探秘Windows Server2003安全性

韩冰

论坛登陆名: Stone
提交者邮件地址: Stone@126.com
提交者QQ号码:
版权：文章属中华安全网http://www.safechina.net和作者共同所有，转载请注明出处！！
5 S: }* w3 V6 \9 [! C+ ^* _标题: 探秘Windows Server2003安全性

　　早在2002年1月，微软启动了“可信赖计算”这一针对Windows平台安全性的计划。这一计划直接影响了微软下一批产品（建立在.NET框架之上）的发行日期，不过额外增加的数月开发时间确实使新产品的安全性、稳定性超过了它们的前辈。

　　在这篇文章中，我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见，但这里我们只注重大多数Windows用户和管理员最关心的地方，借此粗略感受一下Windows Server 2003新的安全机制。
8 Y% C! g( i$ f' J, {' L# G
9 g9 S9 @1 {0 h( _5 v7 x% x7 t0 w( ]一、NTFS和共享权限
4 ^" F+ D0 @- x
　　在以前的Windows中，默认的权限许可将“完全控制”授予了Everyone组，整个文件系统根本没有安全性可言（就本地访问来说）。但从Windows XP Pro开始，这种情况改变了。

　　授予Everyone组的根目录NTFS权限只有读取和执行，且这些权限只对根文件夹有效，请参见图1。也就是说，对于任何根目录下创建的子文件夹，Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹，例如Program Files和Windows文件夹，Everyone组也已经从ACL中排除出去。（说明：ACL即“访问控制列表”，或Access Control List，它是一种安全保护列表，适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型：随机和系统）。

# ^6 J5 j8 [- s5 g! Z
1 K$ z; x! d' o& B+ I! T8 n3 N* \- F

图1


& y% `# p! N3 ]9 `: O! N　　Users组除了读取和运行之外，还能够在子文件夹下创建文件夹（可继承）和文件（注意，根驱动器除外）。授予System帐户的权限和本地Administrators组成员的权限仍未改变，它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限，也就是允许用户全面管理他们自己创建的子文件夹。

　　对于新创建的共享资源，Everyone现在只有读取的权限。
9 f, X! e6 p* V8 h
　　另外，Everyone组现在不再包含匿名SID（安全标识符，一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名），进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限，可以用右键点击文件或文件夹，选择“安全”选项卡，点击“高级”，然后查看“有效权限”页，如图2所示，不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过，这个功能还不能涵盖共享权限。
$ i( D6 ^6 P2 p% z2 G


, G6 @! A* z( j# @& C% ^
1 d9 C1 t5 b3 `% F图2
2 ]8 x) Q/ O/ z# C4 n6 T) O" E

- {7 `1 {- B$ p  m; ?二、文件和文件夹的所有权
& B8 V1 r2 f; g. T
1 s* L/ D* x7 a' v3 R' c　　现在，你不仅可以拥有文件系统对象（文件或文件夹）的所有者权限，而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人，请参见图3。

+ K9 ~2 Q; y$ C$ u' j. R9 l1 ]
  V1 r8 I6 v7 J1 q1 J( X; p  i7 |
/ O+ E0 y5 w8 ]4 f
图3

- M! U2 [8 t: k- M6 @5 w: [
( W2 M6 ~' L& _　　Windows的磁盘配额是根据所有者属性计算的，授予其他人所有者权限的功能简化了磁盘配额的管理。例如，管理员应用户的要求创建了新的文件（例如复制一些文件，或安装新的软件），使得管理员成为新文件的所有者，即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前，要解决这个问题必须经过繁琐的配置修改，或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能，这类有关磁盘配额的问题可以方便地解决了（对于使用NTFS文件系统的任何类型的操作系统都有效，包括Windows NT 4.0、2000和XP Pro，只要修改是在Windows Server 2003上进行就可以了）。

　　值得一提的是，这个功能（有效权限和授予所有者权限）对于从Windows Server 2003管理的活动目录对象也同样有效。

三、Windows服务配置

　　Windows服务配置方面的变化可分成两类，请参见图4的Windows Server 2003服务管理工具。
% n- O+ i- x: G' J" Z( H

# _, q$ F( V9 \8 t1 W; s% V

图4
: Z8 J/ g$ [: u- i8 L3 T. f* G
( _* o8 {+ u9 V, j7 ^
　　㈠ 启动类型。几种最容易受到攻击的服务，诸如Clipbook（启用“剪贴簿查看器”储存信息并与远程计算机共享）、Network DDE以及Network DDE DSDM（前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换（DDE）的网络传输和安全；后者用于管理动态数据交换网络共享）、Telnet、WebClient（使基于Windows的程序能创建、访问和修改基于Internet的文件）等，默认情况下已经被禁止了。还有一些服务只有在必要时才启用，例如Intersite Messaging（启用在运行Windows Server的站点间交换消息）只有在域控制器提升时才启用，Routing and Remote Access Service（为网络上的客户端和服务器启用多重协议——LAN到LAN，LAN到WAN，虚拟专用网络（VPN）和网络地址转换（NAT）路由服务）只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。

