Windows系统安全管理

1. Windows系统安全体系结构

Windows系统采用的是层次性的安全架构，整个安全架构的核心是安全策略，完善的安全策略决定了系统的安全性。Windows系统的安全策略明确了系统各个安全组件如何协调工作，Windows系统安全开始于用户认证，是其它安全机制能够有效实施的基础，处于安全框架的最外层。常见的认证机制，登录口令和令牌。

加密和访问控制处于用户认证之后，是保证系统安全的主要手段，加密保证了系统与用户之间的通信及数据存储的机密性；访问控制则维护了用户访问的授权原则。审计和管理处于系统的内核层，负责系统的安全配置和事故处理，审计可以发现系统是否曾经遭受过攻击或者正在遭受攻击，并进行追查；管理则是为用户有效控制系统提供功能接口。

Windows系统的安全性主要围绕安全主体展开，保护其安全性。安全主体主要包括用户、组、计算机以及域等。用户是Windows系统中操作计算机资源的主体，每个用户必须先行加入Windows系统，并被指定唯一的账户，组是用户账户集合的一种容器，同时组也被赋予了一定的访问权限，放到一个组中的所有账户都会继承这些权限；计算机是指一台独立计算机的全部主体和客体资源的集合，也是Windows系统管理的独立单元；域是使用域控制器(DC, Domain Controller)进行集中管理的网络，域控制器是共享的域信息的安全存储仓库，同时也作为域用户认证的中央控制机构。

Windows系统的安全性主要是由它的安全子系统来提供，安全子系统即可以用于工作站，也可以用于服务器，区别只在于服务器版的用户账户数据库可以用于整个域，而工作站版的数据库只能本地使用。

如图6-6所示，Windows系统的安全性服务运行在两种模式下，安全参考监视器（Security Reference Monitor，SRM）运行在内核模式下，作为Windows Executive的一部分；而用于与用户进行交互的主要安全服务即本地安全机构主要包括身份认证、访问控制和事件审计等。

安全引用监视器（SRM）是Windows系统所有安全服务的基础，运行在内核模式下，负责检查一个用户是否有权限访问一个客体对象或者是否有权利完成某些动作，对每个客体对象的访问必须得到内核层SRM的有效性访问授权，否则访问无法完成。SRM的另一个功能是与LSA配合来监视用户对客体对象的访问，并生成事件日志传送给事件记录器保存，为管理员的事件审计提供依据。

LSA安全服务主要由本地安全机构子系统（Local Security Authority Subsystem，LSASS）登录模块WinLogon两个服务来完成。WinLogon是系统启动时自动加载的一个进程，监视整个登录过程，同时可以加载Gina（Graphical Identification and Authentication）进程，提供图形化的认证界面。LSASS主要包括LSA服务、安全账户管理（Security Account Management，SAM）、网络登录服务NetLogon等基本组件。

LSA服务是用户与系统的交流通道，它提供了许多服务程序帮助用户完成许多工作，主要包括提供交互式登录认证服务、创建用户的访问令牌、储存和映射用户权限、设置和管理审核策略等。LSA与用户交涉涉及许多服务进程，与WinLogon合作完成用户登录；调用Msv1_0.dll支持NT LanMan认证服务，调用Kerberos.dll支持Kerberos认证的服务，可见LSA可以微系统提供丰富的认证机制。

SAM是实现用户身份认证的主要依据，在SAM数据库保存着用户账号和口令等数据，为LSA提供数据查询。NetLogon是进行域登录的重要部件，首先通过安全通道与域中控制器建立连接，然后再通过安全的通道传递用户的口令，完成域登录。

图6-7是Windows登录认证流程，SSPI（Security Support Provider Interface）是微软公司提供的公用API接口，第三方利用该接口获得不同的安全性服务而不必修改协议本身。

2. Windows系统的访问控制

Windows系统的访问控制是其安全性的基础构建之一。访问控制模块有两个主要的组成部分分笔试访问令牌（Access Token）和安全描述符（Security Descriptor），它们分别被访问者和被访问者持有。

通过访问令牌和安全描述符的内容，Windows可以确定持有令牌的访问者能否访问持有安全描述符的对象。Windows中的每个账户或账户组都有一个安全标示符（Security Identity，SID），系统的Administrator、Users等账户或者账户组在Windows内部均使用SID来标识，每个SID在同一个系统中都是唯一的。

