計算機網(wǎng)絡(luò)安全與管理：第20講 Windows系統(tǒng)安全管理

計算機網(wǎng)絡(luò)安全管理

20Windows系統(tǒng)安全管理WindowsandWindowsVistaSecurityWindows是當(dāng)前世界上最流行的O/S好處在于能夠為百萬計的無技術(shù)基礎(chǔ)的用戶提供一定的安全保障問題在于出現(xiàn)問題也可能影響百萬計的用戶這里會回顧一些以前的windows安全問題（2000）之后的安全防御被內(nèi)嵌在windows之內(nèi)WindowsSecurityArchitectureSecurityReferenceMonitor(SRM)一個內(nèi)核模式的組件，可以檢查訪問權(quán)限生成監(jiān)控日志，操作用戶權(quán)限

LocalSecurityAuthority(LSA)負(fù)責(zé)本地安全策略的執(zhí)行l(wèi)sass.exeSecurityAccountManager(SAM)存儲用戶帳戶與本地用戶和組的安全信息本地登錄時執(zhí)行對SAMDB的查找使用MD4存儲密鑰Vista中SAM使用一個基于口令的派生功能apassword-basedkeyderivationfunction保留口令信息WindowsSecurityArchitectureActiveDirectory(AD)Microsoft’sLDAP目錄Winows使用AD進行安全操作當(dāng)用戶通過域而不是本地形式訪問時驗證用戶的機密信息通過安全途徑傳送并驗證WinLogon(本地)和NetLogon(網(wǎng)絡(luò))處理登陸請求LocalvsDomainAccounts一個網(wǎng)絡(luò)上的windows可以是:domain加入可以通過域或者本地形式登陸如果是本地登陸可能不能訪問一些資源中心的管理并具有更好的安全性workgroup一個互聯(lián)的計算機集合只能使用SAM中的本地帳戶沒有相關(guān)的ADdomain支持WindowsLoginExample域管理員添加用戶信息(name,account,password,groups,privileges)賬戶表現(xiàn)為一個SecurityID(SID)在一個域終是唯一的形如:S-1–5–21-AAA-BBB-CCC-RRR用戶名有兩種形式:SAM格式:DOMAIN\UsernameUserPrincipalName(UPN):username@可使用username&password或者smartcard登陸與token(SID,groups,privileges)聯(lián)系指定了用戶與相應(yīng)的每個進程WindowsPrivileges系統(tǒng)性的指派給用戶e.g.備份computer,or改變systemtime有些被認(rèn)為是“危險”:表現(xiàn)為操作系統(tǒng)的一部分TrustedComputingBase(TCB)privilege程序調(diào)試權(quán)限備份文件與目錄權(quán)限有些是友好的像旁路遍歷檢查權(quán)限bypasstraversecheckingAccessControlLists兩種形式的(ACL):自由選定的DiscretionaryACL(DACL)授權(quán)或拒絕訪問被保護的資源例如文件，內(nèi)存系統(tǒng)SystemACL(ACL)用于監(jiān)控與Vista中強制的完整性策略AccessControlLists被保護的對象被指派相應(yīng)的ACL包括SID訪問控制實體列表listofaccesscontrolentries(ACEs)每個ACE包含SID&accessmaskaccessmask可以包含:read,write,create,delete,modify,etcaccessmasks是object-typespecifice.g.service的能力是create,enumerateSecurityDescriptor(SD)數(shù)據(jù)類型包含,DACL,&SACLe.g.Owner:CORP\BlakeACE[0]:AllowCORP\PaigeFullControlACE[1]:AllowAdministratorsFullControlACE[2]:AllowCORP\CherylRead,WriteandDeletehavenoimpliedaccess,如果沒有正在請求訪問者的ACE則拒絕訪問applicationsmustrequestcorrecttypeofacces應(yīng)用程序必須請求正確的訪問控制類型MoreSD’s&AccessChecks每個DACL中的ACE確定了相應(yīng)的訪問ACE可是允許也可以是拒絕ACEWindows評估每一條ACE知道訪問被明確允許或拒絕denyACEs在allowACEs之前在GUI下默認(rèn)explicitlyorderifcreateprogrammatically當(dāng)用戶訪問被保護對象時操作系統(tǒng)執(zhí)行檢查對比user/groupACL中的ACE’sImpersonation進程可以有多個線程通常對于用戶與服務(wù)器impersonation允許服務(wù)器服務(wù)用戶使用其權(quán)限e.g.ImpersonateNamedPipeClientfunction在當(dāng)前線程上設(shè)置用戶的令牌thenaccesschecksforthatthreadareperformedagainstthistokennotserver’swithuser’saccessrightsMandatoryAccessControlWindowsVista中有完整性控制限制操作改變對象對象與原則被標(biāo)記(usingSID)as:Lowintegrity(S-1-16-4096)Mediumintegrity(S-1-16-8192)Highintegrity(S-1-16-12288)Systemintegrity(S-1-16-16384)當(dāng)寫入操作時要檢查完整性域與級別多數(shù)使用中高級別VistaUserAccountWindows弱點Windows,有bugBug被利用泄密Microsoft利用SecurityDevelopmentLifecycle改進減少50%bugsWindowsVista完全使用SDLIISv6(inWindowsServer2003)4年只發(fā)現(xiàn)3個弱點WindowsSecurityDefenses現(xiàn)在的攻擊者不再僅僅是年輕，無政府主義，很多時候動機來自金錢,有如下領(lǐng)域的防御:accountdefensesnetworkdefensesbufferoverrundefenses.browserdefensesWindows系統(tǒng)加固支持防御的進程,減少暴漏的功能,屏蔽屬性用以減少攻擊表面使用

