以 Windows XP 为例,分析其架构
Windows XP 结构结构和客户机/ 服务器结构的混合体
系统分为三层
第一层是硬件抽象层,它为上层提供了硬件结构接口,使系统移植方便;第二层是内核层,它为低层提供执行、中断、异常处理和同步支持 持有;第三层是一系列模块组实现基本系统服务成的,比如虚拟内存管理,对象管理, 过程和线程管理,I/O 管理、过程间通信和安全参考监督器
Windows 2000 系统有安全设计专用安全子系统,
安全子系统的组成
地方安全投权(LSA):本地安全授权部门提供了许多服务程序,以确保用户获得访问系统的许可。安全账户管理(SAM):对 SAM 数据库维护,包含所有组和用户的信息;LSA生成令牌,实施当地安全管理,提供互动登录认证服务,控制安全审查策略 SRM 产 学生的审查记录信息。
安全参考监视器(SRM):由访问控制和审查策略负责 LSA 支持。SAM 用户登录认证负责 Welcome 输入到对话框中的信息 SAM 数据库中的 信息比较为用户提供安全标志(SID) 。
安全参考监视器(SRM):由访问控制和审查策略负责 LSA 支持。
安全参考监视器SRM 提供对象(文件,目的 年收权限,检查主体(用户账户等)的权限,产生必要的审查信息。对象的安全属性 访问控制项(ACE)描述所有对象 ACE 组成访问控制列表(ACL)。没有 ACL 的客体 意味着任何主体都可以访问。而有 ACL 的客体则由 SRM 检查每个项目 ACE,从而决定主体的访问是否允许。
Windows 安全机制
Windows 认证机制Windows 2000 为例,系统提供两种基本认证类型本地认证
:根据用户的本地计算机或 Active Directory 账户确认用户身份网络认证:根据用户试图访问的任何网络服务确认用户身份。提供这类身份验证,Windows 2000 安全系统集成了三种不同的身份验证技术:Kerberos v5公钥证书NTLM
Windows 访问控制机制
为实现进程间的安全访问,Windows NT/XP 对象使用安全描述符(Securi tyDescriptor)。安全描述符主要由用户组成 SID (Owner)、工作组 SID (Group)、自由访问控 制列表(DACL)以及系统访问控制列表(SACL) 组成。
Windows 审计/日志机制
记录日志文件Windows 启动、运行、关闭等各种系统服务的系统运行状态。
Windows 日志有三种类型:系统日志:文件及路径 system32/config/SysEvent.evt应用程序日志:文件及路径system32/config/AppEvent.evt安全日志:文件和路径为system32/config/SecEven t.evt
Windows 协议过滤防火墙
针对网络上的威胁,Windows NT 4.0、Windows 2000 提供包过滤机制,网络包可以通过过滤机制限制进入用户计算机。
而 Windows XP 防火墙可以自带防火墙足以监控和限制用户计算机的网络通信。
而 Windows XP 防火墙可以自带防火墙足以监控和限制用户计算机的网络通信。
Windows 文件加密系统
为防止入侵者通过物理渠道读取磁盘信息,绕过 Windows,系统文件访问控制机制。研发微软公司加密文件系统 EFS
,使用文件中的数据 EFS 加密磁盘。 如果用户访问加密文件,他们必须有文件的密钥才能打开文件,并像普通文件一样透明地使用它抗攻击机制微软新版本的操作系统针对常见的缓冲区溢出和恶意代码攻击 Windows 7、Windows10 增加抗攻击安全机制,整合内存保护机制堆栈保护(Stack Protection)例外处理安全结构 SafeSEH (Safe Structured Exception Handling)数据执 行保护 DEP (Data Execution Prevention) 地址随机化 ASLR(Address Space Layout Ran domization)补丁保护 PatchGuard签名驱动程序(Driver Siging)Windows 10 提供减少攻击面规则配置,具体如下:阻止电子邮件客户端和电子邮件客户端 Webmail 可执行内容阻止所有 Office 创建子过程的应用程序阻止 Office 应用程序创建可执行内容阻止 Office 应用程序将代码注入其他进程阻止 JavaScript 或 VBScript 恶意软件通常从网上下载并启动其他恶意软件阻止脚本可能混淆的执行阻止 Office 宏调用 Win32 API阻止信任列表外的可执行文件运行阻止信任列表外的可执行文件运行阻止从 Windows 本地安全授权子系统窃取身份证据阻止 PsExec 和 WMI 命令创建过程阻止从 USB 不信任、不签名的过程
