网络管理技术(上).pptVIP

二、安装Active Directory 运行?Active?Directory?安装向导将?Windows?2000?Server?计算机升级为域控制器会创建一个新域或者向现有的域添加其他域控制器。 2）用户与计算机验证 除了保持秘密（存储和传输）外，加密还可以在相反方向上使用以验证身份。利用单向加密函数很容易从口令生成散列值，但要从散列值生成口令值则是相当困难的。由于只存储散列值，因此即使黑客能完全访问计算机，也无法读出口令。 注意：现在，黑客已创建了要散列的口令的完整数据库，他们可以从计算机中取出散列值，并查找这个目录，看看哪个口令符合这个散列，从而达到解密的效果。 3）数字化签名 由于数字化签名的目的不是取消信息，而是证明信息，因此专用密钥常用于加密原文档的散列，加密散列添加到文档后面或与它一起发送。这个过程的生成和验证比加密整个文档要快得多，但同时仍然保证专用密钥持有者签名文档。 4）安全口令交换 大多数网络操作系统都能在登录时保护用户名和口令，先加密用户和口令再在网络上发表验证。文件服务器检查加密的用户名和口令与合法用户名和口令清单对照。主机检查口令时可以将其解密并对照数据库中明文存放的口令，也可以加密存储的口令并将结果与客户机从网络上发来的内容相比较。 并不是每个验证协议都加密用户名和口令。例如：SLIP，TELNET和FTP就不加密用户名和口令。 5）匿藏 匿藏过程就是将加密文件放在别人发现不了的地方。加密文件像个随机数，因此任何像个随机数的东西都可以隐藏加密消息。 6）不应采用的几种口令形式： 姓名 电话号码 英语单词 三、Windows 2000本地安全 1．安全标识符 1）用户和计算机之类的安全主体表示为安全标识符（SID）。安全标识符向域中所有计算机惟一标识安全主体。 2）组账号也有SID，是创建组时创建的惟一标识符。账号SID与组SID适用相同的规则。 3）用户在登录时，如果账号名有效而口令正确，则WinLogon过程创建访问令牌。访问令牌刘由用户账号SID、所在组SID和本地惟一标识符组成的。LUID表示用户权利和特定登录会话。 2．资源访问 1）Windows 2000的本地用户登录过程如下： 用户按CTRL+ALT+DEL键组，造成硬件中断，激活WinLogon进程； WinLogon进程向用户提供账号名和口令登录提示； WinLogon进程向LSA发送账号名和加密口密。如果用户账号在Windows 2000计算机本地，则LSA查询本地Windows 2000计算机的SAM，否则LSA查询计算机所在域的控制器。 如果用户提供有效用户名和口令，则LSA创建一个访问令牌，包含用户账号SID和该用户所在组的组SID。访问令牌还取一个LUID，然后访问令牌传入WinLogon； WinLogon进程将访问令牌传入Win32子系统，并传入对该用户创建登录过程的请求。 登录过程建立用户环境，包括启动Windows Explorer和显示背影与桌面图标。 2）对象与权限 拥有者：包含具有对象拥有权的用户账号SID。对象拥有者可以改变对象DACL（权限）中的设置。 组：供Windows 2000的POSIX子系统使用。 任意访问控制表：DACL包含有权访问该对象服务的用户账号和组账号清单。DACL的访问控制项目和专门提供找对象访问的用户或组账号一样多。 系统访问控制表：SACL也包含访问控制项目（ACE），但这此访问控制项目用于监查而不是允许或拒绝对象服务访问。SACL的访问控制项目和专门监查的用户或组账号一样多。 3）安全引用监视器 4）权利与权限 LSA创建访问令牌时包括一个本地惟一标识符LUID。LUID描述特定用户账号的用户权利。LSA从SAM数据库或Active Directory中的安全信息创建LUID。LUID是特定用户账号权利与账号所属的所有组权利的组合。 权利优先于权限。因此Administrator账号可以取得删除所有访问权限的文件拥有权。 用户账号有权读取或写入用户账号拥有的对象，即使对拒绝ACE权限也不例外。用户账号还可以改变该用户账号拥有的对象权限。 3．NTFS文件系统权限 NTFS文件系统是Windows 2000安全的基础。NTFS是运行安全Windows 2000计算机的平台，是持久安全的护卫者。 1）LSA保证运行的程序不会相互破坏内存空间，所有内核调用正确授权。但是构成LSA的文件如何防止被程序换成行不通的对等服务呢？就是NTFS，因此安全操作系统中的安全文件系统是强制的。