windows2000系统安全体系-文库吧资料
2026-01-17 07:55本页面
【正文】 时获得的安全标识都时完全不同的。不同的域有不同的Sam,在域复制的过程中, Sam包将会被拷贝。 安全账号管理者( Security Account Manager): 安全账号管理者,也就是我们经常所说的 SAM,它是用来保存用户账号和口令的数据库。 Windows安全子系统 网络登陆( Netlogon): 网络登陆服务必须在通过认证后建立一个安全的通道。 Windows安全子系统 安全支持提供者( Security Support Provider) : 安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下, Windows NT安装了以下三种: :微软网络挑战 /反应认证模块 :分布式密码认证挑战 /反应模块,该模块也可以在微软网络中使用 :该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如 Verisign。 认证包( Authentication Package): 认证包可以为真实用户提供认证。 管理信任关系。 储存和映射用户权限。 创建用户的访问令牌。在 , Windows NT会寻找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并调用。 GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的 GINA DLL。 Windows安全子系统 安全子系统包括以下部分: Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM) Windows 安全子系统 Winlogon GINA LSA Security Account Management Netlogon Authentication Packages Security Support Provider SSPI 加载 GINA,监视认证顺序 加载认证包 支持额外的验证机制 为认证建立安全通道 提供登陆接口 提供真正的用户校验 管理用户和用户证书的数据库 Windows安全子系统 Winlogon and Gina: Winlogon调用 GINA DLL,并监视安全认证序列。访问控制项有两种:允许访问和拒绝访问。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。它保存对象的安全配置。 访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。 例: S1521176323432332126575211234321321500 访问令牌( Access tokens) : 用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows 系统,然后 Windows NT检查用户试图访问对象上的访问控制列表。 Windows安全子系统的组件 安全标识符( Security Identifiers) : 就是我们经常说的 SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一 SID,当你重新安装系统后,也会得到一个唯一的 SID。 对象的访问控制( Control of access to object) 不允许直接访问系统的某些资源。 对象重用( Object reuse) 当资源(内存、磁盘等)被某应用访问时, Windows 禁止所有的系统应用访问该资源,这也就是为什么无法恢复已经被删除的文件的原因。Windows系统安全技术 祝晓光 提纲 系统安全模型 服务安全性 降低风险 Windows系统安全模型 操作系统安全定义 • 信息安全的五类服务,作为安全的操作系统时必须提供的 • 有些操作系统所提供的服务是不健全的、默认关闭的 信息安全评估标准 ITSEC和 TCSEC TCSEC描述的系统安全级别 DA CC(Common Critical)标准 BS 7799:2022标准体系 ISO
试题试卷相关推荐
鄂ICP备17016276号-1