網(wǎng)絡(luò)攻防技術(shù) 第10章 訪問(wèn)控制機(jī)制

第十章訪問(wèn)控制機(jī)制2023/6/16網(wǎng)絡(luò)攻防技術(shù)2本章主要內(nèi)容10.1訪問(wèn)控制概述10.2操作系統(tǒng)訪問(wèn)控制相關(guān)機(jī)制10.3UAC機(jī)制分析10.1訪問(wèn)控制概述網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制是指在系統(tǒng)中通過(guò)對(duì)訪問(wèn)各種資源的操作進(jìn)行控制，以防止非法用戶對(duì)系統(tǒng)的入侵以及合法用戶對(duì)系統(tǒng)資源的違規(guī)使用。10.1訪問(wèn)控制概述網(wǎng)絡(luò)攻防技術(shù)將訪問(wèn)動(dòng)作的發(fā)起者和目標(biāo)定義為主體和客體。訪問(wèn)控制即確定主體是否能夠?qū)腕w進(jìn)行訪問(wèn)的控制機(jī)制和過(guò)程。主體：用戶和用戶所創(chuàng)建的進(jìn)程客體：所有資源10.1訪問(wèn)控制概述網(wǎng)絡(luò)攻防技術(shù)什么是訪問(wèn)控制？訪問(wèn)控制的目的:為了限制訪問(wèn)主體（用戶、進(jìn)程、服務(wù)等）對(duì)訪問(wèn)客體（文件、系統(tǒng)等）的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制模型

BELL-LAPADULA保密性模型BIBA完整性模型網(wǎng)絡(luò)攻防技術(shù)BELL-LAPADULA保密性模型

基于強(qiáng)制訪問(wèn)控制系統(tǒng)，以敏感度來(lái)劃分資源的安全級(jí)別。數(shù)據(jù)和用戶被劃分為以下安全等級(jí)：

公開(kāi)（Unclassified）

受限（Restricted）

秘密（Confidential）

機(jī)密（Secret）

高密（TopSecret）網(wǎng)絡(luò)攻防技術(shù)基于兩種規(guī)則來(lái)保障數(shù)據(jù)的機(jī)密度與敏感度：上讀(NRU),主體不可讀安全級(jí)別高于它的數(shù)據(jù)下寫(xiě)(NWD),主體不可寫(xiě)安全級(jí)別低于它的數(shù)據(jù)BELL-LAPADULA保密性模型

網(wǎng)絡(luò)攻防技術(shù)BIBA完整性模型

對(duì)數(shù)據(jù)提供了分級(jí)別的完整性保證，類(lèi)似于BLP保密性模型，BIBA模型也使用強(qiáng)制訪問(wèn)控制系統(tǒng)。Biba與BLP模型的兩個(gè)屬性是相反的，BLP模型提供保密性，而B(niǎo)IBA模型對(duì)于數(shù)據(jù)的完整性提供保障。網(wǎng)絡(luò)攻防技術(shù)BIBA完整性模型

基于兩種規(guī)則來(lái)保障數(shù)據(jù)的機(jī)密度與敏感度：下讀(NRU)屬性,主體不能讀取安全級(jí)別低于它的數(shù)據(jù)上寫(xiě)(NWD)屬性,主體不能寫(xiě)入安全級(jí)別高于它的數(shù)據(jù)網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制策略自主訪問(wèn)控制（DAC）（discretionarypolicies）：基于身份的訪問(wèn)控制IBAC(IdentityBasedAccessControl)強(qiáng)制訪問(wèn)控制（MAC）策略(mandatorypolicies)：基于規(guī)則的訪問(wèn)控制RBAC（RuleBasedAccessControl）網(wǎng)絡(luò)攻防技術(shù)自主訪問(wèn)控制（DAC）根據(jù)主體（用戶）的身份及允許的訪問(wèn)權(quán)限來(lái)決定其訪問(wèn)操作。自主是指具有某種訪問(wèn)能力的主體能夠自主地將訪問(wèn)權(quán)的某個(gè)子集授予其它主體。缺點(diǎn)：由于信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系會(huì)被改變（靈活性高）,無(wú)法保護(hù)系統(tǒng)的數(shù)據(jù)流，使信息安全性能降低。網(wǎng)絡(luò)攻防技術(shù)強(qiáng)制訪問(wèn)控制（MAC）在強(qiáng)制訪問(wèn)控制中，系統(tǒng)本身對(duì)訪問(wèn)控制矩陣加入了某些強(qiáng)制性的規(guī)則，所有主體包括對(duì)象的所有者都不能繞過(guò)這些限制。主體和客體中用于強(qiáng)制訪問(wèn)判定的要素，是由系統(tǒng)設(shè)置的固定內(nèi)容，用戶不能修改。訪問(wèn)控制關(guān)系分為：上讀-下寫(xiě)方式保證了數(shù)據(jù)的完整性，下讀-上寫(xiě)方式保證了信息的機(jī)密性。網(wǎng)絡(luò)攻防技術(shù)強(qiáng)制訪問(wèn)控制（MAC）實(shí)例

