美国可信计算评价标准

2013-8-4
7



1995年7月，Windows NT3.5取得了TCSEC的C2 安全级； 1999年3月，NT4获得英国ITSEC组织的E3级别， 等同于C2级； Windows 2000也获得了C2安全级别
2013-8-4
8

2000年2月发布
◦ 四个版本：Professional, Server, Advanced Server, Datacenter server ◦ 容错和冗余，文件系统NTFS5， DFS(distributed file system) ◦ 活动目录 ◦ 安全性” the most secure windows we have ever shipped”
要求所有的用户必须登陆，通过认证后才可以访问资源
在控制用户访问资源的同时，也可以对这些访问作了相应的记 录。

对象的访问控制（Control of access to object）
不允许直接访问系统的某些资源。必须是该资源允许被访问， 然后是用户或应用通过第一次认证后再访问。

安全标识符（Security Identifiers）:

安全描述符（Security descriptors）：
Windows 系统中的任何对象的属性都有安全描述符这部分。 它保存对象的安全配置。

访问控制列表（Access control lists）：
访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列 表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一 个用户或组在任意访问控制列表中都有特殊的权限。而系统访问 控制列表是为审核服务的，包含了对象被访问的时间。
2013-8-4
9

系统实现安全登录机制，自主访问控制机制，安全 审计机制和对象重用保护机制
◦ 安全登录 ◦ 自主访问控制(DAC，discretional access control)： 对 象的属主来制定针对该对象的保护策略。通常DAC通过授 权列表（或访问控制列表ACL）来限定哪些主体针对哪些 客体可以执行什么操作; 可以非常灵活地对策略进行调整。 易用性与可扩展性; 经常被用于商业系统。
对象重用（Object reuse）
允许对象所有者可以控制谁被允许访问该对象以及访问的方式。
当资源（内存、磁盘等）被某应用访问时，Windows 禁止所 有的系统应用访问该资源，这也就是为什么无法恢复已经被删除 的文件的原因。

强制登陆（Mandatory log on） 审核（Auditing）

访问令牌（Access tokens）:
用户通过验证后，登陆进程会给用户一个 访问令牌，该令牌相当于用户访问系统资源的票 证，当用户试图访问系统资源时，将访问令牌提 供给Windows 系统，然后Windows NT检查用户 试图访问对象上的访问控制列表。如果用户被允 许访问该对象，系统将会分配给用户适当的访问 权限。 访问令牌是用户在通过验证的时候有登 陆进程所提供的，所以改变用户的权限需要注销 后重新登陆，重新获取访问令牌。
◦ 事件查看器 ◦ C:\windows\system32\config

SMB: server message block （打印共享） MSRPC: microsoft remote procedure call Netbios, netbios session service 各种网络服务在Windows中的具体实现

C2 — Controlled Access Protection
2013-8-4
5
wenku.baidu.com
B类安全等级：
◦ B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功 能。强制性保护意味着如果用户没有与安全等级相连，系统就不会 让用户存取对象。 ◦
2013-8-4
6

A类安全等级：
◦ A系统的显著特征是，系统的设计者必须按照一个正式 的设计规范来分析系统。对系统分析后，设计者必须运 用核对技术来确保系统符合设计规范。 ◦ A系统必须满足下列要求：系统管理员必须从开发者那 里接收到一个安全策略的正式模型;所有的安装操作都必 须由系统管理员进行；系统管理员进行的每一步安装操 作都必须有正式文档。
◦ 信任机制管理，支持管理功能的单独帐号
2013-8-4
13

截止2009年5月19日，“绿盟科技”的漏 洞库收集了2437条windows系统以及应用 软件的漏洞
◦

Win2000的bug:
◦ 中文版输入法漏洞入侵，使本地用户绕过身份验证机制进 入系统内部 ◦ Windows终端服务功能，使系统管理员进行远程操作采用 图形界面，默认端口3389
2013-8-4
2
A 级 B3 级 B2 级 B1 级 C2 级 C1 级 D 级
校验级保护，提供低级别手段 安全域，数据隐藏与分层、屏蔽 结构化内容保护，支持硬件保护 标记安全保护，如System V等 有自主的访问安全性，区分用户 不区分用户，基本的访问控制 没有安全性可言，例如MS DOS

就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配 给改用户或组一个唯一SID。
例：

S-1-5-21-1763234323-3212657521-1234321321-500


SID：S-1-5-18 名称：Local System 说明：操作系统使用的服务帐户。 SID：S-1-5-19 名称：NT Authority 说明：本地服务 SID：S-1-5-20 名称：NT Authority 说明：网络服务
◦ Identification and authentication ◦ Separation of users and data ◦ Discretionary Access Control (DAC) capable of enforcing access limitations on an individual basis ◦ ◦ ◦ ◦ ◦ ◦ More finely grained DAC Individual accountability through login procedures Audit trails Object reuse Resource isolation Required System Documentation and user manuals.
◦ http, smtp, pop3等


Windows 2000开始， IIS随操作系统默认安装
◦ 信息泄露 ◦ 目录遍历 ◦ 缓冲区溢出

IIS 提供ftp,smtp等服务，且这些服务被激活后以 system权限运行

对重要的系统文件如cmd, net等进行严格的权限控 制

访问控制的判断（Discretion access control）
2013-8-4
15
2013-8-4
16
2013-8-4
17
2013-8-4
18
2013-8-4
19
2013-8-4
20


C:\WINDOWS\system32\config\SAM L0phtcrack：windows系统的口令字猜测工具， 可脱机工作；SMB packet capture 工具监听并捕 获登录会话，剥离口令字 windows日志
D — Minimal protection Reserved for those systems that have been evaluated but that fail to meet the requirements for a higher division
2013-8-4
4

C类安全等级： C1 — Discretionary Security Protection
2013-8-4
10

与DAC对应的是强制访问控制（mandatory access control, MAC )
◦ 系统独立于用户行为强制执行访问控制，用户不能改变他 们的安全级别或对象的安全属性。通过对数据和用户按照 安全等级划分标签，访问控制机制通过比较安全标签来确 定的授予还是拒绝用户对资源的访问。经常用于军事用途。
-- Windows

美国可信计算机安全评价标准（ Trusted Computer System Evaluation Criteria，橘皮书 TCSEC）
◦ 是计算机系统安全评估的第一个正式标准，具有划时代的 意义。该准则于1970年由美国国防科学委员会提出，并 于1985年12月由美国国防部公布。TCSEC将计算机系统 的安全划分为4个等级、7个级别。

访问控制项（Access control entries）:
访问控制项（ACE）包含了用户或组的SID以及对象的权限。 访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于 允许访问。
2013-8-4
11

安全审计
◦ 对系统记录和活动进行独立的审查和检查以确定系统控制 的适合性，确保符合已建立的安全策略和操作规程，检测 安全服务的违规行为 ◦ 由工具生成和记录安全审计迹，查看和分析审计迹研究和 发现系统受到的攻击和安全威胁

对象重用保护：
◦ 当资源（内存、磁盘等）被某应用访问时，Windows 禁 止所有的系统应用访问该资源
2013-8-4
12

NT系统实现的两项B安全级的要求：
◦ 信任路径功能，用于防止用户登录时被特洛伊木马程序截 获用户名和密码
trusted path is simply some mechanism that provides confidence that the user is communicating with what the user intended to communicate with, ensuring that attackers can't intercept or modify whatever information is being communicated