CISP0206系统安全绪论.ppt

* * * * * * * * Winlogon是系统启动自动启动的一个程序，是整个登陆过程的司令官，监视整个登陆的过程，同时加载GINA。 GINA是微软为系统登陆提供的接口，但微软知道这种登陆的方式无法满足所有用户的要求，所以它开发成独立的模块。比如说要采用指纹登陆的方式，但微软的界面还是可以满足要求的，那厂商可以开发指纹认证的接口就可以了。默认是Msgina.dll。 GINA调用LSA，LSA的作用就是加载认证包（哪些认证方式），管理域间的信任关系。 认证包调用sam。 Netlogon是域登陆的时候所使用到的，建立安全通道，前面的用户名密码在通道里是加密传输的。 安全子系统包括以下部分： Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM) * * 帐户策略 所有安全策略都是基于计算机的策略。帐户策略定义在计算机上，然而却可影响用户帐户与计算机或域交互作用的方式。帐户策略包含三个子集： 密码策略。用于域或本地用户帐户。确定密码设置（如强制执行和有效期限）。 帐户锁定策略。用于域或本地用户帐户。确定某个帐户被锁定在系统之外的情况和时间长短。 Kerberos 策略。用于域用户帐户。确定与 Kerberos 相关的设置（如票的有限期限和强制执行）。本地计算机策略中没有 Kerberos 策略。 对于域帐户，只有一种帐户策略。账户策略必须在“默认域策略”中定义，且由组成该域的域控制器实施。域控制器始终从“默认域策略组策略对象”中获得账户策略，即使存在应用到该域控制器所在的部门的不同账户策略。默认情况下，加入到域（如成员计算机）中的工作站和服务器也同样接收到各自本地账户的相同账户策略。然而，本地帐户策略可能不同于域帐户策略，例如，当为各个本地帐户定义帐户策略时即是如此。 与帐户策略具有类似行为的“安全选项”有两个策略。它们是： 网络访问：允许匿名 SID/NAME 转换 网络安全登录时间超时时强制注销 账户策略 本地策略 * 公 钥 策 略 概 述 使用组策略中的公钥策略设置可以： 使计算机自动向企业证书颁发机构提交证书申请并安装颁发的证书。这有助于确保计算机能获得在组织内执行公钥加密操作（例如，为 Internet 协议安全 (IPSec) 或客户端验证）所需的证书 创建和分发证书信任列表 (CTL)。证书信任列表是根证书颁发机构 (CA)的证书的签名列表，管理员认为该列表对指定目的来说值得信任，例如客户身份验证或安全电子邮件。例如，如果认为证书颁发机构的证书对 IPSec 而言可以信任，但对客户身份验证不足以信任，则通过证书信任列表可以实现这种信任关系。 建立常见的受信任的根证书颁发机构。使用该策略设置可以使计算机和用户服从共同的根证书颁发机构（除他们各自信任的根证书颁发机构外）。域中的证书颁发机构不必使用该策略设置，因为它们已经获得了该域中所有用户和计算机的信任。该策略主要用于在不属于本组织的根证书颁发机构中建立信任。 添加加密数据恢复代理，并更改加密数据恢复策略设置。 公钥策略 IP安全策略 * WINDOWS安全实践 * 系统概述 系统架构和关键系统组件 系统服务和进程 系统启动过程 系统安全原理 安全子系统 身份认证与验证授权 日志与审计 安全策略 其它 Windows2000 强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 /windows2000/techinfo/howitworks/security/encrypt.asp “加密文件系统”(EFS) 提供一种核心文件加密技术，该技术用于在 NTFS文件系统卷上存储已加密文件。一旦加密了文件或文件夹，你就可以象使用其他文件和文件夹一样使用它们。对加密该文件的用户，加密是透明的。这表明不必在使用前解密已加密的文件。你可以象平时那样打开和更改文件。但是，试图访问已加密文件或文件夹的入侵者将被禁止这些操作。如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。 Windows加密文件系统——EFS * EFS组成 ： 由EFS服务 EFS驱动 EFS文件系统运