◆伍喚宇 李亞茹 龍瀚林

Windows系統(tǒng)安全機(jī)制與安全技術(shù)分析

◆伍喚宇1李亞茹1龍瀚林2

（1.合肥工業(yè)大學(xué) 安徽 230031；2.哈爾濱工業(yè)大學(xué)（深圳） 廣東 518055）

Windows操作系統(tǒng)是目前世界上最流行的操作系統(tǒng)之一。自Windows操作系統(tǒng)在市場(chǎng)上出現(xiàn)以來，為臺(tái)式電腦，服務(wù)器和其他計(jì)算機(jī)系統(tǒng)范圍的各種平臺(tái)提供了解決方案。Windows10自從問世以來就一直備受用戶的關(guān)注和喜愛，成為微軟自Windows7以來的又一大革新，在功能體驗(yàn)和安全性方面都有了很大程度的改進(jìn)。為了進(jìn)一步了解Windows操作系統(tǒng)的安全性，本文對(duì)Window內(nèi)部的相關(guān)安全機(jī)制及以及Windows10的新安全技術(shù)進(jìn)行了分析和研究。

Windows系統(tǒng)；安全模型；安全機(jī)制

Windows10作為新一代的Windows操作系統(tǒng)，內(nèi)部集成了一系列的安全機(jī)制，同時(shí)應(yīng)用了大量新的安全技術(shù)，其安全性在各個(gè)方面都得到了增強(qiáng)。Windows10中有傳統(tǒng)的安全模型和協(xié)議，包括自主訪問控制模型，完整性模型，特權(quán)隔離，完整性保護(hù)，用戶認(rèn)證等，也有實(shí)現(xiàn)安全模型所采用的方案，例如完整性控制、用戶賬戶控制，訪問控制列表，安全標(biāo)識(shí)符，Kerberos協(xié)議等，還有針對(duì)Windows的具體使用場(chǎng)景引入的其他安全方案，比如生物認(rèn)證，基于虛擬化的安全等以及DEP和ASLR技術(shù)等。在本文中，首先對(duì)計(jì)算機(jī)系統(tǒng)的安全模型進(jìn)行介紹，接下來介紹Windows中的安全模型和實(shí)現(xiàn)方法，最后介紹Windows10的新安全技術(shù)。

1 計(jì)算機(jī)信息系統(tǒng)安全模型

計(jì)算機(jī)信息系統(tǒng)的形式化安全模型的研究始于20世紀(jì)七十年代。形式化安全模型的需求最初來自軍事領(lǐng)域，但是隨著計(jì)算機(jī)系統(tǒng)在私人、商業(yè)等非軍事領(lǐng)域變得越來越重要，形式化安全需求也開始出現(xiàn)在個(gè)人和商業(yè)領(lǐng)域[1]。

20世紀(jì)末提出的幾種形式化安全模型是十分經(jīng)典的安全模型，至今仍在廣泛應(yīng)用。它們主要可以歸類于以下幾種：自主訪問控制模型（DAC），強(qiáng)制訪問控制模型（MAC），完整性模型，基于角色的訪問控制模型（RBAC）以及信息流模型（Information-FlowModels）[2]。

自主訪問控制模型主要有HRU模型，具體實(shí)現(xiàn)有訪問控制矩陣、訪問控制表及前綴表等。

強(qiáng)制訪問控制模型主要有BLP模型，Biba模型，具體實(shí)現(xiàn)有Unix文件系統(tǒng)的Multics方案等。其中BLP側(cè)重于保密性，Biba模型側(cè)重于完整性。

完整性模型主要有Clark-Wilson[5]模型，在WindowsNT中許多功能都是對(duì)Clark-Wilson模型的實(shí)現(xiàn)。

基于角色的訪問控制模型主要有RBAC1，RBAC2，RBAC3，幾乎應(yīng)用于所有數(shù)據(jù)庫.

