【正文】 Windows安全管理培訓(xùn) 主要內(nèi)容 ?Windows系統(tǒng)安全性 ?Windows安全體系構(gòu)架 ?Windows安全配置 ?Windows系統(tǒng)高級安全配置 ?Windows系統(tǒng)的審計分析 操作系統(tǒng)安全定義 ? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認關(guān)閉的 信息安全評估標準 ?ITSEC和 TCSEC ?TCSEC描述的系統(tǒng)安全級別 ? D?A ?CC(Common Critical)標準 ?BS 7799:2022標準體系 ?ISO 17799標準 TCSEC安全等級 安全級別 描述 D 最低的級別。如 MSDOS計算機，沒有安全性可言 C1 自主安全保護。系統(tǒng)不需要區(qū)分用戶。可提供根本的訪問控制大部分 UNIX達到此標準。 C2 可控訪問保護。系統(tǒng)可通過注冊過程、與安全相關(guān)事件的審計以及資源隔離等措施，使用戶對他們的活動分別負責。 NT屬于 C2級的系統(tǒng) B1 標記安全保護。系統(tǒng)提供更多的保護措施包括各式的安全級別。如 AT＆ T的 SYSTEM V和 UNIX with MLS 以及 IBM MVS/ESA B2 結(jié)構(gòu)化保護。支持硬件保護。內(nèi)容區(qū)被虛擬分割并嚴格保護。如 Trusted XENIX and Honeywell MULTICS B3 安全域。提出數(shù)據(jù)隱藏和分層，阻止層之間的交互。如Honeywell XTS200 A 校驗級設(shè)計。需要嚴格的準確的證明系統(tǒng)不會被危害。如Honeywell SCOMP 基于 C2級標準的安全組件 ?靈活的訪問控制 要求允許對象的屬主能夠完全控制誰可以訪問這個對象及擁有什么樣的訪問權(quán)限。 ?對象再利用 Windows NT很明確地阻止所有的應(yīng)用程序訪問被另一應(yīng)用程序占用的資源（比如內(nèi)存或磁盤）。 ?強制登陸 Windows NT用戶在能訪問任何資源前必須通過登陸來驗證他們的身份。因此， 缺乏這種強制登陸的 NT要想達到 C2級標準就必須禁止網(wǎng)絡(luò)功能 。 ?審計 因為 Windows NT采用單獨地機制來控制對任何資源的訪問，所以這種機制可以集中地記錄下所有的訪問活動。 ?控制對象的訪問 Windows NT不允許直接訪問系統(tǒng)里的資源。 Windows系統(tǒng)漏洞導(dǎo)致的損失 ?2022年， Mydoom所造成的經(jīng)濟損失已經(jīng)達到 261億美元 。 ?2022年， Nimda電腦病毒在全球各地侵襲了 830萬部電腦，總共造成 5億 9000萬美元的損失。 ?2022年，美國聯(lián)邦調(diào)查局公布報告估計： “ 僵尸網(wǎng)絡(luò) ” 、蠕蟲、特洛伊木馬等電腦病毒給美國機構(gòu)每年造成的損失達 119億美元。 主要內(nèi)容 ?Windows系統(tǒng)安全性 ?Windows體系構(gòu)架 ?Windows安全配置 ?Windows系統(tǒng)高級安全配置 ?Windows的審計分析 服務(wù)管理器 服務(wù)進程 系統(tǒng)支持進程 本地安全驗證服務(wù) Windows登錄 會話管理器 應(yīng)用程序 環(huán)境子系統(tǒng) Spooler 任務(wù)管理器 Windows瀏覽器 用戶級應(yīng)用程序 子系統(tǒng)動態(tài)鏈接庫 OS/2 POSIX Win32 系統(tǒng)服務(wù)調(diào)度進程 核心可調(diào)用接口 I/O設(shè)備 管理器 設(shè)備、文件 驅(qū)動程序 對象 管理器 虛擬內(nèi)存 管理器 進程和 線程管 理器 注冊表 配置 管理器 NTdll,dll Win32 User GDI 圖形驅(qū)動 HAL（硬件抽象層） Micro kernel 安全引用 監(jiān)視器 WindowsNT系統(tǒng)構(gòu)架 進程地址空間 系統(tǒng)地址空間 線程 線程 線程 進程和線程 ? 什么是進程？ ? 代表了運行程序的一個實例 ? 每一個進程有一個私有的內(nèi)存地址空間 ? 什么是線程？ ? 進程內(nèi)的一個執(zhí)行上下文 ? 進程內(nèi)的所有線程共享相同的進程地址空間 ? 每一個進程啟動時帶有一個主線程 ? 運行程序的“主”函數(shù) ? 可以在同一個進程中創(chuàng)建其他的線程 ? 可以創(chuàng)建額外的進程 系統(tǒng)進程 ?