《Windows系统安全》课件

系统安全概述Windows系统安全定义对操作系统保护措施的总称Windows全球市场份额超过75%近年重大事件WannaCry、永恒之蓝系统发展历史与安全演Windows变1Windows NT首个企业级安全架构2Windows XP引入防火墙、自动更新3Windows7/8UAC成熟、ASLR广泛应用4Windows10/11虚拟化安全、TPM强制操作系统安全的基本目标完整性机密性防止数据被篡改或破坏确保信息不被未授权访问可用性保证系统服务持续可用可审计性不可否认性支持安全事件分析和调查确保操作可追溯系统常见安全威胁Windows介绍病毒与蠕虫自我复制传播、破坏系统功能木马与后门伪装正常程序、窃取信息间谍软件监控用户活动、收集敏感数据网络攻击DDoS、中间人攻击、漏洞利用安全体系结构概述Windows应用层应用程序安全机制服务层认证授权、加密等安全服务基础层内核安全、硬件支持核心安全服务Windows认证服务身份验证与用户登录Kerberos、NTLM、证书授权服务权限控制与访问管理ACL、组策略、UAC隐私保护数据加密与隐私设置BitLocker、EFS安全管理审计与日志、补丁更新威胁检测与响应身份认证基础概念用户账户凭证操作系统使用者系统中的身份标识验证身份的证明认证强度验证机制的安全级别身份认证方式详解协议协议现代认证NTLM Kerberos挑战-响应方式票据授予机制Windows Hello面部识别兼容性好但安全性较低单点登录支持指纹验证密码哈希传输时间同步要求PIN码替代密码多因素认证与实用技术智能卡生物识别安全密钥物理卡片+PIN码指纹/面部/虹膜USB安全令牌用户账户与权限管理管理员账户系统完全控制权标准用户有限权限操作访客账户最小化权限访问控制基本概念DAC用户自行决定资源访问MAC系统强制执行访问策略RBAC基于角色分配权限访问控制机制Windows用户组标识/安全标识符SID唯一标识安全描述符定义对象访问权限访问控制列表包含多个访问控制项ACE访问检查比对用户权限与ACL文件与目录访问控制完全控制所有操作权限修改读取、写入、删除读取和执行查看内容、运行程序列出文件夹内容查看目录中文件名读取查看文件内容写入修改文件内容特殊权限高级控制选项用户账户控制机制UAC用户操作触发执行需要管理员权限的操作权限检查系统检测到需要提升权限安全桌面切换屏幕暗化，显示UAC对话框用户确认用户确认或输入管理员凭证审计与安全日志定义审计策略1选择需要记录的安全事件类型配置事件日志2设置日志大小和覆盖策略监控关键事件3登录失败、特权使用、策略变更分析安全日志4使用事件查看器分析可疑活动安全参考监视器SRM认证信息收集安全策略检查获取用户身份信息验证访问权限审计记录授权决策记录安全相关事件允许或拒绝访问请求安全特权与系统服务系统关键特权服务安全配置•调试程序•运行账户选择•加载驱动程序•最小权限原则•接管所有权•限制服务交互•备份/恢复文件•网络访问控制网络通信安全机制IPsec SSL/TLS网络层加密协议传输层安全协议保护数据传输安全加密网络通信支持认证头和ESP证书认证机制VPN虚拟专用网络安全访问内部资源支持多种协议网络防火墙配置Windows三种网络配置文件域、专用、公用入站规则阻止未授权连接出站规则限制应用网络访问记录选项分析连接尝试入侵检测与防护系统监控检测网络流量和系统行为分析识别异常模式和已知攻击特征告警发出安全事件通知响应自动阻止攻击并记录证据恶意软件防护措施实时监控监视文件活动和系统变化特征码扫描比对已知病毒签名行为分析检测可疑程序行为沙箱检测隔离环境中运行可疑程序威胁处置隔离、删除或修复感染系统补丁与更新Windows安全更新功能更新质量更新修复安全漏洞新功能和大版本升修复系统稳定性问级题驱动更新硬件兼容性和性能数据加密与保护技术加密文件系统全盘加密EFS BitLocker•文件级加密技术•卷级加密保护•基于用户账户•TPM硬件支持•适合加密单个文件•适合加密整个驱动器•不支持系统文件•防止离线攻击认证支持硬件安全Windows芯片模块安全启动TPM HSM安全存储密钥高级密钥管理验证启动组件安全启动和UEFI固件验证引导程序验证UEFI2检查固件数字签名确保引导加载程序未被修改内核验证防护3Rootkit验证操作系统内核完整性阻止未签名驱动程序加载基于虚拟化的安全隔离Credential