第八章Windows操作系統安全8內容提要Windows系統架構。Windows安全模型Windows安全機制Windows系統安全增強方法Windows安全配置方案Windows常見漏洞與解決方法安全操作系統的研究發展8.1Windows系統架構

WindowsXP的結構是層次結構和C/S結構的混合體。WindowsXP的系統結構8.2Windows安全模型Windows系統在安全設計上有專門的安全子系統。安全子系統主要組成部分：本地安全授權（LSA）安全帳戶管理（SAM）安全參考監視器（SRM）

Windows安全子系統8.3Windows安全機制

Windows認證機制

Windows訪問控制機制

Windows審計/日志機制

Windows協議過濾和防火墻

Windows文件加密系統8.4Windows系統安全增強方法 安全漏洞打補丁； 停止服務和卸載軟件；升級或更換程序； 修改配置或權限； 去除特洛伊等惡意代碼； 安裝專用的安全工具軟件。8.5Windows安全配置方案１、Windows安全初級配置

安全初級配置主要介紹常規的操作系統安全配置，包括十二條基本配置原則：物理安全、停止Guest帳號、限制用戶數量創建多個管理員帳號、管理員帳號改名陷阱帳號、更改默認權限、設置安全密碼屏幕保護密碼、使用NTFS分區運行防毒軟件和確保備份盤安全。8.5Windows安全配置方案２、Windows安全中級配置

安全中級配置主要介紹操作系統的安全策略配置，包括十條基本配置原則：操作系統安全策略、關閉不必要的服務關閉不必要的端口、開啟審核策略開啟密碼策略、開啟帳戶策略、備份敏感文件不顯示上次登陸名、禁止建立空連接和下載最新的補丁8.5Windows安全配置方案３、Windows安全高級配置 高級篇介紹操作系統安全信息通信配置，包括十四條配置原則：關閉DirectDraw、關閉默認共享禁用DumpFile、文件加密系統加密Temp文件夾、鎖住注冊表、關機時清除文件禁止軟盤光盤啟動、使用智能卡、使用IPSec禁止判斷主機類型、抵抗DDOS禁止Guest訪問日志和數據恢復軟件8.6Windows常見漏洞與解決方法Unicode漏洞ISAPI緩沖區擴展溢出IISRDS（RemoteDataServices）NetBIOS空對話連接造成的信息泄露SAM中的弱散列（LANManagerhash）RPC漏洞１、Unicode漏洞Unicode漏洞描述 P132漏洞解決方法：下載Microsoft的最新補丁;使用IISLockdown和URLScan可以避免利用該漏洞進行的攻擊.２、ISAPI緩沖區擴展溢出漏洞描述

安裝IIS后，就自動安裝了多個ISAPI擴展。ISAPI，即InternetServicesApplicationProgrammingInterface，允許開發人員使用DLL擴展IIS服務器的性能。一些動態鏈接庫，例如idq.dll，存在編程錯誤，做不正確的邊界檢查，特別是不阻塞超長字符串。因此攻擊者可以利用這一點向DLL發送數據，造成緩沖區溢出，進而控制IIS服務。漏洞解決方法：安裝最新的Microsoft補丁檢查并取消所有不需要的ISAPI擴展；使用IISLockdown和URLScan避免這類攻擊。３、IISRDS（RemoteDataServices）漏洞描述

攻擊者可以利用IISRDS（RemoteDataServices）中的漏洞以Administrator權限在遠端運行命令。漏洞解決方法：升級到2.1版的MDAC，下載地址：/data/download.html遵循以下安全公告指南：/support/kb/articles/q184/3/75.asp/technet/security/bulletin/ms98-004.asp/technet/security/bulletin/ms99-004.asp４、NetBIOS漏洞描述SMB協議允許網絡間的文件共享。攻擊者利用Windows文件共享獲取系統的敏感信息，用戶和組信息、系統信息某種注冊密鑰都可以通過與NetBIOS對話服務連接的一個“空對話”過程獲得。漏洞解決方法：在共享數據時，確保只共享所需目錄；為增加安全性，只對特定IP地址進行共享，因為DNS名可以欺詐；只允許特定用戶訪問共享文件夾；禁止通過“空對話”連接對用戶、組、系統配置和注冊密鑰進行匿名列舉；對主機或路由器上的NetBIOS會話服務（TCP139），MicrosoftCIFS（TCP/UDP445）禁止不綁定的連接；５、空對話連接造成的信息泄露漏洞描述

