|
知识路径: > 操作系统安全保护 > Windows操作系统安全分析与防护 > Windows操作系统安全分析(系统安全架构、系统安全机制、系统安全威胁分析等) >
|
相关知识点:42个
|
|
|
|
|
早期Windows系统的认证机制不是很完善,甚至缺乏认证机制。例如Windows 32、Windows 98。随着系统发展,微软公司逐步增强了Windows系统的认证机制。以Windows 2000为例,系统提供两种基本认证类型,即本地认证和网络认证。其中,本地认证是根据用户的本地计算机或Active Directory账户确认用户的身份。而网络认证,则根据此用户试图访问的任何网络服务确认用户的身份。为提供这种类型的身份验证,Windows 2000安全系统集成三种不同的身份验证技术:Kerberos V5、公钥证书和NTLM。
|
|
|
|
Windows NT/XP的安全性达到了橘皮书C2级,实现了用户级自主访问控制。访问控制机制如下图所示。
|
|
|
|
|
为了实现进程间的安全访问,Windows NT/XP中的对象采用了安全性描述符(Security Descriptor)。安全性描述符主要由用户SID(Owner)、工作组SID(Group)、自由访问控制列表(DACL)和系统访问控制列表(SACL)组成。
|
|
|
|
日志文件是Windows系统中一个比较特殊的文件,它记录Windows系统的运行状况,如各种系统服务的启动、运行、关闭等信息。Windows日志有三种类型:系统日志、应用程序日志和安全日志,它们对应的文件名为SysEvent.evt、AppEvent.evt和SecEvent.evt。这些日志文件通常存放在操作系统安装的区域“system32\config”目录下。
|
|
|
|
针对来自网络上的威胁,Windows NT 4.0、Windows 2000则提供了包过滤机制,通过过滤机制可以限制网络包进入用户计算机。而Windows XP则自带了防火墙,该防火墙能够监控和限制用户计算机的网络通信。
|
|
|
|
为了防范入侵者通过物理途径读取磁盘信息,绕过Windows系统文件访问控制机制。微软公司研究开发了加密的文件系统EFS,文件中的数据利用EFS在磁盘上加密。用户如果访问加密的文件,则必须拥有这个文件的密钥,才能够打开这个文件,并且像普通文档一样透明地使用它。
|
|
|
|
针对常见的缓冲区溢出、恶意代码等攻击,微软公司的新版本操作系统Windows 7、Windows 10增加抗攻击安全机制,集成了内存保护机制,主要包括堆栈保护(Stack Protection)、安全结构例外处理SafeSEH(Safe Structured Exception Handling)、数据执行保护DEP(Data Execution Prevention)、地址随机化ASLR(Address Space Layout Randomization)、补丁保护PatchGuard、驱动程序签名(Driver Signing)等保护机制。Windows 10提供减少攻击面规则配置,具体如下:
|
|
|
阻止来自电子邮件客户端和Webmail的可执行内容。
|
|
|
该规则阻止Microsoft Outlook应用程序或其他Webmail程序打开电子邮件中的可执行文件、脚本文件,其中,执行文件类型有.exe,.dll或.scr,脚本文件有PowerShell.ps、VisualBasic.vbs或JavaScript.js文件。
|
|
|
|
恶意软件通常借用Office应用运行VBA宏或执行攻击代码。该规则阻止Word、Excel、PowerPoint、OneNote、Access等Office应用创建子进程。
|
|
|
|
恶意软件常常滥用Office作为攻击媒介,突破Office应用控制而将恶意组件保存到磁盘,使得恶意组件在计算机重新启动后存活下来,从而留在系统中。该规则用于防护持久性威胁,通过阻止Word、Excel、PowerPoint等Office应用程序创建潜在的恶意可执行内容,防止恶意代码写入磁盘。
|
|
|
|
攻击者有可能使用Office应用程序把恶意代码注入其他进程,将恶意代码伪装成干净的进程。该规则阻止将代码从Word、Excel、PowerPoint等Office应用程序注入其他进程。
|
|
|
阻止JavaScript或VBScript启动下载的可执行内容。
|
|
|
用JavaScript或VBScript编写的恶意软件通常从网上获取下载并启动其他恶意软件。该规则可防止脚本启动潜在的恶意下载内容。
|
|
|
|
脚本混淆是恶意软件作者和合法应用程序用来隐藏知识产权或减少脚本加载时间的常用技术。恶意软件作者使用混淆处理让恶意代码难以阅读,从而防止人、安全软件的严格审查。该规则可检测混淆脚本中的可疑属性。
|
|
|
|
Office VBA提供了调用Win32 API功能,但恶意软件会滥用此功能来启动恶意shellcode,而不直接将任何内容写入磁盘。该规则可用于防止使用VBA调用Win32 API功能。
|
|
|
|
启动执行不受信任或未知的可执行文件可能会导致潜在风险。该规则将阻止.exe、.dll或.scr等可执行文件类型启动,但在信任列表中的执行文件除外。
|
|
|
|
该规则要求扫描检查进入系统的可执行文件可信性。如果文件与勒索软件极为相似,则该规则将阻止它们运行,但在信任列表中的执行文件除外。
|
|
|
阻止从Windows本地安全授权子系统窃取身份凭据。
|
|
|
该规则通过锁定本地安全授权子系统服务(LSASS),以防止身份凭据被窃取。
|
|
|
|
该规则阻止运行通过PsExec和WMI创建的进程。PsExec和WMI都可以远程执行代码,因此存在恶意软件滥用此功能用于命令和控制目的,或将感染传播到整个组织网络的风险。
|
|
|
|
管理员使用此规则,可以阻止从USB(包括SD卡)运行未签名或不受信任的可执行文件、脚本文件,这些文件类型包括.exe、.dll、.scr、PowerShell.ps,VisualBasic.vbs或JavaScript.js。
|
|
|
|
该规则阻止Outlook创建子进程,但允许其正常的通信,可以抵御社会工程学攻击,防止利用Outlook漏洞攻击。
|
|
|
|
该规则通过阻止Adobe Reader创建其他进程来防止攻击。恶意软件常通过社会工程或漏洞利用,下载并启动其他有效负载,并突破Adobe Reader控制。通过阻止由Adobe Reader创建子进程,可以防止恶意软件将其用作攻击向量进行传播扩散。
|
|
|
|
该规则可防止恶意软件滥用WMI以持久性控制设备。无文件威胁使用各种策略来保持隐藏状态,以避免在文件系统中被查看到,进而实现定期执行控制。某些威胁可能会滥用WMI存储库和事件模型以使其保持隐藏状态。
|
|
|