计算机网络安全ch2网络操作系统安全幻灯片.ppt

2．3 Windows NT系统安全 2.3.1 Windows NT的安全基础 1．Windows NT中的对象 Windows NT的安全机制是建立在对象的基础上的，因此，对象的概念与安全问题密切相关。 对象是构成Windows NT操作系统的基本元素，它可以是文件、目录、存储器、驱动器或系统程序等。 2．Windows NT中的网络模型 Windows NT系统中有两种基本的网络模型：工作组模型和域模型。 (1) 工作组模型 工作组模型：是一个“对等”网结构。 (2) 域模型 域是一个共享公共目录数据库和安全策略的计算机及用户的集合，它提供登录认证，并具有唯一的域名。 2．3 Windows NT系统安全 3. 用户帐户、权力和权限 每个要登录Win NT的用户，都要有一个用户帐户，该帐户是由系统管理员创建的，用户帐户中包括用户的名称、密码、用户权力、访问权限等信息。创建帐户后，Win NT再为帐户指定一个唯一的安全标识符SID。 2．3 Windows NT系统安全 用户和组都有一定的权力，权力定义了用户在系统中能做什么。如：从网络中访问计算机、向域中添加工作站和成员服务器、备份文件和目录、改变系统时间、强制从远程系统退出、装/卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。 2．3 Windows NT系统安全 用户和组要有权限才能使用对象。权限可由系统管理员赋予用户，也可由文件、目录等对象的所有者赋予用户。Win NT的权限有：列表、读取、添加、修改、添加并读取、完全控制等。 2．3 Windows NT系统安全 4. 目录数据库 目录数据库是整个网络系统中不可缺少的重要组成部分。目录数据库用来存放域中所有的安全数据和用户帐户信息。用户登录时，用它来核对、检验用户输入的数据是否符合其相应的身份和使用权限。该数据库被存放在主域控制器，在备份域控制器中也有它的备份。 2．3 Windows NT系统安全 5. 注册表 注册表是包括应用程序、硬件设备、设备驱动程序配置、网络协议和网卡设置等信息的数据库。它是一个具有容错功能的数据库，如果系统出现错误，日志文件使用Win NT能够恢复和修改数据库，以保证系统正常运行。 2．3 Windows NT系统安全 2.3.2 Windows NT的安全性机制和技术 1．安全性机制 (1) 账号规则 (2) 用户权限规则 (3) 审核规则 (4) 域管理机制 2．3 Windows NT系统安全 2．3 Windows NT系统安全 2．安全性技术 (1) Kerberos (2) EFS (3) IP Security 1．账号和密码策略 Windows NT域用户管理器通过为用户分配的账号和密码来验证用户身份，保证系统资源的安全。用户账号是系统根据用户的使用要求和网络所能给予的服务为用户分配的，账号名称通常是公开的。用户账号密码在密码的选取、密码的维护等方面都要符合安全性要求和使用方便的原则，用户账号密码是保密的。 2.3.3 Windows NT的安全管理措施 2．控制授权用户的访问 在Windows NT域中配置适当的NTFS访问控制可增强网络安全。在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此在使用时要取消或更改默认情况下Everyone组的“完全控制”权限，要始终设置用户所能允许的最小目录和文件的访问权限。为安装后默认的Guest用户设置密码，以防被黑客利用。 为每个用户指定一个工作组，为工作组指定文件和目录访问权限，这样，当某个用户角色变更时，只要把该用户从工作组中删除或指定他属于另一组，即可收回或更改该用户的访问权限。所以说，将用户以“组”的方式进行管理，是用户管理的一个有效方法。 2.3.3 Windows NT的安全管理措施 3．及时下载和更新补丁程序 经常光顾安全网站，下载最新补丁程序，或用最新的Service Pack升级Windows NT Server，因为Service Pack中有所有补丁程序和新发表的诸多安全补丁程序。 4．控制远程访问服务 远程访问是入侵者攻击Windows NT系统的常用手段，因此可以采取控制远程服务的方法减少对系统的攻击。Windows NT防止外来入侵最好的功能是认证系统。Windows 95/98和Windows NT Workstation客户机不仅可以交换用户ID和口令数据，而且还使用Windows专用的响应协议，这可确保不会出现相同的认证数据，并可以有效地阻止内部黑客捕捉网络信息包。如条件允许，可使用回叫安全机制，并尽量采用数据加密技术，以保证数据安全。 2.3.3 Windows N