第11章 Windows系統(tǒng)的安全機(jī)制

第11章

Windows2000系統(tǒng)的安全機(jī)制學(xué)習(xí)目標(biāo)l

了解Windows2000Server的加密機(jī)制l

了解Windows2000Server的認(rèn)證機(jī)制l

了解Windows2000Server的審計機(jī)制l

熟練掌握Windows2000Server的基本安全配置11.1windows2000的認(rèn)證機(jī)制11.1.1身份認(rèn)證Windows2000身份認(rèn)證的重要功能就是它對單一注冊的支持。單一注冊允許用戶使用一個密碼一次登錄到域，然后向域中的任何計算機(jī)認(rèn)證身份。

單一注冊在安全性方面提供了兩個主要優(yōu)點(diǎn)：對用戶而言，單個密碼或智能卡的使用減少了混亂，提高了工作效率；對管理員而言，由于管理員只需要為每個用戶管理一個帳戶，域用戶所要求的管理支持減少了。

Windows2000身份認(rèn)證分兩部分過程執(zhí)行：交互式登錄和網(wǎng)絡(luò)身份認(rèn)證。1.交互式登錄交互式登錄過程向域帳戶或本地計算機(jī)確認(rèn)用戶的身份，這一過程根據(jù)用戶帳戶的類型而不同。如果使用域帳戶登錄，被授權(quán)的用戶可以訪問該域以及任何信任域中的資源。如果使用密碼登錄到域帳戶，Windows2000將使用KerberosV5進(jìn)行身份認(rèn)證。如果使用智能卡，Windows2000將使用帶證書的KerberosV5身份認(rèn)證。

2．網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證確認(rèn)用戶對于試圖訪問的任意網(wǎng)絡(luò)服務(wù)的身份。為了提供這種類型的身份認(rèn)證，Windows2000安全系統(tǒng)支持多種不同的身份認(rèn)證機(jī)制，包括KerberosV5、安全套接字層/傳輸層安全(SSL/TLS)以及為了與WindowsNT4.0兼容而提供的NTLM。

11.1.2消息驗證1．消息身份驗證消息身份驗證是驗證發(fā)送消息的用戶就是它們所申明的用戶的過程。消息身份驗證也保證了消息不被篡改。

2．用戶證書用戶證書主要用于驗證消息發(fā)送者的

SID。只有當(dāng)用戶證書在

ActiveDirectory中首次注冊時才能驗證

SID。3．外部證書外部用戶證書包含由證書頒發(fā)機(jī)構(gòu)(CA)提供（而不是SID）的信息，以驗證發(fā)送者的身份。創(chuàng)建證書的CA保證外部證書中的消息。4．服務(wù)器身份驗證客戶使用服務(wù)器身份驗證功能可以來驗證發(fā)送到消息隊列服務(wù)器的查詢結(jié)果是否沒有被篡改，是否為正確的消息隊列服務(wù)器返回的結(jié)果。

11.1.3數(shù)字簽名Microsoft的數(shù)字簽名向用戶保證：如果某個特定文件已經(jīng)滿足了某項測試級別，則不會被另一個程序的安裝進(jìn)程修改或覆蓋。

Windows2000包含以下功能，用于確保您的設(shè)備驅(qū)動程序和系統(tǒng)文件保持在原始狀態(tài)，即數(shù)字簽名狀態(tài)。l

Windows文件保護(hù)l

系統(tǒng)文件檢查程序l

文件簽名驗證1．Windows文件保護(hù)在Windows2000之前的Windows版本上，安裝操作系統(tǒng)之外的軟件可能會覆蓋共享的系統(tǒng)文件，如動態(tài)鏈接庫（.dll文件）和可執(zhí)行文件（.exe文件）等。如果系統(tǒng)文件被覆蓋，則可能會導(dǎo)致系統(tǒng)性能不可預(yù)知、程序運(yùn)行無規(guī)律以及操作系統(tǒng)失敗等問題。Windows2000中，“Windows文件保護(hù)”能夠阻止替換受保護(hù)的系統(tǒng)文件，如.sys、.dll、.ocx、.ttf、.fon和.exe文件。啟用“Windows文件保護(hù)”后，只有在安裝以下程序時，系統(tǒng)才允許替換受保護(hù)的系統(tǒng)文件：2

使用Update.exe的Windows2000ServicePack2

使用Hotfix.exe的修補(bǔ)程序分發(fā)2

使用Winnt32.exe的操作系統(tǒng)升級2

Windows更新2．系統(tǒng)文件檢查程序“系統(tǒng)文件檢查程序”(sfc.exe)是一個命令行實用程序，其作用是在重新啟動計算機(jī)之后掃描并驗證所有受保護(hù)的系統(tǒng)文件的版本。如果系統(tǒng)文件檢查程序發(fā)現(xiàn)受保護(hù)的文件被覆蓋，則從%systemroot%\system32\dllcache文件夾中檢索文件的正確版本，然后替換不正確的文件?！跋到y(tǒng)文件檢查程序”的具體語法如下：sfc[/scannow][/scanonce][/scanboot][/cancel][/quiet][/enable][/purgecache][/cachesize=x]其中，各參數(shù)的含義是：2