80/20規(guī)則并不總能達到e.g.requiringRPCauthenticationinXPSP2e.g.stripmobilecodesupportonserversservers更容易加固:被用于受控的特定目的服務(wù)器用戶相對于普通用戶與有更好的配置能力AccountDefenses用戶帳戶可以具有特權(quán)SIDs最小特權(quán)規(guī)定用戶操作剛夠任務(wù)的權(quán)限WindowsXP本地管理員中的用戶

為了應(yīng)用程序兼容性可以使用“SecondaryLogon”運行程序also受限制的令牌減少每線程的特權(quán)WindowsVistareversesdefaultwithUAC用戶被提示特權(quán)操作除了服務(wù)器上的管理員LowPrivilegeServiceAccountsWindowsservices在啟動后是“

long-lived”processes許多以提高的特權(quán)運行但許多并沒有這樣對“提升”的需求WindowsXPaddedLocalServiceandNetworkserviceaccounts允許服務(wù)

local或

network訪問權(quán)限其他的則使用較低的特權(quán)WindowsXPSP2splitRPCservice(RPCSS)intwo(RPCSSandDCOMServerProcess)實踐中的最小化特權(quán)例子,seealsoIIS6StrippingPrivileges

另一種防御在應(yīng)用程序啟動后剝離賬戶的特權(quán)e.g.Indexserverprocessrunsassystemtoaccessalldiskvolumes之后立即盡快剝離了不必要的特權(quán)使用

AdjustTokenPrivilegesWindowsVista可以詳細(xì)定義服務(wù)的特權(quán)usingChangeServiceConfig2NetworkDefenses比用戶防御的要求更多經(jīng)由網(wǎng)絡(luò)攻擊脆弱點haveIPSecandIPv6withauthenticatednetworkpacketsenabledbydefaultinWindowsVistaIPv4alsoenabledbydefault,expectlessusehavebuilt-insoftwarefirewallblockinboundconnectionsonspecificportsVistacanallowlocalnetaccessonlyoptionallyblockoutboundconnections(Vista)defaultwasoff(XP)butnowdefaulton(Vista)BufferOverrunDefenses許多的破壞利用bufferoverruns進行WindowsVistahas“Stack-BasedBufferOverrunDetection(/GS)”defaultenabled源代碼加上/GSoption編譯并不影響所有的函數(shù);onlythosewithatleast4-bytesofcontiguousstackdataandthattakesapointerorbufferasanargumentdefendsagainst“classicstacksmash”WindowsStackand/GSflagBufferOverrunDefensesNoeXecuteNamed(NX)/DataExecutionPrevention(DEP)/eXecutionDisable(XD)阻止代碼在數(shù)據(jù)段執(zhí)行通常被用于Buffer超限應(yīng)用程序使用/NXCOMPAToptionStackRandomization(Vistaonly)隨機化?；刂稨eap-based棧越界防御:

在每個堆數(shù)據(jù)上加入并檢查隨機值heap完整性檢驗heap隨機化

(Vistaonly)OtherDefensesImageRandomizationO/Sbootsinoneof256configurations使

O/S對于攻擊者更加不可測Service重啟策略services失敗后可以配置重啟可靠性好但喪失了安全性Vista設(shè)置某些關(guān)鍵服務(wù)只能自動重啟兩次，之后需要手動只給攻擊者兩次機會BrowserDefenseswebbrowser是攻擊的關(guān)鍵點經(jīng)由scriptcode,graphics,helperobjectsMicrosoft對IE7添加了許多保護ActiveXopt-inunloadsActiveXcontrolsbydefault首次運行需要用戶同意保護模式IErunsatlowintegritylevel(seeearlier)使惡意軟件更艱難易操作O/SCryptographicServiceslow-levelcryptoforencryption,hashing,signingEncryptingFileSystem(EFS)allowsfiles/directoriestobeencrypted/decryptedtransparentlyforauthorizedusersgeneratesrandomkey,protectedbyDPAPIDataProtecti