信息流模型主要有四種[3]：基于格的信息流模型、基于進(jìn)程代數(shù)的信息流模型、基于安全類型系統(tǒng)的信息流模型和基于自動(dòng)機(jī)的信息流模型。

2 Windows系統(tǒng)安全機(jī)制

2.1 訪問控制模型

Windows操作系統(tǒng)與Linux不同，不支持強(qiáng)制訪問控制，而是采用自主訪問控制，并且沒有可支持不同訪問控制模型的通用框架[4]。

Windows訪問控制模型有兩個(gè)主要的組成部分，訪問令牌和安全描述符，分別屬于被訪問主體和被訪問主體。當(dāng)Windows賬戶登錄時(shí)，系統(tǒng)從自身數(shù)據(jù)庫中查詢賬戶信息，用信息生成令牌，并且將令牌的副本賦給在賬戶環(huán)境里啟動(dòng)的進(jìn)程。當(dāng)進(jìn)程在對(duì)對(duì)象進(jìn)行訪問時(shí)，系統(tǒng)會(huì)通過進(jìn)程的令牌來進(jìn)行訪問檢查。

2.2 完整性模型以及完整性等級(jí)保護(hù)

在CW模型中，有以下性質(zhì)：

（1）系統(tǒng)需要一個(gè)IVP來確認(rèn)任何CDI的完整性；

（2）CDI只能由轉(zhuǎn)換過程（TP）來進(jìn)行更改，且所有TP必須維護(hù)CDI的完整性；

（3）主體只能對(duì)特定的CDI執(zhí)行與其關(guān)聯(lián)的特定操作；

（4）訪問規(guī)則必須滿足責(zé)任分離要求；

（5）能夠?qū)DI運(yùn)用的TP將其轉(zhuǎn)換為CDI；

（6）所有執(zhí)行的TP必須留下只寫的日志；

（7）只有特殊的主體被系統(tǒng)允許更改相關(guān)于驗(yàn)證的列表。

相應(yīng)的在WindowsNT中，分別有以下實(shí)現(xiàn)：

（1）LSA負(fù)責(zé)檢查主體訪問令牌的安全信息；

（2）除管理員等少量用戶可以直接更改任何客體的屬性之外，其余用戶不具有此能力；

（3）主體帶有的訪問令牌包含了其被允許的操作；

（4）只有管理員可以訪問任何客體；

（5）用戶可將無ACL的客體轉(zhuǎn)為有ACL；

（6）只寫日志存在于WindowsNT；

（7）只有管理員能夠查看和執(zhí)行需要高安全等級(jí)的操作。

從上面一段的介紹中可以看出，WindowsNT滿足CW模型，也就是CW模型的安全機(jī)制可以由WindowsNT實(shí)現(xiàn)。

Windows中每個(gè)安全對(duì)象具有一定的完整性等級(jí)（IL），并且由一個(gè)SID來標(biāo)記，默認(rèn)值為中等。由低IL進(jìn)程產(chǎn)生的對(duì)象，其完整性等級(jí)為低IL。當(dāng)一個(gè)進(jìn)程試圖訪問一個(gè)對(duì)象時(shí)，“SeAccessCheck”接口將檢查該進(jìn)程的完整性等級(jí)，并判斷進(jìn)程是否符合訪問控制列表。當(dāng)訪問控制列表允許訪問，但是主體的完整性等級(jí)低于客體，訪問也不會(huì)被執(zhí)行。

2.3 用戶界面特權(quán)隔離

完整性等級(jí)還被用于Windows消息子系統(tǒng)，用來實(shí)現(xiàn)用戶界面特權(quán)隔離（UIPI）。UIPI的主要功能是防止低完整性等級(jí)處理窗口向高完整性等級(jí)窗口發(fā)送消息。在Vista之前的Windows操作系統(tǒng)，許多程序請(qǐng)求下管理員權(quán)限運(yùn)行，但是實(shí)際上并沒有必要。在Vista中增加了對(duì)這些請(qǐng)求的控制，但是為了兼容Vista之前編寫的32位并且沒有運(yùn)行在管理員權(quán)限下的程序，在Vista之后的Windows版本新引入了文件虛擬化與注冊(cè)表虛擬化機(jī)制。在用戶使用標(biāo)準(zhǔn)賬戶時(shí)，若標(biāo)準(zhǔn)賬戶下的程序試圖對(duì)系統(tǒng)范圍的文件或注冊(cè)表進(jìn)行修改，系統(tǒng)會(huì)將這個(gè)操作映射到用戶范圍的虛擬位置。

