Windows系统安全机制

2024年4月12日发(作者：)

Windows系统安全机制

1.前言

多年来，黑客对计算机信息系统的攻击一直没有停止过，其手段也越来越高明，从最

初的猜测用户口令、利用计算机软件缺陷，发展到现在的通过操作系统源代码分析操作系

统漏洞。同时网络的普及使得攻击工具和代码更容易被一般用户获得，这无疑给Windows

系统安全带来了更大的挑战。解决Windows 系统安全问题，任重而道远。

s XP安全机制。

Windows XP采用Windows 2000/NT的内核，在用户管理上非常安全。凡是增加的

用户都可以在登录的时候看到，不像Windows 2000那样，被黑客增加了一个管理员组的

用户都发现不了。使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件

夹的访问，如当某普通用户访问另一个用户的文档时会提出警告。你还可以对某个文件(或

者文件夹)启用审核功能，将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里

去，进一步加强对文件操作的监督。

Windows XP中的软件限制策略提供了一种隔离或防范那些不受信任且具有潜在危害

性代码的透明方式，保护您免受通过电子邮件和Internet传播的各种病毒、特洛伊木马程

序及蠕虫程序所造成的侵害。这些策略允许您选择在系统上管理软件的方式：软件既可以

被“严格管理”(可以决定何时、何地、以何种方式执行代码)，也可以“不加管理”(禁止

运行特定代码)。软件限制策略能够保护系统免受那些受感染电子邮件附件的攻击。这些附

件包括存储在临时文件夹中的文件附件以及嵌入式对象与脚本。同时，它还将保护您免受

那些启动Internet Explorer或其它应用程序，并下载带有不受信任嵌入式脚本的Web页

面的URL/UNC链接所造成的攻击。

在Windows 2000中，微软就采用了基于公共密钥加密技术的加密文件系统(EFS)。

在Windows XP中，对加密文件系统做了进一步改进，使其能够让多个用户同时访问加密

的文档。用户可以通过设置加密属性的方式对文件或文件夹实施加密，其操作过程就像设

置其它属性一样。如果对一个文件夹进行加密，那么，在此文件夹中创建或添加的所有文

件和子文件夹都将自动进行加密。因此，在文件夹级别上实施加密操作是比较合适的。EFS

还允许在Web服务器上存储加密文件。这些文件通过Internet进行传输并且以加密的形

式存储在服务器上。当用户需要使用自己的文件时，它们将以透明方式在用户的计算机上

进行解密。这种特性允许以安全方式在Web服务器存储相对敏感的数据，而不必担心数

据被窃取，或在传输过程中被他人读取。

新的特性主要有：一是补丁自动更新，为用户“减负”。二是关闭“后门”。在以前

的版本中，Windows 系统留着几个“后门”，如137,138,139等端口都是“敞开大门”

的，现在在Windows XP中这些端口是关闭的。三是系统自带Internet连接防火墙。

Internet连接防火墙是Windows XP的重要特性之一。它可用于在使用Internet连接共

享时保护NAT机器和内部网络，也可用于保护单机。所以，看起来它既像主机防火墙，又

像网络防火墙。实际上，Internet连接防火墙属于个人防火墙，它的功能比常见的主机防

火墙BlackICE和ZoneAlarm以及网络防火墙PIX和Netscreen等都相差甚大。它最适

合保护本机的Internet连接。事实上，一旦启用了internet连接防火墙，只有经过域认证

的用户才可以正常访问主机，而所有其他来自Internet的TCP/ICMP连接包都将被丢弃，

这可以较好地防止端口扫描和拒绝服务攻击。

Secure Wireless/Ethernet LAN(安全无线/以太局域网)增加了开发安全有线与无线

局域网(LAN)的能力。这种特性是通过允许在以太网或无线局域网上部署服务器实现的。

借助Secure Wireless/Ethernet LAN在用户进行登录前，计算机将无法访问网络。然而，

如果一台设备具备“机器身份验证”功能，那么它将能够在通过验证并接受IAS/RADIUS

服务器授权后获得局域网的访问权限。Windows XP中的Secure Wireless/Ethernet LAN

在基于IEEE 802.11规范的有线与无线局域网上实现了安全性。这一过程是通过对由自动

注册或智能卡所部署的公共证书的使用加以支持的。它允许在公共场所(如购物中心或机场)