' j& t2 M- v. g3 B) |. ]/ b* x6 `　　㈡ 运行在Local System安全上下文之下的服务变少了，因为Local System具有不受限制的本地特权。现在，许多情况下，Local System被Local Service或Network Service帐户取代，这两个帐户都只有稍高于授权用户的特权。正如其名字所示的，Local Service帐户用于本地系统的服务，它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害，则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话，而且不使用任何凭据访问网络资源。

' E* t# n# U5 H1 P1 O8 f  ?　　相对地，Network Service则被用于必须要有网络访问的服务，它对于资源和对象的访问级别也与Users组的成员相同，以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。
% Q6 z1 v, r  ~' b* k" I* P/ N  j
四、身分验证
9 Z) _' s* A5 ]7 w- L4 g
　　身分验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。
! R& Y; i8 T( T8 x: v7 |
% T% x0 Z- Q& j  H　　在本地系统验证方面，默认的设置限制不带密码的本地帐户只能用于控制台。这就是说，不带密码的帐户将不能再用于远程系统的访问，例如驱动器映射、远程桌面/远程协助连接。

　　活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系（要求两个林都运行在Windows 2003功能级别上）。在 Windows Server 2003林中，管理员可创建一个林，将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中，这种跨越将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
+ L+ Z* Q5 H2 b! B4 ~- Y
5 {5 g. ^  Y, m/ J5 s　　林信任具有许多优点：
+ n- Q! p3 j) G& G
, N' }' i9 o3 c% i* ?8 H　　⑴ 通过减少共享资源所需的外部信任数，使得跨越两个 Windows Server 2003林的资源的管理得以简化。

8 w( s9 S# E: v, H" o　　⑵ 每个林中每个域之间的完全的双向信任关系。
& N  Z3 a4 ~% l+ M* i  v7 H& S: j
　　⑶ 使用跨越两个林的用户主体名称（UPN）身份验证。

　　⑷ 使用Kerberos V5和NTLM身份验证协议，提高了林之间传递的授权数据的可信度。

5 b2 d4 `5 [" A2 s0 v. j0 |　　⑸ 灵活的管理。每个林的管理任务可以是唯一的。

　　林信任只能在两个林之间创建，不能隐式扩展到第三个林。也就是说，如果在林1和林2之间创建了一个林信任，在林2和林3之间也创建了一个林信任，则林1和林3之间没有隐式信任关系。
9 B2 C( ]" N3 D$ ]( _
1 {  g& r# i. v4 f2 R　　注意：在Windows 2000林中，如果一个林中的用户需要访问另一个林中的资源，管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任，因此限制了信任路径扩展到其他域的能力。但在Windows Server 2003 Active Directory中，默认情况下，新的外部信任和林信任强制SID筛选。SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录，而且也不会影响全局组的访问控制策略。

6 O. m+ `" |! `$ D* Z　　在默认配置下，身分验证是在林的级别上进行的，来自其他林的责任人将被授予与本地用户和计算机同样的访问能力。但无论是谁，都受到设置在资源上的权限的约束。

3 j, X4 A- ?$ B+ b: P! |* q　　如果上述默认配置不能满足要求，你可以配置选择性验证，不过这要有Windows 2003的林功能级别。在这种配置方式中，你可以指定哪些来自其他林的用户或组允许通过验证，以及选择本地林的哪些资源可用来执行验证。具体设置分两步进行。

　　第一步是授予来自其他林的责任人允许验证的权限。例如，假设有两个Windows 2003功能级别的林ForestA和ForestB，两者之间有信任关系。ForestA中DomainA域的UserA用户需要访问ForestB中DomainB域ServerB服务器的ShareB共享资源。要达到这个目标，必须按如下方式操作：

　　⑴ DomainA的管理员在DomainA域中创建一个全局组（例如GroupA），其中包含成员UserA。虽然可以直接授予UserA适当的权限（这种方式的优点之一是透明），但如果用户数量较多，直接配置各个用户的话效率就很低了。

　　⑵ 启动Active Directory用户和计算机管理器，找到DomainB，再找到ServerB，双击ServerB的图标，打开它的属性对话框。
* S$ m: G( {( q, |! Y
1 w2 D5 X6 m5 k1 [5 N8 s- i　　⑶ 转到安全设置页，将DomainA\GroupA加入到窗口上方的清单。在窗口下方，选中“允许验证”和“读取”权限的“允许”选项。第一步的设置到这里完成，我们已经允许DomainA\GroupA的成员访问DomainB\ServerB时执行验证。
6 \2 U, S. Q; E/ R$ o: ], f
/ l% }8 h$ K0 y. Z# ^* x8 J9 g7 f　　第二步很简单，只要把ServerB服务器ShareB共享资源上适当的权限授予DomainA\GroupA全局组即可（或者，也可以将DomainA\GroupA全局组加入到DomainB域本地组，然后对本地组授权）。
* t- b( [5 \+ {7 P$ o# i0 G
& [+ F5 g$ c8 d7 d+ G　　结束语：本文只涉及了Windows 2003安全性很小的一方面，许多重要的主题尚未涉及，例如Active Directory安全特性（SID过滤等），以及托管、非托管代码的应用程序代码控制等。尽管如此，我们已经可以体会到微软宣称的“迄今为止微软最强大的Windows服务器操作系统”确实在安全性方面作了许多改进。