第11章 Windows系統(tǒng)的安全機(jī)制

第11章

Windows2000系統(tǒng)的安全機(jī)制學(xué)習(xí)目標(biāo)l

了解Windows2000Server的加密機(jī)制l

了解Windows2000Server的認(rèn)證機(jī)制l

了解Windows2000Server的審計(jì)機(jī)制l

熟練掌握Windows2000Server的基本安全配置11.1windows2000的認(rèn)證機(jī)制11.1.1身份認(rèn)證Windows2000身份認(rèn)證的重要功能就是它對(duì)單一注冊(cè)的支持。單一注冊(cè)允許用戶使用一個(gè)密碼一次登錄到域，然后向域中的任何計(jì)算機(jī)認(rèn)證身份。

單一注冊(cè)在安全性方面提供了兩個(gè)主要優(yōu)點(diǎn)：對(duì)用戶而言，單個(gè)密碼或智能卡的使用減少了混亂，提高了工作效率；對(duì)管理員而言，由于管理員只需要為每個(gè)用戶管理一個(gè)帳戶，域用戶所要求的管理支持減少了。

Windows2000身份認(rèn)證分兩部分過(guò)程執(zhí)行：交互式登錄和網(wǎng)絡(luò)身份認(rèn)證。1.交互式登錄交互式登錄過(guò)程向域帳戶或本地計(jì)算機(jī)確認(rèn)用戶的身份，這一過(guò)程根據(jù)用戶帳戶的類型而不同。如果使用域帳戶登錄，被授權(quán)的用戶可以訪問(wèn)該域以及任何信任域中的資源。如果使用密碼登錄到域帳戶，Windows2000將使用KerberosV5進(jìn)行身份認(rèn)證。如果使用智能卡，Windows2000將使用帶證書的KerberosV5身份認(rèn)證。

2．網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證確認(rèn)用戶對(duì)于試圖訪問(wèn)的任意網(wǎng)絡(luò)服務(wù)的身份。為了提供這種類型的身份認(rèn)證，Windows2000安全系統(tǒng)支持多種不同的身份認(rèn)證機(jī)制，包括KerberosV5、安全套接字層/傳輸層安全(SSL/TLS)以及為了與WindowsNT4.0兼容而提供的NTLM。

11.1.2消息驗(yàn)證1．消息身份驗(yàn)證消息身份驗(yàn)證是驗(yàn)證發(fā)送消息的用戶就是它們所申明的用戶的過(guò)程。消息身份驗(yàn)證也保證了消息不被篡改。

2．用戶證書用戶證書主要用于驗(yàn)證消息發(fā)送者的

SID。只有當(dāng)用戶證書在

ActiveDirectory中首次注冊(cè)時(shí)才能驗(yàn)證

SID。3．外部證書外部用戶證書包含由證書頒發(fā)機(jī)構(gòu)(CA)提供（而不是SID）的信息，以驗(yàn)證發(fā)送者的身份。創(chuàng)建證書的CA保證外部證書中的消息。4．服務(wù)器身份驗(yàn)證客戶使用服務(wù)器身份驗(yàn)證功能可以來(lái)驗(yàn)證發(fā)送到消息隊(duì)列服務(wù)器的查詢結(jié)果是否沒(méi)有被篡改，是否為正確的消息隊(duì)列服務(wù)器返回的結(jié)果。

11.1.3數(shù)字簽名Microsoft的數(shù)字簽名向用戶保證：如果某個(gè)特定文件已經(jīng)滿足了某項(xiàng)測(cè)試級(jí)別，則不會(huì)被另一個(gè)程序的安裝進(jìn)程修改或覆蓋。

Windows2000包含以下功能，用于確保您的設(shè)備驅(qū)動(dòng)程序和系統(tǒng)文件保持在原始狀態(tài)，即數(shù)字簽名狀態(tài)。l