访问令牌是一个被保护的对象，每一个访问令牌都与特定的Windows账户相关联，访问令牌包含该账户的SID、所属组的SID以及账户的特权信息。

当一个账户登录的时候，LSA会从内部数据库里读取该账户的信息，然后使用这些信息生成一个访问令牌。当用户试图访问系统资源时，需要将拥有的令牌提供给SRM，SRM会检查用户试图访问的对象的访问控制列表。

每个被访问的客体对象都与一个安全描述符相关联，安全描述符用来描述客体对象的属性及安全规则，包含客体对象所有者的SID和ACL。ACL包含自主访问控制列表（Discretionary Access Control List，DACL）和系统访问控制列表（System Access Control List，SACL）。

DACL由多个访问控制项（Access Control Entry，ACE）组成，每个访问控制项的内容描述了允许或拒绝特定账户对这个歌对象执行特定操作。

SACL是为系统审计服务的，它的内容决定了当特定账户对该客体对象执行特定操作时，其行为是否会被记录到系统日志中。

图6-8所示，Smith的进程Thread A访问客体对象FILE.txt，则SRM依据Smith的访问令牌的信息和FILE.txt的安全描述符进行审核，由于安全描述符中DACL包含有访问控制项ACE1，其内容是拒绝Smith的读操作Read、写操作Write和执行操作Execute，因此SRM拒绝Thread A；而SRM根据DACL的内容允许Thread B访问FILE.txt。

3. Windows活动目录与组策略

Windows网络管理中有两个非常重要的技术，活动目录（Active Directory，AD）和组策略（Group Policy，GP）,它们协调工作有效提升了Windows网络的安全性。AD存储有关网络对象的信息，让管理员和用户轻松查找和使用这些信息。

AD是一个面向网络对象管理的综合目录服务，网络对象包括用户、用户组、计算机、打印机、应用服务器、域、组织单元和安全策略服务。AD是各种网络对象的索引集合和数据存储的视图，把分散的网络对象建立索引目录，存储在活动目录的数据库内。

图6-9为AD的管理划分模型，AD把整个域作为一个完整目录进行管理，域模式要求用户进行网络登录，用户只要在域中有一个账户，登录成功可以在整个域网络中漫游。

同时，AD把域划分为若干个组织单元（Organizational Unit，OU），OU是域中用户和组、文件、打印机等资源对象以及其它OU集合。可见，OU可以划分下级OU，下级OU能够继承父OU的访问权限。每一个OU有自己的管理员，负责OU的权限管理，从而实现AD的多层次管理。

AD的功能包括基于目录的用户和资源管理、基于目录的网络服务和基于网络的应用管理。基于目录的用户和资源管理为用户提供网络对象的统一视图，基于目录的网络服务主要包括DNS、WINS、DHCP、证书服务等，基于网络的应用管理包括管理企业通讯录、用户组管理、用户身份认证、用户授权管理和应用系统支撑等。

AD是Windows网络中重要的安全管理平台，组策略（Group Policy，GP）是其安全性的重要体现。GP是依据特定的用户或计算机的安全需求定制的安全配置规则。图6-10所示，管理员针对每个组织单元OU定制不同的GP，并将这些GP存储在AD的相关数据库内，可以强制推送到客户端实施GP。AD可以使用GP命令来通知和改变已经登录的用户的GP，并执行相关安全配置。

注册表是Windows系统中保存系统应用软件配置的数据库，很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和繁琐。GP可以将系统中重要的配置功能汇集成一个配置集合，管理人员通过配置并实施GP，达到直接管理计算机的目的。简单点说，实施GP就是修改注册表中的相关配置。GP分为基于活动目录的和基于本地计算机的两种：AD GP存储在域控制器上AD的数据库中，它的定制实施由域管理员来执行；本地GP存放在本地计算机内，由本地管理员来定制实施。

AD GP实施的对象是整个组织单元OU；本地GP只负责本地计算机。GP和AD配合GP部署在OU、站点或域的范围内，也可以部署在本地计算机上。部署在本地计算机时，GP不能发挥其全部功能，只有和AD配合，GP才可以发挥出全部潜力。

4. Windows系统安全管理

Windows安全服务依托安全管理功能实现，包括账户安全、文件安全和主机安全。

Windows 系统账户安全

Windows Server 2003操作系统的合法账户，才能访问网络上的资源，基于Internet的非法入侵是从寻找账户的漏洞开始的。Windows依靠账户来管理用户，控制用户对资源的访问，每一个需要访问网络的用户都要有一个账户。Windows用户分为域用户账户、本地用户账户和内置用户账户。

①域用户账户。

域用户账户是用户访问域的唯一凭证，该账户在域控制器上建立，作为活动目录的一个对象保存在域的数据库中。用户在域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账户，该账户将被域控制器所验证。