基本的系統(tǒng)進程 System Idle Process 這個進程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間 會話管理子系統(tǒng)，負責啟動用戶會話 子系統(tǒng)服務(wù)器進程 管理用戶登錄 包含很多系統(tǒng)服務(wù) 本地安全身份驗證服務(wù)器 包含很多系統(tǒng)服務(wù) 將文件加載到內(nèi)存中以便遲后打印 資源管理器 托盤區(qū)的拼音圖標 系統(tǒng)進程樹 對話管理器，第一個創(chuàng)建的進程 引入?yún)?shù) HKLM\System\CurrentControlSet\Control\Session Manager 裝入所需的子系統(tǒng) (csrss) ，然后 winlogon Win32 子系統(tǒng) 登錄進程：裝入 和 顯示登錄對話框（“鍵入 CTRL+ALT+DEL ，登錄） 當有人登入，運行在 HKLM\Software\Microsoft\Windows NT\WinLogon\Userinit 中的進程（通常只是 ) 服務(wù)控制器：也是幾項服務(wù)的出發(fā)點 服務(wù)的開始進程不是 (由 HKLM\System\CurrentControlSet\Services驅(qū)動 ) 本地安全驗證服務(wù)器（打開 SAM） 登陸之后啟動。啟動外殼（通常是 — 見 HKLM\Software\Microsoft\ Windows NT\CurrentVersion\WinLogon\Shell) 裝入配置文件，恢復(fù)驅(qū)動器標識符映象，然后退出 和它的子進程是所有交互式應(yīng)用的創(chuàng)建者 附加的系統(tǒng)進程 ? 允許程序在指定時間運行。 (系統(tǒng)服務(wù) ) ? 允許遠程注冊表操作。 (系統(tǒng)服務(wù) ) ? 提供系統(tǒng)管理信息 (系統(tǒng)服務(wù) )。 ? 通過 Inter 信息服務(wù)的管理單元提供信息服務(wù)連接和管理。 (系統(tǒng)服務(wù) ) ? 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺。 (系統(tǒng)服務(wù) ) ? 應(yīng)答對域名系統(tǒng) (DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù) ) ?。 Windows系統(tǒng)的安全架構(gòu) Windows NT系統(tǒng)內(nèi)置支持用戶認證、訪問 控制、管理、審核。 Windows系統(tǒng)的安全組件 ? 訪問控制的判斷（ Discretion access control） 允許對象所有者可以控制誰被允許訪問該對象以及訪問的方式。 ? 對象重用（ Object reuse） 當資源（內(nèi)存、磁盤等）被某應(yīng)用訪問時， Windows 禁止所有的系統(tǒng)應(yīng)用訪問該資源，這也就是為什么無法恢復(fù)已經(jīng)被刪除的文件的原因。 ? 強制登陸（ Mandatory log on） 要求所有的用戶必須登陸，通過認證后才可以訪問資源 ? 審核（ Auditing） 在控制用戶訪問資源的同時，也可以對這些訪問作了相應(yīng)的記錄。 ? 對象的訪問控制（ Control of access to object） 不允許直接訪問系統(tǒng)的某些資源。必須是該資源允許被訪問，然后是用戶或應(yīng)用通過第一次認證后再訪問 。 Windows安全子系統(tǒng)的組件（ 1） ?安全標識符（ Security Identifiers） : ? 就是我們經(jīng)常說的 SID，每次當我們創(chuàng)建一個用戶或一個組的時候，系統(tǒng)會分配給改用戶或組一個唯一 SID，當你重新安裝系統(tǒng)后，也會得到一個唯一的 SID。 ? SID永遠都是唯一的，由計算機名、當前時間、當前用戶態(tài)線程的 CPU耗費時間的總和三個參數(shù)決定以保證它的唯一性。 例： S1521176323432332126575211234321321500 ?訪問令牌（ Access tokens） : ? 用戶通過驗證后，登陸進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows 系統(tǒng)，然后 Windows NT檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當?shù)脑L問權(quán)限。 ? 訪問令牌是用戶在通過