上讀：用戶級(jí)別低于文件級(jí)別的讀操作；下寫(xiě)：用戶級(jí)別大于文件級(jí)別的寫(xiě)操作；下讀：用戶級(jí)別大于文件級(jí)別的讀操作；上寫(xiě)：用戶級(jí)別低于文件級(jí)別的寫(xiě)操作。網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制的實(shí)現(xiàn)機(jī)制訪問(wèn)控制矩陣（AccessControlMatrix）訪問(wèn)控制表（AccessControlLists）訪問(wèn)能力表（CapabilitiesLists）授權(quán)關(guān)系表（AuthorizationRelation）網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制矩陣行對(duì)應(yīng)用戶，列對(duì)應(yīng)目標(biāo)即客體網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制表(ACL)訪問(wèn)控制表是以客體為主體建立的。每個(gè)客體附加一個(gè)可以訪問(wèn)它的主體和訪問(wèn)權(quán)明細(xì)表。

網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)能力表(CL)訪問(wèn)能力表是以用戶為主體建立的，每個(gè)主體附加一個(gè)該主體可訪問(wèn)的客體和訪問(wèn)權(quán)明細(xì)表。

網(wǎng)絡(luò)攻防技術(shù)ACL和CL訪問(wèn)方式比較ACLCL鑒別兩者鑒別的實(shí)體不同瀏覽訪問(wèn)權(quán)限容易困難訪問(wèn)權(quán)限回收容易困難之間轉(zhuǎn)換->CL困難->ACL容易網(wǎng)絡(luò)攻防技術(shù)應(yīng)用授權(quán)關(guān)系表應(yīng)用授權(quán)關(guān)系表直接建立用戶與客體的隸屬關(guān)系，如表中所示，各行分別說(shuō)明了用戶與客體的權(quán)限，不同的權(quán)限占不同的行。

網(wǎng)絡(luò)攻防技術(shù)2023/6/16網(wǎng)絡(luò)攻防技術(shù)22本章主要內(nèi)容10.1訪問(wèn)控制概述10.2操作系統(tǒng)訪問(wèn)控制相關(guān)機(jī)制10.3UAC機(jī)制分析2023/6/162310.2操作系統(tǒng)訪問(wèn)控制相關(guān)機(jī)制認(rèn)證和授權(quán)機(jī)制訪問(wèn)檢查機(jī)制可信通路機(jī)制對(duì)象重用機(jī)制審計(jì)機(jī)制網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)控制假定：在實(shí)施訪問(wèn)控制前，用戶的身份已得到驗(yàn)證。鑒別的目標(biāo)是正確建立用戶的身份。認(rèn)證和授權(quán)機(jī)制網(wǎng)絡(luò)攻防技術(shù)鑒別：用以檢驗(yàn)主體的合法身份授權(quán)：用以限制用戶對(duì)資源的訪問(wèn)級(jí)別