2.4 用戶賬戶控制

用戶賬戶控制（UAC）是在Vista中為了提高安全性引入的功能，通知用戶是否允許應(yīng)用程序使用驅(qū)動(dòng)器和系統(tǒng)文件以防止惡意軟件損害系統(tǒng)。但是此功能在Vista中只有開啟和關(guān)閉兩種選項(xiàng)，這導(dǎo)致頻繁的彈窗通知。Windows7上則加入了兩種UAC級(jí)別，這兩種級(jí)別的區(qū)別在于其中一個(gè)在彈窗時(shí)會(huì)進(jìn)入安全桌面，這個(gè)安全桌面屬于SYSTEM賬戶，原用戶賬戶下的程序無法知道UAC彈窗的情況，也無法繞過UAC提示框；而另一個(gè)彈窗則沒有進(jìn)入安全桌面，依然使用原有賬戶的桌面環(huán)境，相對(duì)前一級(jí)別來說安全性有所降低。

2.5 服務(wù)隔離

在以往的Windows版本中，服務(wù)與用戶進(jìn)程都運(yùn)行在同一個(gè)會(huì)話下。Vista后的版本中服務(wù)運(yùn)行在“隔離會(huì)話0”中。這意味著正常服務(wù)不會(huì)顯示事件或者任何彈出對(duì)話框與用戶的互動(dòng)，它會(huì)一直靜默而用戶將無法注意到它。如果有個(gè)進(jìn)程嘗試彈出通知框給用戶以獲取用戶輸入，它會(huì)一直待命，因?yàn)橛脩魺o法看到對(duì)話框。用戶所登錄的交互會(huì)話實(shí)質(zhì)上是一個(gè)終端的服務(wù)器。微軟認(rèn)可的從在隔離會(huì)話0中運(yùn)行的服務(wù)發(fā)送消息方法是使用WTSSendMessage，它是Windows終端服務(wù)API的一部分。用服務(wù)隔離的方式可以提高服務(wù)的安全性。

2.6 內(nèi)核保護(hù)

Windows保護(hù)機(jī)制主要由DEP（數(shù)據(jù)執(zhí)行保護(hù)）、GS（一種編譯選項(xiàng)）、ASLR（地址隨機(jī)化）及SafeSEH（安全結(jié)構(gòu)化異常處理）等安全技術(shù)組成。這些安全技術(shù)通過從不同方面給攻擊者制造障礙，增加攻擊者實(shí)施緩沖區(qū)溢出攻擊的難度，進(jìn)而提升系統(tǒng)內(nèi)存的安全性。其中，DEP技術(shù)能夠在內(nèi)存上（如棧和堆）執(zhí)行額外檢查以阻止惡意代碼的運(yùn)行，GS棧保護(hù)技術(shù)對(duì)棧中內(nèi)容進(jìn)行檢查保護(hù)程序的返回地址，ASLR技術(shù)通過對(duì)棧和堆等線性區(qū)布局的隨機(jī)化加大攻擊者預(yù)測(cè)目的地址的難度，防止攻擊者定位shellcode地址和系統(tǒng)調(diào)用地址，SafeSEH技術(shù)通過SEH句柄驗(yàn)證及鏈驗(yàn)證來保護(hù)SEH節(jié)點(diǎn)。這幾種安全技術(shù)既相互獨(dú)立又互為補(bǔ)充，共同組成了Windows抵御緩沖區(qū)溢出攻擊的完整的安全機(jī)制。

3 Windows網(wǎng)絡(luò)認(rèn)證協(xié)議及保護(hù)機(jī)制

3.1 NTLM協(xié)議

NTLM是網(wǎng)絡(luò)認(rèn)證協(xié)議，發(fā)展于LM協(xié)議，與LM協(xié)議機(jī)制相同，但是采用了不同的加密算法，基于挑戰(zhàn)/響應(yīng)。目前LM協(xié)議已經(jīng)淘汰。NTLM協(xié)議只支持Windows系統(tǒng)，其過程主要分為三步：協(xié)商、質(zhì)詢、驗(yàn)證。

