网络安全理论与技术 -...

网络安全理论与技术网络安全理论与技术系统平台安全系统平台安全

西安电子科技大学通信工程学院信息工程系

第十章系统平台安全第十五章系统平台安全

15.1 系统平台概述

15.2 系统平台的安全加固

15.3 UNIX系统安全

15.4 Windows NT安全

系统平台安全 2/89

15 1 系统平台概述15.1 系统平台概述

15 1 1 系统平台的概念15.1.1 系统平台的概念

系统平台是指网络操作系统（Netware Operating p gSystem,NOS)平台。

网络操作系统除了应具有通常操作系统的五大功能：处理机管理、存储器管理、设备管理、文件管理、作业管处理机管理、存储器管理、设备管理、文件管理、作业管理外，还具有以下两大功能：高效、可靠的网络通信能力；多种网络服务功能。

网络操作系统有两个基本的要求：

①允许在局域网上的资源共享

②现有的PC机操作系统仍能运行，且无需更改。


为了满足这两个基本要求， NOS有两个主要组成

第一个,也是最主要的组成是控制服务器的操作、管理存储在服务器上的文件。不同于PC操作系统的运行环

为了满足这两个基本要求， NOS有两个主要组成:

理存储在服务器上的文件。不同于PC操作系统的运行环境，在网上有多个用户在争用网上共享的资源，不同用户有不同的作业，因此网络操作系统需要支持多用户和多任务。多任务。

第二个组成是运行在客户系统的软件，使客户能访问网络以及网上资源，而这些资源和服务由网上服务器问网络以及网上资源，而这些资源和服务由网上服务器提供。

目前，较流行的网络操作系统有Windows 9x系列、Windows NT/2000/XP系列、UNIX系列、Linux系列Windows NT/2000/XP系列、UNIX系列、Linux系列及NetWare系列。


15 1 2 系统平台的种类15.1.2 系统平台的种类

网络操作系统的主要功能是实现资源共享。根据共网络操作系统的主要功能是实现资源共享。根据共享资源的方式不同，网络操作系统划分为两大类型。

对等式网络操作系统：网络操作系统软件相等地分布在网络上的所有结点。布在网络上的所有结点。

集中式网络操作系统：网络操作系统的主要部分驻留在中心结点。集中式网络操作系统下的中心结点称为留在中心结点。集中式网络操作系统下的中心结点称为服务器，使用由中心结点所管理资源的应用称为客户。因此，集中式网络操作系统下的运行机制就是人们平常所谓的“客户机/服务器”，C/S方式。所谓的“客户机/服务器”，C/S方式。

因为客户软件运行在工作站上，所以人们有时将工作站称为客户。其实只有使用服务的应用才能称为客户，作站称为客户。其实只有使用服务的应用才能称为客户，向应用提供服务的应用或系统软件才能称为服务器。


对等式网络操作系统

例如Novell公司的Personal Netware，Invisible 例如Novell公司的Personal Netware，Invisible Software公司的Invisible LAN3.44，Microsoft公司的windows for Workgroup 3.11、Windows 9x 等。g p

用户期待对等式网络比客户/服务器更容易操作，安装尽量简单，管理更加方便，具有内建的生产工具，并具有一定的安全级别，以防止敏感性数据受损害。具有一定的安全级别，以防止敏感性数据受损害。

集中式网络操作系统

例如Novell公司的Netware 3.x、4.x、5x、6x，Microsoft Windows NT/2000,IBM OS／2 LAN Server Advanced 3.0和Banyan Vines等。

这种以客户/服务器方式操作的网络操作系统，由于顺应90年代的计算模式，发展非常迅速。网络操作系统顺应90年代的计算模式，发展非常迅速。网络操作系统

的功能比以前传统上只提供文件和打印共享的系统有了


很大提高。很大提高。

15.1.3 系统平台的安全风险系统平台的安全风险

风险=威胁+漏洞

如果没有漏洞，也就没有风险。每个平台，无论是硬件还是软件，都存在着漏洞。作为网络安全的基础，网络操作系统也不例外。网络操作系统也不例外。

从某种意义上讲，系统平台的风险大小取决网络操作系统漏洞的多少及严重程度。尽管众多的安全服务提作系统漏洞的多少及严重程度。尽管众多的安全服务提供商及操作系统厂商花费大量人力财力来发现系统漏洞、修补漏洞，但是，漏洞不但没有减少，反而有所增加。

据国际权威组织及公布的年安全漏据国际权威组织SANS及FBI公布的2003年安全漏洞表明，在排名前20位Internet最严重的安全漏洞中，几乎全部是网络操作系统的漏洞几乎全部是网络操作系统的漏洞


目前在服务器的操作系统平台上目前，在服务器的操作系统平台上，受广大用户欢迎的有Unix、Linux和Wi d NTWindows NT。

三个操作系统存在着不少的安全漏洞，如果对这些漏洞不了解，不采取相应的对策和防范措施，就会使系统完相应的对策和防范措施就会使系统完全暴露在入侵者的入侵范围之内，随时有可能遭受毁灭性的攻击。有可能遭受毁灭性的攻击


1 Wi d 系列漏洞1. Windows系列漏洞

①① Windows Web Server(IIS)漏洞

② MRDS组件漏洞

③ NetBIOS漏洞

④ 匿名登录

⑤ LAN Manager身份鉴别漏洞

⑥ IE浏览器漏洞

⑦ 远程访问注册表漏洞

⑧ Windows 脚本主机服务漏洞⑧ 脚本机服务漏洞

⑨ 帐号无口令或口令强度太弱


1 Windows系列漏洞1. Windows系列漏洞

(1) Windows Web Server (IIS)漏洞。

主要表现为如下三个方面

① 不能正确处理某些请求。不能正确解析http中的URL请求，著名例子为Unicode编码目录错误，通

主要表现为如下三个方面。

请求，著名例子为编码目录错误，通过该漏洞远程攻击者可以：

查看程序脚本源码；查看Web文档以外的文件；执行任意代码。

② 缓冲区溢出。产生于ISAPI扩展（ASP、HTR、② 缓冲区溢出。产生于ISAPI扩展（ASP、HTR、IDQ等），著名例子为CodeRed、CodeRedII蠕虫。用该漏洞，远程攻击者可以完成：

拒绝服务；以Web服务器用户身份执行任意程序；应用样本用于演示服务器环境功能不可作为产品


演示服务器环境功能，不可作为产品。

③ 应用样本。微软用于演示服务器环境功能的样本程序，

未经过严格测试。当用户错把样本作为应用程序使用未经过严格测试。当用户错把样本作为应用程序使用

后，远程攻击者可以利用样本程序的漏洞完成：

建立及重写任意文件（例如样本程序newdsn.exe）；查阅任意文件（例如数据库用户名及口令）；

远程访问服务器敏感信息包括管理员口令（例如远程访问服务器敏感信息，包括管理员口令（例如iisadmin应用样本）。


(2) NetBIOS漏洞

NetBIOS漏洞通过网络共享，允许Windows主机之间共享文件及文件夹。其支持协议为SMB(Server Message Bl k，服务器信息块)。文件共享使得它们容易受到信息窃Block，服务器信息块)。文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。

Windows文件共享的机制可被攻击者利用获取系统的敏Windows文件共享的机制可被攻击者利用获取系统的敏

感信息。用户和组信息（用户名、上次登录时间、口令策略、RAS信息）、系统信息和某种登录密码都可通过与NetBIOS对话服务连接的一个“空对话”过程获得。这些信息可以帮助他们进行口令猜测和破解。

(3) MRDS组件漏洞

黑客可以利用IIS的远程数据服务（R t D t S i ，黑客可以利用IIS的远程数据服务（Remote Data Services，RDS）中的漏洞，以管理权限在远端运行命令。


