TCSP Windows主机安全.pptVIP

Windows安全 内容 Windows安全原理篇 Windows安全管理篇 Windows安全原理篇 Windows系统的安全架构 Windows的安全子系统 Windows的密码系统 Windows的系统服务和进程 Windows的日志系统 Windows系统的安全架构 Windows系统的安全组件 访问控制的判断（Discretion access control） 按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源。 强制登陆（Mandatory log on） 与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用户必须登陆，通过认证后才可以访问资源。 审核（Auditing） Windows NT 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 Windows安全子系统的组件 安全标识符（Security Identifiers）: SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Access tokens）:。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 Windows安全子系统的组件 安全描述符（Security descriptors）： Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表（Access control lists）： 在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。 访问控制项（Access control entries）： 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。 Windows安全子系统 Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM) Windows子系统实现图 Windows安全子系统 Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL Windows安全子系统 本地安全认证（Local Security Authority）： 调用所有的认证包，检查在注册表 重新找回本地组的SIDs和用户的权限。 创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户