3.2 Kerberos協(xié)議

在Windows2000Serve之前微軟主要使用NTLM進(jìn)行驗(yàn)證。隨著Windows2000的發(fā)行，微軟采用Kerberos作為身份驗(yàn)證協(xié)議。它不僅比NTLM更安全、更高效，而且在其他系統(tǒng)上比如UNIX和Linux實(shí)現(xiàn)得很理想，并且能應(yīng)用于Windows和Unix以及Linux系統(tǒng)之間。

Kerberos協(xié)議的主要目標(biāo)是利用密鑰系統(tǒng)向客戶/服務(wù)器提供更完善的認(rèn)證服務(wù)。此協(xié)議不依賴主機(jī)的地址信任和操作系統(tǒng)的認(rèn)證，并且不要求安全的通信信道。Kerberos通過傳統(tǒng)的密碼技術(shù)執(zhí)行認(rèn)證服務(wù)，主要包括四個(gè)部分：主機(jī)，服務(wù)器和KDC。KDC主要負(fù)責(zé)認(rèn)證、訪問票據(jù)的分發(fā)及對(duì)整個(gè)過程的管理，主機(jī)利用訪問票據(jù)訪問服務(wù)器。

3.3 拓展認(rèn)證協(xié)議

Windows7中推出了一種稱為家庭的功能加強(qiáng)的家庭和小型網(wǎng)絡(luò)體驗(yàn)。用戶可以在家里共享數(shù)據(jù)，并且可以在計(jì)算機(jī)之間使用線上ID進(jìn)行身份驗(yàn)證。用戶需要將其Windows用戶賬戶顯式地鏈接到在線ID來使用功能。認(rèn)證由一種叫作基于公鑰算法的公共用戶到用戶協(xié)議支持，也叫作PKU2U。

3.4 憑證保護(hù)

憑證保護(hù)使用基于虛擬化的安全方案將NTLM和Kerberos等使用的憑證和密碼存儲(chǔ)于本地安全中心（LSA），和操作系統(tǒng)中的其他組件隔離開來。LSA中只存放憑證和經(jīng)過簽名的少量操作系統(tǒng)二進(jìn)制文件，這些二進(jìn)制文件被加載和執(zhí)行前都要通過簽名驗(yàn)證，以此確保其中憑證的安全。

4 Windows生物識(shí)別框架

Vista中重新設(shè)計(jì)了登錄方案。這個(gè)方案刪除了圖形標(biāo)志和身份驗(yàn)證的基礎(chǔ)結(jié)構(gòu)，并添加了憑據(jù)提供程序拓展模型。該憑證提供程序基礎(chǔ)結(jié)構(gòu)是一組在第三方拓展了關(guān)于用戶輸入憑據(jù)的用戶體驗(yàn)時(shí)能提供一致性的接口，并將其集成到常見的Windows憑據(jù)對(duì)話框。隨著指紋驗(yàn)證越來越普遍，定義一個(gè)用來管理和使用這些技術(shù)的通用框架從而推動(dòng)指紋識(shí)別發(fā)展和增強(qiáng)可靠性的措施顯然十分必要。在Windows7之后，微軟添加了新的Windows生物識(shí)別框架（WBF）。WBF旨在更方便地支持生物識(shí)別認(rèn)證設(shè)備。在Windows7中，WFB只支持指紋識(shí)別器[6]，但在Windows10時(shí)已經(jīng)進(jìn)行了拓展。目前已經(jīng)有很多支持面部識(shí)別的筆記本。

Windows生物識(shí)別服務(wù)（WBS）的主要作用是把相同的WBF聯(lián)系起來。WBS提供與生物識(shí)別設(shè)備驅(qū)動(dòng)程序的接口，也提供了Windows生物識(shí)別框架API，允許應(yīng)用程序與這些生物識(shí)別設(shè)備進(jìn)行互動(dòng)。