(4) 匿名登录

空会话(Null Session)漏洞，又称为匿名登录，是一种允许网上用户以匿名方式获取信息(如用户名及共享)，或允许网上用户以匿名方式获取信息(如用户名及共享)，或不经身份鉴别来建立连接的一种机制。

IE使用它来列出远程主机共享资源。在Windows NT、、系统中，一些本地服务以账号运行，2000、XP系统中，一些本地服务以SYSTEM账号运行，

当本地服务需要取回远程主机数据时，SYSTEM账号将打开一个空会话。SYSTEM账号实际上具有无限权限，且没开一个空会话。账号实际上具有无限权限，且没有口令。由于它不能以用户名及口令方式记录到其他系统的日志文件中，因此，SYSTEM账号可以使用空会话方式得到访问权。得到访问权。


尽管当前环境不需要的

(5) LAN Manager身份鉴别漏洞

尽管当前Windows环境不需要LAN Manager(LM)的支持，微软还是在Windows NT、2000及XP系统里默认安装了LAN Manager口令散列。安装了 g 口令散列。

LM散列的主要脆弱性在于：

长的口令被截成14个字符；短的口令被填补空格变成14个字符；口令中所有的字符被转换成大写；口令中所有的字符被转换成大写；口令被分割成两个7个字符的字符串。

这意味着口令破解程序只需要破解两个7个字符的口这意味着口令破解程序只需要破解两个7个字符的口令且不用测试小写字符情况。另外，LM容易被监听口令散列。易于字典攻击。散列。易于字典攻击。


(6)远程访问注册表漏洞

在微软的所有操作系统中，使用了注册表来管理软件、存储设备配置信息及用户设置，某些不正确的权限设置，允许远程交互访问注册表。

(7) IE浏览器漏洞( ) 浏览器漏洞

作为微软的默认浏览器，IE有许多致命漏洞。恶意Web管理员可以利用漏洞设计Web页面，使得IE用户浏览这些页管理员可以利用漏洞设计Web页面，使得IE用户浏览这些页面时出现问题。

所有漏洞归结为以下几类：所有漏洞归结为以下几类：Web页面欺骗（可骗取用户敏感信息）；ActiveX控制漏洞（显示指定格式文本）；Active脚本漏洞；脚本漏洞；错误解释MIME_type、content_type及缓冲区溢出(例如，一个非audio格式文件),结果为，暴露cookies、本地文件及数据，下载及执行任意代码，或完全接管系统。


(8) Windows脚本主机服务漏洞

WSH(Windows 脚本主机服务)是Windows系统提供的功能，它允许任意以 vbs扩展名结尾的文本文件被供的功能，它允许任意以.vbs扩展名结尾的文本文件被系统解释为Visual基本脚本来执行。

当WSH允许时，用户无意间下载恶意脚本文件，很可能通过服务自动在系统中执行。很可能通过WSH服务自动在系统中执行。

例如，2000年出现的爱虫（I LOVE YOU）和其他VB脚本蠕虫病毒。他VB脚本蠕虫病毒。

（9）账号无口令或口令强度太弱（9）账号无口令或口令强度太弱


2 UNIX漏洞2. UNIX漏洞

① 远程过程漏洞① 远程过程漏洞

② Apache Web服务器漏洞

③ 安全SSH漏洞③ 安全SSH漏洞

④ 简单网络管理协议（SNMP）漏洞

⑤ 文件传输协议（FTP）漏洞⑤ 文件传输协议（FTP）漏洞

⑥ R服务——信任关系漏洞

⑦ 行式打印机守护进程漏洞

⑧ Sendmail漏洞

⑨ Bind/DNS漏洞

⑩ 帐号无口令或口令强度太弱


2. UNIX漏洞(1) 远程过程调用漏洞

远程过程调用（Remote Procedure Call,RPC）允许一台机器上的程序执行另一台机器上的程序。它们提供网络服务，如文件

漏洞

的程序执行另一台机器上的程序。它们提供网络服务，如NFS文件共享、NIS等。由于RPC服务常以root权限执行，攻击者可利用其弱点进行非授权的远程root权限访问。由于RPC服务没有完成足够的错误检查及输入校验，导致攻击者主要利用RPC的缓冲区溢出漏洞。误检查及输入校验，导致攻击者主要利用RPC的缓冲区溢出漏洞。

(2) Apache Web服务器漏洞与微软的IIS相比，尽管Apache安全性明显强于IIS 但它的核与微软的IIS相比，尽管Apache安全性明显强于IIS,但它的核

心或模块部分也发现了漏洞。只要与Web应用交互操作，尤其是CGI程序与数据库，没有任何Web服务器可认为是安全的。

(3) 安全SSH漏洞(3) 安全SSH漏洞安全SSH(Secure Shell)是一种相当流行的服务，它用于安全登

录、命令执行及文件传输。目前免费版本为OpenSSH,商业版为SSH C i ti S it 。但SSH同样存在安全漏洞，其中最SSH Communication Security。但SSH同样存在安全漏洞，其中最危险的是远程攻击者可获得root访问权限。其SSH协议本身在传送某些特定构成信息时，存在解密会话。此外，SSH使用的Open SSL加密库存在安全漏洞。


加密库存在安全漏洞。

(4) 简单网络管理协议漏洞SNMP（Simple Network Management Protocol 简单SNMP（Simple Network Management Protocol, 简单

网络管理协议）用于远程管理和监视各种通过TCP/IP连接的网络设备，包括路由器、交换机、打印机。SNMP管理工作站与网络设备之间的认证使用没有加密的公共字符串作为身份鉴别。不仅如此，绝大部分SNMP设备使用的公共字符串还是鉴别。不仅如此，绝大部分SNMP设备使用的公共字符串还是“public”，只有少部分“聪明”的设备供应商为了保护敏感信息把字符串改为“private”。攻击者可以利用这个SNMP中的漏洞远程重新配置或关闭你的设备。被监听的SNMP通信能的漏洞远程重新配置或关闭你的设备。被监听的SNMP通信能泄漏很多关于网络结构的信息，入侵者可以使用这些信息找出目标，谋划他们的攻击。

(5) 文件传输协议漏洞文件传输协议（File Transfer Protocol,FTP）是一种主

机间文件传输的协议，支持匿名及非匿名两种方式。协议本机间文件传输的协议，支持匿名及非匿名两种方式。协议本身的漏洞在于用户名及口令在网上以明文传送。此外，商业及免费协议实现存在漏洞，使得远程攻击者可以取得普通权限后执行用户级命令，甚至得到root权限后控制受害主机。


(6) R服务——信任关系漏洞rsh、rcp、rlogin及rcmd等是UNIX系统提供的R系列命rsh、rcp、rlogin及rcmd等是UNIX系统提供的R系列命

令。相应的服务称为R服务。R服务使用信任关系，把许多主机联系在一起，一个用户可以很方便地从一台主机切换到另一台主机，而不需要输入用户名及口令。信任关系通过一台主机，而不需要输入用户名及口令。信任关系通过/etc/hosts.equiv及~/.rhosts决定。R服务漏洞在于：① 身份鉴别信息以明文进行。① 身份鉴别信息以明文进行。② 如果攻击者获得了可信任网络里的任何一台机器，他就能登录信任该主机的任何机器；

（7）行式打印机守护进程漏洞在UNIX系统里，LPD（行式打印机守护进程）主要提供

本地或远程主机通过连接TCP 515端口实现打印服务。程序员本地或远程主机通过连接TCP 515端口实现打印服务。程序员在写代码时犯了一点错误，使得当打印工作从一台机器传到另一台机器时会导致缓冲区溢出的漏洞。如果在较短的时间里接受了太多的任务，后台程序就会崩溃或者以更高的权限运行任意的代码。运行任意的代码。


