【正文】 Windows安全管理培訓(xùn) 主要內(nèi)容 ?Windows系統(tǒng)安全性 ?Windows安全體系構(gòu)架 ?Windows安全配置 ?Windows系統(tǒng)高級(jí)安全配置 ?Windows系統(tǒng)的審計(jì)分析 操作系統(tǒng)安全定義 ? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的 信息安全評(píng)估標(biāo)準(zhǔn) ?ITSEC和 TCSEC ?TCSEC描述的系統(tǒng)安全級(jí)別 ? D?A ?CC(Common Critical)標(biāo)準(zhǔn) ?BS 7799:2022標(biāo)準(zhǔn)體系 ?ISO 17799標(biāo)準(zhǔn) TCSEC安全等級(jí) 安全級(jí)別 描述 D 最低的級(jí)別。如 MSDOS計(jì)算機(jī)，沒有安全性可言 C1 自主安全保護(hù)。系統(tǒng)不需要區(qū)分用戶?？商峁└镜脑L問(wèn)控制大部分 UNIX達(dá)到此標(biāo)準(zhǔn)。 C2 可控訪問(wèn)保護(hù)。系統(tǒng)可通過(guò)注冊(cè)過(guò)程、與安全相關(guān)事件的審計(jì)以及資源隔離等措施，使用戶對(duì)他們的活動(dòng)分別負(fù)責(zé)。 NT屬于 C2級(jí)的系統(tǒng) B1 標(biāo)記安全保護(hù)。系統(tǒng)提供更多的保護(hù)措施包括各式的安全級(jí)別。如 AT＆ T的 SYSTEM V和 UNIX with MLS 以及 IBM MVS/ESA B2 結(jié)構(gòu)化保護(hù)。支持硬件保護(hù)。內(nèi)容區(qū)被虛擬分割并嚴(yán)格保護(hù)。如 Trusted XENIX and Honeywell MULTICS B3 安全域。提出數(shù)據(jù)隱藏和分層，阻止層之間的交互。如Honeywell XTS200 A 校驗(yàn)級(jí)設(shè)計(jì)。需要嚴(yán)格的準(zhǔn)確的證明系統(tǒng)不會(huì)被危害。如Honeywell SCOMP 基于 C2級(jí)標(biāo)準(zhǔn)的安全組件 ?靈活的訪問(wèn)控制 要求允許對(duì)象的屬主能夠完全控制誰(shuí)可以訪問(wèn)這個(gè)對(duì)象及擁有什么樣的訪問(wèn)權(quán)限。 ?對(duì)象再利用 Windows NT很明確地阻止所有的應(yīng)用程序訪問(wèn)被另一應(yīng)用程序占用的資源（比如內(nèi)存或磁盤）。 ?強(qiáng)制登陸 Windows NT用戶在能訪問(wèn)任何資源前必須通過(guò)登陸來(lái)驗(yàn)證他們的身份。因此， 缺乏這種強(qiáng)制登陸的 NT要想達(dá)到 C2級(jí)標(biāo)準(zhǔn)就必須禁止網(wǎng)絡(luò)功能 。 ?審計(jì) 因?yàn)?Windows NT采用單獨(dú)地機(jī)制來(lái)控制對(duì)任何資源的訪問(wèn)，所以這種機(jī)制可以集中地記錄下所有的訪問(wèn)活動(dòng)。 ?控制對(duì)象的訪問(wèn) Windows NT不允許直接訪問(wèn)系統(tǒng)里的資源。 Windows系統(tǒng)漏洞導(dǎo)致的損失 ?2022年， Mydoom所造成的經(jīng)濟(jì)損失已經(jīng)達(dá)到 261億美元 。 ?2022年， Nimda電腦病毒在全球各地侵襲了 830萬(wàn)部電腦，總共造成 5億 9000萬(wàn)美元的損失。 ?2022年，美國(guó)聯(lián)邦調(diào)查局公布報(bào)告估計(jì)： “ 僵尸網(wǎng)絡(luò) ” 、蠕蟲、特洛伊木馬等電腦病毒給美國(guó)機(jī)構(gòu)每年造成的損失達(dá) 119億美元。 主要內(nèi)容 ?Windows系統(tǒng)安全性 ?Windows體系構(gòu)架 ?Windows安全配置 ?Windows系統(tǒng)高級(jí)安全配置 ?Windows的審計(jì)分析 服務(wù)管理器 服務(wù)進(jìn)程 系統(tǒng)支持進(jìn)程 本地安全驗(yàn)證服務(wù) Windows登錄 會(huì)話管理器 應(yīng)用程序 環(huán)境子系統(tǒng) Spooler 任務(wù)管理器 Windows瀏覽器 用戶級(jí)應(yīng)用程序 子系統(tǒng)動(dòng)態(tài)鏈接庫(kù) OS/2 POSIX Win32 系統(tǒng)服務(wù)調(diào)度進(jìn)程 核心可調(diào)用接口 I/O設(shè)備 管理器 設(shè)備、文件 驅(qū)動(dòng)程序 對(duì)象 管理器 虛擬內(nèi)存 管理器 進(jìn)程和 線程管 理器 注冊(cè)表 配置 管理器 NTdll,dll Win32 User GDI 圖形驅(qū)動(dòng) HAL（硬件抽象層） Micro kernel 安全引用 監(jiān)視器 WindowsNT系統(tǒng)構(gòu)架 進(jìn)程地址空間 系統(tǒng)地址空間 線程 線程 線程 進(jìn)程和線程 ? 什么是進(jìn)程？ ? 代表了運(yùn)行程序的一個(gè)實(shí)例 ? 每一個(gè)進(jìn)程有一個(gè)私有的內(nèi)存地址空間 ? 什么是線程？ ? 進(jìn)程內(nèi)的一個(gè)執(zhí)行上下文 ? 進(jìn)程內(nèi)的所有線程共享相同的進(jìn)程地址空間 ? 每一個(gè)進(jìn)程啟動(dòng)時(shí)帶有一個(gè)主線程 ? 運(yùn)行程序的“主”函數(shù) ? 可以在同一個(gè)進(jìn)程中創(chuàng)建其他的線程 ? 可以創(chuàng)建額外的進(jìn)程 系統(tǒng)進(jìn)程 ?