11
Windows 2000/XP安全模型
12
Windows系统的安全组件
登录进程（winLogon） SAM数据库
本地安全认证服务器
LSA策略数据库 安全账号管理器服务
默认身份认证包
安全引用监视器（SRM） 网络登录服务
13
Windows系统的安全组件
登录进程


哪些域被信任用于认证登录企图；
哪些用户可以访问系统以及怎样访同（交互、网络和服务登录方 式）； 谁被赋予了哪些权限； 执行的安全性审计的种类。
16
Windows系统的安全组件
安全账号管理服务器服务
安全帐号管理器服务是一组负责管理数据库的子例程，
这个数据库包含定义在本地机器上或用于域（如果系统是域
40
Windows 2000的文件保护机制
Permission control
encryption
41
Permission control
42
加密文件系统
加密文件系统（encrypted file system，EFS）提供的可
将加密的NTFS文件存储到磁盘上。EFS特别考虑了其他操
作系统上的现有工具引起的安全问题，这些工具允许用户不 经过权限检查就可以从NTFS卷访问文件。通过EFS，NTFS
NT\CurrentVersion\Winlogon ，如果存在GinaDLL键，Winlogon将使
用这个DLL，如果不存在该键，Winlogon将使用默认值msgina.dll
14
Windows系统的安全组件
LSA
本地安全认证（Local Security Authority）：
本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：
23
Windows 安全子系统
加载GINA， 监视认证顺序 提供登陆接口
Winlogon GINA
提供真正的 用户校验
LSA
加载认证包
SSPI Authentication Packages
Security Support Provider
支持额外的 验证机制
Security Account Management
号量、可等待定时器、访问令牌、窗口站、桌面、网络共享、 服务、注册表键和打印机。
37
Windows资源访问控制的目标
控制那些用户可以访问哪些对象；
识别用户的安全信息。
38
安全性描述符和访问控制
为了管理对对象的安全访问，Windows中的所有的对象在它们被创建 时都被分配以“安全性描述符”（security descriptor）。安全性描述符控 制哪些用户可以对访问的对象做什么，它包含下列主要属性： 所有者SID：所有者的安全ID； 组SID：用于对象主要组的SID（只有POSIX使用）；
44
EFS的组成
45
EFS加密文件的步骤
创建日志
step 1
NTFS首先在这个文件所在卷的卷信息目录下(这个目录隐藏
在根目录下面)创建一个叫做efs0.log的日志文件，当拷贝过 程中发生错误时利用此文件进行恢复。
46
EFS加密文件的步骤
文件加密
step 2
然后EFS调用CryptoAPI设备环境，该设备环境使用Microsoft Base Cryptographic Provider 1.0 产生密匙。当打开这个设备环境后，EFS产 生FEK（File Encryption Key，文件加密密匙）。FEK的长度为128位 （仅US和Canada），对文件使用DESX加密算法进行加密。
信息安全实验第三部分网络攻防基础实验
实验12 操作系统安全实验
操作系统安全实验教学目的
帮助学生了解Windows操作提供提供的安全机制；

帮助学生了解如何使用安全地配置&使用操作系统提
供的安全机制。
2
本次实验的内容
操作系统安全概述
I. 口令破解原理 Windows的账号安全
Windows的文件安全 Windows的安全评估
录，那么该登录就会失败，并且msvl_0给LSA返回一个失败
状态。
28
用户登录步骤
step 4
msvl_0对比存储在SAM中的口令和文件名。如果信息
匹配，msvl_0生成一个惟一的用于登录会话的标识符，并通
过调用与该标识符相关的LSA来创建登录会话，传递用户最 终创建访问令牌所需的信息（一个访问令牌包含用户的SID、
Winlogon调用GINA dll，并监视安全认证序列。而GINA dll提供一个 交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立 的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜） 替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows
Windows的安全体系架构
3
3
I. 操作系统安全概述
4
操作系统安全定义
•
信息安全的五类服务，作为安全的操作系统时必须提供的
• 有些操作系统所提供的服务是不健全的、默认关闭的
5
信息安全评估标准
ITSEC和TCSEC