(8) S d il漏洞(8) Sendmail漏洞Sendmail是在UNIX和Linux上用的最多的发送、接收和转

发电子邮件的程序。Sendmail在Internet上的广泛应用,使它成发电子邮件的程序。在上的广泛应用,使它成为攻击者的主要目标。尽管到目前为止已修复了Sendmail的大量漏洞，但还是不断有新漏洞出现。

主要问题分为两类：主要问题分为两类：

① 由缓冲区溢出导致的权限扩大。

② 由于配置不当，使得你的主机转发其他主机上的电子邮件。


(9) Bind/DNS漏洞（）是域名服务BIND（Berkeley Internet Name Domain）是域名服务

(Domain Name Service，DNS)用得最多的软件包。我们利用它在Internet上(http://www.thdascom.com.cn)通过机器的名字找( p )到机器,而不必知道机器的IP地址。BIND的普遍应用，成为攻击者钟爱的目标。

在一个典型的BIND攻击的例子里，入侵者删除了系统日志并在一个典型的BIND攻击的例子里，入侵者删除了系统日志并安装了工具来获取管理员的权限。然后他们编辑安装了IRC工具和网络扫描工具，扫描了12个B类网来寻找更多的易受攻击的BIND。

在一分钟左右的时间里，他们就使用已经控制的机器攻击了几百台在一分钟左右的时间里，他们就使用已经控制的机器攻击了几百台远程的机器。

攻击分类主要有：① 拒绝服务。① 拒绝服务。② 缓冲区溢出。③ DNS高速缓存定位。④ D号欺骗。④ ID号欺骗。

（10）账号无口令或口令强度太弱


第十五章系统平台安全






15 2系统平台的安全加固15.2系统平台的安全加固

平台加固是一种用来分析和确定操作系统及服务程序平台加固是一种用来分析和确定操作系统及服务程序弱点，并引入适当的更改以保护操作系统及其服务程序免受攻击的方法。平台加固可以帮助检查操作系统的各个组受攻击的方法。平台加固可以帮助检查操作系统的各个组件及相关应用程序，以确定最安全的配置方案。配置过程包括从系统中删除不需要的服务、软件和用户，加强对操作系统工具和软件的控制。最终结果是有了一个在自身安全方面扮演积极角色的平台，该平台不仅仅依赖于外在的安全机制。安全机制。


15.2.1 系统平台的加固方案系平的固案

尽管加固系统平台的具体方案是依据系统平台的尽管加固系统平台的具体方案是依据系统平台的不同而定的，但总体指导思想是一致的，具体如下：

① 减小无用软件、服务和进程的数目。② 在持续提供对资源的访问的同时，要使所有软件、

服务以及进程配置处于最安全的状态。服务以及进程配置处于最安全的状态。③ 尽可能避免系统对其身份、服务以及功能等信息的

泄漏。


为达到成功加固系统平台的目的，系统平台的加固应采取的步骤

① 确定目标系统的用途。

固应采取的步骤：

① 确定目标系统的用途。

② 评定系统是否符合最初要求。

③ 根据目标系统的需求，制定安全策略。⑴网络

⑵系统软件要设计一种安全策略以

⑵系统软件

⑶文件系统

⑷用户

要设计一种安全策略以满足目标系统平台的需求，通常，安全策略的制定应考虑以下5方面的内容： ⑷用户

⑸物理

虑以下5方面的内容：

④ 采用标准构件的方法实施系统平台加固。④ 采用标准构件的方法实施系统平台加固。


系统平台的加固指南系平台固南依据平台加固的总体指导思想，平台加固应考虑以下几个方面：

1.端口和进程。例如：用netstat命令列出所有打开的TCP/IP网络端口。

2.安装系统补丁。

3.密码强度及储存

4.用户帐号

5 用户特权5.用户特权

6.文件系统安全

7.远程访问的安全7.远程访问的安全

8.服务标题、操作系统指纹


1.端口和进程网络操作系统使用进程向外提供服务，减少无用软

件及服务的任务就是要在所有系统进程中找出多余进程。由于进程通过打开网络端口向外提供服务，所以程。由于进程通过打开网络端口向外提供服务，所以找出多余进程的最快方法是观察进程及端口对应表。

netstat是列出一个系统上所有打开的TCP/IP网netstat是列出一个系统上所有打开的TCP/IP网络端口的命令，通过该命令，可以找出系统平台上的所有打开的监听端口。这些打开着的端口正是入侵者所有打开的监听端口。这些打开着的端口正是入侵者所要攻击的，因为它们通向系统平台内部。因此，作为平台加固的一部分，我们使用netstat命令来识别出无关端口，并由此找到需要删除或需要禁用的服务。无关端口，并由此找到需要删除或需要禁用的服务。

下图用netstat显示出，主机192.168.5.102开放了T l t、SSH、FTP等服务。了Telnet、SSH、FTP等服务。


netstat命令输出示例


禁用 Windows 2000 中不必要的服务非常简单，只需要浏览列表来关闭或禁用不需要的服务。下图显示了Windows 要浏览列表来关闭或禁用不需要的服务。下图显示了2000的服务面板。

2008-5-29 系统平台安全 30/89

禁用UNIX平台上的服务要复杂一些。主要是不同的是UNIX版本服

务的启动脚本及文件的存放位置不同。对于每个要启动的服务，操作系统中通常包含一组启动及停止脚本，启动时操作系统按所需的顺序调用这些脚本，关闭时系统执行停止脚本。加固过程中要合理定位不同操作这些脚本，关闭时系统执行停止脚本。加固过程中要合理定位不同操作系统脚本的位置并合理禁用不必要的服务程序。下表列出了一些UNIX系统启动脚本的位置。

操作系统启动脚本位置

Solaris /etc/init.d

Linux(redhat、turbo Linux)

/etc/rc.d/init.d

FreeBSD /etc/rc initFreeBSD /etc/rc.init


2.安装系统补丁所有软件都有缺陷。为了修复这些错误，供应商会

发布软件补丁。如果没有这些补丁，可能就会容易遭受攻击。在有很严格的更改控制策略的组织中，及时安装攻击。在有很严格的更改控制策略的组织中，及时安装补丁会是一个问题。对补丁的彻底测试是这个过程的关键部分，因为供应商在解决旧问题时，有可能会引入新键部分，因为供应商在解决旧问题时，有可能会引入新的问题。而对于和安全缺陷无关的补丁来说没有问题。但是，入侵者搜索和利用安全弱点的速度要求有更快的但是，入侵者搜索和利用安全弱点的速度要求有更快的安全补丁修正过程。企业必须注意安全补丁的发布，并随时准备快速地使用它们。

建议企业及时查阅以获得最新漏洞修建议企业及时查阅www.sans.org以获得最新漏洞修复信息。不同操作系统的系统补丁如下表所示。


不同操作系统的系统补丁

操作系统补丁类型安装方式如何获得

Windo s/NT2000 H tfi 自安装 i ftWindows/NT2000 Hotfix、service pack

自安装 www.microsoft.com/security

Solaris 单或多个补丁 instllpatch Sunsolve.sun.com

Linux(redha、Mandrake 等)

替代软件包 Rpm –u www.redhat.com/apps/support/errataMandrake 等) ps/support/errata

www.mandrakelinux.com

N NLM P h llNetware NLM Patch support.novell.com/filefinder/6385/index

FreeBSD 新的原代码重新编译新代码 www.freebsd.org


3.密码强度及存储计算平台速度的巨大改进以及人们对现代密码系

统的兴趣和理解的增加，向平台安全提出了新的挑战。UNIX系统传统上使用一些快速类型的哈希算法来对所UNIX系统传统上使用一些快速类型的哈希算法来对所存放的用户密码进行加密。为了允许低特权进程使用这个密码系统，密码存储(依赖于加密技术来保护它)需要全局性的可读许可。要全局性的可读许可。