一個空對話連接（nullsession）也稱為匿名登錄，是一種允許匿名用戶獲取信息，或不需認證進行連接的機制。很多操作系統都使用SYSTEM賬號，當一臺主機需要從另一臺主機上獲取系統信息時，SYSTEM賬號會為另一臺主機建立一個空對話。SYSTEM使用空對話連接進入，攻擊者也可以以相同進入。漏洞解決方法：修改注冊表；禁用TCP/IP上的NetBIOS；啟用防火墻，進行邊界端口過濾。６、SAM中的弱散列（LANManagerhash）漏洞描述

微軟在WindowsNT和2000系統里默認安裝了LANManager口令散列。由于LANManager使用的加密機制比微軟現在的方法脆弱，LANManager的口令能在很短的時間內被破解。漏洞解決方法：取消LANManager在整個網絡的鑒定功能，使用NTLMv2（NTLanManagerversion2）；修改注冊表的鍵值。７、RPC漏洞漏洞描述 P141漏洞解決方法：下載安裝最新的補丁程序；使用防火墻阻斷一些端口；在上述兩種方法不能實現時，可以考慮暫時禁用DCOM。8.7安全操作系統的研究發展操作系統的安全性在計算機信息系統的整體安全性中具有至關重要的作用沒有操作系統提供的安全性，信息系統的安全性是沒有基礎的國外安全操作系統的發展Multics是開發安全操作系統最早期的嘗試。1965年美國貝爾實驗室和麻省理工學院的MAC課題組等一起聯合開發一個稱為Multics的新操作系統，其目標是要向大的用戶團體提供對計算機的并發訪問，支持強大的計算能力和數據存儲，并具有很高的安全性。貝爾實驗室中后來參加UNIX早期研究的許多人當時都參加了Multics的開發工作。由于Multics項目目標的理想性和開發中所遇到的遠超預期的復雜性使得結果不是很理想。事實上連他們自己也不清楚什么時候，開發到什么程度才算達到設計的目標。雖然Multics未能成功，但它在安全操作系統的研究方面邁出了重要的第一步，Multics為后來的安全操作系統研究積累了大量的經驗，其中Mitre公司的Bell和LaPadula合作設計的BLP安全模型首次成功地用于Multics，BLP安全模型后來一直都作為安全操作系統開發所采用的基礎安全模型。國外安全操作系統的發展Adept-50是一個分時安全操作系統，可以實際投入使用，1969年C.Weissman發表了有關Adept-50的安全控制的研究成果。安全Adept-50運行于IBM/360硬件平臺，它以一個形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎，實現了美國的一個軍事安全系統模型，為給定的安全問題提供了一個比較形式化的解決方案。在該系統中可以為客體標上敏感級別（SensitivityLevel）屬性。系統支持的基本安全條件是，對于讀操作不允許信息的敏感級別高于用戶的安全級別（Clearance）；在授權情況下，對于寫操作允許信息從高敏感級別移向低敏感級別。國外安全操作系統的發展1969年B.W.Lampson通過形式化表示方法運用主體（Subject）、客體（Object）和訪問矩陣（AccessMatrix）的思想第一次對訪問控制問題進行了抽象。主體是訪問操作中的主動實體，客體是訪問操作中被動實體，主體對客體進行訪問。訪問矩陣以主體為行索引、以客體為列索引，矩陣中的每一個元素表示一組訪問方式，是若干訪問方式的集合。矩陣中第i行第j列的元素Mij記錄著第i個主體Si可以執行的對第j個客體Oj的訪問方式，比如Mij＝{Read，Write}表示Si可以對Oj進行讀和寫操作。1972年，J.P.Anderson在一份研究報告中提出了訪問監控器（ReferenceMonitor）、引用驗證機制（ReferenceValidationMechanism）、安全內核（SecurityKernel）和安全建模等重要思想。J.P.Anderson指出，要開發安全系統，首先必須建立系統的安全模型，完成安全系統的建模之后，再進行安全內核的設計與實現。國外安全操作系統的發展1973年，B.W.Lampson提出了隱蔽通道的概念，他發現兩個被限制通信的實體之間如果共享某種資源，那么它們可以利用隱蔽通道傳遞信息。同年，D.E.Bell和L.J.LaPadula提出了第一個可證明的安全系統的數學模型，即BLP模型。1976年Bell和LaPadula完成的研究報告給出了BLP模型的最完整表述，其中包含模型的形式化描述和非形式化說明，以及模型在Multics系統中實現的解釋。PSOS（ProvablySecureOperatingSystem）提供了一個層次結構化的基于權能的安全操作系統設計，1975年前后開始開發。PSOS采用了層次式開發方法，通過形式化技術實現對安全操作系統的描述和驗證，設計中的每一個層次管理一個特定類型的對象，系統中的每一個對象通過該對象的權能表示進行訪問。