20159302《网络攻击与防范》第七周学习总结-2

课本内容学习

一、windows操作系统的基本结构。

　　1.windows操作系统内核的基本模块包括：

　　windows执行体：是windows内核核心文件ntoskrnl.exe的上层接口，包含了基本的操作系统内核服务。
　　windows内核体：是windows内核核心文件ntoskrnl.exe中函数实现与硬件体系结构支持代码，实现了底层的操作系统功能。
　　设备驱动程序：包括将用户I/O操作映射为特定的硬件I/O请求的硬件设备驱动程序，以及文件系统与网络设备驱动程序。
　　硬件抽象层：即hal.dll文件，是用于屏蔽windows内核与平台硬件差异性的底层代码。
　　windows窗口与图形界面接口内核实现代码：即win32k.sys文件。

　　2.windows操作系统在用户态的代码模块包括如下：

　　系统支持进程：windows开机自启动的系统内建服务进程。
　　环境子系统服务进程：为操作系统运行环境提供支持的服务进程。
　　服务进程：通过windows的服务管理机制所启动的一系列系统及网络服务。
　　用户应用软件：在用户态执行的各类用户应用软件。
　　核心子系统DLL：即kernel32.dll/user32.dall/gdi32.dll等动态链接库文件。

二、windows操作系统的安全体系结构与机制

　　windows操作系统基于引用监控器模型来实现基本的对象安全模型。引用监控器模型是安全操作系统的一种典型模型。系统中所有主体对客体的访问都通过引用监控器作为中介，由引用监控器根据安全访问机制控制策略来进行授权访问，所有访问记录也都由引用监控器生、成日志审计。
　　其最核心的是位于内核中的SRM安全引用监控器，以及位于用户态的LSASS安全服务，它们与winlogon/netlogon以及eventlog等服务一起，实现了对主体用户的身份认证机制、对所有资源对象的访问控制机制，以及对访问的安全审计机制。
　　windows操作系统中以安全主体概念来包含所有进行系统资源访问请求的实体对象，有用户、用户组和计算机三大类。对于每个安全主体，以时间和空间上都有一个全局唯一的SID安全标识符来进行标识。windows为每个用户和计算机设置账户进行管理，作为这些安全主体运行程序代码的执行环境，而账户权限的根本作用就是限制这些账户内运行程序对系统资源对象的访问。其中用户组是为了简化用户管理而引入的用户帐户容器，通过将用户账户添加到特定的用户组，就可以是的该用户拥有用户组配置的全部权限。用户密码则是经过加密处理后保存于SAM或者活动目录中的。
　　windows对于系统中所有需要保护的资源都抽象成对象，具体类型包括文件、目录、注册表键值、内核对象、同步对象、私有对象、管道、内存、通信接口等，而对于每个对象会关联一个SD安全描述符。对象安全描述符由以下属性组成：owner SID、group SID、DACL自主访问控制列表、SACL系统审计访问控制列表。

三、windows远程安全攻防技术

　　远程口令猜测与破解攻击、攻击windows网络服务、攻击windows客户端及用户。

　　windows系统的安全漏洞生命周期：漏洞发现、利用、修补过程。

　　安全漏洞公开披露信息库，有名的有CVE、NVD、OSVDB等。

　　针对一个特定的主机系统目标，渗透攻击过程包括漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试几个环节。可在metasploit下进行，在上一节中已经演示。

以上为关于windows系统安全的简单学习内容，具体深入的知识还会在后继学习中继续努力。关于本章，不理解的地方就是关于进程和线程的具体调度的方案，以及怎样去设计优化一个页面的调度方案。