系统允许的密码强度是传统UNIX系统的另一薄弱之处。密码强度取决于密码中使用的字符数和随机弱之处。密码强度取决于密码中使用的字符数和随机性。例如，“3D8％de，’的强度就比“dog”要大得多。

Windows NT/2000也包含了保护本地密码存储完整性的方法。通过一次性使用syskey命令，可以使操作系统在密码存储中使用更强的加密技术。操作系统在密码存储中使用更强的加密技术。

Windows NT/2000也可以要求用户使用经常更改的更长、更随机的密码。


改的更长、更随机的密码。

4.用户帐户

用户账户标识了需要访问平台资源的实体(无论是应用程序进程还是人)。操作系统通过权限和优先权将应用程序进程还是人)。操作系统通过权限和优先权将

用户账户与其访问控制系统相关联。因为用户账户是合法进入系统的机制，所以入侵者常常试图利用用户账户管理和访问控制中的缺陷。账户管理和访问控制中的缺陷。

用户账户管理的弱点有5个方面：弱密码、制造商

默认的账户、基于角色的账户、公司默认账户，以及默认的账户、基于角色的账户、公司默认账户，以及废弃账户。在所有情况下，平台加固的目标是将用户账户数目减少到所需的绝对最小值。账户数目减少到所需的绝对最小值。


5.用户特权用户特权是UNIX系统安全的基础之—。正确实现的用户特权

应该确保用户只具有他们执行任务所需要的访问权限。UNIX系统

中的超级用户是一个享有完全和不受限系统资源访问权的用户账中的超级用户是一个享有完全和不受限系统资源访问权的用户账户。这个账户是为专门需要高级别访问的系统管理任务保留的，但是系统管理员常常将之用于他们普通的日常活动。大多数UNIX系统不提供一个中间级别的系统特权，所以超级用户特权往往被系统不提供一个中间级别的系统特权，所以超级用户特权往往被授予比完成任务实际所需的数目多得多的用户。因为超级用户账户可以破坏和修改系统安全功能，所以系统管理员每次给予这个关键的访问级别，就是在增加系统被攻击的可能。并且，由于只关键的访问级别，就是在增加系统被攻击的可能。并且，由于只有一个超级用户账户，所以要跟踪谁在使用它是很困难的。

SUDO(Set User and Do)设计使系统管理员能够给超级用户( )更精细级别的访问权。可以为每一个用户指派通常只能作为超级用户运行的特定的应用程序和功能，而不是真正地使用超级用户账户。SUDO也可以启用详细的日志记录，使得可以根据任何运行账户。SUDO也可以启用详细的日志记录，使得可以根据任何运行于SUDO的超级用户功能追踪到某个特定的用户。在特定的应用中，使用SUDO意味着没有人使用过超级用户账户。


6.文件系统安全

通过在程序文件上设置SUID标志，某一个进程可以临时提升其特权用以完成某项任务(例如，文件可以临时提升其特权用以完成某项任务(例如，文件passwd)。当程序执行时，可以暂时得到这些额外的特权而不用被全时授予如此高的特权。这个SUID标

志常常过度使用，当它与被黑客修改过的软件包结志常常过度使用，当它与被黑客修改过的软件包结合时，被修改的程序执行后会使某个用户得到全时提升的系统权利。UNIX系统可能有很多带有这个标提升的系统权利。UNIX系统可能有很多带有这个标

志的组件，但是通常只需要它们中的一小部分。建议使用命令从整个系统中删除不需要SUID标志程序议使用命令从整个系统中删除不需要标志程序的SUID标志。


7.远程访问安全

Telnet和rlogin是UNIX系统上最常用的远程访问

方式。这些系统都不采用加密技术来保护远程访问会话。一种被动的网络监听攻击可以观察用户在进入Telnet或者rlogin会话中按下的每一个键。安全Shell (Secure Shell，SSH)是种在UNIX及Window (Secure Shell，SSH)是—种在UNIX及Window NT/2000系统上使用的软件包，它提供与Telnet和rlogin相同功能，但增加了加密会话功能。这个软件包rlogin相同功能，但增加了加密会话功能。这个软件包

已经成为用加密和访问控制的各种可配置级别进行安全远程访问的行业标准。


8.服务标题、操作系统指纹我们已经提到过，平台加固要减少系统泄漏的

信息数。默认情况下，像telnet和ftp样的服务在被

访问时，会显示一个描述其软件版本和平台类型的标题。攻击者使用这个信息，通过检查任何含有关于特定软件版本和类型的可利用信息的数据库，可于特定软件版本和类型的可利用信息的数据库，可以确定该平台是否有可利用的漏洞。许多入侵者通过扫描Internet的整个区段，寻找他们已知可利用过扫描Internet的整个区段，寻找他们已知可利用

的服务的特定版本漏洞。这个服务信息对平台的正常运行完全是不必要的，因此完全可以将之删除。这样，攻击者就只能盲目地攻击服务了。这样，攻击者就只能盲目地攻击服务了。


另外一个对攻击者特别有用的是系统平台的指纹另外一个对攻击者特别有用的是系统平台的指纹信息。通过使用特定的工具查询系统的网络服务，入侵者可以将结果与属性数据库相匹配，以确定操作系统的类型和版本。这样，攻击者可以使攻击针对特定操作系统的弱点。通常，应把这种指纹信息伪装成其他操作系统，或者可以伪装成不与任何操作系统相匹他操作系统，或者可以伪装成不与任何操作系统相匹配。与服务标题一样，做这种修改不会影响平台的正常功能，而且可以大大增强防御能力。常功能，而且可以大大增强防御能力。


系统平台的加固工具加固工具是一种自动高效地帮助人们确定系统平

台的漏洞，并辅助人们加固系统平台的工具。目前常用的加固工具主要有以下几种。

1. Nessus用的加固工具主要有以下几种。

2. HardenNT3 YASSP3. YASSP4. Titan5. LC46 TCP封装器6. TCP封装器

7. Tripwire


15.3 UNIX系统安全Unix系统的由来

Unix操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的业界主流操作系统，经历了一个逐步成长不断完善的发展过程由于其功能强大技个逐步成长、不断完善的发展过程。由于其功能强大、技术成熟、可靠性好、网络功能强及开放性好，可满足各行各业实际应用的需求，受到了广大用户的欢迎，已经成为各实应用需求受到广用户欢成为重要的企业级操作平台。由于Unix系统强大的生命力，它的用户每年以两位数字以上的速度增长，可以肯定地说，Unix是进入21世纪的少数几种操作系统平台之Unix是进入21世纪的少数几种操作系统平台之一。

1969年，GE645开始使用分时操作系统雏形，然后移植到PDP-7，1970年正式称UNIX 1973年用C语言重写1970年正式称UNIX，1973年用C语言重写。有：SUN/OS、XENIX、ULTRIX、IBM/AIX、HP-UX、SCO-UNIX、XENIX、SUN-Solaris等。目前除了专用服务器上的UNIX之外，最著名的是Linux。


