Windows系统安全培训课件.pptx

信息安全技术Windows系统安全内容Windows安全原理篇Windows安全管理篇Windows安全原理篇Windows安全原理篇Windows系统的安全架构Windows的安全子系统Windows的密码系统Windows的系统服务和进程Windows的日志系统Windows系统的安全架构 Windows NT的安全包括6个主要的安全元素：Audit（审计）, Administration（管理）, Encryption（加密）, Access Control（访问控制）, User Authentication（用户认证）, Corporate Security Policy（公共安全策略）。Windows NT系统内置支持用户认证、访问控制、管理、审核。Windows系统的安全组件强制访问控制 访问控制的判断（Discretion access control） 按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源。 强制登陆（Mandatory log on） 与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用户必须登陆，通过认证后才可以访问资源。审核（Auditing） Windows NT 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。Windows安全子系统的组件 安全标识符（Security Identifiers）: SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例：S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌（Access tokens）:。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5 第一项S表示该字符串是SID 最后一个标志着域内的帐户和组 第二项是SID的版本号，对于2000来说，这个就是1 然后表示一系列的子颁发机构，前面几项是标志域的 Windows安全子系统的组件安全描述符（Security descriptors）： Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）： 在NT系统中，每当请求一个对象或资源访问时，就会检查它的ACL，确认给用户授予了什么样的权利。每创建一个对象，对应的ACL也会创建。ACL包含一个头部，其中包含有更新版本号、ACL的大小以及它所包含的ACE数量等信息。访问控制项（Access control entries）： 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。Windows安全子系统 Winlogon Graphical Identification and Authentication DLL (GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM)MS03-026MS03-039本地安全认证/授权服务Windows子系统实现图Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中都可以看到，其他的以DLL方式被这些文件调用。Windows安全子系统Winlogon and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成