KSOS（KernelizedSecureoperatingSystem）是美國國防部研究計劃局1977年發起的一個安全操作系統研制項目，由Ford太空通訊公司承擔。KSOS采用了形式化說明與驗證的方法，目標是高安全可信性。國外安全操作系統的發展UCLASecureUnix也是美國國防部研究計劃局于1978年前后發起的一個安全操作系統研制項目，由加里福尼亞大學承擔。UCLASecureUnix的系統設計方法及目標幾乎與KSOS相同。LINVSⅣ是1984年開發的基于UNIX的一個實驗安全操作系統，系統的安全性可達到美國國防部橘皮書的B2級。它以4.1BSDUnix為原型，實現了身份鑒別、自主訪問控制、強制訪問控制、安全審計、特權用戶權限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎上開發的一個安全操作系統，它最初是在IBMPC/AT平臺上實現的。SecureXenix對Xenix進行了大量的改造開發，并采用了一些形式化說明與驗證技術。它的目標是TCSEC的B2到A1級。IBM公司的V.D.Gligor等在發表SecureXenix系統的設計與開發成果中，把Unix類的安全操作系統開發方法劃分成仿真法和改造/增強法兩種方式。SecureXenix系統采用的是改造/增強法。另外值得指出的是SecureXenix系統基于安全注意鍵（SAK，SecureAttentionKey）實現了可信通路（TrustedPath），并在安全保證方面重點考慮了3個目標：⑴系統設計與BLP模型之間的一致性；⑵實現的安全功能的測試；⑶軟件配置管理工具的開發。國外安全操作系統的發展1987年，美國TrustedInformationSystems公司以Mach操作系統為基礎開發了B3級的Tmach（TrustedMach）操作系統。除了進行用戶標識和鑒別及命名客體的存取控制外，它將BLP模型加以改進，運用到對MACH核心的端口、存儲對象等的管理當中。通過對端口間的消息傳送進行控制和對端口、存儲對象、任務等的安全標識來加強微核心的安全機制。1989年，加拿大多倫多大學開發了與UNIX兼容的安全TUNIS操作系統。在實現中安全TUNIS改進了BLP模型,并用TuringPlus語言（而不是C）重新實現了Unix內核，模塊性相當好。TuringPlus是一種強類型高級語言，其大部分語句都具有用于正確性證明的形式語義。在發表安全TUNIS設計開發成果中，Gernier等指出，如果不進行系統的重新設計，以傳統Unix系統為原型，很難開發出高于TCSEC標準的B2級安全操作系統，這一方面是因為用于編寫Unix系統的C語言是一個非安全的語言，另一方面是因為Unix系統內部的模塊化程度不夠。安全TUNIS系統的設計目標是B3-A1級，支持這個目標的關鍵也在于：第一其采用了TuringPlus語言，第二其采用了安全策略與安全機制相分離的方法，并提供了一個簡單而結構規范的TCB，從而簡化了TCB的驗證工作。國外安全操作系統的發展ASOS（ArmySecureOperatingSystem）是針對美軍的戰術需要而設計的軍用安全操作系統，由TRW公司1990年發布完成。ASOS由兩類系統組成，其中一類是多級安全操作系統，設計目標是TCSEC的A1級；另一類是專用安全操作系統，設計目標是TCSEC的C2級。兩類系統都支持Ada語言編寫的實時戰術應用程序，都能根據不同的戰術應用需求進行配置，都可以很容易地在不同硬件平臺間移植，兩類系統還提供了一致的用戶界面。從具體實現上來看，ASOS操作系統還具有5個主要特點：⑴ASOS操作系統本身也主要是用Ada語言實現的；⑵ASOS采用訪問控制列表（AccessControlList，ACL）實現了細粒度的自主訪問控制；⑶ASOS依據BLP模型實現了防止信息泄露的強制訪問控制，依據Biba模型實現了確保數據完整性的強制訪問控制；⑷ASOS在形式化驗證中建立了兩個層次的規范和證明，一個層次用于抽象的安全模型，另一個層次用于形式化頂層規范；⑸用于證明系統安全性的主要工具是Gypsy驗證環境（GVE），ASOS開發了一個在GVE中工作的流分析工具，用于分析系統設計中潛在的隱蔽通道。國外安全操作系統的發展OSF/1是開放軟件基金會于1990年推出的一個安全操作系統，被美國國家計算機安全中心（NCSC）認可為符合TCSEC的B1級，其主要安全性表現4個方面：⑴系統標識；⑵口令管理；⑶強制存取控制和自主存取控制；⑷審計。UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個安全操作系統，被美國國家計算機安全中心（NCSC）認可為符合TCSEC的B2級，除OSF/1外的安全性主要表現在4個方面：⑴更全面的存取控制；⑵最小特權管理；⑶可信通路；⑷隱蔽通道分析和處理。