基本的系統(tǒng)進(jìn)程 System Idle Process 這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間 會(huì)話管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶會(huì)話 子系統(tǒng)服務(wù)器進(jìn)程 管理用戶登錄 包含很多系統(tǒng)服務(wù) 本地安全身份驗(yàn)證服務(wù)器 包含很多系統(tǒng)服務(wù) 將文件加載到內(nèi)存中以便遲后打印 資源管理器 托盤區(qū)的拼音圖標(biāo) 系統(tǒng)進(jìn)程樹 對(duì)話管理器，第一個(gè)創(chuàng)建的進(jìn)程 引入?yún)?shù) HKLM\System\CurrentControlSet\Control\Session Manager 裝入所需的子系統(tǒng) (csrss) ，然后 winlogon Win32 子系統(tǒng) 登錄進(jìn)程：裝入 和 顯示登錄對(duì)話框（“鍵入 CTRL+ALT+DEL ，登錄） 當(dāng)有人登入，運(yùn)行在 HKLM\Software\Microsoft\Windows NT\WinLogon\Userinit 中的進(jìn)程（通常只是 ) 服務(wù)控制器：也是幾項(xiàng)服務(wù)的出發(fā)點(diǎn) 服務(wù)的開始進(jìn)程不是 (由 HKLM\System\CurrentControlSet\Services驅(qū)動(dòng) ) 本地安全驗(yàn)證服務(wù)器（打開 SAM） 登陸之后啟動(dòng)。啟動(dòng)外殼（通常是 — 見 HKLM\Software\Microsoft\ Windows NT\CurrentVersion\WinLogon\Shell) 裝入配置文件，恢復(fù)驅(qū)動(dòng)器標(biāo)識(shí)符映象，然后退出 和它的子進(jìn)程是所有交互式應(yīng)用的創(chuàng)建者 附加的系統(tǒng)進(jìn)程 ? 允許程序在指定時(shí)間運(yùn)行。 (系統(tǒng)服務(wù) ) ? 允許遠(yuǎn)程注冊(cè)表操作。 (系統(tǒng)服務(wù) ) ? 提供系統(tǒng)管理信息 (系統(tǒng)服務(wù) )。 ? 通過(guò) Inter 信息服務(wù)的管理單元提供信息服務(wù)連接和管理。 (系統(tǒng)服務(wù) ) ? 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)。 (系統(tǒng)服務(wù) ) ? 應(yīng)答對(duì)域名系統(tǒng) (DNS)名稱的查詢和更新請(qǐng)求。(系統(tǒng)服務(wù) ) ?。 Windows系統(tǒng)的安全架構(gòu) Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問(wèn) 控制、管理、審核。 Windows系統(tǒng)的安全組件 ? 訪問(wèn)控制的判斷（ Discretion access control） 允許對(duì)象所有者可以控制誰(shuí)被允許訪問(wèn)該對(duì)象以及訪問(wèn)的方式。 ? 對(duì)象重用（ Object reuse） 當(dāng)資源（內(nèi)存、磁盤等）被某應(yīng)用訪問(wèn)時(shí)， Windows 禁止所有的系統(tǒng)應(yīng)用訪問(wèn)該資源，這也就是為什么無(wú)法恢復(fù)已經(jīng)被刪除的文件的原因。 ? 強(qiáng)制登陸（ Mandatory log on） 要求所有的用戶必須登陸，通過(guò)認(rèn)證后才可以訪問(wèn)資源 ? 審核（ Auditing） 在控制用戶訪問(wèn)資源的同時(shí)，也可以對(duì)這些訪問(wèn)作了相應(yīng)的記錄。 ? 對(duì)象的訪問(wèn)控制（ Control of access to object） 不允許直接訪問(wèn)系統(tǒng)的某些資源。必須是該資源允許被訪問(wèn)，然后是用戶或應(yīng)用通過(guò)第一次認(rèn)證后再訪問(wèn) 。 Windows安全子系統(tǒng)的組件（ 1） ?安全標(biāo)識(shí)符（ Security Identifiers） : ? 就是我們經(jīng)常說(shuō)的 SID，每次當(dāng)我們創(chuàng)建一個(gè)用戶或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶或組一個(gè)唯一 SID，當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的 SID。 ? SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的 CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。 例： S1521176323432332126575211234321321500 ?訪問(wèn)令牌（ Access tokens） : ? 用戶通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶一個(gè)訪問(wèn)令牌，該令牌相當(dāng)于用戶訪問(wèn)系統(tǒng)資源的票證，當(dāng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，將訪問(wèn)令牌提供給Windows 系統(tǒng)，然后 Windows NT檢查用戶試圖訪問(wèn)對(duì)象上的訪問(wèn)控制列表。如果用戶被允許訪問(wèn)該對(duì)象，系統(tǒng)將會(huì)分配給用戶適當(dāng)?shù)脑L問(wèn)權(quán)限。 ? 訪問(wèn)令牌是用戶在通過(guò)