网络安全与防火墙技术4 Windows NT2000XP安全性及防护.ppt

4 Windows NT/2000/XP 安全性及防护 4.1 Windows NT/2000/XP的安全机制? 可以从Windows NT／2000/XP用户的登录机制和Windows NT／2000/XP的访问控制机制两个方面来理解其安全机制。 Windows NT／2000/XP操作系统是建立在一套完整的安全机制上的，因而任何一个机构，在使用Windows NT/2000/XP前都必须指定它们的安全策略。这些策略要详细说 明该机构对登录机制、访问控制、信息保护及审核的要求。用户可以用Windows NT/2000/XP来配置网络，使信息能够按需要知道的部门和用户群来分类并控制非法用户的访问。同时，Windows NT／2000/XP系统还使得用户能够将网络和有组织的资源当作对象组来进行管理，并改善身份确认和访问控制的安全措施。只有将企业的安全策略和Windows NT／2000/XP操作系统的底层的安全机制有机地结合起来，才能充分发挥Windows NT/2000/XP的各项安全特性。 4.1.1 Windows NT/2000/XP中的对象 对象是构成Windows NT/2000/XP操作系统的基本元素，对象可以是文件、目录、存储器、驱动器、系统程序或Windows桌面等。 对象为Windows NT／2000操作系统提供了较高的安全级。对外来者，它们的数据封装在对象中，并只按对象的功能所定义的方式提供数据。对所有对象的操作都必须事先得到授权并由操作系统来执行。这就建立起一个保护层，可以有效地防止外部程序直接访问网络数据。Windows NT/2000/XP正是通过阻止程序直接访问对象来获得高的安全保障的。 4.1.2 Windows NT/2000/XP网络的工作组模型? 在Windows NT/2000/XP网络中有两种基本的组网模型：工作组模型和域模型。? 在工作组模型的网络中，组是指计算机的逻辑组合，它把具有共同使用的设置如打印机、硬盘供组成员共享，组成员管理自己的账号和数据的安全性，如图4.1所示。 图4.1 工作组的结构 4.1.3 Windows NT/2000/XP网络的域模型? 1)域? 域是指共享公共账号数据库和数据安全策略的计算机的逻辑组合，提供登录验证，并只有惟一的域名。域一般由几个运行Windows NT／2000工作站版和服务器版的计算机组成。 图4.2 域的组成 2)域的主要组成部分? 组成一个域至少需要一台运行Windows NT／2000 Server的计算机作为主域控制器，用来保存用户账户和组账户信息的数据库的主拷贝，同时负责管理用户和组账户，可选的组成部分有：备份域控制器、成员或独立的服务器和各种类型的客户机(Windows 3.x客户机、Windows for workgroup客户机、MS-DOS客户机、Windows NT workstation客户机、Windows 2000客户机，Windows 9x客户机、LAN Manager 2.x客户机、Novell Netware客户机、Macintosh客户机等)。 3)域模型? 域有4种组织网络模型：单域模型、主域模型、多主域模型以及完全信任模型。? 单域模型网络中只有一个域，适用于用户很少的网络中。? 主域模型由于某种原因将网络分成几个域，只在一个域(主域)中创建网络中的所有用户和全局组，所有其他的域都信任这个域，可以使用在主域中定义的用户和全局组。 多主域模型在网络中有多个主域和多个域(资源域)，其中主域作为账户域，所有的用户账户和组都创建在主域上，每个主域都相 互信任，其他的所有资源域都信任每个主域。 完全信任模型网络中具有多个主域，每个域中都有自己的用户和全局组，且这些域均两两信任。 4)信任关系? 信任关系是域之间的链接，允许跨越身份验证。通过信任关系，使用户可以使用其他域中的网络资源(当然还要有使用资源的权限)。有两种类型的信任关系： 单向信任关系一个域(信任域)信任其他域(被信任域)中的用户使用其资源，即信任域完全承认来自被信任域的所有用户和全局组账户，而信任域中的用户无法使用被信任域中的资源。在图4.3中，域C信任域A，属于单向信任关系。?? 双向信任关系网络中的每个域都信任对方域中的用户使用其网络资源。通过适当使用双向信任关系，可以使任一域中的用户使用网络中的所有网络资源。所以说双向信任关系相当于两个单向信任关系，即域相互信任。全局用户账号和全局组可被用 来从任何一个域中得到授权来访问其中任何一个域中的资源。在图4.3中，域A与域B属于双向信任关系。?? 5)域的优点 单一登录过程 集中式管理 6)域命名约定? 规