SAM作为保存域用户账户的数据库，位于域控制器的\%systemroot% \NTDS\NTDS.DIT文件中。每个账户都被Windows签订一个唯一的SID，保证账户在域中的唯一性，SID作为账户的属性不能被修改，账户被删除SID将不复存在。Windows系统中SID对应用户权限，因此只要SID不同，新建账户不会继承原有账户的权限与组的隶属关系。

②本地用户账户。

Windows Server 2003在工作组模式或作为域中的成员服务器时，计算机操作系统中存在的是本地用户和本地组。本地用户账户的作用范围仅限于在创建该账户的计算机上，以控制用户对该计算机上的资源的访问。

当用户访问在工作组模式下的计算机时，必须具有被访问计算机的本地账户，本地账户存储在%SystemRoot%\system32\config\Sam数据库中，这些账户在被访问计算机上必须是唯一的。

本地用户账户验证由创建该账户的计算机进行，因此这种类型账户的管理是分散的，并且也有一个唯一的SID标志，记录账户的权限和组的隶属关系。

③内置用户账户。

Windows Server 2003自带账户，系统安装好后这些账户已经存在，并且赋予相应的权限以完成某些特定的工作。Windows内置用户账户包括Administrator和Guest，内置账户不允许被删除，Administrator不允许被屏蔽，但内置账户允许被更名。

Administrator账号被赋予在域中和在计算机中不受限制的权利，用于管理本地计算机或域，具体地说，创建其它用户账号和组、实施安全策略、管理打印机和分配用户对资源的访问权限等。Guest用于在域或计算机中的用户临时访问时使用的，默认情况下不允许对域或计算机中的设置和资源做永久性的更改。

在规划Windows Server 2003域时，注意考虑账户的命名约定和账户的密码约定。

账号命名约定包括：域用户账号的用户登录名在AD中必须惟一；域用户账号的完全名称在创建该用户账号的域中必须惟一；本地用户账号在创建该账号的计算机上必须惟一；如果用户名称有重复，则应该在账号上区别出来；对于临时雇员应该做出特殊的命名，以便标示出来。

账户密码约定包括：尽量避免带有明显意义的字符或数字的组合，最好采用大小写和数字的无意义混合；对于不同级别的安全要求，确定用户的账号密码是由管理员控制还是由账号的拥有者控制；定期更改密码，尽量使用不同的密码.有关密码的策略可以由系统管理员在密码策略管理工具中加以规定，以保护系统的安全性。

Windows文件系统安全

Windows Server 2003使用NTFS文件系统格式，该结构提供数据文件访问控制机制。NTFS权限是基于NTFS分区实现，支持用户对文件的访问权限，支持对文件和文件夹的加密，NTFS权限可以实现高度的本地安全性。

①通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。

在NTFS分区上的每一个文件和文件夹都有一个ACL列表，该表记录每一个用户和组对该资源的访问权限。在默认情况下，NTFS权限具有继承性，即文件和文件夹继承来自上层文件夹的权限。

NTFS权限分为特殊NTFS权限和标准NTFS权限两类，标准NTFS权限是特殊NTFS权限的特定组合，特殊NTFS权限规定了用户访问资源的所有行为。

Windows将一些常用的特殊NTFS权限组合为标准NTFS权限，当需要分配权限时将一个标准NTFS权限分解为多个特殊NTFS权限，简化权限的分配和管理。

②NTFS权限的使用原则。

一个用户可能属于多个组，组对某种资源被赋予了不同的权限，NTFS权限法则判断用户对资源有何种访问权限。

权限最大原则，当一个用户同时属于多个组，而这些组又有可能被对某种资源赋予了不同的访问权限，则用户对该资源最终有效权限是在这些组中最宽松的权限，即加权限，将所有的权限加在一起即为该用户的权限。

文件权限超越文件夹权限原则，当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时，用户对文件的最终权限是用户被赋予访问该文件的权限，即文件权限超越文件的上级文件夹的权限，用户访问该文件夹下的文件不受文件夹权限的限制，而只受被赋予的文件权限的限制。

拒绝权限超越其它权限原则，当用户对某个资源有拒绝权限时，该权限覆盖其它任何权限，即在访问该资源的时候只有拒绝权限是有效的。

当有拒绝权限时权限最大法则无效。因此对于拒绝权限的授予应该慎重考虑。

③NTFS权限的继承。

在同一个NTFS分区内或不同的NTFS分区之间移动或拷贝一个文件或文件夹时，该文件或文件夹的NTFS权限会发生不同的变化。在同一分区内移动的实质就是在目的位置将原位置上的文件或文件夹搬过来，因此文件和文件夹仍然保留有在原位置的一切NTFS权限。