目前除了专用服务器上的UNIX之外，最著名的是Linux。

Unix系统在经过30多年的发展成长以后，已经成为一种成熟的主流操作系统，并在发展过程中逐步形成了一些新的特色其中主要包括些新的特色，其中主要包括：

1．可靠性高，可以每天24小时不间断运行。

2 极强的伸缩性可以在各种不同规模的计算机上2．极强的伸缩性，可以在各种不同规模的计算机上运行，是企业级操作系统的重要特征。

3．网络功能强，内部嵌入TCP/IP。3．网络功能强，内部嵌入TCP/IP。4．强大的数据库支持功能，对各种数据库都支持。

5．开放性好，本质的特性是其所用技术的规格说5．开放性好，本质的特性是其所用技术的规格说明可以公开得到并免费使用，不受任何一家厂商的垄断和控制。


15.3.1 UNIX 15.3.1 UNIX 系统设置

本节所述UNIX系统设置主要是与安全相关的内容，是对不同厂商UNIX系统设置的抽象浓缩，所以不涉及具是对不同厂商UNIX系统设置的抽象浓缩，所以不涉及具体命令，相关内容请查阅相应UNIX系统管理员指南。

1.安装系统补丁及其他重要安全软件

（1）安装最新补丁程序

安装UNIX系统后，首先要做的工作是安装操作系统补丁程序，补丁程序是操作系统厂商根据系统安全漏洞(CVE)对操作系统所做的修改，它对系统的安全及可靠性(CVE)对操作系统所做的修改，它对系统的安全及可靠性是至关重要的


（2）重要的安全软件

① SSH。在SANS/FBI公布的2003年10大UNIX安全漏洞中，ftp及telnet会话用户名及密码等敏感信息以明文传送名列其中。SSH协议解决了登录及文件传输会话安全加密问题，中。SSH协议解决了登录及文件传输会话安全加密问题，OpenSSH是一个免费且符合SSH协议的软件包。

② TCP Wrapper。TCP Wrapper允许系统管理员通过远程连接的IP地址来控制谁能够访问系统提供网络服务。通过使用系统的S l ，TCP W 能够记录下所有成功及未成功的连接。统的Syslog，TCP Wrapper能够记录下所有成功及未成功的连接。

2.将inetd提供的网络服务减少至最小

最小化网络服务，如果有可能去掉telnet、ftp、最小化网络服务，如果有可能去掉、 p、tftp、rlogin/rsh/rcp及与X窗口相关的守护进程，该项工作与UNIX版本有关，在Solaris系统中为编辑inetd.conf文件。netd.conf文件。


3. 最小化系统启动后所提供的应用服务

如果没有绝对的必要，应关闭以下服务：串口登录如果没有绝对的必要，应关闭以下服务：串口登录服务、邮件服务、基于Windows系统的Samba服务、NFS服务器及客户端进程、RPC服务、目录服务、打印机守护进程、Kerberos服务、X服务、Web服务器、SNMP服务、DHCP服务、DNS或NIS服务及路由守护进程。最后应设置系统守护进程正确的 sk为022。进程。最后应设置系统守护进程正确的umask为022。


4 系统核心参数的调整4. 系统核心参数的调整

通过调整核心参数来达到加固系统平台的目的。具体参数根据系统的不同有很大差异。通常，核心参数包括：参数根据系统的不同有很大差异。通常，核心参数包括：

① 禁止系统转储核心文件；

② 禁止堆栈执行代码，防止缓冲区溢出；② 禁止堆栈执行代码，防止缓冲区溢出；

③ 修改网络参数，例如，在Solaris系统中使用ndd　set命令修改/d /i 及/d /t 等参数，在Li 下，使用命令修改/dev/ip及/dev/tcp等参数，在Linux下，使用echo命令修改/proc/sys/net/ipv4目录中的参数。具体每个参数的名称及功能需查阅相应UNIX系统提供商所提供个参数的名称及功能需查阅相应UNIX系统提供商所提供的系统管理员指南。


5. 加强日志功能

为了跟踪系统的各种活动，及时发现各种攻击及出为了跟踪系统的各种活动，及时发现各种攻击及出

现问题后处理，安全专家建议应加强系统的日志记录功能。为了保证系统安全，应对下面事件进行记录：能。为了保证系统安全，应对下面事件进行记录：

LOG_AUTH。用于记录用户所有成功或失败的系统登录请求；登录请求；

ftp服务连接信息；

当必须要使用ftp服务时，要启动ftp服务连接跟踪当必须要使用ftp服务时，要启动ftp服务连接跟踪日志功能；

启用所有cron活动的日志；

确认所有系统日志文件的访问权限为664,及文件的属性及同组用户具有写权限。


6. 文件及目录访问许可权设置确认所有重要系统文件及目录的访问许可权，需要确认的文件如下。

（1）以ro/nosuid方式mount文件系统

确认除系统文件所在卷及一些必要程序所在的卷外，其他卷以ro/nosuid确认除系统文件所在卷及一些必要程序所在的卷外，其他卷以方式mount,以防恶意程序执行suid操作。Solaris系统是修改vfstab文件，Linux系统是修改/etc/fstab文件。

（2）设置关键文件访问许可

通过以下命令设置关键文件访问许可权：

chmod 644 passwd groupchmod 400 shadow（3）在任意账号可写的临时目录上设置粘贴位

通过使用命令chmod +t dir-name，可在任意账号可写的临时目录上设置粘贴位，以防某用户有意或无意重写其他用户创建的临时文件。其中dir-

表示目录名。例如：（）找出非授权的name表示目录名。例如：chmod +t /tmp（4）找出非授权的SUID/SGID执行程序

系统管理员有责任找出所有系统中存在的非授权的SUID/SGID执行程序。以下命令用于找出系统所有设置SUID/SGID的程序。fi d / t f \\( 以下命令用于找出系统所有设置SUID/SGID的程序。find / -type f \\( -perm -04000 -o -perm -02000 \\)–print


7 系统访问、身份鉴别及授权7. 系统访问、身份鉴别及授权（1）删除/etc/pam.conf或/etc/pam.d.rhost中

的.rhost支持

在使用BSD的R系列命令(rlogin、rsh、rcp)时，.rhost文件实现了基于远程网络地址或主机名的弱身份鉴别，潜在的攻击者是非常容易机名的弱身份鉴别，潜在的攻击者是非常容易伪造网络地址及主机名的。删除.rhost支持可防止系统免遭此类攻击。Solaris系统下的命令脚本是：脚本是：cd /etcgrep –v rhost auth pam conf >pam conf newgrep –v rhost_auth pam.conf >pam.conf.newmv pam.conf.new pam.confchroot root:sys pam.confchmod 644 pam.conf


（2）建立/etc/ftpuser文件（）建立 f p 文件

ftpuser文件列出了不能够通过ftp访问系统的用户清单。通常，仅允许普通账号的用户能够通过ft 访问系统，而系统账号，如 t、通过ftp访问系统，而系统账号，如root、daemon、bin、sys、adm、lp、uucp、smmsp等应禁止。等应禁止。

（3）禁止X服务器监听tcp 6000通道

X服务器通过监听Tcp 6000通道的请求来向远程客户提供服务，由于窗口使用了相对较弱

p程X客户提供服务，由于X窗口使用了相对较弱的身份认证协议，攻击者可以未经授权地访问本地X服务器，从而暴露系统敏感信息。管理本地X服务器，从而暴露系统敏感信息。管理员应使用nolisten tcp选项来禁止X服务器监听tcp通道6000的服务请求。


（4）设置屏幕保护当使用窗口时，应设置屏幕保护，同时设置需要当使用X窗口时，应设置屏幕保护，同时设置需要使用口令来恢复X窗口会话。

（5）严格限制使用cron/at用户（5）严格限制使用cron/at用户cron及at命令用于定时执行系统命令，在某些

UNIX系统中，cron及at以超级用户身份执行。cron allow及at allow列出了允许使用cron及at的cron.allow及at.allow列出了允许使用cron及at的用户名。