/scannow：立即掃描所有受保護(hù)的系統(tǒng)文件。2

/scanonce：一次掃描所有受保護(hù)的系統(tǒng)文件。2

/scanboot：每次重新啟動計算機(jī)時掃描所有受保護(hù)的系統(tǒng)文件。2

/cancel：取消對受保護(hù)系統(tǒng)文件的所有未決掃描。2

/quiet：替換所有不正確的文件版本，而不提示用戶。2

/enable：將“Windows文件保護(hù)”返回到默認(rèn)操作，如果檢測到不正確的版本則提示用戶還原受保護(hù)的系統(tǒng)文件。2

/purgecache：清除“Windows文件保護(hù)”文件緩存并立即掃描所有受保護(hù)的系統(tǒng)文件。2

/cachesize=x：以MB為單位設(shè)置“Windows文件保護(hù)”文件緩存的大小。3．使用文件簽名驗證在計算機(jī)上安裝新軟件時，系統(tǒng)文件被未經(jīng)過簽名的或不兼容的版本覆蓋，可能會導(dǎo)致系統(tǒng)不穩(wěn)定。Windows2000提供的系統(tǒng)文件具有Microsoft數(shù)字簽名，這表明文件是原始的、未被篡改或Microsoft已批準(zhǔn)由Windows2000使用的系統(tǒng)文件。使用“文件簽名驗證”，用戶可以標(biāo)識計算機(jī)上未經(jīng)過簽名的文件并查看相應(yīng)文件的有關(guān)信息，如：文件名、文件位置、文件的修改日期、文件類型以及文件的版本號等。11.2Windows2000的審計機(jī)制10.2.1審核策略審核策略指定了要審核的安全相關(guān)事件的類別。第一次安裝Windows2000時所有的審核類別都將被關(guān)閉。通過打開各種審核事件類別，可以實現(xiàn)符合單位安全需要的審計策略?？杀贿x來進(jìn)行審核的事件類別有：審核帳戶登錄事件；審核帳戶管理；審核目錄服務(wù)訪問；審核登錄事件；審核對象訪問；更改審核策略；審核特權(quán)使用；審核過程跟蹤；審核系統(tǒng)事件。

10.2.2審核對象的設(shè)置每個對象都帶有一組安全信息或安全描述符。安全描述符中的一部分內(nèi)容指定了可以訪問對象的組或用戶，以及授予這些組或?qū)ο蟮脑L問類型（權(quán)限）。這一部分內(nèi)容稱為自由訪問控制列表(DACL)。除了包含權(quán)限信息外，對象的安全描述符還包括審核信息。審核信息被稱為系統(tǒng)訪問控制列表(SACL)。具體說來，SACL指明了：訪問對象時要審核的組和用戶帳戶；對于每個組或用戶需要審核的訪問事件（如：修改文件），基于對象的DACL中授予的每個組或用戶的權(quán)限的每個訪問事件的成功或失敗屬性。

11.2.3選擇審核項的應(yīng)用位置審核文件和文件夾時會出現(xiàn)“審核項”對話框。在此對話框中，“應(yīng)用到”列表顯示了可以應(yīng)用審核項的地方。這些審核項應(yīng)用的方式取決于是否選中了“僅對此容器內(nèi)的對象和/或容器應(yīng)用這些審核項”。默認(rèn)情況下，該復(fù)選框是清除的。10.3Windows2000的加密機(jī)制

10.3.1文件加密系統(tǒng)文件加密系統(tǒng)(EFS)提供一種核心文件加密技術(shù)，該技術(shù)用于在NTFS文件系統(tǒng)卷上存儲已加密的文件。使用文件加密系統(tǒng)(EFS)，用戶可以對文件進(jìn)行加密和解密。以保證文件的安全，防止那些未經(jīng)許可的入侵者訪問存儲的敏感資料（例如，通過盜竊筆記本計算機(jī)或外掛式硬盤驅(qū)動器來偷取資料）。用戶可以象使用普通文件和文件夾那樣使用已加密的文件和文件夾。EFS用戶如果是加密者本人，系統(tǒng)會在用戶訪問這些文件和文件夾時將其自動解密。但是，不允許入侵者訪問任何已加密的文件或文件夾。文件的加密過程如下：

