4.2 Windows 2k安全结构

 

4.2.1 Windows 2000 安全概述

重新安装windows 2000之后，系统将处于一个非常不稳定的状态。

任何操作系统的主要漏洞都是由于用户和组、文件系统、策略、系统默认值、Bug和审计都处于一种待定的状态形成的。Windows 2k还有一个其它操作系统所不具备的漏洞，即注册表。

 

Windows 2k的安全结构

Windows 2k系统内置有用户验证、访问控制、管理和审计（四大安全要素），另外还有加密和安全策略。

 

Windows 2k安全组件

·灵活的访问控制：允许对象的属主能够完全控制，谁可以访问这个对象以及什么样的访问权限。

·对象再利用：Windows 2k明确地阻止所有应用程序不可以访问被另一应用程序所占用资源内的信息（比如内存和磁盘）。

·强制登录：与Windows 2k在用户能访问任何资源前必须通过登录来验证他们的身份。

·审计：Windows 2k采用单独的机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。

·控制对象的访问：Windows 2k不允许直接访问系统里的资源，这种不许直接访问是访问控制的关键。在允许访问之前，用户或应用程序的权限首先被验证。

 

Windows 2k对象

为实现其安全特色，Windows 2K把所有的资源都处理成特殊的对象。（包括资源本身、机制和需要访问的程序）把所有封装成对象并建立单独的机制来使用它们，微软创建单独的方法来对那些对象实行访问控制。基于这种方法，Windows 2K被称为基于对象的操作系统。

 

微软安全主要是基于以下规则：

·所有资源都以对象表示

·只有系统能够直接访问那些对象

·对象包括数据和功能

·所有对象在被访问之前，都要经过系统的安全子系统验证

·存在着几种不同类型的对象，每种对象确定了这些对象能够做什么

 

Windows 2K中有下列主要的对象类别

·文件

·目录

·打印机

·输入输出设备

·窗口

·线程

·进程

·内存

这种设计要求所有的访问都要以相同的方法来减少被绕过的机会。

 

4.2.2 安全的组成部分

Windows 2K安全子系统由安全标识符、访问令牌、安全描述符、访问控制列表和访问控制条目5个关键部分组成。

 

安全标识符（SID）

安全标识符是统计上分配给所有用户、组和计算机的惟一数组。统计上的惟一指的是两个数组发生重复的可能性极为罕见。每当一个新用户或组被建立时，就会收到一个新的SID。每台Windows 2K系统安装完毕后，也会有一个新的SID分配给这台计算机。SID标示了用户、组和计算机和惟一性。SID是Windows 2K安全结构的基础。

 

访问令牌

访问令牌是登录过程的主要目的之一。访问令牌是由用户的SID、用户所属的组的SID、用户名和用户所属的组的名称构成的。无论何时用户企图访问，用户必须向Windows 2K出示访问令牌。由于访问令牌只在登录过程中才会被发布，因此如果权限改动，那么只有重新登录后才会生效。

 

安全描述符

Windows 2K内置的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象属主的SID、组SID、灵活的访问控制列表和计算机访问控制列表。

 

访问控制列表（ACL）

两种不同的访问控制列表是灵活的访问控制列表和系统的访问控制列表。灵活的访问控制列表中记录了用户和组，以及它们的权限，允许还是拒绝，其列出每个用户和组的特定权限。系统访问控制列表包含对象审计的事件。当没有特殊制定ALC类型时，通常是灵活的ACL。

 

访问控制条目（ACE）

每个ACE包含用户或组的SID及对象所持有的权限。对象分配的每个权限都有一个ACE。ACE有两种类型，允许访问或拒绝访问。在ACL里，拒绝访问ACE优于允许访问ACE。

 

4.2.3 Windows 2K安全机制

1．账号安全

在一个网络中，用户和计算机都是网络的主体，两者缺一不可。拥有计算机账户是计算机接入Windows 2K网络的基础，拥有用户账户是用户登录到网络并使用网络资源的基础。用户管理是Windows 2K管理中必要且最经常的工作。

·计算机账户

每个加入域的Windows 2K计算机都具有计算机账户，否则无法进行连接，实现域资源的访问。与用户账户类似，计算机账户也提供验证和审核计算机登录到网络及访问资源的方法。不过，一个计算机系统要加入到域中，只能使用一个计算机账户，而一个用户可以使用多个用户账户，并且可以在不同的计算机上使用自己的用户进行登录。

·活动目录用户账户

用户账户用来记录用户的用户名和口令、隶属的组、可以访问的网络资源，以及用户的个人文件和设置。每个用户都应该在域控制器中有一个用户账户，才能访问服务器，使用网络资源。

Windows 2K包含了一些预定义账户，比如Administrator和Guest。预定义账户主要是为了初始登录计算机使用的。如果网络管理员没有修改或禁用预定义账户，则任何人都可以使用它们。如果希望获得用户验证和授权的安全性，则应为每个用户创建独立的账户。

 

2．文件系统安全NTFS

NTFS文件系统只能由Windows NT/2000（或更高）提供 ，它使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特征。它还支持文件恢复技术、大型存储介质、POSIX子系统以及面向对象的应用程序。NTFS的新特性包括对分层存储管理的支持，这是通过重新解析点、磁盘配额、加密、稀疏文件、分布式连接跟踪、分布式文件系统、NTFS目录连接、卷装配点、索引服务和更改日志来实现的。

 

3．Kerberos v5认证

Kerberos为分布式环境提供一种对用户双方进行验证的认证方法。它是一种安全的双向身份认证技术，特别强调了客户机队服务器的认证。

 

4．NTLM认证

Windows 2k中仍然保留NTLM（NT LanMan）认证，以便向后兼容。Windows 2k已经支持全新的NTLM2。

 

5．Active Directory

活动目录把域划分为不同的组织单元，这意味着网络在目录树中具有部门的名称。域的树显示多个对象划分后的结果，每一部分都有自己的安全性、委托关系和用户许可证等。还可以通过活动目录指定局部管理员。