信息安全专题培训(Windows系统安全).ppt

徐毅 Xylon xuyi@ Training dept. , Customer Support Center August 2005 操作系统安全定义 信息安全评估标准 ITSEC和TCSEC TCSEC描述的系统安全级别 D?A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准 TCSEC定义的内容 C2级安全标准的要求 自主的访问控制 对象再利用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问 CC(Common Critical)标准 CC的基本功能 标准化叙述 技术实现基础叙述 CC的概念 维护文件 安全目标 评估目标 Windows 2000安全结构 Windows 安全子系统 Windows采用的账号认证方案 LanManager认证(称为LM协议) 早期版本 NTLM v1 认证协议 NT 4.0 SP3之前的版本 NTLM v2 认证协议 NT 4.0 SP4开始支持 Kerberos v5认证协议 Windows 2000引进 用户类型 Administrator(默认的超级管理员) 系统帐号(Print Operater、Backup Operator) Guest(默认来宾帐号) 帐户(accounts)和组(groups) 帐户(user accounts) 定义了Windows中一个用户所必要的信息，包括口令、安全ID(SID)、组成员关系、登录限制... 组：universal groups、global groups、local groups Account Identifier: Security identifier(SID) 时间和空间唯一 S-1-N-Y1-Y2-Y3-Y4 Some well-known SIDs 字符串形式和二进制形式的SID Windows 2000的默认账号 Windows 2000下的内建组 密码存放位置 注册表HKEY_LOCAL_MACHINE\SAM下 Winnt/system32/config/sam 添加/删除帐户 Win2000/XP下 管理工具—计算机管理—本地用户和组 WinNT下 (域)用户管理器 命令行方式 net user 用户名 密码　/add [/delete] 将用户加入到组 net localgroup 组名 用户名 /add [/delete] 帐户重命名 将Administrator重命名 将Guest来宾用户重命名 新建一Administrator用户，隶属于Guest组 密码策略的推荐设置 针对远程破解的策略定制 密码复杂性要求 账户锁定策略的推荐设置 SAM数据库与AD SAM中口令的保存采用单向函数(OWF)或散列算法实现 在%systemroot%\system32\config\sam中实现 DC上，账号与密码散列保存在%systemroot%\ntds\ntds.dit中 SYSKEY功能 SID与令牌 SID唯一标示一个对象 使用User2sid和sid2user工具进行双向查询 令牌：通过SID标示账号对象以及所属的组 解读SID Windows 2000认证与授权访问 Windows 2000默认共享 C$、D$… … Ipc$：远程会话管理 Admin$：指向%WinDir%目录，用于远程管理 Windows系统的用户权限 权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权级别都确定了一个执行特定的任务组合的能力，这些任务是： Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。下表显示了这些任务是如何与各种权限级 别相关联的 Windows系统的用户权限 Windows系统的用户权限 Windows系统的共享权限 复制和移动文件夹 从一个NTFS分区到另一个NTFS分区 复制/移动都是继承权限(不同分区，移动=复制+删除) 同一个NTFS分区 复制：继承 移动：保留 复制/移动到FAT(32)分区 NTFS权限丢失 Windows系统服务 服务包括三种启动类型：自动，手动，禁用 自动：启动时自动加载服务 手动 :启动时不自动加载服务，在需要的时候手动开启 禁用：启动的时候不自动加载服务，在需要的时候选择手动或者自动方式开启服务，并重新启动电脑完成服务的配置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