网络信息安全_第三次课.ppt

  1. 1、本文档共35页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络信息安全_第三次课概要

第二章 网络操作系统安全 第三节 Windows NT系统安全 Windows NT系统整体安全性符合TCSEC的C2安全等级,部分安全措施已经达到了B2级别。 一、Windows NT的安全基础 1.Windows NT中的对象 Windows NT的安全机制是建立在对象的基础上的,因此,对象的概念与安全问题密切相关。 对象是构成Windows NT操作系统的基本元素,它可以是文件、目录、存储器、驱动器或系统程序等。 对象属性:SID(安全标识符)GID(身份标识符) ACL(访问控制列表) 文件 目录 存储器 驱动器 系统程序 对象 2.Windows NT中的网络模型 Windows NT系统中有两种基本的网络模型:工作组模型和域模型。 (1) 工作组模型 工作组模型:是一个“对等”网结构。 (2) 域模型 域是一个共享公共目录数据库和安全策略的计算机及用户的集合,它提供登录认证,并具有唯一的域名。 3. 用户帐户、权力(Power)和权限(Jurisdiction) 每个要登录Win NT的用户,都要有一个用户帐户,该帐户是由系统管理员创建的,用户帐户中包括用户的名称、密码、用户权力、访问权限等信息。创建帐户后,Win NT再为帐户指定一个唯一的安全标识符SID。 用户和组都有一定的权力,权力定义了用户在系统中能做什么。 用户权力一般包括:从网络中访问计算机、向域中添加工作站和成员服务器、备份文件和目录、改变系统时间、强制从远程系统退出、装/卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。 用户和组要有权限才能使用对象。 权限可由系统管理员赋予用户,也可由文件、目录等对象的所有者赋予用户。Win NT的权限有:列表、读取、添加、修改、添加并读取、完全控制等。 4. 目录数据库 目录数据库是整个网络系统中不可缺少的重要组成部分。目录数据库用来存放域中所有的安全数据和用户帐户信息。用户登录时,用它来核对、检验用户输入的数据是否符合其相应的身份和使用权限。该数据库被存放在主域控制器,在备份域控制器中也有它的备份。 5. 注册表 注册表是包括应用程序、硬件设备、设备驱动程序配置、网络协议和网卡设置等信息的数据库。它是一个具有容错功能的数据库,如果系统出现错误,日志文件使用Windows NT能够恢复和修改数据库,以保证系统正常运行。 编辑注册表方法: “开始” ? “运行” ?输入“regedit” 注册表结构 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_DYN_DATA (二) Windows NT的安全性机制和技术 1.安全性机制 (1) 账号规则 (2) 用户权限规则 (3) 审核规则 (4) 域管理机制 帐号规则 用户名 系统中用户名必须唯一。 用户密码 密码要有最小长度、最短修改周期、最长使用时间、密码字符等限制。 用户权限规则 权限分类 用户访问权限:规定入网用户以何种权限使用网络资源。 资源访问权限:由资源的属性决定。 用户权限规则 Windows NT支持的文件系统: FAT和NTFS NTFS访问权限: 标准权限 和 特殊权限 审核规则 审核的时间:登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。 结果存放于日志中。 域管理机制 域中所有的安全机制信息或用户帐号信息都存放在目录数据库。 2.安全性技术 (1) Kerberos (2) EFS (3) IP Security Kerberos工作流程: 认证服务器根据用户名找到用户密码 生成一个票据授权票和与客户共享的密码A 使用用户的密码将 数据A= [票据授权票+一个共享密码(密码A)] 加密用户获得数据A,输入自己的密码,使用输入的密码来解开数据A,如果密码正确,获得票据授权票和共享密码A. 用户使用共享密码A将[用户名+用户IP地址]加密生成一个验证器A. 用户需要使用服务器A的服务A,向认证服务器提出索票请求。向认证服务器发送数据B=[验证器+票据授权票+服务A名+用户+用户地址.] 认证服务器收到数据,解开票据授权票获得共享密码A,使用密码A解开验证器,认证是否是真实用户。成功以后,认证服务器生成一个服务A的票,并且生成一个与服务A共享的密码B.最后向客户发送数据C=[密码B+服务A的票] 用户获得数据B后,使用密码B生成验证器B 用户向服务器A发送

文档评论(0)

wyjy + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档