【正文】 Windows 2022認(rèn)證與授權(quán)訪問 用戶 A Winlogon 使用賬戶名稱 /口令進(jìn)行認(rèn)證 成功 令牌 User=S121 S1521150700133312045507641011284298500 Group1=EveryOne S110 Group2=Administrators S1532544 允許 Read=A S1521… … Write=administrators S1532544… SRM,安全參考監(jiān)視器 訪問 25 Strictly Private amp。 Confidential SID與令牌 ? SID唯一標(biāo)示一個對象 – 使用 User2sid和 sid2user工具進(jìn)行雙向查詢 ? 令牌：通過 SID標(biāo)示賬號對象以及所屬的組 SID S1521150700133312045507641011284298500 令牌 User=S121 S1521150700133312045507641011284298500 Group1=EveryOne S110 Group2=Administrators S1532544 23 Strictly Private amp。 Confidential SAM數(shù)據(jù)庫與 AD ? SAM中口令的保存采用單向函數(shù) (OWF)或散列算法實現(xiàn) ? 在 %systemroot%\system32\config\sam中實現(xiàn) ? DC上 ， 賬號與密碼散列保存在 %systemroot%\ntds\ 21 Strictly Private amp。 Confidential 密碼策略的推薦設(shè)臵 強(qiáng)制執(zhí)行密碼歷史記錄 密碼最長期限 密碼最短期限 密碼必須符合復(fù)雜性要求 為域中所有用戶使用可還原的加密來儲存密碼 24個密碼 42天 2天 啟 用 禁 用 19 Strictly Private amp。 Confidential 添加 /刪除帳戶 ? Win2022/XP下 – 管理工具 — 計算機(jī)管理 — 本地用戶和組 ? WinNT下 – (域 )用戶管理器 ? 命令行方式 – user 用戶名 密碼 /add [/delete] – 將用戶加入到組 localgroup 組名 用戶名 /add [/delete] 17 Strictly Private amp。 Confidential Windows 2022下的內(nèi)建組 組名 注釋 Administrators 成員具有本地計算機(jī)的全部權(quán)限 Users 所有賬號，較低的權(quán)限 Guests 有限的權(quán)限，與 users相同 Authenticated users 特殊的隱含組，包含所有已登錄的用戶 Replicator 用于域中的文件復(fù)制 Backup Operators 沒有 administrators權(quán)限高，但十分接近 Server Operators 沒有 administrators權(quán)限高，但十分接近 Account Operators 沒有 administrators權(quán)限高，但十分接近 Print Operators 沒有 administrators權(quán)限高，但十分接近 15 Strictly Private amp。 Confidential 帳戶 (accounts)和組 (groups) ? 帳戶 (user accounts) – 定義了 Windows中一個用戶所必要的信息 ， 包括口令 、 安全 ID(SID)、 組成員關(guān)系 、登錄限制 ... – 組： universal groups、 global groups、 local groups ? Account Identifier: Security identifier(SID) – 時間和空間唯一 – S1NY1Y2Y3Y4 – Some wellknown SIDs – 字符串形式和二進(jìn)制形式的 SID 13 Strictly Private amp。 Confidential Windows采用的賬號認(rèn)證方案 ? LanManager認(rèn)證 (稱為 LM協(xié)議 ) – 早期版本 ? NTLM v1 認(rèn)證協(xié)議 – NT SP3之前的版本 ? NTLM v2 認(rèn)證協(xié)議 – NT SP4開始支持 ? Kerberos v5認(rèn)證協(xié)議 – Windows 2022引進(jìn) 11 Strictly Private amp。 Confidential Windows 安全子系統(tǒng) Winlogon GINA LSA Security Account Management Netlogon Authentication Packages Security Support Provider SSPI 加載 GINA，監(jiān)視認(rèn)證順序 加載認(rèn)證包 支持額外的驗證機(jī)制 為認(rèn)證建立安全通道 提供登陸接口 提供真正的用戶校驗 管理用戶和用戶證書的數(shù)據(jù)庫 9 Strictly Private amp。 Confidential CC(Common Critical)標(biāo)準(zhǔn) ? CC的基本功能 – 標(biāo)準(zhǔn)化敘述 – 技術(shù)實現(xiàn)基礎(chǔ)敘述 ? CC的概念 – 維護(hù)文件 – 安全目標(biāo) – 評估目標(biāo) 7 Strictly Private amp。 Confidential TCSEC定義的內(nèi)容 沒有安全性可言，例如 MS DOS 不區(qū)分用戶，基本的訪問控制 D 級 C1 級 C2 級 B1 級 B2 級 B3 級 A 級 有自主的訪問安全性，區(qū)分用戶 標(biāo)記安全保護(hù)，如 System V等 結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù) 安全域，數(shù)據(jù)隱藏與分層、屏蔽 校驗級保護(hù)，提供低級別手段 5 Strictly Private amp。 Confidential 操作系統(tǒng)安全定義 ? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的 3 Strictly Private amp。Windows系統(tǒng)安全 1 Strictly Private amp。 Confidential Windows安全模型 2 Strictly Private amp。 Confidential 信息安全評估標(biāo)準(zhǔn) ? ITSEC和 TCSEC ? TCSEC描述的系統(tǒng)安全級別 – D?A ? CC(Common Critical)標(biāo)準(zhǔn) ? BS 7799:2022標(biāo)準(zhǔn)體系 ? ISO 17799標(biāo)準(zhǔn) 4 Strictly Private amp。 Confidential C2級安全標(biāo)準(zhǔn)的要求 ? 自主的訪問控制 ? 對象再利用必須由系統(tǒng)控制 ? 用戶標(biāo)識和認(rèn)證 ? 審計活動 – 能夠?qū)徲嬎邪踩嚓P(guān)事件和個人活動 – 只有管理員才有權(quán)限訪問 6 Strictly Private amp。 Confidential Windows 2022安全結(jié)構(gòu) 8 Strictly Private amp。 Confidential Windows賬號管理 10 Strictly Private amp。 Confidential 用戶類型 ? Administrator(默認(rèn)的超級管理員 ) ? 系統(tǒng)帳號 (Print Operater、 Backup Operator) ? Guest(默認(rèn)來賓帳號 ) 12 Strictly Private amp。 Confidential Windows 2022的默認(rèn)賬號 賬戶名 注釋 System/localsystem 本地計算機(jī)的所有特權(quán) Administrator 同上；可以改名，但不能刪除 Guest 有限的權(quán)限，默認(rèn)禁用 IUER_計算機(jī)名 IIS的匿名訪問， guests組成員 IWAM_計算機(jī)名 IIS進(jìn)程外應(yīng)用程序運行的賬號， Guests組成員 TSInterUser 終端服務(wù) Krbtgt Kerberos密鑰分發(fā)賬號，只在 DC上出現(xiàn)，默認(rèn)禁用 14 Strictly Private amp。 Confidential 密碼存放位臵 ? 注冊表 HKEY_LOCAL_MACHINE\SAM下 ? Winnt/system32/config/sam 16 Strictly Private amp。 Confidential 帳戶重命名 ? 將 Administrator重命名 ? 將 Guest來賓用