windows操作系统实验2.ppt

Windows系统安全实验2 Windows系统安全模型 Windows安全子系统 身份验证 用户账户 组 账户安全管理 组管理 访问控制 Windows系统安全实验2 复习上讲实验 漏洞产生原因 漏洞发现方法 漏洞修补方法 windows系统安全模型 Windows系统具有模块化的设计结构。 模块：一组被称做执行程序服务的软件。 内核模式：运行一些列操作系统模块的环境。 用户模式：运行在内核模式之上，其启动与否由用户决定。 必须的内核模式组件可组成自成系统的操作系统，其上可运行用户模式组件，这种结构称为内核结构（microkernel） Windows系统的安全架构 windows系统的安全性根植于windows系统的核心层，它为各层提供一致的安全模型，是windows系统的子系统，控制着windows系统中对象的访问。 windows系统安全模型构成 登录流程（LP） 本地安全权威（LSA） 安全帐号管理器（SAM） 安全引用监视器（SRM） 登录流程 本地安全权威 本地安全权威是windows系统的核心，它通过确认安全帐号管理器中的数据信息来处理用户从本地或远程的登录。 职能： 在登录过程中建立访问令牌，提供用户有效身份证明 使windows系统能和第三方供应商的有效性确认软件共同管理安全性策略 控制审计策略 确认用户对本系统的访问权限 记录安全引用监视器生成的审计信息 安全帐户管理器 安全帐户管理器维护帐号的安全性管理数据库，即SAM数据库，又称目录数据库，该数据库包含用户和组的账号信息。 安全引用监视器 安全引用监视器是windows系统的一个组成部分，它以内核模式运行。 负责检查windows系统的存取合法性，以保护资源，使其免受非法存取和修改。 负责实施审计生成策略，它在验证对对象的存取的合法性和检查主题（用户帐户）权限的同时，生成必要的审计信息。 还产生由本地安全权威记载的日志信息 身份验证 用户账户 用户账户是计算机使用者的身份标识。Windows系统的安全模型是基于用户级的，也就是说用户账户是windows系统安全的核心，它通过用户账户实现对每个计算机使用者的控制。 因此每个要访问windows系统控制的资源的用户必须由系统管理员建立一个帐号。 用户账户有两种基本类型：本地用户账户和全局用户账户（域用户帐户）。 对于网络而言：客户机—本地用户账户 域控制器—全局用户账户 Guest Administrator都属于windows系统常用的内置账户。 账户安全管理 账户安全管理对于建立安全的windows系统网络环境很重要，从用户账户、系统管理员账户到组都要仔细斟酌。 用户账户管理 在windows系统中，每一个账户都会有一个唯一的系统为其分配的安全标识SID，它和用户权限共同存储在用户的配置文件中。 开始-程序-管理工具-计算机管理、本地安全策略？ 域用户管理器？ 系统管理员账户的管理 自动产生的，不能删除但可改名。 系统管理员口令设置。 系统管理员账户安全管理。 创建新的，修改旧的。 工作组 工作组模型适宜于管理要求不太负责的环境。 组 是一组相关账户的集合，提供了为一组用户同时设定权利和权限的可能。当一个用户组被授予了一定的权利和权限，则组中所有的用户都将拥有这些属性。 Windows系统中的组有三种基本类型：本地组、全局组和特别组。 本地组：（工作组网络环境的组）用于创建网络客户机，控制对所创建的计算机资源的访问。它的成员是用户帐户和全局组，它在一个本地的系统或域中进行维护。本地组只有在创建它的本地系统或域中才能实现许可权和权限的管理。 本地组 只有在创建它的本地系统或域中才能利用本地组来实现对许可权和权限的管理。 Windows提供的本地组： 管理员组 特权用户组 用户组 客人用户组 备份操作员组 全局组 Windows系统域中的全局组包括域中的用户账号，它通常用来管理域中的用户。 Windows系统提供了3类具有特定的许可和权限的全局组： 管理员组 用户组 域客人组 当windows系统被当作域控制器安装时，则在域级中的组还包括下列一些组类型： 服务器操作员组 帐号操作员组 打印机操作员组 复印员组 特别组 特别组不能被浏览、修改，也不能通过用户管理器为它增加新成员。 特别组列表： Network Interactive Everyone Creator owener System 在特别组中所有登录用户都是everyone组的成员。 组的管理 在windows系统中，组实现了对用户的统一配置和管理，从而减轻系统管理员的负担。 对组的管理：添加、设置、应用 计算机管理---本地 域用户管理器