关于安全访问控制的讨论Word文档格式.docx

1、主体访问者对访问的控制有一定权利。但正是这种权利使得信息在移动过程中其访问权限关系会被改变。如用户A可以将其对客体目标O的访问权限传递给用户B，从而使不具备对O访问权限的B也可以访问O，这样做很容易产生安全漏洞，所以自主访问控制的安全级别很低。强制访问控制是将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式，如可以分为绝密级、机密极、秘密级、无密级等。这样就可以利用上读/下写来保证数据完整性，利用下读/上写来保证数据的保密性，并且通过这种梯度安全标签实现信息的单向流通。但这种强制访问控制的实现工作量太大，管理不便。另一种是基于角色的访问控制，访问者的权限在访问过程中是变化的。有一组用

2、户集和权限集，在特定的环境里，某一用户被分派一定的权限来访问网络资源；在另外一种环境里，这个用户又可以被分派不同的权限来访问另外的网络资源。这种方式更便于授权管理、角色划分、职责分担、目标分级和赋予最小特权，也是访问控制发展的趋势。三、Windows NT 4.0的安全访问控制手段下面我们来看一看Windows NT 4.0提供的安全访问控制手段。Windows NT 4.0的访问控制策略是基于自主访问控制的，根据对用户进行授权，来决定用户可以访问哪些资源以及对这些资源的访问能力，以保证资源的合法、受控的使用。基本来说，Windows NT 4.0的访问控制策略是完善的、方便的、先进的。可以保

3、证没有特定权限的用户不能访问任何资源，而同时这些安全性的运行又是透明的。既可防止未授权用户的闯1、权力 权力适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权力的帐号时，该用户就可以执行与该权力相关的任务。下面表1列出了用户的特定权力： 表1 权利 允许的用户动作Access this computer from network可使用户通过网络访问该计算机Add workstation to a domain允许用户将工作站添加到域中Backup files and directories授权用户对计算机的文件和目录进行备份Change t

4、he system time用户可以设置计算机的系统时钟Load and unload device drive允许用户在网络上安装和删除设备的驱动程序Restore files and directories允许用户恢复以前备份的文件和目录Shutdown the system允许用户关闭系统 以上这些权力一般已经由系统授给内置组，需要时也可以由管理员将其扩大到组和用户上。2、共享权限 共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NT Server服务器

5、上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。表2列出从最大限制到最小限制的共享权限及相应级别允许的用户动作：表2共享权限级别允许的用户动作No Access（不能访问）禁止对目录和其中的文件及子目录进行访问Read（读） 允许查看文件名和子目录名，改变共享目录的子目录，还允许查看文件的数据和运行应用程序Change（更改）具有“读”权限中允许的操作，另外允许往目录中添加文件和子目 录，更改文件数据，删除文件和子目录Full Control（完全控制）具有“更改”权限中允许的操作，另外还允许更改权限（只适用于NTFS卷）和获取所有权（只适用于NTFS卷）

6、 3、权限 权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是：Read（R）、Execute（X）、Write（W）、Delete（D）、Set Permission（P）和 Take Ownership（O）。表3和表4显示了这些任务是如何与各种权限级别相关联的。 表3 目录权限权限级别RXWDPONo Access用户不能访问该目录ListRX可以查看目录中的子目录和文件名，也可以进入其子目录Read

7、具有List权限，用户可以读取目录中的文件和运行目录中的应用程序AddXW用户可以添加文件和子目录Add and ReadRXW具有Read和Add的权限ChangeRXWD有Add和Read的权限，另外还可以更改文件的内容，删除文件和子目录Full Control有Change的权限，另外用户可以更改权限和获取目录的所有权解释一下，如果对目录有Execute（X）权限，表示可以穿越目录，进入其子目录。表4 文件权限 用户不能访问该目录RX 用户可以读取该文件，如果是应用 程序可以运行文件 有Read的权限，还可用修改和删除文件 包含Change的权限，还可以更改权 限和获取文件的所有权 4、