Windows文件保護(hù)l

系統(tǒng)文件檢查程序l

文件簽名驗(yàn)證1．Windows文件保護(hù)在Windows2000之前的Windows版本上，安裝操作系統(tǒng)之外的軟件可能會(huì)覆蓋共享的系統(tǒng)文件，如動(dòng)態(tài)鏈接庫(kù)（.dll文件）和可執(zhí)行文件（.exe文件）等。如果系統(tǒng)文件被覆蓋，則可能會(huì)導(dǎo)致系統(tǒng)性能不可預(yù)知、程序運(yùn)行無(wú)規(guī)律以及操作系統(tǒng)失敗等問(wèn)題。Windows2000中，“Windows文件保護(hù)”能夠阻止替換受保護(hù)的系統(tǒng)文件，如.sys、.dll、.ocx、.ttf、.fon和.exe文件。啟用“Windows文件保護(hù)”后，只有在安裝以下程序時(shí)，系統(tǒng)才允許替換受保護(hù)的系統(tǒng)文件：2

使用Update.exe的Windows2000ServicePack2

使用Hotfix.exe的修補(bǔ)程序分發(fā)2

使用Winnt32.exe的操作系統(tǒng)升級(jí)2

Windows更新2．系統(tǒng)文件檢查程序“系統(tǒng)文件檢查程序”(sfc.exe)是一個(gè)命令行實(shí)用程序，其作用是在重新啟動(dòng)計(jì)算機(jī)之后掃描并驗(yàn)證所有受保護(hù)的系統(tǒng)文件的版本。如果系統(tǒng)文件檢查程序發(fā)現(xiàn)受保護(hù)的文件被覆蓋，則從%systemroot%\system32\dllcache文件夾中檢索文件的正確版本，然后替換不正確的文件?！跋到y(tǒng)文件檢查程序”的具體語(yǔ)法如下：sfc[/scannow][/scanonce][/scanboot][/cancel][/quiet][/enable][/purgecache][/cachesize=x]其中，各參數(shù)的含義是：2

/scannow：立即掃描所有受保護(hù)的系統(tǒng)文件。2

/scanonce：一次掃描所有受保護(hù)的系統(tǒng)文件。2

/scanboot：每次重新啟動(dòng)計(jì)算機(jī)時(shí)掃描所有受保護(hù)的系統(tǒng)文件。2

/cancel：取消對(duì)受保護(hù)系統(tǒng)文件的所有未決掃描。2

/quiet：替換所有不正確的文件版本，而不提示用戶。2

/enable：將“Windows文件保護(hù)”返回到默認(rèn)操作，如果檢測(cè)到不正確的版本則提示用戶還原受保護(hù)的系統(tǒng)文件。2

/purgecache：清除“Windows文件保護(hù)”文件緩存并立即掃描所有受保護(hù)的系統(tǒng)文件。2

/cachesize=x：以MB為單位設(shè)置“Windows文件保護(hù)”文件緩存的大小。3．使用文件簽名驗(yàn)證在計(jì)算機(jī)上安裝新軟件時(shí)，系統(tǒng)文件被未經(jīng)過(guò)簽名的或不兼容的版本覆蓋，可能會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定。Windows2000提供的系統(tǒng)文件具有Microsoft數(shù)字簽名，這表明文件是原始的、未被篡改或Microsoft已批準(zhǔn)由Windows2000使用的系統(tǒng)文件。使用“文件簽名驗(yàn)證”，用戶可以標(biāo)識(shí)計(jì)算機(jī)上未經(jīng)過(guò)簽名的文件并查看相應(yīng)文件的有關(guān)信息，如：文件名、文件位置、文件的修改日期、文件類型以及文件的版本號(hào)等。11.2Windows2000的審計(jì)機(jī)制10.2.1審核策略審核策略指定了要審核的安全相關(guān)事件的類別。第一次安裝Windows2000時(shí)所有的審核類別都將被關(guān)閉。通過(guò)打開(kāi)各種審核事件類別，可以實(shí)現(xiàn)符合單位安全需要的審計(jì)策略?？杀贿x來(lái)進(jìn)行審核的事件類別有：審核帳戶登錄事件；審核帳戶管理；審核目錄服務(wù)訪問(wèn)；審核登錄事件；審核對(duì)象訪問(wèn)；更改審核策略；審核特權(quán)使用；審核過(guò)程跟蹤；審核系統(tǒng)事件。