在不同NTFS分区之间移动文件或文件夹，文件和文件夹会继承目的分区中文件夹的权限，实质就是在原位置删除该文件或文件夹，并且在目的位置新建该文件或文件夹。

在同一个NTFS分区内拷贝文件或文件夹，文件和文件夹将继承目的位置中的文件夹的权限。在不同NTFS分区之间拷贝文件或文件夹，文件和文件夹将继承目的位置中文件夹的权限。

④共享文件夹权限管理。

共享文件夹是被用来向网络用户提供对文件资源的访问，可以包括应用程序、公用数据或用户个人数据。共享文件夹的读权限：用户可以显示文件夹名称、文件名、文件属性，运行程序文件，对共享文件夹内的文件夹作出改动。修改权限：用户可以创建文件夹、向文件夹中添加文件、改变文件中的数据、向文件中添加数据、改变文件属性、删除文件夹和文件。完全控制权限：用户可以改变文件权限、获取文件的所有权、并执行修改权限允许的所有任务。

⑤文件的加密与解密。

在Windows Server 2003的NTFS文件系统中内置了EFS加密系统，利用EFS加密系统可以对保存在硬盘上的文件进行加密，其加密和解密过程对应用程序和用户而言是完全透明的。文件或文件夹被加密后，未经许可加密文件或文件夹进行物理访问的入侵者都无法阅读这些文件或文件夹中的内容。通常将要加密的文件置于一个文件夹中，在对该文件夹加密，可以一次加密大量的文件。在该文件夹下创建的所有文件和子文件夹都会被加密。

Windows系统主机安全

Windows Server 2003主机安全是针对单个主机设置的安全规则，保护计算机上的重要数据。系统安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免了各种对网络安全的有意或无意的伤害。

安全策略是一个事先定义好的一系列应用于计算机的行为准则，应用这些安全策略将用户有一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。在Windows Server 2003中安全策略是以本地安全设置和组策略两种形式出现的。

本地安全设置是基于单个计算机的安全性而设置的。对于较小的组织，或者在网络中没有应用活动目录的网络，适用于本地安全设置。而组策略可以在站点、组织单元或域的范围内实现，通常在较大规模并且实施活动目录的网络中应用组策略。

①实施本地安全设置。

本地安全设置只能在不属于某个域的计算机上实现，其中可设定的值较少，对用户的约束也较少。如果要在整个网络中约束用户使用计算机的行为，则必须在每一个计算机上实施本地安全设置。本地安全设置包括账户策略、本地策略、公钥策略和IP安全策略。

②配置并实施组策略。

在Windows Server 2003活动目录中，组策略主要作用是规定用户和计算机的使用环境，还应用于成员服务器、域控制器以及管理范围内的其它计算机。组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件。要为特定用户组创建特殊的桌面配置，可使用组策略对象编辑器创建组策略对象，组策略对象又与选定的活动目录对象相关联。

组策略包括两部分：用户配置策略，是指定对应于某个用户账户的策略，这样不论该账户在域内哪个计算机上登录，其工作环境都是一样的。计算机配置策略，是指定对应于某台计算机的策略，这样不论哪个账户在该计算机上登录，其工作环境都是一样的。

③使用预定义安全性模板。

Windows Server 2003包含多个安全性模板适用于不同安全需求，利用这些模板网络管理人员可以简化策略的设定和实施操作。

预定义的安全模板包括4种安全级别：基本级别的模板为Windows定义的默认的安全级别，包括以下设定：默认的工作站、默认的服务器、 默认的域控制器，可以在\systemroot\security\templates文件夹中找到这几个模板。

兼容标准的模板包括商用应用程序的所有功能，使之仍然可以有效的运行,该模板为兼容工作站或服务器模板。安全模板有可能会影响到一些商用应用程序的某些功能的运行，主要包括安全的工作站或服务器、安全的域控制器。

高度安全模板，不会考虑应用程序是否会受到这些设定的影响，在通常情况下这类模板要慎重使用，主要包括：高安全的工作站或服务器、高安全的域控制器。

我是木子雨辰，一位信息安全领域从业者，@木子雨辰将一直带给大家信息安全知识，每天两篇安全知识、由浅至深、采用体系化结构逐步分享，大家有什么建议和问题，可以及留言，多谢大家点击关注、转发、评论，谢谢大家。

大家如果有需要了解安全知识内容需求的可以留言，沟通，愿与大家携手前行。