[理学]第8章_Window系统安全.ppt

第8章 Windows系统安全 内容提要 8.1 Windows NT 安全体系 介绍 安全模型 8.2 Windows NT的安全环境 8.3 Windows NT安全保护 事件日志 IP报文过滤 注册表修改 8.1 Windows NT 安全体系 Windows NT是根据模块化结构设计而成的。所有的执行程序服务都运行在内核模式下，整个Windows NT操作系统由一系列的软件模块构成。 Windows NT的安全性建立在Windows NT的核心层上，其安全模型属于Windows NT的子系统。安全子系统控制着对象的访问。 为防止用户用户应用程序访问或修改系统重要数据，对处理器采用两种访问模式 内核模式和用户模式 8.1.2 Windows NT的安全模型 Windows NT的安全体系提供了对事件的审核和跟踪手段来监控系统中的访问和应用。 组成： 登录过程 本地安全认证 安全账号管理器 安全引用监视器 （1）Windows NT登录过程 （2）本地安全认证(LSA) 本地安全认证是一个被保护的子系统，Window 2000的LSA控制本地安全策略，向用户提供认证服务和策略。 应该限制LSA信息不被匿名访问，需要修改注册表： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Anonymous 赋值为1，类型为REG_DWORD （3）安全账号管理 安全账号管理(SAM)负责SAM数据库的控制和维护 可以使用regedt32.exe打开注册表编辑器，如图所示 （4）安全引用监视器 以内和模式运行，负责检查Windows NT Server的合法性，以保护资源，避免使资源受到破坏。 为对象的有效访问提供服务并为用户提供访问权限，同时还能阻止非授权用户访问，实施审计。 安全应用监视器对用户透明。 8.2 Windows NT的安全环境 对象和共享资源 文件系统 域和工作组 用户的权利和权限 用户账号 组账号 注册表 8.2.1对象和共享资源 对象是Windows NT安全环境下的基本操作单元。对象的概念包括了文件、文件目录、驱动器、进程、存储器等。 对象和访问控制列表(ACL)的关系图 8.2.2文件系统 Windows NT支持两种文件系统 FAT (File Allocation Table) NTFS (NT File System) 不同的操作系统所采用的文件系统各不相同 FAT16文件系统 不能管理大容量的硬盘。每个分区的最大存储容量只有2.115G； FAT16系统造成硬盘空间的大量浪费。 碎片的产生、处理、文件定位、数据安全等方面也均存在致命的缺陷 FAT32 文件系统 FAT32可支持容量21.1G分区； 可大大提高硬盘利用率，使用较小的簇 NTFS文件系统 是微软Windows NT内核系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式 结构：卷、簇、主控文件表(MFT)等 NTFS的可恢复支持 断电或系统受到破坏后，系统在不运行磁盘修复实用程序的情况下，保持完整的文件系统操作和磁盘的卷结构的完整，但发生崩溃时例外。 NTFS系统支持安全管理，管理员可以制定可以或不可以存取个别的文件或目录的用户。 容错支持，由于存在FtDisk.sys的容错磁盘驱动程序。 NTFS坏簇恢复，FtDisk能够从容错卷上的一个坏扇区恢复数据，除非硬盘不使用SCSI协议或用尽了备用扇区。 8.2.3域和工作组 域 域代表一组域控制器、服务器、工作站、用户账号、策略和域里的对象。域中有多个用户组，用户组中有若干用户。 域由主域控制器来控制。每一个域只能有一个主域控制器，但可以同时拥有多个备份域控制器。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。电脑联入网络时，域控制器进行鉴别，决定是否可以访问。 域的委托 用户建立域之间的委托关系，就可以通过一个登录标识访问其他域中的资源。 四种委托： 单域模型，用户数1万个，适宜集中管理 主域模型，只有一个主域和多个资源域，1万，集中 多主域模型，多个主域，主域间相互委托，1万，单管 完全委托模型,所有域建立双向委托，每个域都有一份用户账号和全局组，繁琐 工作组 一个域内可能有成百上千台计算机，如果不进行分组，会非常混乱； 工作组是单独的系统或不属于一个域的多个系统的有组织的单元，一个系统不属于域，则它自动成了工作组的成员。 工作组网络共享不如域模型安全，但适合小规模网络 8.2.4用户的权利和权限 用户权利是确定用户可以在计算机上所执行操作的规则。此外，用户权利控制用户是否可直接或通过网络登录，删除用户等。 通常，管理员通过想内置组添加用户