（1）每個文件都有一個唯一的文件加密密鑰，用于以后對文件資料進(jìn)行解密。（2）文件的加密密鑰在文件之中是加密的，通過與用戶的EFS證書對應(yīng)的公鑰進(jìn)行保護(hù)。（3）文件加密密鑰同時受到授權(quán)恢復(fù)代理的公鑰的保護(hù)。文件的解密過程如下：（1）要解密一個文件，首先要對文件加密密鑰進(jìn)行解密。當(dāng)用戶的私鑰與這個公鑰匹配時，文件加密密鑰就被解密。（2）用戶并不是唯一能對文件加密密鑰進(jìn)行解密的人?；謴?fù)代理的私鑰同樣可以對文件加密密鑰進(jìn)行解密。（3）當(dāng)文件加密密鑰被解密后，可以被用戶或恢復(fù)代理用于文件資料的解密。作為系統(tǒng)的整個安全策略的一部分，“加密文件系統(tǒng)”(EFS)的資料故障恢復(fù)是十分有用的。例如，如果用戶丟失了文件加密證書和相關(guān)的私鑰（由于磁盤錯誤或是其它原因），可以通過指定的故障恢復(fù)代理來恢復(fù)數(shù)據(jù)。又如，在商業(yè)環(huán)境中，單位能夠在雇員離開后，利用“資料故障恢復(fù)”功能恢復(fù)雇員加密的資料。EFS通過實施故障恢復(fù)策略要求來提供內(nèi)置資料的故障恢復(fù)。要求故障恢復(fù)策略必須在用戶可以加密文件之前就位。故障恢復(fù)策略提供人員將作為被指派的故障恢復(fù)代理。當(dāng)管理員第一次登錄到系統(tǒng)上時，默認(rèn)的故障恢復(fù)策略將會自動地添加進(jìn)去，以便為管理員提供故障恢復(fù)代理。資料故障恢復(fù)在網(wǎng)絡(luò)環(huán)境中，對于故障恢復(fù)策略影響范圍中的所有計算機(jī)用戶，域管理員控制如何執(zhí)行EFS。在默認(rèn)的Windows2000安裝中，當(dāng)安裝第一個網(wǎng)域控制器時，域管理員是指定的域故障恢復(fù)代理。域管理員配置故障恢復(fù)策略的方法將決定如何為本地機(jī)器上的用戶執(zhí)行EFS。域管理員登錄到第一網(wǎng)域控制器以更改域的故障恢復(fù)策略。因為Windows2000安全子系統(tǒng)處理故障恢復(fù)策略的實施、復(fù)制和緩沖，用戶能夠在暫時脫機(jī)的系統(tǒng)上執(zhí)行文件加密，例如便攜式計算機(jī)（此過程類似于使用緩沖的憑據(jù)登錄到域帳戶）。

10.3.2網(wǎng)絡(luò)資料的安全性

“網(wǎng)際協(xié)議安全(IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，使用加密安全服務(wù)確保通過IP網(wǎng)絡(luò)的安全保密通訊。IPSec是基于端對端的安全模型，這意味著只有知道IPSec的計算機(jī)才是發(fā)送和接收的計算機(jī)。Windows2000的IPSec實現(xiàn)了基于Internet工程任務(wù)組(IETF)IPSec工作組開發(fā)的標(biāo)準(zhǔn)。Windows2000路由器服務(wù)使用安全虛擬專用網(wǎng)絡(luò)(VPN)連接提供在LAN和WAN環(huán)境中以及通過Internet的路由服務(wù)。VPN連接是基于點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)和第2層隧道協(xié)議(L2TP)的。Microsoft代理服務(wù)器通過控制局域網(wǎng)到Internet的通訊使Intranet應(yīng)用程序的安全性和使用效率達(dá)到最高，從而有助于減少這種潛在的危險。Microsoft代理服務(wù)器充當(dāng)了在用戶網(wǎng)絡(luò)和Internet之間帶有防火墻類型安全的網(wǎng)關(guān)。11.4Windows2000的安全配置

11.4.1安全策略配置

利用windows2000的管理工具“本地安全策略”，可以配置服務(wù)器的安全策略。依次選擇“開始”

“程序”

“管理工具”

“本地安全策略”，打開“本地安全配置”窗口，如圖11-1所示。1．帳戶策略2．本地策略

3．IP安全策略配置

11.4.2文件保護(hù)

1．Windows文件保護(hù)打開“組策略”窗口，在左側(cè)列表里展開“計算機(jī)設(shè)置”|“管理模板”|“系統(tǒng)”|“Windows文件”，在右側(cè)列表中顯示已有的文件保護(hù)策略，如圖11-15所示，雙擊列表中的某項，打開設(shè)置窗口，如圖11-16所示，在該窗口中可設(shè)置是否啟用這一項開全策略。2．分區(qū)、文件夾、文件的安全設(shè)置NTFS比FAT16和