信息安全竞赛培训 Windows安全管理.ppt

* * * * mmc * * * * * * 查看工具： User2sid、sid2user tinfor * 安全描述符在对象里，包括了Object Owner SID、Group SID、DACL、SACL。 * Winlogon是系统启动自动启动的一个程序，是整个登陆过程的司令官，监视整个登陆的过程，同时加载GINA。 GINA是微软为系统登陆提供的接口，但微软知道这种登陆的方式无法满足所有用户的要求，所以它开发成独立的模块。比如说要采用指纹登陆的方式，但微软的界面还是可以满足要求的，那厂商可以开发指纹认证的接口就可以了。默认是Msgina.dll。 GINA调用LSA，LSA的作用就是加载认证包（哪些认证方式），管理域间的信任关系。 认证包调用sam。 Netlogon是域登陆的时候所使用到的，建立安全通道，前面的用户名密码在通道里是加密传输的。 * 重新找回本地组的SIDs和用户的权限暂时不给用户，通过了认证后才给用户，创建令牌。 * 重点讲证书模块。提供额外的认证机制，操作系统拿什么支持，就是这里了。平常是不开启了，在IIS里面启用了安全连接的时候生效。 * * * * * * * * * * * * * * * * * * * * * * * * * * * 树和森林（2） 信任关系 Windows 2000可以在域间形成信任关系。信任关系只是创建了域间的隐含访问能力，但是并没有显式地启用。 信任可以是单向的或双向的。单向信任意味着一个域信任另一个域，反过来不存在信任。双向信任定义了两个域之间相互信任。 信任可以是可传递的和不可传递的。可传递的信任意味着如果域A传递信任域B，而域B传递信任域C，则域A就传递信任域C。 在默认情况下，Windows 2000森林中的所有域之间都存在可传递的、双向的信任。 安全边界 由于森林中各个域之间自动建立的双向可传递的信任，导致了可以分配森林中各个域的权限的通用组的存在。 同一森林中其他域的管理员有夺取活动目录的Configuration容器的所有权并对其进行修改的潜在能力。这种修改将会在森林中的所有域控制器上传播。于是，对于任何加入到该森林的域来说，你必须保证该域的域管理员能够像其他域管理员一样可信。 Windows 2000森林内部实际的安全边界是森林。 Windows系统高级安全配置 域 PKI体系的建立 AD下的组策略 为什么需要证书机构 Alice 使用Bob公钥加密 Bob 使用本身私钥解密 如何确定公钥为真？ 从网上获得 Bob 公钥 证书的概念 证书将公钥安全地绑定到持有相应私钥的实体中。 证书由颁发证书的机构进行数字签名，并且可被管理以便用于用户、计算机或服务。被最广泛接受的证书格式由ITU-TX.509国际标准定义。 使用独立机构——安全的第三方CA证书验证 CA 1、发送请求 2、验证信息 3、使用CA私有密钥对对方公钥签名 4、出版证书作为安全信任 Alice 使用Bob公钥加密 Bob 使用本身私钥解密 证书服务 在Windows系统上建立PKI 安装证书服务 申请证书 安装证书 Windows系统高级安全配置 域 PKI体系的建立 AD下的组策略 组策略 主要内容 Windows系统安全性 Windows体系构架 Windows安全配置 Windows系统高级安全配置 Windows的审计分析 安全审核与日志 审核内容 访问文件夹的审核 审核策略 安全事件查看并分析 审核结果 审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率 审计失败：警告那些可能发生的安全泄漏 Windows系统日志 系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL （动态链接库）失败的信息将出现在日志中。 安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。 其他服务日志 Internet信息服务 FTP日志默认位置： %systemroot%/system32/logfiles/msftpsvc1 默认每天一个日志 Internet 信息服务WWW 日志默认位置： %systemroot%/system32/logfiles/w3svc1 ，默认每天一个日志 FTP 日志和WWW 日志文件名通常为ex （年份）（月份）（日期），例如ex001023 就是2000 年10 月23 日产生的日志，用记事本就可直接打开。 Scheduler服务日志默认位置%systemroot%/schedlgu.txt 日志分析－ftp日志 FTP日志分析， 如下例： #Sof