美国可信计算评价标准PPT资料.ppt

1、强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。2022/10/276B B类安全等级类安全等级A类安全等级：A系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计规范。A系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。2022/10/277A A类安全等级类安全等级1995年7月，Windows NT3.5取得了TCSEC的C2安全级；1999年3月，NT4获得英国ITSEC组织的E3级

2、别，等同于C2级；Windows 2000也获得了C2安全级别2022/10/278微软操作系统安全性分析微软操作系统安全性分析2000年2月发布四个版本：Professional,Server,Advanced Server,Datacenter server容错和冗余，文件系统NTFS5，DFS（distributed file system）活动目录安全性”the most secure windows we have ever shipped”2022/10/279Windows2000Windows2000系统实现安全登录机制，自主访问控制机制，安全审计机制和对象重用保护机制安全登录

3、自主访问控制（DAC，discretional access control）：对象的属主来制定针对该对象的保护策略。通常DACDAC通过授权列表（或访问控制列表ACL）来限定哪些主体针对哪些客体可以执行什么操作;可以非常灵活地对策略进行调整。易用性与可扩展性;经常被用于商业系统。2022/10/2710C2C2安全级别的关键要求安全级别的关键要求与DAC对应的是强制访问控制（mandatory access control,MAC）系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性。通过对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定的授予还是

4、拒绝用户对资源的访问。经常用于军事用途。2022/10/2711C2C2安全级别的关键要求安全级别的关键要求安全审计对系统记录和活动进行独立的审查和检查以确定系统控制的适合性，确保符合已建立的安全策略和操作规程，检测安全服务的违规行为由工具生成和记录安全审计迹，查看和分析审计迹研究和发现系统受到的攻击和安全威胁对象重用保护：当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源2022/10/2712C2C2安全级别的关键要求安全级别的关键要求NT系统实现的两项B安全级的要求：信任路径功能，用于防止用户登录时被特洛伊木马程序截获用户名和密码trusted patht

5、rusted path is simply some mechanism that provides confidence that the user is communicating with what the user intended to communicate with,ensuring that attackers cant intercept or modify whatever information is being communicated信任机制管理，支持管理功能的单独帐号2022/10/2713NTNT系统的安全机制系统的安全机制截止2009年5月19日，“绿盟科技”的

6、漏洞库收集了2437条windows系统以及应用软件的漏洞WindowsWindows漏洞漏洞Win2000的bug:中文版输入法漏洞入侵，使本地用户绕过身份验证机制进入系统内部Windows终端服务功能，使系统管理员进行远程操作采用图形界面，默认端口33892022/10/2715漏洞实例漏洞实例2022/10/2716简体中文输入法漏洞简体中文输入法漏洞2022/10/2717漏洞实例漏洞实例2022/10/2718漏洞实例漏洞实例2022/10/2719漏洞实例漏洞实例2022/10/2720漏洞实例漏洞实例C:WINDOWSsystem32configSAML0phtcrack：win

7、dows系统的口令字猜测工具，可脱机工作；SMB packet capture 工具监听并捕获登录会话，剥离口令字windows日志事件查看器C:windowssystem32configWindows SAMWindows SAMSMB:server message block（打印共享）MSRPC:microsoft remote procedure callNetbios,netbios session service各种网络服务在Windows中的具体实现http,smtp,pop3等微软专用协议微软专用协议Windows 2000开始，IIS随操作系统默认安装信息泄露目录遍历缓冲区溢

8、出IIS 提供ftp,smtp等服务，且这些服务被激活后以system权限运行Windows IISWindows IIS正确设置正确设置TCP/IPTCP/IP筛选筛选对重要的系统文件如cmd,net等进行严格的权限控制重要系统文件的权限设置重要系统文件的权限设置WindowsWindows系统的安全组件系统的安全组件访问控制的判断（Discretion access control）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Object reuse）当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的

9、文件的原因。强制登陆（Mandatory log on）要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing）在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object）不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。WindowsWindows安全子系统的组件安全子系统的组件安全标识符（Security Identifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID。例：S-1-5-21-17632

10、34323-3212657521-1234321321-500SID：S-1-5-18名称：Local System说明：操作系统使用的服务帐户。SID：S-1-5-19名称：NT Authority说明：本地服务 SID：S-1-5-20名称：网络服务 访问令牌（Access tokens）:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆

11、进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。WindowsWindows系统的安全组件系统的安全组件WindowsWindows安全子系统的组件安全子系统的组件安全描述符（Security descriptors）：Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）：访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Access control entries）:访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。谢谢！