对有线以太网和无线IEEE 802.11网络实施访问控制。这种IEEE 802.1X Network Access

Control(IEEE网络访问控制)安全特性还支持Extensible Authentication Protocol(扩展身

份验证协议,EAP)运行环境中的计算机身份验证功能。IEEE 802.1X允许管理员为获得有线

局域网和无线IEEE 802.11局域网访问许可的服务器分配权限。因此，如果一台服务器被

放置在网络中，那么，管理员肯定希望确保其只能访问那些已在其中通过身份验证的网络。

例如，对会议室的访问权限将只提供给特定服务器，并拒绝来自其它服务器的访问请求。

微软公司推出Windows XP 已有一段时间, 显然Windows XP 在所有关键的性能类

别上比起以往其他的Windows 系统版本都要优越。以上就是Windows XP系统中的一些

安全机制。

s 2003安全机制

身份验证是各种系统对安全性的一个基本要求，它主要用来对任何试图访问系统的用

户身份进行确认。Windows2003 将用户帐号信息保存在SAM 数据库中，用户登陆时输

入的帐号和密码需要在SAM 数据库中查找和匹配。另外，在Windows 2003 系统中可

以使用帐户策略设置中的“密码策略”来进行设置。通过设置可以提高密码的破解难度、

提高密码的复杂性、增大密码的长度、提高更换频率等。Windows 2003 的身份验证一般

包括交互式登陆和网络身份验证两方面内容。在对用户进行身份验证时，根据要求的不同，

可使用多种行业标准类型的身份验证方法，这些身份验证方法包括以下协议类型：1)