8、用户组 用户组是指具有相同用户权力的一组用户。以组的形式组织用户只需通过一次操作就能更改整个组的权力和权限，从而可以更快速方便地为多个用户授权对网络资源的访问，简化网络的管理维护工作。 Windows NT支持两种类型的组： 全局组：包含来自该全局组创建时所在域的用户帐号，运用域之间的委托关系可以给全局组授予在其他委托域中的资源的权力和权限。局部组：可以包含该组所在域和其他受托域中的用户帐号，也可以包含该组所在域和其他受托域中的全局组。只能给局部组授予该组所在域中的资源的权力和权限。5、域和委托 域是Windows NT Server 4.0网络安全系统的基本组成单元；委托是复杂的NT网络中域

9、之间的基本关系。在NT 4.0中通过域的委托关系为大型或复杂系统提供了更为灵活和简便的管理方法。 域指的是一组共享数据库并具有共同安全策略的计算机（即任意一组NT服务器和工作站）。在一个域中至少有一个服务器设计为主域控制器（称为PDC），可以（在大多数情况下应该）带有一个或多个备份域控制器（称为BDC），在PDC中维护着一个域内适用于所有服务器的中心帐号数据库。用户帐号数据库只能在PDC中更改，然后再自动送到BDC中，在BDC中保留着用户帐号数据库的只读备份。如果PDC出现了重大错误而不能运行，就可以把BDC变成PDC，使得网络继续正常工作。 在有两个或多个域组成的网络中，每个域都作为带有其自

10、身帐号数据库的一个独立网络来工作。缺省时域之间是不能相互通信的，如果某个域的一些用户需要访问另一个域中的资源，就需要建立域之间的委托关系。委托关系打开了域之间的通信渠通。委 托 域 域 （委托域） （受托域） 受托域中的用户就可以访问委托域中的资源。 委托关系可以是双向的，即域委托域，域委托域，这样域中的用户就可以访问域中的资源，域中的用户也可以访问域的资源。四、Windows NT 4.0的访问控制漏洞1、简述虽说Windows NT越来越受欢迎，Internet上采用NT平台作为服务器的站点也越来越多。但不可否认Windows NT系统存在一些重大安全漏洞。这里描述的某些安全漏洞是很严重的

11、。在最坏的情况下，一个黑客可以利用这些漏洞来破译一个或多个Domain Administrator帐户的口令，并且对NT域中所有主机进行破坏活动。 2、NT服务器和工作站的访问控制漏洞 漏洞1: 安全帐户管理（SAM）数据库可以由以下用户复制：Administrator帐户，Administrator组中的所有成员，备份操作员，服务器操作员，以及所有具有备份特权的人员。解释：SAM数据库的一个备份拷贝能够被某些工具所利用，来破解口令。NT在对用户进行身份验证时，只能达到加密RSA的水平。在这种情况下，甚至没有必要使用工具来猜测那些明文口令。能解码SAM数据库并能破解口令的工具有：PWDump和

12、NTCrack。实际上，PWDump的作者还有另一个软件包，PWAudit，它可以跟踪由PWDump获取到的任何东西的内容。减小风险的建议：严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪，尤其是Administrator帐户的登录（Logon）失败和注销（Logoff）失败。对SAM进行的任何权限改变和对其本身的修改进行审计，并且设置发送一个警告给Administrator，告知有事件发生。切记要改变缺省权限设置来预防这个漏洞。改变Administrator帐户的名字，显然可以防止黑客对缺省命名的帐户进行攻击。这个措施可以解决一系列的安全漏洞。为系统管理员和备

13、份操作员创建特殊帐户。 系统管理员在进行特殊任务时必须用这个特殊帐户注册，然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者Power User组的权限。采用口令过滤器来检测和减少易猜测的口令，例如，PASSPROP（Windows NT Resource Kit提供），ScanNT（一个商业口令检测工具软件包）。使用加强的口令不易被猜测。Service Pack 3可以加强NT口令，一个加强的口令必须包含大小写字母，数字，以及特殊字符。使用二级身份验证机制，比如令牌卡（Token Card），可提供更强壮的安全解决方案，它比较昂贵。

14、漏洞2：特洛伊木马（Trojan Horses）和病毒，可能依靠缺省权利作SAM的备份，获取访问SAM中的口令信息，或者通过访问紧急修复盘ERD的更新盘。特洛伊木马（Trojan Horses）和病毒，可以由以下各组中的任何成员在用缺省权限作备份时执行（缺省地，它们包括：Administrator管理员，Administrator组成员，备份操作员，服务器操作员，以及具有备份特权的任何人），或者在访问ERD更新盘时执行（缺省地，包括任何人）。例如，如果一个用户是Administrator组的成员，当他在系统上工作时，特洛伊木马可能做出任何事情。漏洞3：能够物理上访问Windows NT机器的任