（6）限制以root身份登录到系统控制台除非在紧急情况下，否则禁止使用root账号登录系统。通常，系统管理员应通过使用非特权账号及一些授权机制(例如，su命令)来获得普通账号以及一些授权机制(例如，su命令)来获得普通账号以外的权限。Solaris系统为修改/dev/console文件，Linux系统为修改/etc/securetty文件。


8. 用户帐号及环境系统管理员在正常情况下应设置的项目如下：

（1）锁定系统账号。系统管理员应锁定非普通用户的账号。通过查询文件/etc/passwd可以找到的账号。通过查询文件/etc/passwd可以找到所有要锁定的系统账号。例如，daemon、bin、sys、adm、lp、uucp、smmsp等，情况根据系统及安装程序不同而变化。使用命令为： ss d 统及安装程序不同而变化。使用命令为：passwd -l user -name

（2）确认是否有无口令的账号。使用如下命令显示无口令的账号： k F ′(＄2 ″″){ i ＄口令的账号：awk –F:′(＄2==″″){print ＄1}′/etc/shadow

（3）确认除root账号以外，没有UID为0的账号。UID为0的账号具有超级用户权限。使用下面命UID为0的账号具有超级用户权限。使用下面命令显示UID为0的账号：awk –F:′(＄3==0){print ＄1}′/etc/passwd


（4）确认root的当前路径及路径PATH指定路径的root组可写目录中文件，以防植入木马程序。组可写目录中文件，以防植入木马程序。

（5）保证用户起始目录正确权限设置。组用户或任意用户可写用户起始目录的属性，很有可能使一些用户可写用户起始目录的属性，很有可能使一些恶意用户利用，用以窃取或修改受害用户数据，以至于得到用户权限。

应使用以下脚本修改用户起始目录权限为750或更加严格。for dir in ′awk –F:′(＄3>=500){print ＄6}′ /etc/passwd′ddochmod g -w ＄dirchmod o -rwx ＄dirDone注意，其中500表示系统分配给普通用户的最低UID，该

值取决于UNIX系统。值取决于UNIX系统。


（6）删除用户起始目录中的.netrc文件。该文件包含了ftp客户自动登录到ftp服务器所用的用户名及口令等敏感信息，且自动登录到ftp服务器所用的用户名及口令等敏感信息，且这些信息以明文存放。使用以下脚本自动删除所有用户起始目录中的.netrc文件：for dir in ′cut –f6 d: /etc/passwd′for dir in cut f6 d /etc/passwddorm –f ＄dir/.netrcDoneDone

（7）设置默认用户umask位。umask位表示用户建立文件的默认读写权限。正确的读写权限可以防止用户的敏感信息被窃取、修改及账号泄露。Umask 077表示用户所创建的文窃取、修改及账号泄露。Umask 077表示用户所创建的文件不能由其他用户读、写及执行，而umask 022则表示用户所创建的文件对系统中其他用户只开放读权限。设置umask位的方法是，在标准的shell构成文件中（依不同的UNIX及shell而定，例如，Solaris系统下使用B shell时的UNIX及shell而定，例如，Solaris系统下使用B shell时的构成文件为用户起始目录下的.profile文件）插入一条umask命令。


15.3.2 用户管理管

UNIX系统用户分为两类:一类称为系统用户，这是给系统管理员等对系统特

殊要求的用户使用的。这类用户具有某些特权，其中以超级用户( t)权限最高， t账号在系统安装时创建。超级用户(root)权限最高，root账号在系统安装时创建。

另一类用户是普通用户，一般的系统使用者都是系统的普通用户，这类用户由系统管理员创建。用户管理统的普通用户，这类用户由系统管理员创建。用户管理主要是指管理员对普通用户的创建和删除、修改用户口令、暂停某账号使用、修改用户属性等日常维护工作。令、暂停某账号使用、修改用户属性等日常维护工作。


15.3.3 系统管理管

系统管理是由系统管理员完成的一项复杂的日常工作。通常，系统管理员要完成的工作包括启动系统、工作。通常，系统管理员要完成的工作包括启动系统、停止系统运行、安装新软件、增加新用户、删除老用户、端口服务管理、打印服务管理、文件系统维护、户、端口服务管理、打印服务管理、文件系统维护、数据备份与恢复、网络系统管理、系统性能维护以及完成、保持系统发展和运行的日常事务工作。

系统安全管理的主要内容如下系统安全管理的主要内容如下：防止未授权存取；

防止泄密；防止泄密；

防止用户拒绝系统的管理；

防止丢失系统的完整性。防止丢失系统的完整性。


Linux系统简介Linux系统的由来

系统算机件的求较高的个Unix系统对计算机硬件的要求比较高，对于一般的个人来说，想要在PC机上运行Unix是比较困难的。而Linux就为一般用户提供了一个使用Unix界面操作系统的机会。因般提使统为Linux是按照Unix风格设计的操作系统，所以在源代码级上兼容绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux。员在自己的机器上运行的正是L u

1990年，芬兰赫尔辛基大学学生Linus Torvalds用汇编语言在80386保护模式下写的Unix系统雏形，为0.0.1版本的Linux 1991年10月 Linux v 0 0 2发布 1993年本的Linux. 1991年10月，Linux v.0.0.2发布，1993年，Linux 1.0诞生。

Linux加入GNU并遵循公共版权许可证(GPL)，大大加强了GNU和Li 出现了许多Li 发行版 Sl k强了GNU和Linux，出现了许多Linux发行版：Slackware、Redhat、Suse、TurboLinux、OpenLinux等。


Linux的特点

1 与U i 高度兼容

Linux的特点

1．与Unix高度兼容。

Linux是一种完全符合POSIX.l等国际标准的操作系统，它和大部分商业Unix操作系统保持高度的兼容性几它和大部分商业Unix操作系统保持高度的兼容性，几乎所有的Unix命令都可以在Linux下使用。

2．高度的稳定性和可靠性。

Linux是一种完全32位的操作系统(其实Linux可以很是种完全位的操作系统(其实可以很容易地升级为64位)，具备完善的多任务机制。


3 完全开放源代码，价格低廉。3．完全开放源代码，价格低廉。

Linux符合GNU通用公共版权协议，是自由软件，它

的源代码是完全开放的可以免费得到这对于系统的源代码是完全开放的，可以免费得到，这对于系统安全人员来说是非常重要的，因为阅读源代码是发现系统漏洞的主要方法。而且与各种商业操作系统相比 Li 发行版价格低廉还可以免费获得其他版本比，Linux发行版价格低廉，还可以免费获得其他版本的Linux。

4．安全可靠，绝无后门。

由于源代码开放，用户不用担心Linux中会存在秘密由于源代码开放，用户不用担心Linux中会存在秘密后门，而且任何错误都会被及时发现并修正，因此Linux可以提供极高的安全性。


15.4 Windows NT 安全1.Windows 9x：在具有众多优点的同时，它的缺点是稳

定性和安全性欠佳。Windows 95/98极易受到各种木定性和安全性欠佳。Windows 95/98极易受到各种木马以及炸弹的袭击，一般的网络用户都可以使用一些特种工具轻而易举地让Windows 9x死机。

2.Windows NT：是真正意义上的网络操作系统，对网络功能的支持更为强大，并且稳定性有了本质的提高。

支持多种网络协议：TCP/IP NetBEUI IPX/SPX DLC支持多种网络协议：TCP/IP、NetBEUI、IPX/SPX、DLC内置Internet功能支持NTFS文件系统

