第八章操作系統(tǒng)安全技術(shù)-Windows操作系統(tǒng)安全模型計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)Windows操作系統(tǒng)安全模型Windows網(wǎng)絡(luò)模型MicrosoftWindows系統(tǒng)在網(wǎng)絡(luò)設(shè)計上支持兩種網(wǎng)絡(luò)模型：工作群組（Workgroup）模型網(wǎng)絡(luò)域（Domain）模型操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型Windows網(wǎng)絡(luò)模型工作群組（Workgroup）模型工作群組模型適合于小型網(wǎng)絡(luò)，具有相同工作組名稱的各工作站可以參與同一個工作群組。各工作站自行維護各自的賬號及安全策略數(shù)據(jù)庫。工作群組成員之間可共享某些資源。由于資源管理必須在各工作站上設(shè)定，因此對于大規(guī)模網(wǎng)絡(luò)很難實施統(tǒng)一的管理。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型Windows網(wǎng)絡(luò)模型網(wǎng)絡(luò)域（Domain）模型網(wǎng)絡(luò)域模型適合于大中型網(wǎng)絡(luò)。與工作群組模型的分布式資源管理方式，網(wǎng)絡(luò)域模型采用集中式管理在網(wǎng)域模型里，由一個主域控制器（Primarydomaincontroller：PDC）負責(zé)儲存所管轄網(wǎng)絡(luò)域內(nèi)的共享賬號數(shù)據(jù)及安全策略數(shù)據(jù)庫每個工作站必須通過主域控制器的認(rèn)證后，才能存取域內(nèi)的資源域的管理員只需要對網(wǎng)絡(luò)主控臺進行管理，就可以控制各用戶的訪問權(quán)限通過跨域認(rèn)證和信任，擴大資源共享范圍，從而使網(wǎng)絡(luò)域模型適合于大型網(wǎng)絡(luò)環(huán)境。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型WindowsNT包括一組構(gòu)成Windows安全模型的安全組件。這些組件確保了應(yīng)用程序不能在沒有身份驗證和授權(quán)的情況下對資源進行訪問。這些安全組件稱為Windows的安全子系統(tǒng)（WindowsSecuritySubsystem）是WindowsNT系統(tǒng)中安全機制的最重要核心操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型安全子系統(tǒng)的組件在本地安全管理員進程（lsass.exe）的上下文中運行，主要包括以下組件：Winlogon GraphicalIdentificationandAuthenticationDLL(GINA)LocalSecurityAuthority(LSA)SecuritySupportProviderInterface(SSPI)AuthenticationPackages（AP）Securitysupportproviders（SSP）NetlogonService（Netlogon）SecurityAccountManager(SAM)

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（1）windows登錄（Winlogon）：Winlogon調(diào)用GINADLL，并監(jiān)視安全警告序

(Secure

Attention

Sequence：SAS)SAS是一組組合鍵，默認(rèn)情況下為Ctrl-Alt-Delete它的作用是確保用戶交互式登錄時輸入的信息被系統(tǒng)所接受，而不會被其他程序所獲取因此，使用“安全登錄”進行登錄，可以確保用戶的帳號和密碼不會被攻擊者盜取Winlogon啟動時，在注冊表中查找以下鍵值：\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon如果存在GinaDLL鍵，Winlogon將使用這個DLL如果不存在該鍵，Winlogon將使用默認(rèn)值MSGINA.DLL

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windows登錄（Winlogon）安全登錄可用于方向登錄異常情況要啟用“安全登錄”的功能，可以運行“control

userpasswords2”命令打開“用戶帳戶”對話框，選擇“高級”選中“要求用戶按Ctrl-Alt-Delete”選項后確定即可以后，在每次登錄對話框出現(xiàn)前都有一個提示，要求用戶按Ctrl-Alt-Delete組合鍵，目的是為了在登錄時出現(xiàn)GINA登錄對話框，因為只有系統(tǒng)本身的GINA才能截獲這個組合鍵信息。而如前面講到的GINA木馬，會屏蔽掉“安全登錄”的提示，所以如果“安全登錄”的提示無故被屏蔽也是發(fā)現(xiàn)木馬的一個前兆。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windows登錄（Winlogon）安全警示鍵彈出界面Ctrl-Alt-Delete操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（2）界面識別與認(rèn)證（GraphicalIdentificationandAuthentication：GINA）動態(tài)鏈接庫GINA提供一個交互式的界面為用戶登錄提供認(rèn)證請求GINA被設(shè)計成一個獨立的模塊開發(fā)人員也可以用一個更加強有力的認(rèn)證方式（指紋、視網(wǎng)膜）替換內(nèi)置的GINADLL