Kerberos V5 与密码或智能卡一起使用的用于交互式登陆的协议。2) 用户尝试访问Web

服务器时使用SSL/TLS 协议。3) 客户端或服务器使用早期版本的Windows 时使用的

NTLM 协议。4) 摘要式身份验证，这将使凭据作为MD5 哈希或消息摘要在网络上传递。

5)Passport 身份验证，用来提供单点登陆服务的用户身份验证服务。

单点登陆是Windows 2003 身份验证机制提供的重要功能之一，它在安全性方面提

供了两个主要的优点：1) 对用户而言，使用单个密码或智能卡可以减少混乱，提高工作效

率。2) 对管理员而言，由于管理员只需要为每个用户管理一个帐户，因此可以减少域用户

所要求的管理。

访问控制机制是实现用户、组和计算机访问网络上的对象时所使用的安全机制。权限

是访问控制的重要概念，权限定义了授予用户或组对某个对象或对象属性的访问类型。包

括文件和文件夹的权限、共享权限、注册表权限、服务权限、指派打印机权限、管理连接

权限、WMI 权限、活动目录权限等。在默认的情况下，大多数的文件夹对Everyone 组

是完全控制的（Full Control），如果系统的管

理员不进行修改，则系统的安全性将非常薄弱。共享权限的使用使得在方便管理的同

时，也容易导致安全问题。尤其是系统的默认共享（比如IPC$、C$、ADMIN$ 等）常常

被用来作为入侵通道利用。

除了权限以外，构成访问控制机制的主要概念还包括用户权利和对象审查。其中用户

权利定义了授予计算环境中的用户和组特定的特权和登录权利。与权限不同，用户权利适

用于用户账户，而权限则附加给对象。对象审查则可以审核用户对对象的访问情况。

Windows Server 2003 默认权限比以前的版本更符合最小特权原则，管理员应当在此基

础上根据需要严格设置权限和用户权利，使用强健的访问控制列表来保护文件系统和注册

表的安全。这样做可以有效地限制、分割用户对对象进行访问时的权限，既能保证用户能

够完成所操作的任务，同时又能降低事故、错误或攻击对系统及数据造成的损失，对于系

统安全具有重要的作用。

建立审核策略是跟踪潜在安全性问题的重要手段，并在出现违反安全的事件时提供证

据。微软建议对下面的事件进行审核：系统事件类别中的成功和失败事件、策略更改事件

类别中的成功事件、账户管理事件类别中的成功事件、登录事件类别中的成功事件、账户

登录事件类别中的成功事件。在执行审核策略之前需要创建一个审核计划，这样可以根据

需要确定通过收集审核事件想要获得的信息资源和类型。审核事件占用服务器的存储空间

和CPU 时间，如果设置不当，可能反而被攻击者利用进行拒绝服务攻击。因此，在建立

审核策略时，应考虑生成的审核数量尽可能少一些，而且从事件中获得的信息的质量相对

比较高一些，同时占用系统的资源也尽量少一些。系统审核机制可以对系统中的各类事件

进行跟踪记录并写入日志文件，以供管理员进行分析、查找系统和应用程序故障以及各类

安全事件。当在系统中启用安全审核策略后，管理员应经常查看安全日志的记录，否则就

失去了及时补救和防御的时机了。除了安全日志外，管理员还要注意检查各种服务或应用

的日志文件。在Windows 2003 IIS 6.0 中，其日志功能默认已经启动，并且日志文件存

放的路径默认在System32/LogFiles 目录下，打开IIS 日志文件，可以看到对Web 服务

器的HTTP 请求，IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。

Internet 协议安全性(IPSec)是一种开放标准的框架结构，通过使用加密的安全服务以

确保在IP 网络上进行保密而安全的通讯。作为网络操作系统Windows 2003,在分析它的

安全机制时，也应该考虑到IP 安全策略机制。一个IPSec 安全策略由IP 筛选器和筛选器

操作两部分构成，其中IP 筛选器决定哪些报文应当引起IPSec 安全策略的关注，筛选器

操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec 安全策略，一般需要新建

IP 筛选器和筛选器操作。在Windows Server 2003 系统中，其服务器产品和客户端产品

都提供了对IPSec 的支持。从而增强了安全性、可伸缩性以及可用性，同时使得配置部署

和管理更加方便。

防火墙是网络安全机制的一个重要的技术，它在内部网和外部网之间、机器与网络之

间建立起了一个安全屏障。是Internet 建网的一个重要组成部分。Windows 2003 网络

操作系统自身带有一个可扩展的企业级防火墙ISA Server。支持两个层级的策略：阵列级

策略和企业级策略。阵列策略包括站点和内容规则、协议规则、IP 数据包筛选器、Web 发

布规则和服务器发布规则。修改阵列配置时，该阵列内所有的ISA Server 计算机也都会被

修改，包括所有的访问策略和缓存策略。企业策略进一步体现了集中式管理，它允许设置

一项或多项应用于企业网阵列的企业策略。企业策略包括站点和内容规则以及协议规则。

企业策略可用于任何阵列，而且可通过阵列自己的策略进行扩充。Windows 2003 支持

ISA Server2000，但要安装补丁为ISA Server 升级。在Windows 2003 中，IP 安全监

视器是作为Microsoft 管理控制台(MMC)实现的，并包括了一些增强功能。IPSec 的功能

得到了很大的增强，这些增强的功能主要体现在支持使用2048 位Diffie-Hellman 密钥

交换；支持通过Netsh 进行配置静态或动态IPSec 主模式设置、快速模式设置、规则和

配置参数；在计算机启动过程中可对网络通信提供状态可控的筛选，从而提高了计算机启

动过程中的安全性；IPSec 与网络负载平衡更好地集成等。

s CE安全机制

Windows CE 拥有自己的安全服务体系及架构, 通过安全支持提供者接口( SSPI) , 提

供了对用户授权、信任等级管理和消息保护等的支持。通过OEM(Original Equipment

Manufacture) 可以定制自己的安全包, 使用自己特定的加密与解密算法或授权与认证方

法,将它加入系统注册表, 然后通过应用程序去调用。比较新的Windows CE 版本还为用

户提供了对VPN 和防火墙的支持。

通过OEM(Oriqinal Equipment Manufacture) 层创建一个信任环境, 防止加载未知

模块、限制对系统API 的访问、并禁止对系统注册表的某些部分执行写入操作。在内核加

载之前通过OEMCertifyModule 和OEMCertifyModuleInit 函数可以对将要加载的模

块进行检查。它验证应用程序是否包含有效的签名,且仅当应用程序包含有数字签名时

Windows CE 平台才予以加载。OEM必须对所有第三方驱动程序进行数字签名, 否则加

载驱动程序时将失败。OEMCertifyModule 函数对加载模块进行验证, 返回值为:

OEM_CERTIFY_TRUST, 表示该模块可信任, 可以加载; OEM_CERTIFY_RUN, 表示该模块

可以信任, 可以加载, 但不能调用特权函数; OEM_CERTIFY_FALSE, 表示该模块不可信任,

不允许加载。Windows CE 中的安全注册表体系结构只允许已经识别的”可信任应用程序”

修改注册表中的键和值, 对于”不信任的应用程序”, 将予以拒绝, 从而避免了不安全应用

程序的加载。

在 模块中提供的安全性支持提供者接口(SSPI) 是一个严格定义的通用

API, 用于获取进行身份验证、消息的完整性检查和消息加密的集成安全服务。它在应用程

序层协议和安全性协议之间提供了一个抽象层。因为不同的应用程序在网络上传输数据时

所采用的识别或验证用户身份的方法, 以及加密数据的方法各不相同, 因此Windows CE

SSPI 提供了访问包含各种身份验证和数据加密方案的动态连接库(DLL) 。这些被DLL 引

导的、提供安全服务的数据包被称作安全性支持提供者(SSP)。SSP 可以有一种或多种安

全机制对应用程序提供支持, 应用程序并不需要了解这些安全机制的细节。SSPI 包括以下

的API 功能组: a.信任管理API。提供对信任数据( 如口令等) 的调用; b.信任关系管理API,

提供用于建立和使用信任关系的支持; c.消息支持API, 提供通信的完整性和保密性服务; d.