支持文件访问控制，人们可以设置文件和目录的访问

3.注册表：注册表是Windows系统的核心数据库，里面只存

放了某些文件类型的应用程序信息要方便地修

。

放了某些文件类型的应用程序信息。要方便地修改注册表可以使用注册表编辑程序regedit。

63/89

15.4 Windows NT 安全1.Windows 9x：在具有众多优点的同时，它的缺点是稳

定性和安全性欠佳。Windows 95/98极易受到各种木定性和安全性欠佳。Windows 95/98极易受到各种木马以及炸弹的袭击，一般的网络用户都可以使用一些特种工具轻而易举地让Windows 9x死机。

2.Windows NT：是真正意义上的网络操作系统，对网络功能的支持更为强大，并且稳定性有了本质的提高。

支持多种网络协议：TCP/IP NetBEUI IPX/SPX DLC支持多种网络协议：TCP/IP、NetBEUI、IPX/SPX、DLC内置Internet功能支持NTFS文件系统

Windows NT的 NTFS文件系统

NTFS文件系统是一种安全的文件系统，因为它支持文件访问控制，人们可以设置文件和目录的访问支持文件访问控制，人们可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。五个预定义的许可为：拒绝访问，读取，更改，

。。

2008-5-29 系统平台安全 63/89

文件。五个预定义的许可为：拒绝访问，读取，更改，完全控制和选择性访问。

注册表编辑器


注册表的默认权限注册表的默认权限


注册表的默认权限注册表的默认权限

查询数值查询数值允许用户和组从注册表中读取数值允许用户和组从注册表中读取数值权权限限解解释释查询数值查询数值允许用户和组从注册表中读取数值允许用户和组从注册表中读取数值

设置数值设置数值允许用户和组从注册表中设置数值允许用户和组从注册表中设置数值

创建子项创建子项允许用户和组在给定的注册项中创建子项允许用户和组在给定的注册项中创建子项

计数子项计数子项允许用户和组识别某注册项的子项允许用户和组识别某注册项的子项

通通知知允许用户和组从注册表中审计通知事件允许用户和组从注册表中审计通知事件

创建链接创建链接允许用户和组在特定项中建立符号链接允许用户和组在特定项中建立符号链接

删删除除允许用户和组在删除选定的注册项允许用户和组在删除选定的注册项

写入写入DACDAC 允许用户和组将允许用户和组将DACDAC写入注册表项写入注册表项写入写入DAC DAC 允许用户和组将允许用户和组将DACDAC写入注册表项写入注册表项

写入所有者写入所有者允许用户和组获得注册表项的所有权允许用户和组获得注册表项的所有权

读取控制读取控制允许用户和组具有访问选定注册表项的安全信息允许用户和组具有访问选定注册表项的安全信息


读取控制读取控制允许用户和组具有访问选定注册表项的安全信息允许用户和组具有访问选定注册表项的安全信息

Windows NT安全模式的一个最初目标，就是定义一系列标准的安全信息，并把它应用于所有对象的实例，系列标准的安全信息，并把它应用于所有对象的实例，这些安全信息，包括下列五个元素：

1．所有者，指向一个安全标识符，用于确定拥有这个对象的用户；

2．组，指向一个组安全标识符的指针，用于指出这个对象和哪个组相联系；

．组，指向一个组安全标识符的指针，用于指出这个对象和哪个组相联系；

3．访问控制列表ACL (Access Control List)，标明谁可以或不可以访问该对象；以访问该对象；

4．系统ACL，控制审计消息的产生，对用户活动进行记录；

5．访问令牌(Access Token)，包括用户SID和用户所属组的ID，是进程使用资源的身份证。是进程使用资源的身份证。


Windows NT/2000的安全模型

Windows NT/2000具有模块化的设计结构。该操作系统由一组软件模块构成，称为执行程序服务，运行在内核模式下。在内核模式之上的是用户模式，用户模式由非特权的服务组成，称为保护子系统，它用户模式由非特权的服务组成，称为保护子系统，它们的启动由用户来决定。

Windows NT/2000的安全性依赖于Windows Windows NT/2000的安全性依赖于Windows NT/2000的核心层，它们在每个层次提供一致的安全模型。Windows NT/2000的安全模型由几个关键的安全子系统构成，这些安全子系统控制着整个的安全子系统构成，这些安全子系统控制着整个Windows NT/2000操作系统，是与操作系统密不可分的。分的。


Winlogon

加载GINA，监视认证顺序

提供登陆接Winlogon

GINA

提供登陆接口

提供真正的

LSASSPI

加载认证包提供真正的用户校验

Authentication Packages Security Support Provider

Security Account Management Netlogon支持额外的验证机制

为认证建立安全通道

管理用户和用户证书的数据库


Windows 安全子系统

Windows系统的安全架构

Windows NT系统内置支持用户认证、访问控制、管理、审核。


Windows系统的安全组件

访问控制的判断（Di i l）访问控制的判断（Discretion access control）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。

对象重用（Obj t us ）对象重用（Object reuse）当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有

的系统应用访问该资源，这也就是为什么无法恢复已经被删除的的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。

强制登陆（Mandatory log on）求有的户必登陆认后才访问资要求所有的用户必须登陆，通过认证后才可以访问资源

审核（Auditing）在控制用户访问资源的同时也可以对这些访问作了相应的记录在控制用户访问资源的同时，也可以对这些访问作了相应的记录。

对象的访问控制（Control of access to object）不允许直接访问系统的某些资源必须是该资源允许被访问不允许直接访问系统的某些资源。必须是该资源允许被访问，

然后是用户或应用通过第一次认证后再访问。


Windows安全子系统的组件

安全标识符（Security Identifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组

的时候系统会分配给该用户或组个唯 SID 当你重新安装的时候，系统会分配给该用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。

SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯性线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例： S-1-5-21-1763234323-3212657521-1234321321-500

访问令牌（A ss t k ns）:访问令牌（Access tokens）:用户通过验证后，登陆进程会给用户一个访问令牌，该令

牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给系统然后检查户试将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。

访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。


Windows安全子系统的组件

安全描述符（Security descriptors）：Windows 系统中的任何对象的属性都有安全描述符这部分。它

保存对象的安全配置保存对象的安全配置。

访问控制列表（Access control lists）：访问控制列表有两种：任意访问控制列表（Discretionary 访问控制列表有两种：任意访问控制列表（Discretionary

ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限而系统访问个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。

访问控制项（Access control entries）:访问控制 E）包含用户或组的 D以对象的权访问控制项（ACE）包含了用户或组的SID以及对象的权限。

访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。


Windows 2000安全模型主要由下列四部分构成:

1．登录过程（Logon Process）

2．本地安全认证（Local Security Authority，LSA）

3．安全账号管理器（Security Account Manager，SAM）．安全账号管理器（ y g ，）

安全账号管理器维护安全账号管理数据库，即SAM数据库。据库。

4．安全参考监视器（Security Reference Monitor，SRM）

安全参考监视器运行在内核模式，它负责访问控制和审查策略。

如下图所示系统平台安全 73/89

如下图所示

Windows 的登录控制过程比较繁琐，

登录过程Windows 的登录控制过程比较繁琐，

但每一步对建立一个安全环境和用户能够完成有用的工作都是必要的。用户本地登录与在域范围内登录到

Windows 计算机的步骤稍有不同，其登录步Windows 计算机的步骤稍有不同，其登录步骤分别如下。


20002000

20002000

（1）本地登录过程

①用户按Ctrl+Alt+Del键，引起硬件中断，被系统捕获，这样使操作系统激活WinLogon进程。

② WinLogon进程通过调用标识与鉴别DLL，将登录窗口（账号名和口令登录提示符）展示在用户面前。

③ WinLogon进程发送账号名和加密口令到本地安全认证（LSA）。③ WinLogon进程发送账号名和加密口令到本地安全认证（LSA）。

④如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。访问令牌也将得到用户的特权（LUID），然后该访问令牌传回WinLogon进程。的特权（LUID），然后该访问令牌传回WinLogon进程。