訪問(wèn)包括讀取數(shù)據(jù)、更改數(shù)據(jù)、運(yùn)行程序、發(fā)起連接等。認(rèn)證和授權(quán)機(jī)制網(wǎng)絡(luò)攻防技術(shù)Windows登錄過(guò)程涉及的組件網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)檢查機(jī)制當(dāng)進(jìn)程打開(kāi)對(duì)象（句柄）時(shí)，對(duì)象管理器就調(diào)用SRM向它發(fā)送進(jìn)程期望的訪問(wèn)權(quán)限。SRM檢查對(duì)象的SD是否允許進(jìn)程請(qǐng)求的訪問(wèn)類(lèi)型。如果允許，引用監(jiān)控機(jī)就返回一組授權(quán)的訪問(wèn)權(quán)限，允許進(jìn)程得到這些權(quán)限，同時(shí)對(duì)象管理器將它們存儲(chǔ)在所創(chuàng)建的對(duì)象句柄中。網(wǎng)絡(luò)攻防技術(shù)訪問(wèn)檢查機(jī)制網(wǎng)絡(luò)攻防技術(shù)SRM的允許訪問(wèn)的算法如果對(duì)象沒(méi)有DACL，對(duì)象不受保護(hù)，允許完全訪問(wèn)如果調(diào)用者具備SE_TAKE_OWNERSHIP_NAME特權(quán)，則SRM在進(jìn)一步檢查DACL之前立即賦予調(diào)用這修改SD中的所有者字段的權(quán)限。如果調(diào)用者是對(duì)象的擁有者，則在進(jìn)一步審核DACL之前，調(diào)用者將被賦予對(duì)DACL進(jìn)行讀取控制和寫(xiě)入控制的權(quán)限（查看和修改DACL）。按次序檢查DACL中的每一個(gè)ACE，如果ACE中的SID與令牌中啟用的SID匹配，則處理ACE。如果賦予調(diào)用者所請(qǐng)求的所有訪問(wèn)權(quán)限，則對(duì)象訪問(wèn)成功；如果任何一個(gè)所請(qǐng)求的訪問(wèn)不能被賦予，則對(duì)象訪問(wèn)失敗。網(wǎng)絡(luò)攻防技術(shù)可信通路機(jī)制可信通路是指提供給用戶的在終端和可信計(jì)算基之間的直接通路?？尚庞?jì)算基即TCB（TrustedComputingBase）是一個(gè)整體概念，指為用戶和應(yīng)用程序提供安全基礎(chǔ)的所有系統(tǒng)組件，包括硬件及操作系統(tǒng)提供安全機(jī)制的部分，網(wǎng)絡(luò)攻防技術(shù)安全注意序列（SAS）如Windows中敲入SAS（SecureAttentionSequence）或組合鍵“Ctrl+Alt+Del”時(shí)Winlogon調(diào)用登錄界面，來(lái)獲得一個(gè)用戶名和口令。Winlogon使用RegisterHotKey注冊(cè)C+A+D，當(dāng)Windows輸入系統(tǒng)收到該鍵盤(pán)組合消息，會(huì)向Winlogon窗口發(fā)送一個(gè)特殊的消息。木馬應(yīng)用程序不可能注銷(xiāo)winlogon進(jìn)程對(duì)于SAS（SecureAttentionSequence）的所有權(quán)。網(wǎng)絡(luò)攻防技術(shù)SAS最早在安全操作系統(tǒng)Xenix的開(kāi)發(fā)中出現(xiàn)，在Xenix通過(guò)SAK（SecureAttentionKey）來(lái)保證可信通路。在Linux中類(lèi)似的為擊鍵序列Alt+Sysrq+K安全注意序列（SAS）網(wǎng)絡(luò)攻防技術(shù)對(duì)象重用的作用是保證存儲(chǔ)介質(zhì)在分配某個(gè)存儲(chǔ)單元給用戶時(shí)，該單元原來(lái)存儲(chǔ)過(guò)的其他用戶信息不被泄露。內(nèi)存和磁盤(pán)的Cache出于效率考慮會(huì)備份對(duì)象信息，要將其格外保護(hù)，以免對(duì)所有用戶泄露信息。對(duì)象重用機(jī)制網(wǎng)絡(luò)攻防技術(shù)操作系統(tǒng)中對(duì)存儲(chǔ)過(guò)口令的緩沖區(qū)一般會(huì)進(jìn)行清零處理。Windows系統(tǒng)通過(guò)設(shè)置注冊(cè)表里“HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement”鍵下的ClearPageFileAtShutdown項(xiàng)值為1，可以在關(guān)機(jī)時(shí)清零頁(yè)面文件。對(duì)象重用機(jī)制網(wǎng)絡(luò)攻防技術(shù)安全審計(jì)安全審計(jì)的概念安全審計(jì)的過(guò)程Windows安全審計(jì)子系統(tǒng)網(wǎng)絡(luò)攻防技術(shù)安全審計(jì)的概念定義1：日志是記錄的事件或者統(tǒng)計(jì)數(shù)據(jù)，這些事件或統(tǒng)計(jì)數(shù)據(jù)能提供關(guān)于系統(tǒng)使用及性能方面的信息。定義2：審計(jì)是根據(jù)一定的策略，在日志中記錄系統(tǒng)的歷史事件，通過(guò)分析這些事件發(fā)現(xiàn)系統(tǒng)的漏洞或所受威脅以改進(jìn)系統(tǒng)的安全性，或者發(fā)現(xiàn)系統(tǒng)內(nèi)部人員的越權(quán)操作，對(duì)潛在的攻擊者起到警告的作用。網(wǎng)絡(luò)攻防技術(shù)安全審計(jì)過(guò)程事件信息采集：捕獲事件并對(duì)其關(guān)鍵信息進(jìn)行提取；

