[互联网]物理安全 chap 82.pptVIP

  1. 1、本文档共62页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
[互联网]物理安全 chap 82

第八章(2) Windows操作系统安全 操作系统安全的意义 好的安全系统可确认试图访问计算环境的个人的身份,防止冒名顶替者的访问、盗窃或者破坏系统资源; 保护环境中的特定资源免受用户的不正当访问; 为设置和维护用户工作环境中的安全性提供了一种简单而有效的方法. 同时防止信息和资源被损坏以及有人未授权访问。 Windows安全模型 Windows 安全子系统 用户身份验证 身份验证赋予用户登录系统访问网络资源的能力。 安全性系统提供了两种类型的身份验证: 交互式登录:根据用户的本地计算机或?Active?Directory?帐户确认用户的身份 网络身份验证:根据此用户试图访问的任何网络服务确认用户的身份 Windows?2000?支持几种工业标准的身份验证类型。包括: Kerberos?V5?身份验证 安全套接字层和传输层安全性的身份验证 NTLM(NT LAN Manager)?身份验证(challenge/response ) 身份验证(续) 口令攻击:穷举法、字典攻击等 口令的脆弱性 防止这种类型攻击的最佳方法是加强策略,使口令很难被猜中: 口令尝试失败三次后,帐号锁定 15 分钟。这使得那些快速循环使用上千个不同的口令、直到输入正确口令的登录例程变得难以应用。 口令的最短长度为 8 个字符。 口令必需包含数字和符号。 基于对象的访问控制 只有通过用户身份验证,操作系统才允许管理员控制对网上资源或对象的访问。 Windows?2000?通过允许管理员为存储在?Active?Directory?中的对象分配安全描述符实现访问控制。 基于对象的访问控制(续) 管理员不仅可以控制对特殊对象的访问,也可以控制对该对象特定属性的访问。 例如,通过适当配置对象的安全描述符,用户可以被允许访问一部分信息,如只访问员工姓名和电话号码而不能访问他们的家庭住址。 活动目录(Active Directory) 活动目录是Windows 2000网络中目录服务的实现方式。 活动目录对象主要包括用户、组、计算机和打印机等等,网络中的所有服务器、域和站点等也可认为是活动目录中的对象。 活动目录(Active Directory)服务采用逻辑层次结构组织信息,包括域、组织单元(OU)及对象。 Active?Directory?通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。 登录到网络的用户根据Active?Directory将同时获得访问系统资源的身份验证和授权。 域的概念 域是网络对象的集合。 一个域都是一个安全界限,意味着安全策略和设置不能跨越不同的域。 特定域的系统管理员有权设置仅属于该域的策略。 域的组织形式: 主域:存储用户和组的帐户 资源域:存储文件、打印机、应用程序服务等等 域和安全性 Active?Directory?可实现多个域的功能。 系统管理员通过?Active?Directory可把跨越多个域的所有帐户和所有资源合并。 可将域中的对象分组到不同组织单位(OU)。 域合并时,将自动建立可转移的信任关系。 授权 Windows?2000?的安全性建立在身份验证和授权之上。 管理员可以指派特定权利给组帐户或用户。 用户权利定义了本地级别上的功能。一般在组帐号基础上管理,有两种类型 特权:如备份文件和目录; 登录权利:如登录本地系统; 授权(续) 黑客攻击手段按照系统遭受攻击的程度又可分为六个层次 第一层:邮件炸弹攻击和服务拒绝攻击 第二层:本地用户获得非授权读访问 第三层:本地用户获得非授权文件的写权限 第四层:远程用户获得非授权的帐号和远程用户获得文件的读权限 第五层:远程用户获得特许文件的写权限 第六层:远程用户获得根权限 这些攻击都和用户的权限相关,也就是涉及到一个授权的问题。 审核 安全审核是负责监视各种与安全性有关的事件。 审核与安全性有关的事件,包括: 访问对象 单个帐户和组帐户的管理 用户登录以及从系统注销时 审核(续) 操作系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核。 安全设置 安全设置定义的是系统的相关安全操作。 安全设置包括: 安全策略:帐户和本地策略 访问控制:服务、文件、注册表 事件日志 组成员:受限的组 网际协议?(IP)?的安全策略 公钥策略 Windows 2000安全设置清单 硬盘的分区 至少两个逻辑分区:系统分区和应用程序分区 分区格式:最好为NTFS格式 正确的网络接入时间:全部安装完成后接入; 用户账号的安全设置 Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表 停掉Guest 帐号 限制不必要的用户数量 创建2个管理

文档评论(0)

qiwqpu54 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档