⑤ WinLogon进程传送访问令牌到Win32模块，同时发出一个请求，以便为用户建立登录进程。

⑥登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。


（2）网络登录过程（2）网络登录过程


①用户将用户名和口令输入到网络客户机软件的登录窗口。

②该客户机软件打开NetBIOS，连接到服务器的NetLogon服务上

，该客户机软件对口令加密，发送登录证书到服务器的WinLogon进程。

③服务器的Wi L 进程发送账号名和加密口令到本地安全认③服务器的WinLogon进程发送账号名和加密口令到本地安全认证。

④如果用户具有有效的用户名和口令，则本地安全认证产生一个④如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号SID和用户工作组SID。

⑤ WinLogon进程将访问令牌传送到Windows NT/2000的Server服g务，它将访问令牌与被客户机打开的NetBIOS连接联系起来。


Windows NT/2000访问控制Windows NT/2000的安全性达到了橘皮书C2级，实现

了用户级自主访问控制，它的访问机制如下左图所示。

为了实现进程间的安全访问，Windows NT/2000中的对象采用了安全性描述符（Security Description）。安全性描述符主要由用户、工作组、访性描述符主要由用户SID(Owner)、工作组SID(Group)、访问控制列表（DACL）和系统访问控制列表（SACL）组成，安全性描述符的构成如下右图所示。成，安全性描述符的构成如下右图所示。

2008-5-29 系统平台安全 79/89

可信计算机系统评估准则(TCSEC)定义的内容可信计算机系统评估准则(TCSEC)定义的内容

A 级校验级保护，提供低级别手段校验级保护，提供低级别手段

B3 级

A 级

安全域，数据隐藏与分层、屏蔽

校验级保护，提供低级别手段校验级保护，提供低级别手段

级

B2 级

标记安全保护如标记安全保护如S t VS t V等

结构化内容保护，支持硬件保护

C2 级

B1 级

有自主的访问安全性，区分用户

标记安全保护，如标记安全保护，如System VSystem V等

不区分用户，基本的访问控制C1 级

没有安全性可言，例如MS DOSMS DOSD 级


1.系统设置（1）安装系统补丁

Microsoft补丁程序分为如下3种类型:

① Service Pack。Microsoft原计划几个月发布一次，包括至发布之日止系统全部大小b 修补。目前最新为

Microsoft补丁程序分为如下3种类型:

包括至发布之日止系统全部大小bug修补。目前最新为Service Pack6a。② hotfix。及时发布的每个小的系统bug的修补，有时② hotfix。及时发布的每个小的系统bug的修补，有时甚至在发现系统bug数小时后即可发布，基本上是发现一个bug，发布一个hotfix。③ hotfix rollup。周期性地发布，它是hotfix的累计。

其中安装、所述补丁是在系统安装完成后其中安装①、 ③所述补丁是在系统安装完成后做的第一项工作，而安装第②所述补丁是日常系统维护中要做的工作。


（2）最小化系统服务

按下列步骤进入服务管理菜单，逐项审核服务，关闭不需要的服务：

开始→设置→控制面板→服务

Windows NT 4.0 C2级别安装的默认服务为：

Computer Browser TCP/IP NetBIOS HelperMicrosoft DNS Server SpoolerNetlogon ServerNTLM SSP WINSRPC Locator WorkstationRPC Service Event Log


（3）禁止匿名登录空会话（3）禁止匿名登录——空会话

使用regedit命令修改注册表键值为：HKLM/System/CurrentControlSet/Control/LSA/RestrictAHKLM/System/CurrentControlSet/Control/LSA/RestrictAnonymous=1

防止匿名用户得到用户名及共享等系统敏感信息。

（4）禁止在未登录前关闭系统（4）禁止在未登录前关闭系统

使用regedit命令修改注册表键值为：HKLM/Software/Microsoft/Windows NT/C tV i /Wi l i /Sh tD With tL 0NT/CurrentVersion/Winlogin/ShutDownWithoutLogon=0

禁止在未登录的情况下关闭系统。


（5）禁止用户安装打印机驱动程序

修改注册表键值为：HKLM/S t /C tC t lS t/C t l/P i t/P id /LHKLM/System/CurrentControlSet/Control/Print/Provider/LanMan Print Services/Servers/AddPrinterDrivers=1

防止黑客安装木马程序。防止黑客安装木马程序。

（6）使用安全身份鉴别方式（6）使用安全身份鉴别方式

修改注册表键值为：HKLM/System/CurrentControlSet/Control/LSA/LMCompatibiliy ptyLevel=3

以便采用Microsoft最安全的身份鉴别方式NTLMv2。


（7）删除所有不必要的账号

（8）将系统管理员账号及来宾账号分别更名（8）将系统管理员账号及来宾账号分别更名

更名为administrator及guest，以防黑客进行口令猜测攻击口令猜测攻击

（9）确保所有磁盘卷使用NTFS分区

确保所有磁盘卷使用NTFS分区。否则，使用确保所有磁盘卷使用分区。否则，使用命令convert c: /fs:ntfs转换DOS分区为NTFS分区。注意，其中c:表示盘符。

（10）禁止Internet上的NetBIOS数据流（10）禁止Internet上的NetBIOS数据流

为防止Internet黑客利用NetBIOS空会话漏洞，使用防火墙或路由器禁止Internet访问洞，使用防火墙或路由器禁止Internet访问TCP端口137~139、445及UDP端口137~139、445访问。


（11）关闭管理员从非安全的工作站上进行远程登录

管理员有能力从非安全的工作站上进行远程登管理员有能力从非安全的工作站上进行远程登录(例如远程桌面)，系统管理员应关闭管理员的远程能力，对管理员只允许直接访问控制台。

（12）禁止远程访问注册表

在微软的所有操作系统中，使用了注册表来管理软件，存储设备配置信息及用户信息。某些理软件，存储设备配置信息及用户信息。某些不正确的权限或安全设置，允许远程交互访问注册表。建议参照微软知识库文章Q153183, How to Restrict Access to NT Registry from a Remote Computer解决。


（13） IIS安全设置安装时应注意的问题

① 避免安装在主域控制器上。IIS会在安装的计算机上生成匿名账户IUS_computername,并加到域用上生成匿名账户 _ p ,并加到域用户组中，从而把域用户访问权限给了Web服务器中的每个匿名用户。

② 避免安装在系统分区上。如果安装在系统分区上，② 避免安装在系统分区上。如果安装在系统分区上，会使系统文件同样面临非法访问的可能。

③ 匿名用户访问权限控制。USR_computername密码随机产生其匿名给W b服务器带来安全问题应码随机产生,其匿名给Web服务器带来安全问题,应尽可能取消匿名访问。

④ 控制一般用户的访问权限。如口令使用限制、强制④ 控制一般用户的访问权限。如口令使用限制、强制用户定期修改密码、封锁失败登录尝试及设定账户有效期等。

⑤ 设置正确的WWW目录访问权限。⑤ 设置正确的WWW目录访问权限。


Windows NT的账户口令管理


（14）安装防病毒软件（15）根据需要安装系统加固软件（15）根据需要安装系统加固软件

当需要使用某些不安全的系统服务(例如telnet)或特殊系统要求时，应安装安全专家推举的安装系统加固软件。或特殊系统要求时，应安装安全专家推举的安装系统加固软件。

2 用户管理

与UNIX一样，用户管理包括账号建立和删除、账号属性修改等。

2.用户管理

属性修改等。

设置NTFS审计；

安全账户管理数据库保护；安全账户管理(SAM)数据库保护；

限制对象访问；3.系统管理

加强物理访问控制。


网络安全理论与技术 -...

Documents