美国可信计算机安全评价标准

-Windows美国可信计算机平安评价标准 Trusted Computer System Evaluation Criteria，橘皮书 TCSEC是计算机系统平安评估的第一个正式标准，具有划时代的意义。该准那么于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将计算机系统的平安划分为4个等级、7个级别。2024/7/22没有安全性可言，例如没有安全性可言，例如没有安全性可言，例如没有安全性可言，例如MS DOSMS DOSMS DOSMS DOS不区分用户，基本的访问控制不区分用户，基本的访问控制不区分用户，基本的访问控制不区分用户，基本的访问控制D 级级C1 级级C2 级级B1 级级B2 级级B3 级级A 级级有自主的访问安全性，区分用户有自主的访问安全性，区分用户有自主的访问安全性，区分用户有自主的访问安全性，区分用户标记安全保护，如标记安全保护，如标记安全保护，如标记安全保护，如System VSystem VSystem VSystem V等等等等结构化内容保护，支持硬件保护结构化内容保护，支持硬件保护结构化内容保护，支持硬件保护结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽安全域，数据隐藏与分层、屏蔽安全域，数据隐藏与分层、屏蔽安全域，数据隐藏与分层、屏蔽校验级保护，提供低级别手段校验级保护，提供低级别手段校验级保护，提供低级别手段校验级保护，提供低级别手段D Minimal protectionD Minimal protectionReserved for those systems that have been evaluated but that fail to meet the requirements for a higher division2024/7/24C类平安等级：C1 Discretionary Security Protection Identification and authentication Separation of users and data Discretionary Access Control(DAC)capable of enforcing access limitations on an individual basis C2 Controlled Access Protection More finely grained DAC Individual accountability through login procedures Audit trails Object reuse Resource isolation Required System Documentation and user manuals.2024/7/25B类平安等级：B类平安等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与平安等级相连，系统就不会让用户存取对象。2024/7/26A类平安等级：A系统的显著特征是，系统的设计者必须按照一个正式的设计标准来分析系统。对系统分析后，设计者必须运用核对技术来确保系统符合设计标准。A系统必须满足以下要求：系统管理员必须从开发者那里接收到一个平安策略的正式模型;所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。2024/7/271995年7月，Windows NT3.5取得了TCSEC的C2平安级；1999年3月，NT4获得英国ITSEC组织的E3级别，等同于C2级；Windows 2000也获得了C2平安级别2024/7/282000年2月发布四个版本：Professional,Server,Advanced Server,Datacenter server容错和冗余，文件系统NTFS5，DFS(distributed file system)活动目录平安性 the most secure windows we have ever shipped2024/7/29系统实现平安登录机制，自主访问控制机制，平安审计机制和对象重用保护机制平安登录自主访问控制(DAC，discretional access control)：对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表或访问控制列表ACL来限定哪些主体针对哪些客体可以执行什么操作;可以非常灵活地对策略进行调整。易用性与可扩展性;经常被用于商业系统。2024/7/210与DAC对应的是强制访问控制mandatory access control,MAC)系统独立于用户行为强制执行访问控制，用户不能改变他们的平安级别或对象的平安属性。通过对数据和用户按照平安等级划分标签，访问控制机制通过比较平安标签来确定的授予还是拒绝用户对资源的访问。经常用于军事用途。2024/7/211平安审计对系统记录和活动进行独立的审查和检查以确定系统控制的适合性，确保符合已建立的平安策略和操作规程，检测平安效劳的违规行为由工具生成和记录平安审计迹，查看和分析审计迹研究和发现系统受到的攻击和平安威胁对象重用保护：当资源内存、磁盘等被某应用访问时，Windows 禁止所有的系统应用访问该资源2024/7/212NT系统实现的两项B平安级的要求：信任路径功能，用于防止用户登录时被特洛伊木马程序截获用户名和密码trusted path is simply some mechanism that provides confidence that the user is communicating with what the user intended to communicate with,ensuring that attackers cant intercept or modify whatever information is being communicated信任机制管理，支持管理功能的单独帐号2024/7/213截止2021年5月19日，“绿盟科技的漏洞库收集了2437条windows系统以及应用软件的漏洞Win2000的bug:中文版输入法漏洞入侵，使本地用户绕过身份验证机制进入系统内部Windows终端效劳功能，使系统管理员进行远程操作采用图形界面，默认端口33892024/7/2152024/7/2162024/7/2172024/7/2182024/7/2192024/7/220C:WINDOWSsystem32configSAML0phtcrack：windows系统的口令字猜测工具，可脱机工作；SMB packet capture 工具监听并捕获登录会话，剥离口令字windows日志事件查看器C:windowssystem32configSMB:server message block 打印共享MSRPC:microsoft remote procedure callNetbios,netbios session service各种网络效劳在Windows中的具体实现 ,smtp,pop3等Windows 2000开始，IIS随操作系统默认安装信息泄露目录遍历缓冲区溢出IIS 提供ftp,smtp等效劳，且这些效劳被激活后以system权限运行对重要的系统文件如cmd,net等进行严格的权限控制访问控制的判断Discretion access control 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用Object reuse 当资源内存、磁盘等被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆Mandatory log on 要求所有的用户必须登陆，通过认证后才可以访问资源审核Auditing 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制Control of access to object 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。平安平安标识标识符符 Security IdentifiersSecurity Identifiers:就是我就是我们经们经常常说说的的SIDSID，每次当我，每次当我们创们创立一个用立一个用户户或一个或一个组组的的时时候，系候，系统统会分配会分配给给改用改用户户或或组组一个唯一一个唯一SIDSID。例：例：S-1-5-21-1763234323-3212657521-1234321321-500 S-1-5-21-1763234323-3212657521-1234321321-500SIDSID：S-1-5-18S-1-5-18名称：名称：Local SystemLocal System说说明：操作系明：操作系统统使用的效使用的效劳帐户劳帐户。SIDSID：S-1-5-19S-1-5-19名称：名称：NT AuthorityNT Authority说说明：本地效明：本地效劳劳 SIDSID：S-1-5-20S-1-5-20名称：名称：NT AuthorityNT Authority说说明：网明：网络络效效劳劳 访问令牌Access tokens:用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。平安描述符Security descriptors：Windows 系统中的任何对象的属性都有平安描述符这局部。它保存对象的平安配置。访问控制列表Access control lists：访问控制列表有两种：任意访问控制列表Discretionary ACL、系统访问控制列表System ACL。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核效劳的，包含了对象被访问的时间。访问控制项Access control entries:访问控制项ACE包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。