日志記錄：將事件信息保存到日志文件中；

日志察看：分析日志文件得到報(bào)告，將其反映給管理者。網(wǎng)絡(luò)攻防技術(shù)WindowsXP系統(tǒng)日志（1）系統(tǒng)事件日志；（2）應(yīng)用程序事件日志；（3）安全事件日志網(wǎng)絡(luò)攻防技術(shù)Windows7系統(tǒng)日志有關(guān)Windows系統(tǒng)日志的說(shuō)明信息類(lèi)型錯(cuò)誤，是很重要的問(wèn)題，如數(shù)據(jù)丟失。警告，一般重要，有可能導(dǎo)致問(wèn)題的事件。信息，描述程序、驅(qū)動(dòng)程序或服務(wù)的成功操作。網(wǎng)絡(luò)攻防技術(shù)有關(guān)Windows系統(tǒng)日志的說(shuō)明事件類(lèi)型系統(tǒng)事件是Windows內(nèi)核和系統(tǒng)服務(wù)對(duì)運(yùn)行情況進(jìn)行記錄的事件。安全事件，也叫做審核事件。系統(tǒng)記錄的和安全相關(guān)的事件，如用戶登錄Windows的嘗試是否成功。應(yīng)用程序事件，一般應(yīng)用程序生成的事件。網(wǎng)絡(luò)攻防技術(shù)Windows審計(jì)策略審核策略的更改登錄事件的審核對(duì)象訪問(wèn)的審核過(guò)程追蹤的審核特權(quán)使用的審核系統(tǒng)事件的審核帳戶登錄的審核帳戶管理的審核網(wǎng)絡(luò)攻防技術(shù)2023/6/16網(wǎng)絡(luò)攻防技術(shù)43本章主要內(nèi)容10.1訪問(wèn)控制概述10.2操作系統(tǒng)訪問(wèn)控制相關(guān)機(jī)制10.3UAC機(jī)制分析10.3UAC機(jī)制分析保護(hù)系統(tǒng)完整性的機(jī)制用戶帳戶控制（UserAccountControl）強(qiáng)制完整性級(jí)別（MIC）用戶界面特權(quán)隔離（UIPI）IE保護(hù)模式45UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)UAC目的：保護(hù)系統(tǒng)完整性防止攻擊者在用戶不能察覺(jué)的情況下獲得管理員權(quán)限支撐：強(qiáng)制完整性級(jí)別（MIC）用戶界面特權(quán)隔離（UIPI）特點(diǎn)：動(dòng)態(tài)提升權(quán)限重要應(yīng)用：IE保護(hù)模式46UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)強(qiáng)制完整性級(jí)別進(jìn)程、文件、注冊(cè)表項(xiàng)都被劃分了完整性級(jí)別不信任(Untrusted)、低(Low)、中(Medium)、高(High)及系統(tǒng)(System)理解：完整性越高的對(duì)象，其完整性越需要保護(hù)，可以被查看，但是不能輕易被修改，所以低完整性級(jí)別的對(duì)象不能修改高完整性級(jí)別的對(duì)象47UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)48UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)UAC的用戶體驗(yàn)動(dòng)態(tài)提升權(quán)限：默認(rèn)情況下用戶進(jìn)程只有中等完整性默認(rèn)情況下用戶進(jìn)程只有一般用戶權(quán)限需要提升權(quán)限時(shí)用戶必須面對(duì)的提示框49UAC機(jī)制分析Windows7中的UAC為了用戶的體驗(yàn)引入了白名單50UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)利用白名單提權(quán)利用白名單中的組件復(fù)制惡意文件到關(guān)鍵位置利用白名單中的程序加載惡意文件51UAC機(jī)制分析網(wǎng)絡(luò)攻防技術(shù)本章小結(jié)訪問(wèn)控制是一種重要的網(wǎng)絡(luò)安全服務(wù)，在計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)中實(shí)施權(quán)限管理訪問(wèn)控制通過(guò)一定的機(jī)制實(shí)現(xiàn)安全策略，訪問(wèn)控制模型是訪問(wèn)控制機(jī)制和策略的橋梁。計(jì)算機(jī)系統(tǒng)中，訪問(wèn)控制的大部分功能在操作系統(tǒng)中實(shí)現(xiàn)，相關(guān)的有認(rèn)證和授權(quán)、訪問(wèn)檢查、可信通路、對(duì)象重用和審計(jì)機(jī)制。2023/6/16網(wǎng)絡(luò)攻防技術(shù)52本章小結(jié)訪問(wèn)控制是