TCSEC描述的系统安全级别
D------------A CC（Common Critical）标准 BS 7799:2000标准体系 ISO 17799标准
47
EFS加密文件的具体方法临
时文件。要加密的内容被拷贝到这个临时文件，原来的文件
被加密后的数据覆盖。在默认的情况下，EFS使用128位的 DESX算法加密文件数据，但是Windows还允许使用更强大
26
用户登录步骤
step 2
winLogon调用LSA，传递登录信息并指定哪一个用于
身份验证的包来接收登录信息（如前所述，msvl_0执行
Windows NT认证，系统上所有的身份验证包都被定义在 Hkey_Local_Machine\System\CurrentControlset\control\lsa
管理用户和用户 证书的数据库 为认证建立 安全通道
Netlogon
24
Windows NT/2000/XP系统的登录过程
登录是通过登录进程（WinLogon）、LSA、一个或多
个身份认证包和SAM的 相互作用发生的。
25
用户登录步骤
step 1
winLogon.exe进程提示用户输入用户名和口令；
工作组的SID以及配置文件信息，如宿主目录）。
29
用户登录步骤
step 5
LSA查看本地规则数据库来了解允许该用户做的访问 交互式、网络或服务进程。
如果请求的登录与允许的访问不匹配，那么登录企图将被终止。 LSA通过清除它的所有数据结构来删除最近创建的登录会话，然后 向winLogon返回失败信息，接着仍由winLogon向用户显示相应的 消息。 如果请求的访问被允许，LSA会附加某些其他的安全项（例如“交 互式”等等）。然后检查它的规则数据库来了解这个用户所拥有ID 的所有被授予的特权，并将这些特权添加到该用户的访问令牌中。
文件中的数据可在磁盘上进行加密。
43
EFS的原理
EFS加密技术是基于公共密钥的，它用一个随机产生的文
件密钥（file encryption key，FEK）通过加强型的数据
加密标准（data encryption standard，DES）算法—— DESX对文件进行加密。
对FEK采用RSA算法进行加密。
调用所有的认证包，检查在注册表 \HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下 的值，并调用该DLL进行认证（msv1_0.dll）。在4.0版里，Windows NT会寻找 \HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 SecurityPackages值并调用。 重新找回本地组的SIDs和用户的权限。
30
用户登录步骤
step 6
当LSA已经得到所有必要的信息后，它将调用执行体来创建访问令牌 执行体为交互式登录或服务登录创建一个首选访问令牌； 为网络登录创建一个模仿令牌； 在成功地创建了访问令牌以后，LSA将复制令牌，创建一个可以被传送 到winLogon的句柄。此时，LSA把成功信息连同由msvl_0返回的一个访 问令牌句柄、登录会话的LUID和配置文件信息（如果有的话） ，返回 给winLogon。
目录下的注册表中）。LSA调用基于这些信息的身份验证包
来传送登录信息。
27
用户登录步骤
step 3
msv1_0身份验证包获取用户名称和口令信息并向SAM
发送请求来检索账号信息，包括口令、用户所属的组和任何
账号限制。msvl_0首先检查帐号限制，例如允许访问的时间 或访问类型。如果用户因为SAM数据库中的限制而不能登
创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户权限。
管理审核的策略和设置。
管理信任关系。
15
Windows系统的安全组件
LSA策略数据库
LSA策略数据库是一个包含了系统安全性规则设置的数 据库。该数据库被保存在注册表中的 HKEY_LOCAL_ Machine\security 它包含了这样一些信息：
在进行Windows身份验证的LSASS进程的描述表中运行。这
个DLL负责检查给定的用户名和密码是否和SAM数据库中 指定的相匹配，如果匹配，返回该用户的信息。