10.2.2審核對(duì)象的設(shè)置每個(gè)對(duì)象都帶有一組安全信息或安全描述符。安全描述符中的一部分內(nèi)容指定了可以訪問(wèn)對(duì)象的組或用戶，以及授予這些組或?qū)ο蟮脑L問(wèn)類型（權(quán)限）。這一部分內(nèi)容稱為自由訪問(wèn)控制列表(DACL)。除了包含權(quán)限信息外，對(duì)象的安全描述符還包括審核信息。審核信息被稱為系統(tǒng)訪問(wèn)控制列表(SACL)。具體說(shuō)來(lái)，SACL指明了：訪問(wèn)對(duì)象時(shí)要審核的組和用戶帳戶；對(duì)于每個(gè)組或用戶需要審核的訪問(wèn)事件（如：修改文件），基于對(duì)象的DACL中授予的每個(gè)組或用戶的權(quán)限的每個(gè)訪問(wèn)事件的成功或失敗屬性。

11.2.3選擇審核項(xiàng)的應(yīng)用位置審核文件和文件夾時(shí)會(huì)出現(xiàn)“審核項(xiàng)”對(duì)話框。在此對(duì)話框中，“應(yīng)用到”列表顯示了可以應(yīng)用審核項(xiàng)的地方。這些審核項(xiàng)應(yīng)用的方式取決于是否選中了“僅對(duì)此容器內(nèi)的對(duì)象和/或容器應(yīng)用這些審核項(xiàng)”。默認(rèn)情況下，該復(fù)選框是清除的。10.3Windows2000的加密機(jī)制

10.3.1文件加密系統(tǒng)文件加密系統(tǒng)(EFS)提供一種核心文件加密技術(shù)，該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲(chǔ)已加密的文件。使用文件加密系統(tǒng)(EFS)，用戶可以對(duì)文件進(jìn)行加密和解密。以保證文件的安全，防止那些未經(jīng)許可的入侵者訪問(wèn)存儲(chǔ)的敏感資料（例如，通過(guò)盜竊筆記本計(jì)算機(jī)或外掛式硬盤驅(qū)動(dòng)器來(lái)偷取資料）。用戶可以象使用普通文件和文件夾那樣使用已加密的文件和文件夾。EFS用戶如果是加密者本人，系統(tǒng)會(huì)在用戶訪問(wèn)這些文件和文件夾時(shí)將其自動(dòng)解密。但是，不允許入侵者訪問(wèn)任何已加密的文件或文件夾。文件的加密過(guò)程如下：

