WINDOWS系统安全知识.ppt

Windows系统安全知识 系统安全: 安全度量 度量标准：Trusted Computer System Evaluation Criteria(TCSEC,1985) 系统安全程度的七个等级 ： (D1、C1、C2、B1、B2、B3、A1) 安全威胁: 系统为什么不安全 安全威胁: 安全事故的后果 直接经济损失 名誉、信誉受损 正常工作中断或受到干扰 效率下降 可靠性降低 其他严重的后果 内容 黑客技术介绍篇 Windows安全原理篇 Windows安全配置篇 黑客技术介绍篇 什么是黑客 常见黑客攻击方式 黑客攻击手法（一） 黑客攻击手法（二） 黑客攻击手法（三） 黑客攻击手法（四） 什么是黑客 通过网络, 利用系统中的一些漏洞和缺陷,对计算机系统进行入侵的人 hacker与cracker: Hacker ? Cracker, 但对于大众, hacker 即 cracker 常见黑客攻击方式 直接入侵攻击主机 盗用破坏或者修改数据 拒绝服务(缩写DoS) 等等… 常见黑客攻击思路 1.收集信息 黑客攻击手法(一) 收集信息 扫描 Nmap扫描的演示 社会工程 公开信息 利用系统漏洞 snmp的默认配置 Netbios默认开放，搜集演示 IIS的安全问题 …… 黑客攻击手法(二) 尝试获得主机入口,初步获得权限 密码猜测 远程溢出 Sniffer 社会工程 程序漏洞 绕道 黑客攻击手法(三） 尝试获得最高权限 本地溢出 木马 社会工程 窃取，欺骗 程序漏洞 黑客攻击手法(四) 扩大攻击范围 清除系统记录 Log记录清除 留下系统后门 Bind shell（cmd.exe)等 跳跃攻击其他主机 Windows安全原理篇 1. Windows系统的安全架构 2. Windows的安全子系统 3. Windows的密码系统 4. Windows的系统服务和进程 5. Windows的日志系统 Windows系统的安全架构 Windows系统的安全组件 作为C2级别的操作系统中所包含的安全组件： 访问控制的判断（Discretion access control） 按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么Windows NT禁止undelete已经被删除的文件的原因。 强制登陆（Mandatory log on） 与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用户必须登陆，通过认证后才可以访问资源。由于网络连接缺少强制的认证，所以Windows 作为C2级别的操作系统必须是未连网的。 审核（Auditing） Windows NT 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 Windows系统的对象 为了实现自身的安全特性，Windows2K/ NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/ NT提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把Windows2K/ NT称为基于对象的操作系统。 Microsoft的安全就是基于以下的法则： 用对象表现所有的资源 只有Windows2K/ NT才能直接访问这些对象 对象能够包含所有的数据和方法 对象的访问必须通过Windows 2K/NT的安全子系统的第一次验证 存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么 Windows 中首要的对象类型有： 文件 文件夹 打印机 I/O设备 窗口 线程 进程 内存 这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。 Windows安全子系统的组件 Windows NT安全子系统包含五个关键的组件： 安全标识符(Security identifiers) 访问令牌(Access tokens) 安全描述符(Security descriptors) 访问控制列表(Access control lists) 访问控制项(Access Control