- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第二节 Windows系统安全 WindowsNT/2000/XP的操作系统结构如下图所示: 操作系统核心模式的最底层是硬件抽象层,它为上层提供硬件结构的接口;硬件抽象层上是微内核,它为下层提供执行、中断、异常处理和同步的支持;最高层是由一系列实现基本操作系统服务的模块。 操作系统用户模式中提供了应用程序接口(API),内置有会话管理、NT注册(winlogon)、Win32、本地安全认证(Local Security Authority,简称LSA)、安全帐号管理(Security Account Manager,简称SAM)等模块,这些模块中已经能够支持一些基本的系统安全功能,包括: (1)访问控制的判断(Discretion Access Control):允许对象所有者控制被允许访问该对象的用户以及访问的方式; (2)对象重用(Object Reuse):当资源(内存、磁盘等)被某应用访问时,Windows禁止所有的系统应用访问该资源; (3)强制登录(Mandatory LogOn):要求所有的用户必须登录,通过认证后才可以访问资源; (4)审核(Auditing):在控制用户访问资源的同时,对这些访问作相应地记录; (5)对象的访问控制(Control of Access to Object):系统的某些资源不允许被直接访问,即使是允许被访问的资源,用户或应用也需要首先通过认证以后才能访问。 Windows中的很多简单的系统行为其实就是上面提到的若干安全功能子模块默契配合的过程。以Windows系统的登录流程为例来说明,Windows系统登录流程如下图所示: 上面提到了一些登录过程中应用的安全组件,下面具体解释几个组件的概念: (1)安全标识符(Security Identifiers,简称SID):当每次创建一个用户或一个组的时候,系统会分配给该用户或组一个唯一的SID;当重新安装系统后,也会得到一个唯一的SID。SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定,以保证它的唯一性。 (2)访问令牌(AccessTokens):用户通过验证后,登录进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows系统,然后Windows系统检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候由登录进程所提供的,所以改变用户的权限需要注销后重新登录,重新获取访问令牌。 (3)安全描述符(SecurityDescriptors):Windows系统中的任何对象的属性都具有安全描述符这部分,它保存对象的安全配置。 (4)访问控制列表(AccessControlLists,简称ACL):访问控制列表有两种:任意访问控制列表(DiscretionaryACL)和系统访问控制列表(SystemACL)。任意访问控制列表包含了用户或组的列表以及相应的权限——允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。 (5)访问控制项(AccessControlEntries):访问控制项包含了用户或组的SID以及对对象的访问权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 一、Windows系统帐号管理 Windows系统的用户帐号(User Accounts)安全是Windows系统安全的核心。 用户帐号通过用户名和密码来标识。 Windows系统中,用户帐号中包含着用户的名称与密码、用户所属的组和用户的权限等相关数据。一般认为,Windows系统的用户帐号有两种基本类型:全局帐号(Global Accounts)和本地帐号(Local Accounts)。 (一)本地用户帐号与本地用户组 (二)域帐号与域用户组 (三)系统管理员帐号 (四)帐号密码策略 (五)用户权限安全 二、WindowsNT资源安全管理 Windows系统为本地及网络用户提供了良好的应用服务和资源,保障这些应用服务和资源有效地、安全地应用极其重要。 (一)文件系统资源的安全设置 (二)应用程序和用户主目录安全 (三)打印机安全 (四)注册表安全 (五)审计日志 (六)磁盘空间管理和数据备份 三、Windows网络安全管理 随着互联网的高速发展,操作系统早已成为了“网络操作系统”,如何在纷繁复杂的网络世界里保护我们的操作系统、保护我们的重要数据是一个值得关注的问题。 (一)网络连接安全 (二)Win
文档评论(0)