GuardDevice Guard保护凭据缓存应用程序可信执行隔离身份验证过程强制代码完整性防止哈希提取攻击阻止未授权软件Application Guard浏览器沙箱保护隔离不可信网站防止恶意代码扩散内存安全与ASLR工作原理ASLR随机化内存地址空间每次启动位置不同增加攻击难度传统固定地址易被攻击ASLR随机化攻击者难以预测与泄漏缓解DEP SEHOP数据执行保护缓冲区溢出防护异常处理保护阻止内存数据页执行代码检测栈破坏尝试验证异常处理链完整性与文件保护机制WFP WRP1000+4100%受保护系统文件关键保护层系统稳定性提升Windows资源保护覆盖范围应用层到内核层全面防护防止关键文件被篡改进程安全与权限隔离沙箱隔离完全隔离环境1权限分离最小权限运行进程完整性级别多级安全分层浏览器安全特性Edge多层沙箱隔离网页内容在隔离环境中运行限制ActiveX移除不安全插件支持脚本执行控制严格的JavaScript执行策略Microsoft Defender内置恶意网站和下载保护应用程序防护与信誉机制应用签名验证信誉评估检查开发者证书分析程序历史行为应用隔离过滤4SmartScreen限制应用权限范围3拦截已知恶意应用与脚本安全PowerShell限制型执行策略禁止所有脚本执行全部限制型执行策略仅允许交互式命令远程签名执行策略本地脚本无需签名，远程脚本需签名全部签名执行策略所有脚本必须签名不受限制执行策略不验证，不推荐使用常见攻击手段案例分析权限提升零日漏洞横向移动利用系统漏洞获取管理员权限利用未公开安全缺陷从一台机器扩散到整个网络钓鱼攻击与社会工程学钓鱼邮件特征紧急要求、异常链接、拼写错误伪造网站识别检查URL、证书、界面异常语音钓鱼不要透露个人信息给陌生来电防护措施多重验证、安全意识培训及外设使用风险USB云服务与远程办公安全多因素认证加密通信设备管理身份验证更安全保护数据传输控制访问权限零信任架构持续验证每次访问终端设备管控与MDM主要功能条件访问策略Intune•设备注册管理•设备健康状态•应用部署控制•位置与网络•安全策略应用•应用风险评估•合规性检查•用户风险级别数据备份与恢复策略定期备份关键数据按计划自动备份多份副本遵循3-2-1备份原则加密存储备份数据加密保护测试恢复定期验证备份可用性安全意识与日常行为规范密码管理邮件安全使用强密码警惕可疑附件定期更换验证发件人身份不同账户不同密码不点击未知链接软件管理仅安装可信来源软件保持系统更新卸载不用的应用安全基线与策略实施基准评估建立安全现状基准制定策略明确安全控制要求技术实施部署安全配置符合性检查验证策略执行情况持续优化定期评估和调整加固与最小化攻击面移除不必要组件卸载未使用的功能和服务关闭未使用端口最小化网络暴露面限制特权账户严格控制管理员权限使用应用安全补丁4及时修复已知漏洞多重防线与分层安全云安全身份管理、数据保护应用安全代码审计、漏洞扫描系统安全补丁管理、配置加固硬件安全4TPM、安全启动最新安全工具与趋势防护工具高级威胁防护EMET ApplicationGuard提前应用缓解技术浏览器虚拟化隔离基于云的安全分析常见安全问题与应急响应告警与通报监测与识别启动应急响应识别安全事件控制与抑制限制事件影响3总结与改进清除与恢复提升安全措施消除威胁恢复业务真实案例勒索病毒防范与处置初始感染钓鱼邮件或漏洞利用潜伏扩散扫描网络并加密文件加密勒索显示勒索信息要求支付恢复处置使用备份或解密工具真实案例数据泄露事件分析初始入侵1利用外部漏洞获取立足点权限提升2窃取凭证获取管理员权限横向移动3扩散到核心业务系统数据窃取4收集并加密传输敏感信息覆盖痕迹5清除日志和访问记录前瞻人工智能与安全Windows增强安全应用带来的安全挑战AI AI•异常行为检测•AI生成的钓鱼内容•自动威胁响应•自动化攻击工具•预测性安全分析•对抗性攻击方法•智能身份验证•隐私与数据保护学习资源与参考链接官方文档Microsoft安全中心培训资源SANS课程、微软安全培训行业标准NIST框架、ISO27001社区资源安全公告、技术论坛总结与答疑35+安全基本原则关键保护层机密性、完整性、可用性从硬件到应用的多层防御24/7持续防护安全是持续过程而非一次性任务。