数据包管理API, 提供为不同格式的数据打包安全封装服务。

密码技术可以使实体间的通信更加安全可靠。在Windows CE 中, 通过CryptoAPI

提供的服务, 应用程序开发人员可以添加定制数据加解密方案、使用数字证书进行身份验

证、为基于Win32 的应用程序进行ASN.1 的编码或解码操作。应用程序开发人员可以使

用CryptoAPI 中的函数而无需了解内部的实现细节。Windows CE 密码系统由应用程序、

操作系统(OS)和密码服务提供者(CSP)这三层组件组成(如图2). 应用程序通过CAPI 与操

作系统交换信息, 操作系统通过密码服务提供者接口(CSPI)与CSP 通信。

CSP 是实现加密操作的独立模块, 通常是一个DLL。它可以使用预定义的CSP, 也可

以由开发人员自行定制。OEM 可以编写自己的CSP 包并将其添加到注册表中。使用

CryptoAPI 函数提供的服务可以完成下列操作:(1)密钥的生成和密钥的交换; (2)数据的加

密和解密; (3)编码和解码证书; (4)管理和保证证书的安全性; (5)创建和验证数字签名,并计

算散列。

SSL(Secure Sockets Layer 安全套接层) 协议是一种安全通信协议, 它提供三种基本

服务: 信息保密、信息完整性、相互认证。它的优势在于: 它与应用层协议独立无关, 高层

的应用协议(HTTP、FTP、TELNET 等)能透明地建立于SSL 之上。SSL 协议在应用层协议

通信之前就已经经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层

协议所传送的数据都会被加密, 从而保证通信的机密性和加密算法的独立性。SSL 安全协

议可以通过WinInet 或WinSock 直接或间接地访问。Windows CE 拥有一个CA 数据

库, 它与CryptoAPI2.0 证书存储彼此独立。当应用程序试图建立安全连接时,Windows

CE 从证书链中提取根证书, 并根据CA 数据库进行检查。它通过一个证书确认调用函数,

把待连接的目标实体的认证随同比较的结果一起发送给这个应用程序, 由应用程序最终来

决定证书是否能被接收, 应用程序可以接收或拒绝任何一种证书。证书至少要满足两个条

件: 证书是当前使用的; 证书代表的身份与正在建立连接的目标实体的身份相匹配。注意,

这些根证书颁发机构是有一定期限的, 可能需要定期更新。也可以通过编辑注册表来更新

数据库, 以添加更多的CA。

通过使用智能卡存储身份验证信息或数字签名机制, 可以向Windows CE 设备添加

安全层。可以编写定制的CryptoAPI 提供者, 可以使用智能卡功能实现安全信息存储。

Windows CE 智能卡子系统通过智能卡服务提供者(SCSP) 支持CrytoAPI, SCSP 是允许

访问特定服务的DLL。该子系统在智能卡读卡器硬件和应用程序之间提供链接。典型的智

能卡系统包括应用程序、处理智能卡读卡器、应用程序之间的通信的子系统以及加密算法。

见图3。在一个独立的硬件中实现智能卡CryptoAPI 服务提供者的部分功能将保证密钥和

操作的安全性, 这是因为: A)禁止对存储区的任意修改, 用来保护个人信息、私人密钥和其

他信息。B)隔离注重安全性的计算, 这些计算涉及系统其他部分的身份验证、数字签名和

密钥交换以及加密算法。C)使各种认证凭据和其他私人信息具备便携性。在使用智能卡的

组织中, 用户实际不必记住任何密码( 只有一个个人识别号) , 并且出于其他安全性目的

( 例如电子签名的电子邮件) , 他们可以使用相同的证书。

5.关于安全防护的建议探讨

到目前为止，微软仍然没有将可以被病毒和蠕虫利用的漏洞做好防护处理，默认设置

也没有作任何改善。（1）给本机设置登录密码。当我们在使用电脑时，可能会因为临时有

事要离开座位一会。而电脑上有一些打开的文档还没有处理完，或者你正在下载东西等等。

为了避免他人动用你的电脑，一般情况下最好是把电脑设置密码锁定。然而在很多局域网

中，为了能够方便的登录网络，有时候会建立访客账户，如果对方利用这些账户来注销当

前账户登录到别的账户，那就会带来很多意想不到的麻烦。既然我们不能删除或禁用这些

账户，那么我们可以通过组策略禁止一些账户在本机上登录，让访客只能通过网络登录。

禁止用户登录可以通过组策略里的选项来完成。在“组策略”窗口中依次打开"计算机配置

→Windows 设置→安全设置→本地策略→用户权限分配"，然后点击“拒绝本地登录”，

在弹出的窗口中添加要禁止的用户就可以实现。但要注意的是 Windows

XPHomeEdition 没有“组策略”，只有 Windows XP Professional 版本才有。（2）设

置待机密码。除了设置屏幕保护密码之外，还应该设置一个待机密码，这样电脑才会更安

全。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”，在右边的窗格

中双击“从休眠/挂起恢复时提示输入密码”，将其设置为“已启用”，那么当我们从“待

机”或“休眠”状态返回时将会要求你输入用户密码。（3）自动给操作做个记录。要养成

在"事件查看器"里查看事件的习惯。例如，在对“组策略”做了修改之后，Windows 系

统就出现问题，那么“事件查看器”就会及时反应改过的策略。你可以在“登录事件”里

查看到详细的登录信息，登录事件里记载了未经允许的登录事件，还有一些账户密码已过

期等信息。若需要启动某个审核，只需双击相应的项目，选择“成功”和“失败”即可。

（4）不要对 IE 浏览器的主页做任何修改。假如不希望网络上的恶意代码，或者除自己之

外的人对设置好的IE浏览器主页进行更改，可以选择“用户配置”→“管理模板”→

“Windows 组件”→“Internet Explorer”分支，然后双击“禁用更改主页设置”策略，

点击启用就设置好了。逐级展开“用户设置”→“管理模板”→“Windows 组件”→“Internet

Explorer”分支，我们可以在其下发现“Internet 控制面板”、“浏览器菜单”、“工具

栏”和“管理员认可的控件”等策略选项。利用它可以打造出一个富有个性又安全的 IE。

（5）隐藏 Administrator。在 Windows 系统中，默认的管理员账户名为

Administrator。为了避免系统管理

员 Administrator 账户的密码被人恶意破解，可以将账号 Adminis-trator 改为自己

喜欢且易记的名字，这样可以加强安全。如果再新建一个访客用户，用户名为

Administrator，然后再加上非常复杂但自己记得住的密码就更安全了。如此一来，上次登

录到计算机的用户名就不会显示在 Windows 的登录画面中。

6.总结

操作系统安全机制的发展是一个连续的过程，微软的Windows操作系统在不断的发

展完善，其安全机制也在不断的变化，我们只有不断的学习了解新的安全机制，才能更好

的掌握它们，才能更好的防范各种木马和病毒的侵袭，保护我们计算机系统的安全。