5 Windows虛擬化安全

5.1 Hyper-V技術(shù)

Windows10應(yīng)用Hyper-V技術(shù)，允許一部分組件運(yùn)行于與其他組件相隔離的虛擬環(huán)境中，并可以完全控制這些組件所持有的全部?jī)?nèi)存頁面的屬性，以此來保護(hù)重要的數(shù)據(jù)和服務(wù)不受侵害。被置于虛擬環(huán)境的惡意軟件即使獲取了對(duì)操作系統(tǒng)內(nèi)核的訪問權(quán)限，其攻擊手段也將被極大地限制。Hyper-V虛擬機(jī)監(jiān)控程序代碼量小，且通過UEFI和系統(tǒng)內(nèi)核一道啟動(dòng)，能夠確保其本身不被攻擊者利用。

5.2 沙箱技術(shù)

Windows10在1903更新中加入了沙箱機(jī)制。其本質(zhì)上也是基于虛擬化的安全方案，不同的是沙箱是一種用于一次性執(zhí)行不受信任的軟件的措施，且和虛擬機(jī)一樣支持快照和克隆。當(dāng)它啟用時(shí)，Windows為其動(dòng)態(tài)地生成一個(gè)映像，其中的大多數(shù)文件不可更改，采用軟鏈接的方式附著于鏡像上。映像執(zhí)行時(shí)，宿主Windows內(nèi)存中的多數(shù)共享庫以不允許修改的方式直接映射至沙箱的內(nèi)存空間，并且沙箱中的任務(wù)調(diào)度由宿主系統(tǒng)的調(diào)度器完成，就如Linux系統(tǒng)上KVM所做的一樣。沙箱每次被關(guān)閉時(shí)，所有對(duì)文件進(jìn)行的修改都會(huì)被丟棄。

6 WindowsDefender高級(jí)威脅防護(hù)

WindowsDefender高級(jí)威脅防護(hù)是集防護(hù)、泄露后檢測(cè)、自動(dòng)調(diào)查和響應(yīng)為一體的統(tǒng)一平臺(tái)。它依托云技術(shù)以提供自動(dòng)化的安全防護(hù)；借助機(jī)器學(xué)習(xí)和高級(jí)行為分析來發(fā)現(xiàn)和追蹤攻擊；運(yùn)用高級(jí)運(yùn)行時(shí)分析，自動(dòng)調(diào)查和修復(fù)高級(jí)攻擊帶來的影響；為用戶提供基于遙測(cè)功能的安全專家服務(wù)。

7 結(jié)論

在本文中，我們介紹了最主要的幾種計(jì)算機(jī)信息系統(tǒng)安全模型，并對(duì)Windows的安全模型進(jìn)行了分析，同時(shí)還介紹了Windows針對(duì)各種場(chǎng)景采取的安全措施。這些措施在極大地增強(qiáng)Windows系統(tǒng)的安全性的同時(shí)也關(guān)注著用戶的使用體驗(yàn)。今天，人們的隱私受到空前的威脅，勒索病毒和加密貨幣挖掘也正悄然復(fù)蘇；但我們有理由相信，隨著高級(jí)威脅防護(hù)的推廣和基于虛擬化的安全的廣泛運(yùn)用，Windows系統(tǒng)仍然能夠持續(xù)勝任用戶的安全需求。

[1]Carl E. Landwehr，F(xiàn)ormal Models for Computer Security [J].Computer Surveys，Vol 13，No 3，September 1981.

[2]M .Harrison，W. Ruzzo. and J. Ullman. Protection in Operating Systems[J]. Communications of the ACM，19（8）：461-471，August1986.

[3]吳澤智，陳性元，楊智，杜學(xué)繪.信息流控制研究進(jìn)展[J].軟件學(xué)報(bào)，2017，28（1）：135-159.

[4]李奇，周學(xué)海，陳香蘭.Windows訪問控制實(shí)施框架的研究與設(shè)計(jì)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2009（12）：83-87.

[5]D.Clark，D.Wilson，A Comparison of Commercial and Military Computer Security Policies[J].IEEE Symposium on Security and Privacy，184-194，IEEE，1987.

[6]Chris Corio. An Introduction to Security in Windows 7[M]. TechNet Magazine，May 2009，13-20.