win教材资料dows2000系统安全管理(1).pptVIP

SAM数据库与AD SAM中口令的保存采用单向函数(OWF)或散列算法实现 在%systemroot%\system32\config\sam中实现 DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中 SYSKEY功能 SID与令牌 SID唯一标示一个对象 使用User2sid和sid2user工具进行双向查询 令牌：通过SID标示账号对象以及所属的组 解读SID Windows 2000认证与授权访问 Windows 2000系统安全管理 系统帐号管理 文件系统管理 系统进程服务 系统安全基本配置 用户类型 Administrator(默认的超级管理员) 系统帐号(Print Operater、Backup Operator) Guest(默认来宾帐号) 系统帐号管理 本地用户(accounts)和组(groups) 帐户(user accounts) -定义了Windows中一个用户所必要的信息，包括 口令、安全ID(SID)、组成员关系、登录限制，… 组：Administrators、Backup Operators、Guest、 Power Users 系统帐号管理 密码存放位置 注册表HKEY_LOCAL_MACHINE\SAM下 Winnt/system32/config/sam 系统帐号管理 Windows下 管理工具—计算机管理—本地用户和组 Windows下 (域)用户管理器 命令行方式 net user 用户名 密码　/add [/delete] 将用户加入到组 net localgroup 组名 用户名 /add [/delete] 添加/删除帐户 系统帐号管理 Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这是为了方便局域网用户共享文件的。但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接。 同时Windows的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0，这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等。 1，这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2，这个值需要注意的是，如果你一旦使用了这个值，共享信息就全完了。 本地帐户 系统帐号管理 从NT4 sp3开始提供 散 列 128位随机密钥 保存到SAM文件中 保存随机密钥 注册表中 注册表中，同时使用额外的口令加密 软磁盘 SID S-1-5-21-1507001333-1204550764-1011284298-500 令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544 SID S-1-5-21-1507001333-1204550764-1011284298-500 修订版本编号 颁发机构代码，Windows 2000总为5 子颁发机构代码，共有4个；具有唯一性 相对标示符RID，一般为常数 著名的SID S-1-1-0 Everyone S-1-2-0 Interactive用户 S-1-3-0 Creator Owner S-1-3-1 Creator Group 用户A Winlogon 使用账户名称/口令进行认证 成功 令牌 User=S-1-21- S-1-5-21-1507001333-1204550764-1011284298-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544 允许 Read=A S-1-5-21… … Write=administrat