windows2000系统安全体系.ppt

* 查看工具： User2sid、sid2user tinfor * 安全描述符在对象里，包括了Object Owner SID、Group SID、DACL、SACL。 * Winlogon是系统启动自动启动的一个程序，是整个登陆过程的司令官，监视整个登陆的过程，同时加载GINA。 GINA是微软为系统登陆提供的接口，但微软知道这种登陆的方式无法满足所有用户的要求，所以它开发成独立的模块。比如说要采用指纹登陆的方式，但微软的界面还是可以满足要求的，那厂商可以开发指纹认证的接口就可以了。默认是Msgina.dll。 GINA调用LSA，LSA的作用就是加载认证包（哪些认证方式），管理域间的信任关系。 认证包调用sam。 Netlogon是域登陆的时候所使用到的，建立安全通道，前面的用户名密码在通道里是加密传输的。 * 重新找回本地组的SIDs和用户的权限暂时不给用户，通过了认证后才给用户，创建令牌。 * 重点讲证书模块。提供额外的认证机制，操作系统拿什么支持，就是这里了。平常是不开启了，在IIS里面启用了安全连接的时候生效。 * HKLM 所有的安全配置。 HUSER默认的一些配置。 Currentuser 当前用户配置文件。 Classesroot文件类型。 Currentconfig会暂时写入，关机的时候再写如hklm。 * 建议对RUN值的写入和更改做审计。 * 传输数据是138，UDP。 * Netbios的安全设置 禁止匿名连接列举帐户名需要对注册表做以下修改。 注：不正确地修改注册表会导致严重的系统错误，请慎重行事！　　1．运行注册表编辑器（Regedt32.exe）。　 2．定位在注册表中的下列键上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA　　 3．在编辑菜单栏中选取加一个键值：　　 Value Name:RestrictAnonymous　　 Data Type:REG_DWORD　　 Value:1（Windows2000下为2） 　 4．退出注册表编辑器并重启计算机，使改动生效。 * Netbios的安全设置 Win2000的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） * Windows 2000注册表 所有的配置和控制选项都存储在注册表中 分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本机相关配置信息 * 注册表安全 查询数值 允许用户和组从注册表中读取数值 设置数值 允许用户和组从注册表中设置数值 创建子项 允许用户和组在给定的注册项中创建子项 计数子项 允许用户和组识别某注册项的子项 通 知 允许用户和组从注册表中审计通知事件 创建链接 允许用户和组在特定项中建立符号链接 删 除 允许用户和组在删除选定的注册项 写入DAC 允许用户和组将DAC写入注册表项 写入所有者 允许用户和组获得注册表项的所有权 读取控制 允许用户和组具有访问选定注册表项的安全信息 权 限 解 释 * 注册表的默认权限 * 注册表的审计 对注册表的审计是必需的 审计内容的选择 注册表每秒被访问500-1500次 任何对象都有可能访问注册表 默认的注册表审计策略为空 * 禁止对注册表的远程访问 * 禁止和删除服务 通过services.msc禁止服务 使用Resource Kit彻底删除服务 Sc命令行工具 Instsrv工具 举例