15、何人，可能利用某些工具程序来获得Administrator级别的访问权。Internet上有些工具程序，可以相对容易地获得Administrator特权（比如NTRecover，Winternal Software的NTLocksmith）。 减小风险的建议：改善保安措施。漏洞4：重新安装Widnows NT软件，可以获得Administrator级别的访问权。 解释：重新安装整个的操作系统，覆盖原来的系统，就可以获得Administrator特权。 减小风险的建议： 漏洞5：Widnows NT域中缺省的Guest帐户。如果Guest帐户是开放的，当用户登录失败的次数达到设置时，他可以获得N

16、T工作站的Guest访问权，从而进入NT域。据说NT第4版已经解决了这个问题，升级到第4版吧。关闭Guest帐户，并且给它一个难记的口令。漏洞6：由于没有定义尝试注册的失败次数，导致可以被无限制地尝试连接系统管理的共享资源。这样的系统设置相当危险，它无疑于授权给黑客们进行连续不断地连接尝试。限制远程管理员访问NT平台。漏洞7：如果系统里只有一个Administrator帐户，当注册失败的次数达到设置时，该帐户也不可能被锁住。这种情况（系统里只有一个Administrator帐户）是NT的一个预先考虑过的特征，然而，它也成为一种风险。这种情况适用于NT域和NT工作站。除了系统缺省创建的Admin

17、istrator帐户，还应该创建至少一个具有管理员特权的帐户，并且，把缺省Administrator帐户改成另外一个名字。漏洞8：具有管理员特权的帐户在达到注册失败的次数时将被锁住，然而，30 分钟后自动解锁。帐户策略（Accounts Policy）中的设置。对于所有管理员帐户，应该使用难猜的口令。漏洞9：缺省地，Windows NT在注册对话框中显示最近一次注册的用户名。这是NT的一个预先考虑过的特征，然而，它也成为一种风险，给潜在的黑客提供了信息。在域控制器上，修改Registry中Winlogon的设置，关闭这个功能。漏洞10：Windows NT和Windows 95的客户可以保存口

18、令于文件中，以便快速缓冲。任何人可能通过访问内存来获取加密的口令，或者通过访问Windows NT工作站的ADMINST.PWD文件，以及Windows 95的ADMINST.PWL，来读取口令，以获得缺省管理员的访问权。尤其在Windows 95上，这个文件很容易得到。严格限制NT域中Windows 95客户的使用。限制Windows NT工作站上的管理员特权。漏洞11：管理员有能力从非安全的工作站上进行远程登录。这种能力带来许多潜在的对系统的严重攻击。加强计算机设施的保安工作是可行的。关闭系统管理员的远程能力，对管理员只允许直接访问控制台。可以从用户管理器帐户策略（User Manager

19、,Policies）进行设置。使用加密的对话，在管理员的属性中，限制他可以从哪些工作站上进行远程登录。漏洞12：NT上的缺省Registry权限设置有很多不适当之处。Registry的缺省权限设置是对“所有人”“完全控制”（Full Control）和“创建”（Create）。这种设置可能引起Registry文件的删除或者替换。对于Registry，严格限制只可进行本地注册，不可远程访问。在NT工作站上，限制对Registry编辑工具的访问。使用第三方工具软件，比如Enterprise Administrator （Mission Critical Software），锁住Registry。或

20、者，至少应该实现的是，把“所有人”缺省的“完全控制”权利改成只能“创建”。实际上，如果把这种权利设置成“只读”，将会给系统带来许多潜在的功能性问题，因此，在实现之前，一定要小心谨慎地进行测试。NT 4.0引入了一个Registry Key用来关闭非管理员的远程Registry访问。在NT服务器上，这是一个缺省的Registry Key,对于NT工作站，必须把这个Registry Key添加到Registry数据库中。漏洞13：通过访问其它的并存操作系统，有可能绕过NTFS的安全设置。已经有很多工具，用来访问基于Intel系统上的NTFS格式的硬盘驱动器，而不需要任何授权，就允许你操纵NT的各种