操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（3）本地安全管理員（LocalSecurityAuthority：LSA）LSA是WindowsNT安全系統(tǒng)的核心功能模塊，它的主要功能是檢查用戶登錄信息，并依據(jù)安全策略為用戶生成系統(tǒng)訪問令牌（SAT：SystemAccessToken）。它負責(zé)以下任務(wù)：－調(diào)用所有的認(rèn)證包：檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該DLL進行認(rèn)證（MSV_1.DLL）。在4.0版里，WindowsNT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA下所有存在的SecurityPackages值并調(diào)用。－重新找回本地組的SIDs和用戶的權(quán)限。－創(chuàng)建用戶的訪問令牌。－管理本地安裝的服務(wù)所使用的服務(wù)賬號。－儲存和映射用戶權(quán)限。－管理審核的策略和設(shè)置。－管理信任關(guān)系。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（4）安全支持提供者的接口（SecuritySupportProvideInterface：SSPI）安全支持提供者接口SSPI遵循RFC2743和RFC2744的定義，提供一些安全服務(wù)的API為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（5）認(rèn)證包（AuthenticationPackage：AP）：認(rèn)證包可以為真實用戶提供認(rèn)證通過GINADLL的可信認(rèn)證后，認(rèn)證包返回用戶SIDs給LSA，然后將其存放在用戶的訪問令牌中操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（6）安全支持提供者（SecuritySupportProvider：SSP）：安全支持提供者是以驅(qū)動的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機制，默認(rèn)情況下，WindowsNT安裝了以下三種：Msnsspc.dll：微軟網(wǎng)絡(luò)挑戰(zhàn)/反應(yīng)認(rèn)證模塊Msapsspc.dll：分布式密碼認(rèn)證挑戰(zhàn)/反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用Schannel.dll：該認(rèn)證模塊使用某些證書頒發(fā)機構(gòu)提供的證書來進行驗證，常見的證書機構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用SSL（SecureSocketsLayer）和PCT（PrivateCommunicationTechnology）協(xié)議通信的時候用到。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（7）網(wǎng)絡(luò)登錄（Netlogon）：網(wǎng)絡(luò)登錄服務(wù)必須在通過認(rèn)證后建立一個安全的通道。要實現(xiàn)這個目標(biāo)，必須通過安全通道與域中的域控制器建立連接然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請求后，重新取回用戶的SIDs和用戶權(quán)限操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型（8）安全賬號管理者（SecurityAccountManager：SAM）：SAM存儲帳戶信息的數(shù)據(jù)庫，并為本地安全管理員（LSA）提供用戶認(rèn)證。SAM保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容不同的域有不同的Sam，在域復(fù)制的過程中，Sam包將會被拷貝操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型windowsNT的安全模型在WindwosServer2003中，安全子系統(tǒng)還包括安全套接層服務(wù)（SSL）和Kerberose認(rèn)證等。這些組件以動態(tài)鏈接庫（DLL）的形式提供。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型Windows及WindowsNT系列操作系統(tǒng)中的安全組件安全組件描述netlogon.dll這是

NetLogon服務(wù)，它維護著計算機到域控制器的安全通道。它通過安全通道將用戶的憑據(jù)傳遞到域控制器，并返回此用戶的安全標(biāo)識符和用戶權(quán)限。在WindowsNTVersion4.0中，NetLogon是主域控制器和備份域控制器的復(fù)制協(xié)議；在

WindowsServer2003中，NetLogon服務(wù)使用

DNS將名稱解析到域控制器的

IP地址。msv1_0.dll這是NT局域網(wǎng)管理器（NTLANManager：NTLM）的身份驗證協(xié)議。此協(xié)議對不使用

Kerberos身份驗證的客戶端進行身份驗證。schannel.dll這是安全套接字層

(SSL)身份驗證協(xié)議。此協(xié)議在一個加密的通道而不是安全性較低的通道上提供身份驗證。kerberos.dll這是

Kerberos5身份驗證協(xié)議kdcsvc.dll這是

Kerberos密鑰分發(fā)中心

(KDC)服務(wù)，此服務(wù)負責(zé)將授權(quán)票證的票證

(TGT)授權(quán)給客戶端lsasrv.dll這是實施安全策略的

LSA服務(wù)器服務(wù)samsrv.dll這是SAM，它存儲了本地安全帳戶、實施本地存儲的策略并支持APIntdsa.dll這是目錄服務(wù)模塊，它支持WindowsServer2003復(fù)制協(xié)議和LDAP并管理數(shù)據(jù)的分區(qū)secur32.dll這是將所有組件保存在一起的多身份驗證提供程序操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型建立一個系統(tǒng)存取令牌SAT的過程WindowsNT通過安全子系統(tǒng)建立一個系統(tǒng)存取令牌SAT的大致流程操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型建立一個系統(tǒng)存取令牌SAT的過程（1）登錄請求：用戶按下Ctrl+Alt+Del，激活Winlogon程序進行登錄進程系統(tǒng)。（2）傳遞口令信息：用于輸入賬號和口令后，Winlogon產(chǎn)生口令的哈希值并傳送給安全子系統(tǒng)中的本例安全管理員LSA進行處理。（3）核對帳號信息：LSA利用LsaLogonUser系統(tǒng)調(diào)用啟動對應(yīng)的認(rèn)證程序（即認(rèn)證包）以進行核對賬號及密碼哈希值。（4）認(rèn)證：認(rèn)證程序依據(jù)SAM，核對賬號及密碼哈希值。（5）創(chuàng)建安全識別碼：如果認(rèn)證成功，SAM則回傳用戶訪問系統(tǒng)的安全標(biāo)識（SecurityIdentifier：SID）以及所屬群組的安全識別碼；否則調(diào)用其它認(rèn)證程序處理。操作系統(tǒng)安全技術(shù)Windows操作系統(tǒng)安全模型建立一個系統(tǒng)存取令牌SAT的過程（6）創(chuàng)建登錄會話：認(rèn)證程序建立一個登錄會話（logonsession）