cisp-2-windows系统安全-文库吧资料

　　

【正文】 跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL（动态链接库）失败的信息将出现在日志中。 (系统服务 ) • 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 (系统服务 ) • 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。 (系统服务 ) • 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 (系统服务 ) • 管理远程储存的文件的操作。 (系统服务 ) • 为依赖质量服务 (QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 (系统服务 ) • 提供动态数据交换 (DDE) 的网络传输和安全特性。 (系统服务 ) • Indexing Service(system service) • 磁盘管理请求的系统管理服务。 (系统服务 ) • 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。 (系统服务 ) • 管理分布于局域网或广域网的逻辑卷。 (系统服务 ) • 管理 RPC 名称服务数据库。 (系统服务 ) • License Logging Service(system service) • 在多个服务器间维护文件目录内容的文件同步。 (系统服务 ) • 管理连接到计算机的不间断电源 (UPS)。 (系统服务 ) itsec Windows的系统进程 • 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2022 Professional 的能力。 (系统服务 ) • 提供多会话环境允许客户端设备访问虚拟的 Windows 2022 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。 • 通过 Inter 信息服务的管理单元提供 FTP 连接和管理。 (系统服务 ) • 允许远程注册表操作。 (系统服务 ) • 包含很多系统服务 • 将文件加载到内存中以便迟后打印。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入 (Load on demand), 4 则是代表停用的状态 , 也就是禁用。 Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 itsec Windows的系统服务 服务包括三种启动类型：自动，手动，已禁用。在列表框中显示的是系统可以使用的服务 。 itsec Windows的系统服务 单击“开始”，指向“设置”，然后单击“控制面板”。 共享权限 共享权限级别 允许的用户动作 No Access(不能访问 ) 禁止对目录和其中的文件及子目录进行访问但允许查看文件名和子目录名，改变共享 Read(读 ) 目录的子目录，还允许查看文件的数据 和运行应用程序 Change(更改 ) 具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文数据，删除文件和子目录 Full control(完全控制 ) 具有“更改”权限中允许的操作，另外还允许更改权限 (只适用于 NTFS卷 )和获所有权 (只适用于 NTFS卷 ) 共享点一定要小心地分配。共享权 限建立了通过网络对共享目录访问的最高级别。 itsec Windows系统的用户权限 文件权限 权限级别 RXWDPO 允许的用户动作 No Access 用户不能访问该文件 Read RX 用户可以读取该文件，如果是应用程序可以运行 Change RXWD 有 Read的权限，还可用修和删除文件 Full control RXWDPO 包含 Change的权限，还可以更改权限和获取文件的有权 itsec Windows系统的共享权限  共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网 络上就不会有用户看到它，也就更不能访问。下表显示了这些任务是如何与各种权限级 别相关联的。 itsec Windows系统的用户权限  权限适用于对特定对象如目录和文件（只适用于 NTFS卷）的操作， 指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。 • Restore files and directories 允许用户恢复以前备份的文件和目录。 • Change the system time 用户可以设置计算机的系统时钟。 • Add workstation to a domain 允许用户将工作站添加到域中。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。  共享 :用户可以通过网络使用的文件夹。 itsec 用户权利、权限和共享权限 网络安全性依赖于给用户或组授予的能力：  权力 :在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。因为 NT系统中将这些资料全部进行了加密处理，一般的编辑器是无法直接读取这些信息的。 passwd使用的是存文本的格式保存信息，这是一个 linux passwd文件内容的例子 root:8L7v6:0:0:root:/root:/bin/bash msql:!!:502:504::/home/msql:/bin/bash unix中的 passwd文件中每一行都代表一个用户资料，每一个账号都有七部分资料 ,不同资料中使用 :分割格式如下 账号名称 :密码 :uid:gid:个人资料 :用户目录 :shell 除了密码是加密的以外 (这里的密码部分已经 shadow了 )其他项目非常清楚明了。 sam文件是 windows NT的用户帐户数据库 ,所有 2K/NT用户的登录名及口令等相关信息都会保存在这个文件中。因此，一旦某个帐号被删除，它的安全标识就不再存在了，即使用相同的用户名重建帐号，也会被赋予不同的安全标识，不会保留原来的权限。  本地登录验证过程如下 : • 输入用户名及密码然后按回车键 . Graphical Identification and Authentication (GINA) 会收集这些信息 . • GINA 传送这些安全信息给 Local Security Authority (LSA) 来进行验证 . • The LSA 传送这些信息给 Security Support Provider Interface (SSPI). SSPI 是一个与 Kerberos 和 NTLM通讯的接口 服务 . • SSPI 传送用户名及密码给 Kerberos SSP. Kerberos SSP 检查 目的机器是本机还是域名 . 如果是本机 , Kerberos 返回错误消息给 SSPI. 如果找不到 KDC, 机器生成一个用户不可见的内部错误 . • 这个内部错误促发 SSPI 通知 GINA. GINA 再次传送这些安全信息给 LSA. LSA 再次传送这些安全信息给 SSPI. • 这次 , SSPI 传送用户名及密码给 NTLM driver MSV10 SSP. NTLM driver 用 Netlogon 服务和本地 SAM来验证用户 . • 如果 NTLM和 Kerberos都不能验证你的帐号 , 你会收到下列错误消息提示您输入正确的用户名和密码 . itsec Windows的密码系统  windows NT及 win2022中对用户帐户的安全管理使用了安全帐号管理器 (security account manager)的机制 ,安全帐号管理器对帐号的管理是通过安全标识进行的，安全标识在帐号创建时就同时创建，一旦帐号被删除，安全标识也同时被删除。不同的域有不同的 Sam，在域复制的过程中， Sam包将会被拷贝。  安全账号管理者（ Security Account Manager）： 安全账号管理者，也就是我们经常所说的 SAM，它是用来保存用户账号和口令的数据库。 itsec Windows安全子系统  网络登陆（ Netlogon）： 网络登陆服务必须在通过认证后建立一个安全的通道。 itsec Windows安全子系统  安全支持提供者（ Security Support Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种： • ：微软网络挑战 /反应认证模块 • ：分布式密码认证挑战 /反应模块，该模块也可以在微软网络中使用 • ：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。  认证包（ Authentication Package）： 认证包可以为真实用户提供认证。 • 管理信任关系。 • 储存和映射用户权限。 • 创建用户的访问令牌。在 ， Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的 SecurityPackages值并调用。 GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的 GINA DLL。 itsec Windows安全子系统  Winlogon and Gina: Winlogon调用 GINA DLL，并监视安全认证序列。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。访问控制项有两种：允许访问和拒绝访问。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。它保存对象的安全配置。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 例： S1521176323432332126575211234321321500  访问令牌（ Access tokens） : 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT检查用户试图访问对象上的访问控制列表。  安全标识符（ Security Identifiers） : 就是我们经常说的 SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一 SID，当你重新安装 Windows NT后，也会得到一个唯一的