21、安全配置。这些工具有，DOS/Widnows的NTFS文件系统重定向器（NTFS File System Redirector for DOS/Windows），SAMBA，或者，Linux NTFS Reader。这种情况只有一种可能，那就是物理上能访问机器。使用专门的分区。限制administrator组和备份操作员组。制定规章制度限制管理员的操作程序，禁止这样的访问，或者明确授权给指定的几个系统管理员。可以考虑采用第三方预引导身份验证机制。漏洞14：文件句柄可能从内存中被读取到，然后用来访问文件，而无需授权。这样做需要在一个用户注册的其间内，文件已经被访问过。限制管理员级和系统级的访问控

22、制。漏洞15：缺省权限设置允许“所有人”可以对关键目录具有“改变”级的访问权。该安全漏洞所考虑的关键目录包括：每个NTFS卷的根目录，System32目录，以及Win32App目录。如果可行的话，改变权限为“读”。注意，把权限改成“读”会给系统带来许多潜在的功能性问题，因此，在实现之前，一定要小心谨慎地进行测试。漏洞16：打印操作员组中的任何一个成员对打印驱动程序具有系统级的访问权。黑客可以利用这个安全漏洞，用一个Trojan Horse程序替换任何一个打印驱动程序， 当被执行时，它不需要任何特权；或者在打印驱动程序中插入恶意病毒，具有相同效果。在赋予打印操作员权限时，要采取谨慎态度。要限制人

23、数。进行系统完整性检查。适当配置和调整审计，并且定期检查审计文件。漏洞17：通过FTP有可能进行无授权的文件访问. FTP有一个设置选项，允许按照客户进行身份验证，使其直接进入一个帐户。这种直接访问用户目录的FTP操作，具有潜在的危险，使无需授权而访问用户的文件和文件夹成为可能。合理配置FTP，确保服务器必须验证所有FTP申请。漏洞18：基于NT的文件访问权限对于非NT文件系统不可读。无论文件被移动或者复制到其它文件系统上，附于它们上的所有NT安全信息不再有效。使用NTFS。尽可能使用共享（Shares）的方式。漏洞19：Windows NT文件安全权限的错误设置有可能带来潜在的危险。对文件设

24、置“错误”的安全权限是很容易的，比如复制或者移动一个文件时，权限设置将会改变。文件被复制到一个目录，它将会继承该目录的权限。移动一个文件时，该文件保留原来的权限设置，无论它被移动任何目录下。经常检查文件的权限设置是否得当，尤其是在复制或者移动之后。漏洞20：标准的NTFS“读”权限意味着同时具有“读”和“执行”。这个安全漏洞使文件被不正当的“读”和“执行”成为可能。使用特殊权限设置。漏洞21：Windows NT总是不正确地执行“删除”权限。这个安全漏洞使一个非授权用户任意删除对象成为可能。定期制作和保存备份。漏洞22：缺省组的权利和能力总是不能被删除，它们包括：Administrator组，

25、服务器操作员组，打印操作员组，帐户操作员组。当删除一个缺省组时，表面上，系统已经接受了删除。然而，当再检查时，这些组并没有被真正删除。有时，当服务器重新启动时，这些缺省组被赋予回缺省的权利和能力。创建自己定制的组，根据最小特权的原则，定制这些组的权利和能力，以迎合业务的需要。可能的话，创建一个新的Administrator组，使其具有特别的指定的权利和能力。漏洞23：如果一个帐户被设置成同时具有Guest组和另一组的成员资格，那么Guest组的成员资格可能会失效，导致用户Profiles和其它设置的意想不到的损失。用户Profiles和设置的损失可能导致服务的中断。不要把用户分到Guest组。漏洞24：“所有人”的缺省权利是，可以创建公共GUI组，不受最大数目的限制。如果一个用户创建的公共GUI组超过了最大数目256的话，有可能导致系统性能的降低，错误的消息，或者系统崩溃。定期检查审计文件。漏洞25：任何用户可以通过命令行方式，远程查询任何一台NT服务器上的已注册用户名。这个安全漏洞意味着一个十分严重的风险，如果它涉及到特权帐户的话。关闭远程管理员级的访问。定期检查审计文件和系统审计文件。漏洞26：NT机器允许在安装时输入空白口令。很明显，这将是一个潜在的安全问题。使用最小口令长度选项，并且，关闭“Permit Blank Passwords”选项，以阻止空白口令的发生。