第三章计算机操作系统安全课件.pptx

第三章;目录;3.1 Windows安全; 鉴于目前Windows系统的使用和普及程度以及Windows系统的安全风险，同时Windows 7在市场份额远远领先其他Windows版本，本节主要以Windows 7系统为例进行说明。 ; 本节简单介绍Windows系列版本的安全性。 默认的Windows Server 2003安装比默认的Windows NT或Windows 2000安装 安全许多，但是它还是存在着一些不足。 在Windows Server 2003中，微软关闭了大多数不是绝对必要的服务。即使如此，还是有一些有争议的服务默认运行。其中一个服务是分布式文件系统（DFS）服务。DFS服务起初被设计为简化用户的工作。DFS允许管理员创建一个逻辑的区域，包含多个服务器或分区的资源。对于用户，所有这些分布式的资源存在于一个单一的文件夹中。 Windows Server 2003操作系统相对其他系统来说，比较突出的一个地方就是，安全性能方面得到了进一步加强。例如，每次使用该系统默认的IE浏览器进行“网上冲浪”时，系统总是“不厌其烦”地弹出一个安全提示框，来对用户浏览的每个网页进行“阻截”提示，并要求配置确认当前网页是否安全等。 ; 如图3.1和图3.2所示为Windows NT安全模型图和体系结构图，其中最重要的3个组件就是本地安全授权、安全账号管理器和内核模式下的安全引用监视。 ;;内核中运行的安全引用监视器（Security Reference Monitor，SRM）;用户账号数据库保存了每个用户口令的两个加密散列值;1．Windows NT中的对象 ;在Windows NT中，可以用安全描述器或存取标识来设定对象的属性从而使对象得到保护。 可被设定的属性包括： 指明谁是对象所有者/使用者的安全身份号SID； 只能被可移植操作系统界面POSIX子系统使用的组安全身份号SID； 包含用户和组访问许可权限的，可自由决定的访问控制列表，此列表由对象所有者控制； 控制审核信息生成的系统访问控制列表ACL。 ;2．Windows NT注册表;HKEY_LOCAL_MACHINE：; 每个子树都包含称为键的子条目，每个键又可以有多个子键。注册表子树中的数据是从一套称为hive的文件中得来的。每个hive包含两个文件：数据文件和日志文件。每个hive代表位于注册表最顶层部分的一组键、子键和???。 ;3．Windows NT安全子系统的组成部分;（1）安全标识符 安全标识符（SID）是Windows NT安全结构的基础，是统计上的唯一的数组分配给所有的用户、组和计算机。统计上的唯一指的是两个数组发生重复的可能性是极为罕见的。每次当一个新用户或组被建立时，它们都会接收到一个唯一的SID。每当Windows NT安装完毕并启动时，也会有一个新的SID分配给这台计算机。SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的计算机中，还包括和其他计算机交互的时候。 为了确保SID的唯一性，它们是综合计算机名字、当前时间和处理当前用户模式线程花费的CPU时间所建立起来的。一个SID例子： S-1-5-16349933112989372637-500 ;（2）访问令牌 登录的主要目的是在用户被验证之后分配给他们访问令牌。访问令牌是由用户的SID、用户所属组的SID、用户名、用户所在组的组名构成的。访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时，用户如果企图进行访问，都要向Windows NT出示访问令牌。Windows NT从访问列表中检查访问令牌。如果用户使用此对象的认证通过，将赋予相关的权限访问。 访问令牌只有在登录的过程中才会发布，所以一旦对用户的访问权限做了改动，就要重新登录后才能收到一个更新后的访问令牌。 ;（3）安全描述符 Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分。安全描述符持有对象的安全设置。安全描述符包含对象属主的SID、组SID，以及自由访问控制列表（DACL）和系统访问控制列表（SACL），如图3.3所示。 ;（4）访问控制列表 访问控制列表分为自由的和系统的两种类型。自由访问控制列表中记录用户和组以及它们的相关权限，要么允许，要么拒绝。自由访问控制列表列出每个用户和组的特定的权限。系统访问控制列表包含对象审计的事件。当没有特殊指定访问控制列表的类型时，通常是自由访问控制列表，如图3.4所示。 ;（5）访问控制条目 每个访问控制条目（ACE）包