网络信息安全_第三次课讲解.ppt

第二章 网络操作系统安全 第三节 Windows NT系统安全 Windows NT系统整体安全性符合TCSEC的C2安全等级，部分安全措施已经达到了B2级别。 一、Windows NT的安全基础 1．Windows NT中的对象 Windows NT的安全机制是建立在对象的基础上的，因此，对象的概念与安全问题密切相关。 对象是构成Windows NT操作系统的基本元素，它可以是文件、目录、存储器、驱动器或系统程序等。 对象属性：SID（安全标识符）GID（身份标识符） ACL（访问控制列表） 文件 目录 存储器 驱动器 系统程序 对象 2．Windows NT中的网络模型 Windows NT系统中有两种基本的网络模型：工作组模型和域模型。 (1) 工作组模型 工作组模型：是一个“对等”网结构。 (2) 域模型 域是一个共享公共目录数据库和安全策略的计算机及用户的集合，它提供登录认证，并具有唯一的域名。 3. 用户帐户、权力(Power)和权限(Jurisdiction) 每个要登录Win NT的用户，都要有一个用户帐户，该帐户是由系统管理员创建的，用户帐户中包括用户的名称、密码、用户权力、访问权限等信息。创建帐户后，Win NT再为帐户指定一个唯一的安全标识符SID。 用户和组都有一定的权力，权力定义了用户在系统中能做什么。 用户权力一般包括：从网络中访问计算机、向域中添加工作站和成员服务器、备份文件和目录、改变系统时间、强制从远程系统退出、装/卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。 用户和组要有权限才能使用对象。 权限可由系统管理员赋予用户，也可由文件、目录等对象的所有者赋予用户。Win NT的权限有：列表、读取、添加、修改、添加并读取、完全控制等。 4. 目录数据库 目录数据库是整个网络系统中不可缺少的重要组成部分。目录数据库用来存放域中所有的安全数据和用户帐户信息。用户登录时，用它来核对、检验用户输入的数据是否符合其相应的身份和使用权限。该数据库被存放在主域控制器，在备份域控制器中也有它的备份。 5. 注册表 注册表是包括应用程序、硬件设备、设备驱动程序配置、网络协议和网卡设置等信息的数据库。它是一个具有容错功能的数据库，如果系统出现错误，日志文件使用Windows NT能够恢复和修改数据库，以保证系统正常运行。 编辑注册表方法： “开始” ? “运行” ?输入“regedit” 注册表结构 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_DYN_DATA （二） Windows NT的安全性机制和技术 1．安全性机制 (1) 账号规则 (2) 用户权限规则 (3) 审核规则 (4) 域管理机制 帐号规则 用户名 系统中用户名必须唯一。 用户密码 密码要有最小长度、最短修改周期、最长使用时间、密码字符等限制。 用户权限规则 权限分类 用户访问权限：规定入网用户以何种权限使用网络资源。 资源访问权限：由资源的属性决定。 用户权限规则 Windows NT支持的文件系统： FAT和NTFS NTFS访问权限： 标准权限 和 特殊权限 审核规则 审核的时间：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。 结果存放于日志中。 域管理机制 域中所有的安全机制信息或用户帐号信息都存放在目录数据库。 2．安全性技术 (1) Kerberos (2) EFS (3) IP Security Kerberos工作流程： 认证服务器根据用户名找到用户密码 生成一个票据授权票和与客户共享的密码A 使用用户的密码将 数据A= [票据授权票+一个共享密码（密码A）] 加密用户获得数据A，输入自己的密码，使用输入的密码来解开数据A，如果密码正确，获得票据授权票和共享密码A. 用户使用共享密码A将[用户名＋用户IP地址]加密生成一个验证器A. 用户需要使用服务器A的服务A，向认证服务器提出索票请求。向认证服务器发送数据B=[验证器＋票据授权票＋服务A名＋用户＋用户地址.] 认证服务器收到数据，解开票据授权票获得共享密码A,使用密码A解开验证器，认证是否是真实用户。成功以后，认证服务器生成一个服务A的票，并且生成一个与服务A共享的密码B.最后向客户发送数据C=[密码B+服务A的票] 用户获得数据B后，使用密码B生成验证器B 用户向服务器A发送