Ｗｉｎｄｏｗｓ　２００３　安全机制的分析.docVIP

Ｗｉｎｄｏｗｓ　２００３　安全机制的分析 　　摘要：该文对目前流行的操作系统Windows 2003的安全机制作了初步分析与探讨，对如何利用这些安全机制，提高Windows 2003系统的安全性与稳定性做了归纳，这对更好的使用该操作系统有一定的参考作用。 　　关键词：操作系统；安全机制；系统安全 　　中图分类号：TP316文献标识码：A 文章编号：1009-3044(2008)36-2764-01 　　Analysis of the Security Mechanism of Windows 2003 　　MA Wen 　　(Computer Science of Xian University of Science and Technology, Xian 710054, China) 　　Abstract: This article discussed the security mechanism of windows 2003.It can be adopted to using these security mechanism to improve the security and stability of the Windows 2003. 　　Key words: operation system; security mechanism; security of system 　　1 引言 　　Windows 2003是目前比较流行的操作系统之一。与其它的操作系统一样，如何提高Windows 2003系统的安全性和稳定性是使用好该系统应该考虑的一个重要问题。本文从身份验证机制、访问控制机制、审核机制、Internet协议安全性和防火墙技术等多方面对Windows 2003的安全机制做了初步分析。只有充分了解好这些安全机制，才能更好的使用该系统。 　　2 Windows 2003的安全机制 　　2.1 身份验证机制 　　身份验证是各种系统对安全性的一个基本要求，它主要用来对任何试图访问系统的用户身份进行确认。Windows2003将用户帐号信息保存在SAM数据库中，用户登陆时输入的帐号和密码需要在SAM数据库中查找和匹配。另外，在Windows 2003系统中可以使用帐户策略设置中的“密码策略”来进行设置。通过设置可以提高密码的破解难度、提高密码的复杂性、增大密码的长度、提高更换频率等。Windows 2003的身份验证一般包括交互式登陆和网络身份验证两方面内容。在对用户进行身份验证时，根据要求的不同，可使用多种行业标准类型的身份验证方法，这些身份验证方法包括以下协议类型：1) Kerberos V5与密码或智能卡一起使用的用于交互式登陆的协议。2) 用户尝试访问Web服务器时使用的SSL/TLS协议。3) 客户端或服务器使用早期版本的Windows时使用的NTLM协议。4) 摘要式身份验证，这将使凭据作为MD5哈希或消息摘要在网络上传递。5) Passport身份验证，用来提供单点登陆服务的用户身份验证服务。单点登陆是Windows 2003身份验证机制提供的重要功能之一，它在安全性方面提供了两个主要的优点：1) 对用户而言，使用单个密码或智能卡可以减少混乱，提高工作效率。2) 对管理员而言，由于管理员只需要为每个用户管理一个帐户，因此可以减少域用户所要求的管理。 　　2.2 访问控制机制 　　访问控制机制是实现用户、组和计算机访问网络上的对象时所使用的安全机制。权限是访问控制的重要概念，权限定义了授予用户或组对某个对象或对象属性的访问类型。包括文件和文件夹的权限、共享权限、注册表权限、服务权限、指派打印机权限、管理连接权限、WMI权限、活动目录权限等。在默认的情况下，大多数的文件夹对Everyone组是完全控制的（Full Control），如果系统的管理员不进行修改，则系统的安全性将非常薄弱。共享权限的使用使得在方便管理的同时，也容易导致安全问题。尤其是系统的默认共享（比如IPC$、C$、ADMIN$ 等）常常被用来作为入侵通道利用。 　　除了权限以外，构成访问控制机制的主要概念还包括用户权利和对象审查。其中用户权利定义了授予计算环境中的用户和组特定的特权和登录权利。与权限不同，用户权利适用于用户账户，而权限则附加给对象。对象审查则可以审核用户对对象的访问情况。Windows Server 2003默认权限比以前的版本更符合最小特权原则，管理员应当在此基础上根据需要严格设置权限和用户权利，使用强健的访问控制列表来保护文件系统和注册表的安全。这样做可以有效地限制、分割用户对对象进行访问时的权限，既能保证用户能够完成所操作的任务，同时又能降低事故、错误或攻击对系统及数据造成的损失，对