数据安全整理.docVIP

声明：本文件由杨晓龙和刘泽霖两人根据老师最后一节课所提的复习题为来源，摘抄的书上与问题相关部分的内容，并非答案，非官方，旨在于方便大家考试时查阅，禁止用作他处。我二人对由此产生的任何不良影响不负任何责任。使用此文档即表示你已经同意这则声明。 从操作系统本身而言，Windows NT系统主要具有哪些特点？ ?? 32 位操作系统，多重引导功能，可与其他操作系统共存。 ?? 实现了“抢先式”多任务和多线程操作。 ?? 采用 SMP（对称多处理）技术，支持多CPU 系统。 ?? 支持 CISC（如Intel 系统）和RISC（如Power PC、R4400 等）多种硬件平台。 ?? 可与各种网络操作系统实现互操作，如：UNIX、Novel Netware、Macintosh 等系统； 对客户操作系统提供广泛支持，如MS-DOS、Windows、Windows NT Workstation、 UINX、OS／2、Macintosh 等；支持多种协议：TCP／IP、NetBEUI、DLC、AppleTalk、 NWLINK 等。 ?? 安全性达到美国国防部的 C2 标准。 Windows NT系统在系统和网络安全性上引入了哪些新的概念？ ?? NTFS（Windows NT File System）：Windows NT 采用的新型文件系统，可提供安全 存取控制及容错能力，在大容量磁盘上，它的效率比FAT 高。 ?? 共享权限：支持对网络资源设置一定的权限许可，没有得到权限许可，就无法访问 网络资源。 ?? 用户账户（User Account）：要想使用网络资源，就必须有用户账户。Windows NT 对用户和服务程序，都要求提供合法账户。专为应用程序或服务进程创建的账户即 服务账户，在系统启动时，服务进程使用服务账户登录以获得在系统中使用资源的 权利和权限。普通用户账户由用户登录时提供，用于Windows NT 控制该用户在系 统中的权利和权限，与服务账户本质上没有区别。 ?? 域（Domain）：域是Windows NT 中数据安全和集中管理的基本单位。网络由域组成，域具有惟一的名称。域可以看作由运行NT 的服务器组成的系统，一组电脑共 用相同的账户及安全数据库。 ?? 工作组（Workgroup）：工作组是一种资源与系统管理都分散的网络结构。在工作组 的范围里，每台电脑既可以充当服务器的角色，也可以充当工作站的角色，彼此之 间是平等关系。 ?? 权限（Right）：权限是授权某用户可以在系统上执行某些操作。权限用来保护系统 整体。 ?? 许可（Permission）：许可用来保护特定对象。许可规定可以使用某一对象的用户以 及用什么方法使用。 ?? 安全审核：Windows NT 将记录发生在电脑上各项与安全系统相关的过程。 活动目录的概念和作用分别是什么，包括哪些组成部分？ 活动目录（Active Directory, AD）服务是Windows 2000 安全模型灵活性与可扩展性的 核心，它提供了完全集成于Windows 2000 的一个安全、分布式、可扩展以及重复的分层目 录服务。 活动目录替代了 Windows NT 早期版本中域控制器的注册表数据库内的安全账户管理 器（Security Accounts Manager, SAM），从而成为用户账户、工作组和口令等安全信息的主 要存储区域。同样地，活动目录形成了本地安全授权（Local Security Authorization, LSA）的 一个可信任组件。换句话说，活动目录既为支持验证而存储了用户证书，也为支持授权访问 系统资源而存储了访问控制信息。 活动目录主要包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理容 器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中 所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应 用管理。 请简述Kerberos协议的思想，并描述一次典型的操作过程。 Windows 2000 使用Internet 标准Kerberos V5 协议（RFC 1510）作为验证用户身份的 主要方法。Kerberos 协议提供在客户机和服务器之间的网络连接打开前交互身份验证的机 制。此方法对包含开放通信（如那些已经在Internet 上实现的）的网络来说是非常理想的。 Kerberos 验证协议定义了客户、资源和网络验证服务（密钥分配中心、KDC）之间的安 全交互。在Windows 2000 中，KDC 是作为每个域控制器上的验证服务来实现的。通过把活 动目录当作用户（主体）和工作组的账户数据库，Windows 2000 域变成了Kerberos 域的一 个等价物。Windows