装目录
– IIS的默认目录 – Log的默认目录
(%WinDir%\System32\LogFiles和 %WinDir%\system32\config) – SAM和SAM备份的日志目录
Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544
SRM,安全 参考监视器
File.txt
Read=A S-1-5-21… … Write=administrators S-1-5-32-544…
2021/6/10
26
WINDOWS安全机制
➢ Winlogon访问注册表里的＼HKLM＼software＼ Microsoft＼windows＼NT\currentversion＼ winlogon 键来查看Gina DLL值是否存在。如果此 DLL存在，Winlogon加载并使用那个DLL。否则的 话WindowsNT就使用默认的DLL,叫MSGINA．DLL， 是NT自带的。
27
身份验证
• Windows 2000 支持，包括 X.509 证书、 智能卡和、Kerberos 协议和NTLM 协议 数种产业标准身份验证机制
2021/6/10
28
TCSEC定义的内容
A级 B3 级
校验级保护，提供低级别手段 安全域，数据隐藏与分层、屏蔽
B2 级 B1 级 C2 级 C1 级
➢ 由Winlogon来监视安全认证的顺序并当一个登陆 请求发生时通知给GINA。
2021/6/10
19
本地安全授权(LSA)
• 本地安全授权是一个保护子系统，主要负责下列任务： ➢ 加载所有的认证包，包括检查存在于注册表中 ➢ ＼HKLM＼System＼CurrentControlSet＼ControL＼LSA
S－1－5－21－1649288664－1549824960－ 1244863647－500
2021/6/10
6
SID
S-1-5-21-1507001333-1204550764-1011284298-
500
▪ SID带有前缀S，它的各个部分之间用连字符隔开 ▪ 第一个数字(本例中的1)是修订版本编号 ▪ 第二个数字是标识符颁发机构代码(对Windows 2000来
当创建一个Windows 2000域时，它也被指定一个惟一的SID。 于是对任何的Windows 2000计算机或域来说，子颁发机构 代码总是惟一的(除非故意修改或复制，例如某些底层的磁 盘复制技术)
2021/6/10
8
RID
▪ RID对所有的计算机和域来说都是一个常数。例如，带有
RID 500的SID总是代表本地计算机的真正的Administrator账 户。RID 501是Guest账户
Windows 2000系统安全
2021/6/10
1
课程回顾
• 防火墙技术 • 入侵检测技术
2021/6/10
2
Windows 2000安全结构
2021/6/10
3
2021/6/10
Winidws2000 安全系统
4
Windows安全对象
➢ Windows 2000中的对象类型有：
•
文件、文件夹、打印机、I/O设备、窗口、线程、
终端服务 Kerberos密钥分发账号，只在DC上出现，默认禁用
2021/6/10
32
Windows 2000下的内建组
组名 Administrators
Users Guests Authenticated users Replicator Backup Operators Server Operators Account Operators Print Operators