Window操作系统安全文伟平博士副教授weippgingwen@ss.pku.edu.cn北京大学软件与微电子学院信息安全系网络与软件安全保障教育部重点实验室Windows操作系统安全1.安全环境及特性2.系统信息安全3.系统安全机制4.典型安全配置5.IIS安全6.攻击实例分析北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页1安全环境及特性第一级:用户自主保护级中华人民共和国国家标准第二级:系统审计保护级GB1785917859--19991999第三级:安全标记保护级计算机信息系统安全保护等级划分准则第四级:结构化保护级第五级:访问验证保护级1.操作系统安全程度的度量标准：目前常用美国国防部系统所制定的TCSEC（1985），其评估标准主要基于：①系统安全政策（Policy）的制定②系统使用状态的可审性（Accountability）③安全政策的准确解释和实施的可靠性（Assurance）2.系统安全程度被分为八个等级（D1、C1、C2、B1、B2、B3、A1和A2），其中D1系统的安全度为最低，常见的无密码保护的个人计算机系统即属此类；3.通常具有密码保护的多用户工作站系统属于C1级4.一个网络系统所能达到的最高安全等级不超过网络上安全性能最低环节的安全等级，因而网络系统安全的难度更大。北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页1安全环境及特性1999年NT4ServicePack6a获得C2级安全认证，Windows2000也参与了类似的评估，为了得到更好的结果，Windows2000中融入了(但不局限于)：用于认证的安全登录工具；可自由设定的访问控制；审核。北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页安全环境及特性WinlogonLsass事件记录器Netlogon活动目录活动目录LSALSA服务器SAM服务器SAM策略Msv1_0.dll系统Kerberos.dll用户模式线程内核模式系统服务调度器内核模式可调用接口Win32文件系统安全参考本地过程对象管PnP进程和配置管I/O管理器虚拟内User,GDI管理监设备和文缓存理存线理调用图形驱件系统驱器器视器程器动程序动程序内核硬件抽象层北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页1.1SRM(安全参考监视器)处于内核模式；监视用户模式中的应用程序代码发出的资源访问请求并进行检查(参考)；所有的安全访问控制应用于所有的安全主体(securityprinciple)（授权）。北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页1.2Windows安全主体用户组计算机北京大学软件与微电子学院信息安全系10/29/2012http://www.ss.pku.edu.cn第页1.3Windows重要文件名称模块所实现的位置模式何时被启动/被加载由谁启动HAL.DLL硬件抽象层N/A系统启动时SYSTEMNTOSKRNL.EXE内核和执行体内核系统启动时SYSTEMKERNEL32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMGDI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMUSER32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMADVAPI32.DLLWIN32子系统.DLLN/A系统启动时SYSTEMSMSS.EXE会话管理器用户系统启动时SYSTEMWIN32K.SYSWIN32的内核模式部分内核系统启动时SMSS.EXECSRSS.EXE用户模式进程用户系统启动时SMSS.EXEWINLOGON.EXEWindows登录进程用户系统启动时SMSS.EXELSASS.EXE本地安全性鉴别子系统用户系统启动时WINLOGON.EXEMSGINA.DLL缺省GINAN/A系统启动时WINLOGON.EXESERVICES.EXE服务控制器用户系统启动时WINLOGON.EXENTDLL.DLL支持函数和到执行体的接N\A系统启动时SMSS.EXE口OS2SS.EXEOS/2子系统进程用户根据需要SMSS.EXEPSXDLL.DLLPOSIX子系