操作系统安全.pdfVIP

第一章

l.VVindows平安属于哪一级别？

Windows安金次别C2

蹄级保护，提供幅捌手段

安全域，数1S壕藏与分层、::然

结构化内保护，支持硬件保护

标记安全保护，如SystemV等

有自主的访诃安全性，区分用户

不区分用户，基本的访问］希树

没旌全性可言，例如MSDOS

2.windows平安体系结构

WindowsNT体系结构分为内核液式(KernelMode)和用户模式(UserMode)

内核模式中的代码具有极的特权，可以直接对硬件进行操作和直接访问所有的内存空间

本地平安子系统:支持Windows的身份验证，审核

核心为LSA(localsecurityauthentication)

需和Win32子系统通信

用户模式中的代码拥有较低的特权，不能对硬件直接进行访问，内存访问受限。

组成内核模式的整套效劳被称为执行效劳

对象管理器(OM:ObectManager)

平安引用监控器(SRM:securityreferencemonitor)

3.于信任NT/2003是否可商递？

WindowsNT的信任关系是单向且不具传递性

A-BB-C*A--C

但2000以后默认信任关系是双向且可传递

活动目录

L活动目录组件

⑴活动目录中资源组织的逻辑结构

组织组织单位主要用来委派对用户、组及资源集合的管理权限。组织单位是委派管理权限的最小分组,

其特殊在于可连接组策略。单位(OrganizationalUnit,OU)

域(Domain)

同一个域中的计算机共享配置，架构和全局编录

域是网络中复制和平安管理的根本单元

域树(Tree)

有连续命名空间的多个域称为树。所谓具有连续的命名空间即多个域有相同的上级域名。

域森林(Forest)

不构成连续命名空间的域树的集合，这些目录树通过双向的可传递信任关系链接在一起。

⑵物理结构

站点（Site）

站点：是指一个由速连接所形成的较快通信速率网络。一（股指局域网LAN）

它们主要用于：确定复制拓扑，以便进行有效而快速的复制。

活动目录信息的保存：

每个域控制器活动目录中保存的信息被分成三类：域数据、架构和配置数据

域数据：包含该域内所有对象信息,这些信息被复制到该域的每个域控制器1不超出该域的范围）

架构数据：定义了可在ActiveDirectory中存储哪些对象、属性和操作规那么。属于目录林的范畴，在

林中的每一个域控制器上存储。

配置数定义了复制拓扑及与AD配置有关的其他数据即（其中存在哪些域，域控制器的位置等等），

对域森林中所有域通用，也被复制到森林的所有域控制器。

设域控制器是GC效劳器，还将保存第四种信息

为所有域保存“域数据”的局部副本G（C保存的属性子集包括那些在搜索操作中最常用的属性）

2.活动目录对象…对象标准属性和命名规那么，及不同环境中的对象名称

对象的标准属性

1）DN（DistinguishedName识另i名称）和RDN（RelativeDistinguishedName相对识别名称）

DN定义了LDAP中到对象的完整路径。完整路径包括对象名称以及直到域根节点的所有父对象名称，

DN标识了域层次中的唯一对象:RDN那么是DN中属于对象完整路径属性的一局部

2）全局唯一标识符（GUID）

GUID是在对象创立时由活动目录分配的128位数字。目录数据存储区中的每一对象都具有的唯一标识。

GUID不能被修和删除。

3）ACL（AccesscontrolList）对客体而