3.windows操作系统安全.pptVIP

网络安全综合管理高级工程师 培训讲师：白滨 belite@126.com 第五部分：Windows操作系统安全 操作系统安全定义 TCSEC定义的内容 操作系统安全要素 任何操作系统都会存在系统缺陷，主要问题集中于： 第一节：Windows操作系统安全性概述 Windows安全对象 Windows 2000中的对象类型有： 文件、文件夹、打印机、I/O设备、窗口、线程、进程和内存。 Windows 2000安全组件 安全标识符: 分配给所有用户、组和计算机的统计上的唯一号码 为了保证SID的惟一性，在生成他们的时候使用一个公式，结合计算机名，当前时间和当前用户模式线程使用CPU时间的总量。SID像这样： S－1－5－21－1649288664－1549824960－1244863647－500 Windows 2000的安全子系统 Windows安全设计 活动目录角色 使用组策略管理安全性 身份验证和访问控制 管理委派 Kerberos身份验证协议 Kerberos身份验证过程 Kerberos与Active Directory 身份验证委派 Windows2000公钥基本结构 1. 活动目录的角色 Active Directory概述 Active Directory 是一种灵活的企业级目录服务，它使用 Internet 标准技术构建，并完全集成在操作系统层次上。 ＡＤ的特征和性能 Active Directory 提供了下列非常广泛的特征和性能： 简化了用户和网络资源管理 使用 Active Directory 可以构建分层的信息结构，从而可以更轻松地控制诸如管理权限这样的事务，同时用户也可以用它方便地查找网络资源，例如文件和打印机。  组策略 使用策略分别为用户和计算机定义允许的操作和设置。与本地策略不同，使用组策略可以设置能应用在 Active Directory 内跨越指定站点、域或单位的策略。基于策略的管理简化了诸如系统更新、应用程序安装、用户配置文件和桌面系统锁定等任务。 灵活、安全的授权和身份验证 灵活安全的授权和身份验证服务，为减少 Internet 的上障碍，顺利地进行商务活动提供了数据保护措施。Active Directory 支持多种身份验证协议（例如 Kerberos V5 协议、安全套接字层协议 v3 和使用了 X.509 v3 证书的传输层安全保护），并支持有效跨越域的安全组。 强大的开发环境 Active Directory 通过 Active Directory 服务接口提供了强大的开发环境。许多业界领先的开发商已承诺支持基于 Active Directory 的应用程序标准，如 SAP、Baan、J.D. Edwards、Cisco 等等。 2.使用组策略管理安全性 组策略设置是配置设置，管理者可用此设置来控制 Actove Directory 中对象的各种行为。 可以将“组策略”配置设置与三个 Active Directory 容器相关联：组织单元 (OU)、域或站点 可以使用“组策略”来定义广泛的安全性策略。 在使用“组策略”功能来应用广泛的策略后，可以进一步细化个别 PC 上的安全性设置。 特定计算机的设置是从域到 OU 所有策略设置的组合。 3. 身份验证与访问控制 身份验证 用户在 Active Directory 中必须有一个 Windows 2000 用户帐户，以登录到计算机或域中； Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份； 用户帐户还可用作一些应用程序的服务帐户； 当用户进入网络时，用户必须提供身份验证信息以便安全系统身份验证其身份，之后再决定要允许该用户以什么权限访问网络资源； 3.1 身份验证 Windows 2000 支持，包括 X.509 证书、智能卡和、Kerberos 协议和NTLM 协议数种产业标准身份验证机制 在 Active Directory 中使用“组策略”，根据用户的角色和安全需要为个别用户或用户组指派特定身份验证机制 若身份验证成功，可以根据身份验证机制提供的身份找到用户帐户，Windows 2000 会为用户提供一组凭据，该凭据可用来访问整个网络上的资源 3.2 访问控制 访问控制 Windows 2000 通过让管理员给对象指派安全性描述符，如文件、打印机和服务等来执行访问控制 管理者不仅可控制对特定对象的访问，也可控制对该对象的特定属性的访问 使用对象的 ACL，Windows 2000 会比较关于客户端和关于对象的信息来决定用户对该对象是否具有所需的访问权 3.3 精