阻止 Office 创建子过程通信应用程序程序
阻止 Office 创建子过程通信应用程序程序阻止利用 WMI 事件订阅持续攻击Windows 系统安全问题
Windows 密码账号和密码进入 Windows 系统的重要凭证,入侵者攻击获取账号和密码信息 Windows 系统的重要途径。
例如,Windows 2000 默认安装允许任何用户通过空用户安装 获取系统的所有帐户和共享列表。例如,Windows 2000 默认安装允许任何用户通过空用户安装 获取系统的所有帐户和共享列表。这些功能最初是为了方便局域网用户共享资源和文件, 然而,任何远程用户都可以使用相同的方法获得账户列表,并在使用技术破解账户密码后攻击用户的计算机。
windows 恶意代码
由于 Wndows 系统本身的安全风险、许多计算机病毒、网络蠕虫、特洛伊木马等安全事件 Windows 系统相关比如冲击波网络蠕虫, 勒索网络蠕虫勒索网络蠕虫。
Windows 软件漏洞的应用
运行在 Windows 平台应用软件的安全隐患日益暴露,往往导致这些安全隐患 Windows 非授权访问、非法滥用系统等。例如 IE 远程攻击者将木马植入浏览器的安全漏洞,然后危及整个系统的安全
Windows 系统程序的漏洞
Windows 系统程序的设计和实现过程中的安全风险通常会带来许多安全问题例如 R PC 该程序的漏洞导致缓冲区溢出攻击
Windows 注册表安全
注册表(Regity)是有关 Windows 系统配置的重要文件,存储在系统安装目录中system 32\\config”下。注册表中存在所有配置和控制系统的数据, Registry的缺省 权限设置是所有人( Everyone)完全控制(FullControl) 和“创建”(Create) ,这种 设置可以被恶意用户删除或替换(Registry) 文件。例如,入侵者可以通过修改创建注册表的相关参数来启动恶意过程。
例如,入侵者可以通过修改创建注册表的相关参数来启动恶意过程。
Windows 安全共享文件Windows 98 以后的系统都提供安全共享文件,但是共享会带来信息泄露的问题。例如,Windows 2000、Windows XP 默认安装后,允许任何用户通过空用户连接(IPC$) 获取系统中的所有帐户和共享列表最初是为了方便局域网用户共享资源和文件,但任何远程用户都可以使用这个空连接获得所有用户的共享列表。黑客利用这个 功能,查找系统用户列表,使用字典工具攻击系统。这在网上很流行 I PC 攻击
Windows 物理攻击
一些攻击者利用物理接近 Windows 借用安全工具强行进入系统的条件 Windows 系统。
例如,使用 Offline NT Password & Registry Editor 软件制作启动盘,然后用该盘引导系统访问 NTFS 文件系统。 19.2.4 Windows 系统安全增强技术方法
Windows 加强系统安全的技术方法和流程
系统安全增强的常用方法如下:(1)安全漏洞补丁(Patcb)
。许多漏洞本质上是软件设计中的缺陷和错误(如漏洞), 因此,这些问题需要通过补丁来修复。
(2)停止服务和卸载软件。有些应用程序和服务安全问题较多,目前还没有可行的解决方案。有效的方法是在可能的情况下停止服务,而不为攻击者提供攻击机会。
(3)升级或更换程序。在许多情况下,安全漏洞只适用于某一版本的产品, 此时解决问题的办法是升级软件。若升级仍不能解决,则应考虑更换程序。目前, 同一个应用程序或服务通常有多个成熟的程序和免费的自由软件,以替换软件 可能性。
(4)修改配置或权限。有时系统本身没有安全漏洞,但由于配置或权限设置错误或 不合理,给系统安全带来问题。建议用户根据实际情况和审计结果配置或权利 修改限制设置问题。
(5)去除特洛伊等恶意程序
(6)安装专用安全工具软件。针对 Windows 漏洞修补问题。用户可安装自动补充剂 丁管理程序
Windows 系统安全增强的基本步骤
1.确认系统安全增强的安全目标和业务用途
系统安全目标实际上是用户所期望的系统安全要求,系统的业务用途是后续安全增强的基础。根据系统的业务用途,系统在安装或设置策略时做出适当的选择
2.安装最小化的操作系统
最小化操作系统的目的是减少系统安全隐患的数量。系统越大,安全风险越大,管理难以考虑。
最小化操作系统的安装要求如下,尽量使用英文版 Windows 操作系统; 不要 安装