1991年，在歐洲共同體的贊助下，英、德、法、荷四國制定了擬為歐共體成員國使用的共同標準——信息技術安全評定標準（ITSEC）。隨著各種標準的推出和安全技術產品的發展，美國和同加拿大及歐共體國家一起制定通用安全評價準則（CommonCriteriaforITSecurityEvaluation，CC），1996年1月發布了CC的1.0版。CC標準的2.0版已于1997年8月頒布，并于1999年7月通過國際標準組織認可，確立為國際標準，即ISO/IEC15408。國外安全操作系統的發展在1992到1993年之間，美國國家安全局（NSA）和安全計算公司（SCC）的研究人員在TMach項目和LOCK項目的基礎上，共同設計和實現了分布式可信Mach系統（DistributedTrustedMach，DTMach）。DTMach項目的后繼項目是分布式可信操作系統（DistributedTrustedOperatingSystem，DTOS）。DTOS項目改良了早期的設計和實現工作，產生了一些供大學研究的原型系統，例如SecureTransactionalResources、DX等。此外DTOS項目產生了一些學術報告、系統形式化的需求說明書、安全策略和特性的分析、組合技術的研究和對多種微內核系統安全和保證的研究。當DTOS項目快要完成的時候，NSA、SCC和猶他州大學的Flux項目組聯合將DTOS安全結構移植到Fluke操作系統研究中去。在將結構移植到Fluke的過程中，他們改良了結構以更好地支持動態安全策略。這個改良后的結構就叫Flask。一些Flask的接口和組件就是從Fluke到OSKit中的接口和組件中繼承下來的。國外安全操作系統的發展2001年，Flask由NSA在Linux操作系統上實現，并且不同尋常地向開放源碼社區發布了一個安全性增強型版本的Linux（SELinux）－－包括代碼和所有文檔。與傳統的基于TCSEC標準的開發方法不同，1997年美國國家安全局和安全計算公司完成的DTOS安全操作系統采用了基于安全威脅的開發方法。設計目標包括3個方面：（1）策略靈活性：DTOS內核應該能夠支持一系列的安全策略，包括諸如國防部的強制存取控制多級安全策略；（2）與Mach兼容，現有的Mach應用應能在不做任何改變的情況下運行；（3）性能應與Mach接近。SELinux以Flask安全體系結構為指導，通過安全判定與安全實施的分離實現了安全策略的獨立性，借助訪問向量緩存（AVC）實現了對動態策略的支持。SELinux定義了一個類型實施（TE）策略，基于角色的訪問控制（RBAC）策略和多級安全（MLS）策略組合的安全策略，其中TE和RBAC策略總是系統實現的安全策略的有機組成。EROS（ExtremelyReliableOperatingSystem）是一種基于權能（Capability，權能）的高性能微內核實時安全操作系統，是GNOSIS（后命名為KeyKOS）體系結構的第三代實現。EROS最初由美國賓西法尼亞大學開發，此項目現已轉入約翰－霍普金斯大學。目前，EROS仍處在研究開發階段，只支持Intel486以上的系列芯片。第一個EROS內核已在1999年完成，現在開發的版本是EROS2.0，不久就會發布。EROS的源代碼遵守GPL規范，可在其網站（）獲得。其他還有一些安全操作系統開發項目，如Honeywell的STOP、Gemini的GEMSOS、DEC的VMM(VirtualMachineMonitor)等，以及HP和DataGeneral等公司開發的安全操作系統。國內安全操作系統的發展國內也進行了許多有關安全操作系統的開發研制工作，并取得了一些研究成果。1990年前后，海軍計算技術研究所和解放軍電子技術學院分別開始了安全操作系統技術方面的探討，他們都是參照美國TCSEC標準的B2級安全要求，基于UNIXSystemV3.2進行安全操作系統的研究與開發。1993年，海軍計算技術研究所繼續按照美國TCSEC標準的B2級安全要求，圍繞UnixSVR4.2/SE，實現了國產自主的安全增強包。1995年，在國家“八五”科技攻關項目――“COSA國產系統軟件平臺”中，圍繞UNIX類國產操作系統COSIXV2.0的安全子系統的設計與實現，中國計算機軟件與技術服務總公司、海軍計算技術研究所和中國科學院軟件研究所一起參與了研究工作。COSIXV2.0安全子系統的設計目標是介于美國TCSEC的B1和B2級安全要求之間，當時定義為B1＋，主要實現的安全功能包括安全登錄、自主訪問控制、強制訪問控制、特權管理、安全審計和可信通路等。國內安全操作系統的發展1996年，由中國國防科學技術工業委員會發布了軍用計算機安全評估準