（1）每個(gè)文件都有一個(gè)唯一的文件加密密鑰，用于以后對(duì)文件資料進(jìn)行解密。（2）文件的加密密鑰在文件之中是加密的，通過(guò)與用戶的EFS證書對(duì)應(yīng)的公鑰進(jìn)行保護(hù)。（3）文件加密密鑰同時(shí)受到授權(quán)恢復(fù)代理的公鑰的保護(hù)。文件的解密過(guò)程如下：（1）要解密一個(gè)文件，首先要對(duì)文件加密密鑰進(jìn)行解密。當(dāng)用戶的私鑰與這個(gè)公鑰匹配時(shí)，文件加密密鑰就被解密。（2）用戶并不是唯一能對(duì)文件加密密鑰進(jìn)行解密的人?；謴?fù)代理的私鑰同樣可以對(duì)文件加密密鑰進(jìn)行解密。（3）當(dāng)文件加密密鑰被解密后，可以被用戶或恢復(fù)代理用于文件資料的解密。作為系統(tǒng)的整個(gè)安全策略的一部分，“加密文件系統(tǒng)”(EFS)的資料故障恢復(fù)是十分有用的。例如，如果用戶丟失了文件加密證書和相關(guān)的私鑰（由于磁盤錯(cuò)誤或是其它原因），可以通過(guò)指定的故障恢復(fù)代理來(lái)恢復(fù)數(shù)據(jù)。又如，在商業(yè)環(huán)境中，單位能夠在雇員離開(kāi)后，利用“資料故障恢復(fù)”功能恢復(fù)雇員加密的資料。EFS通過(guò)實(shí)施故障恢復(fù)策略要求來(lái)提供內(nèi)置資料的故障恢復(fù)。要求故障恢復(fù)策略必須在用戶可以加密文件之前就位。故障恢復(fù)策略提供人員將作為被指派的故障恢復(fù)代理。當(dāng)管理員第一次登錄到系統(tǒng)上時(shí)，默認(rèn)的故障恢復(fù)策略將會(huì)自動(dòng)地添加進(jìn)去，以便為管理員提供故障恢復(fù)代理。資料故障恢復(fù)在網(wǎng)絡(luò)環(huán)境中，對(duì)于故障恢復(fù)策略影響范圍中的所有計(jì)算機(jī)用戶，域管理員控制如何執(zhí)行EFS。在默認(rèn)的Windows2000安裝中，當(dāng)安裝第一個(gè)網(wǎng)域控制器時(shí)，域管理員是指定的域故障恢復(fù)代理。域管理員配置故障恢復(fù)策略的方法將決定如何為本地機(jī)器上的用戶執(zhí)行EFS。域管理員登錄到第一網(wǎng)域控制器以更改域的故障恢復(fù)策略。因?yàn)閃indows2000安全子系統(tǒng)處理故障恢復(fù)策略的實(shí)施、復(fù)制和緩沖，用戶能夠在暫時(shí)脫機(jī)的系統(tǒng)上執(zhí)行文件加密，例如便攜式計(jì)算機(jī)（此過(guò)程類似于使用緩沖的憑據(jù)登錄到域帳戶）。

10.3.2網(wǎng)絡(luò)資料的安全性

“網(wǎng)際協(xié)議安全(IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，使用加密安全服務(wù)確保通過(guò)IP網(wǎng)絡(luò)的安全保密通訊。IPSec是基于端對(duì)端的安全模型，這意味著只有知道IPSec的計(jì)算機(jī)才是發(fā)送和接收的計(jì)算機(jī)。Windows2000的IPSec實(shí)現(xiàn)了基于Internet工程任務(wù)組(IETF)IPSec工作組開(kāi)發(fā)的標(biāo)準(zhǔn)。Windows2000路由器服務(wù)使用安全虛擬專用網(wǎng)絡(luò)(VPN)連接提供在LAN和WAN環(huán)境中以及通過(guò)Internet的路由服務(wù)。VPN連接是基于點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)和第2層隧道協(xié)議(L2TP)的。Microsoft代理服務(wù)器通過(guò)控制局域網(wǎng)到Internet的通訊使Intranet應(yīng)用程序的安全性和使用效率達(dá)到最高，從而有助于減少這種潛在的危險(xiǎn)。Microsoft代理服務(wù)器充當(dāng)了在用戶網(wǎng)絡(luò)和Internet之間帶有防火墻類型安全的網(wǎng)關(guān)。11.4Windows2000的安全配置

11.4.1安全策略配置

利用windows2000的管理工具“本地安全策略”，可以配置服務(wù)器的安全策略。依次選擇“開(kāi)始”

“程序”

“管理工具”

“本地安全策略”，打開(kāi)“本地安全配置”窗口，如圖11-1所示。1．帳戶策略2．本地策略

3．IP安全策略配置

11.4.2文件保護(hù)

1．Windows文件保護(hù)打開(kāi)“組策略”窗口，在左側(cè)列表里展開(kāi)“計(jì)算機(jī)設(shè)置”|“管理模板”|“系統(tǒng)”|“Windows文件”，在右側(cè)列表中顯示已有的文件保護(hù)策略，如圖11-15所示，雙擊列表中的某項(xiàng)，打開(kāi)設(shè)置窗口，如圖11-16所示，在該窗口中可設(shè)置是否啟用這一項(xiàng)開(kāi)全策略。2．分區(qū)、文件夾、文件的安全設(shè)置NTFS比FAT16和