课件17：WindowsNT的安全机制讲解.pptVIP

Windows NT 的安全机制简介 内容提纲 1、Windows NT 简介 2、Windows NT 的体系结构 3、Windows NT 的安全子系统 4、Windows NT 的安全服务 5、Windows NT 的安全管理 Windows NT 简介 Windows NT 是一个网络操作系统，它有两个版本：Windows NT Workstation 和 Windows NT Server。这两个版本的NT都有相同的核心支持、网络支持和安全系统。 Workstation是为单个用户高性能地运行应用程序服务的，而Server则是为多用户网络提供服务。 在此，我们所讨论的都是基于Windows NT Server。 Windows NT 简介 Windows NT Server 一方面是为了满足目前商业计算机世界的需要，另一方面也是最容易安装、管理和使用的网络操作系统。这种强健的多用途的网络操作系统提供了可靠的文件和打印服务，同时也提供了运行强有力的客户/服务器应用程序的结构。Windows NT Server是包含有Internet 和 Intranet功能的网络操作系统。 Windows NT 简介 Windows NT 运行于Client/Server模式，其设计客体是提供文件和打印服务；他支持远程访问服务 RAS (Remote Access Service)和Internet服务。Windows NT中带有一个完全的WEB服务器组件—IIS，所以它可以在Internet上提供WEB服务。另外，通过添加软件，Windows NT 也可以作为防火墙使用。 Windows NT的体系结构 Windows NT是由一组软件组件组成，他们运行在核心模式下。 Windows NT的体系结构 (1) 核心模式由执行服务组成，它们构成一个自成体系的操作系统。 (2) 用户模式由非特权的服务组成，这些服务也称为受保护子系统，他们的启动由用户决定。用户模式在核心模式之上，用户模式组件要利用核心模式提供的服务。 Windows NT的对象 为了实现自身的安全特性，Windows NT 把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows NT 提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把 Windows NT 还称为基于对象的操作系统。 Windows NT的对象 Windows NT的安全就是基于以下的法则： 用对象表现所有的资源 只有 Windows NT 才能直接访问这些对象 对象能够包含所有的数据和方法 对象的访问必须通过 Windows NT 的安全子系统的第一次验证 存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么 Windows NT的对象 Windows 中首要的对象类型有： (1)文件 (2)文件夹 (3)打印机 (4)I/O 设备 (5)窗口 (6)线程 (7)进程 (8)内存 三、Windows NT 的安全子系统 Windows NT的安全子系统 Windows NT 安全子系统包含五个关键的组件： Security identifiers Access tokens Security descriptors Access control lists Access control entries 安全标识符（ Security Identifiers ） 操作系统提供的安全功能中很重要的一点就是责任——确保任何实体的动作将唯一用该实体标识。每次当我们创建一个用户或一个组的时候，系统会分配给该用户或组一个唯一 SID。它是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 访问令牌（ Access Tokens ） 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT ，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象， Windows NT 将会分配给用户适当的访问权限。 安全描述符（Security descriptors） Windows NT 中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表（Access control lists） 访问控制列表有两种：自主访问控制列表（ Discretionary ACL）、系统访问控制列表（System ACL）。自主访问控制列表包含了用户和组的列表，以及相应的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时