Windows操作系统安全技术课件.ppt
《Windows操作系统安全技术课件.ppt》由会员分享,可在线阅读,更多相关《Windows操作系统安全技术课件.ppt(62页珍藏版)》请在三一办公上搜索。
1、操作系统安全,第七章 Windows 操作系统安全技术,操作系统安全 第七章 Windows 操作系统安全技术,第七章 Windows 操作系统安全技术,7.1 身份验证7.2 访问的安全控制7.3 注册表安全7.4 域管理机制7.5 文件系统安全7.6 安全设置7.7 日志7.8 服务包与补丁包更新7.9 Windows 7安全机制十大革新,第七章 Windows 操,7.1 身份验证,7.1.1 基本概念1 用户账户(Account) 所谓用户账户,是计算机使用者的身份标识。每一个使用计算机的人,必须凭借他的用户账户才能进入计算机,进而访问计算机中的资源。 用户账户有两种基本类型:本地用户
2、账户和全局用户账户(域用户账户)(1)本地用户账户创建于网络客户机,它的作用范围仅仅限于创建它的计算机,用于控制用户对该计算机上资源的访问。(2)域用户账户创建于服务器(域控制器),可以在网络中任何计算机上登录,使用范围是整个网络。,7.1 身份验证7.1.1 基本概念,7.1 身份验证,Windows系统常用的内置账户:(1)Guest: 来宾账户。(2)Administrator: 系统管理员账户,具有最高权限。2 组(Group) 组是一组相关账号的集合,即用户账户的一种容器,提供了为一组用户同时设定权利和权限的可能。使用组的目的:简化对网络的管理,通过组可以一次性地为一批用户授予一定的
3、权利和权限。,7.1 身份验证Windows系统常用的内置账户:,7.1 身份验证,Windows系统中的组有三种基本类型:本地组全局组特别组,7.1 身份验证Windows系统中的组有三种基本类型:,Windows操作系统安全技术课件,本地组,(1)本地组(工作组网络环境的组)用于创建网络客户机,控制对所创建的计算机资源的访问。它的成员是用户账户和全局组,它在一个本地的系统或者域中进行维护。本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理。,本地组(1)本地组,全局组,(2)全局组(域环境中的组) 用于创建服务器(域控制器),控制对域资源的访问。系统管理员可以利用全局组有效地
4、将用户按他们的需要进行安排。Windows系统提供了三类全局组:1)管理员组(Domain Admins)2)用户组 (Domain Users)3)域客人组(Domain Guests),全局组(2)全局组(域环境中的组),(3)特别组Windows系统为了特定的目的创建了特别组。通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格,特别组不可以通过用户管理器为其增加新成员,同时它也不可以被浏览和修改。Windows系统提供的的特别组如下:1)System:Windows操作系统2)Creator owner:创建对对象拥有所有权的用户3)Interactive:以交互的方式在本地系
5、统登录入网的所有用户4)Network:系统中所有通过网络连接的用户5)Everyone:登录上网的系统中的所有用户(包括Interactive和Network组)需要注意的是,在特别组中,所有登录账户都是Everyone组的成员,特别组,(3)特别组特别组,Windows操作系统安全技术课件,1)用户账户的管理从安全角度考虑,应注意如下几点:(1)要保证用户不会从隶属于的组中获得超过其任务要求的额外权限,同时用户隶属于的组能满足它的任务要求。(2)图7-2为Windows 2000/XP系统中用户属性对话框的“配置文件标签”对话框,一个登录脚本可以被分配给一个或者多个用户组账户,脚本文件一般
6、是可执行文件(扩展名为.exe)或者是批处理文件(扩展名为.cmd或者.bat)。若设置了登录脚本,则系统在每次登录的时候都会运行此脚本。,7.1.2 账户安全管理,1)用户账户的管理7.1.2 账户安全管理,2)系统管理员账户的管理 在安装Windows系统时系统管理员账户自动产生,该账户不会因为多次登录失败而被锁住,它不能被删除,但可以更名。(1)系统管理员口令设置 为了使对系统的野蛮攻击和猜测变得更加困难,应该选择随即的、可打印的并且大小写混合的字符串来设置系统管理员,尤其是系统域管理员(主域控制器的系统管理员)的口令。其他服务器的管理员应采用与域控制器中管理员不同的密码,以便更安全的保
7、证域的绝对管理权限。(2)系统管理员账户安全管理 新建一个拥有域级系统管理员权限的用户再将系统管理员的权限设置为最低或更换管理员账户名是保护系统管理员账户的常用措施。,7.1.2 账户安全管理,2)系统管理员账户的管理7.1.2 账户安全管理,7.1.2 账户安全管理,3) 组的安全管理措施如下:(1)本地一般用户组的成员在不扩大其访问权限的条件下可以产生它们自己的用户组;(2)应该清楚用户组的成员设置是否得当,要对其进行仔细的观察;(3)为了使具有相同安全策略的用户组在登录时间、密码和权限等方面保持一致,可以用组将其组织在一起;(4)由于域控制器的复制组复制的数据库是安全性数据库,所以不能将
8、全局组用户或者本地一般用户组加入到复制组中; (5)Domain Guests组和Guests组与普通用户组一样,其中的成员决定其运作方式,与Guests帐号具有独特的性质不一样。,7.1.2 账户安全管理3) 组的安全管理措施如下:,7.1.3 Windows身份验证,7.1.3 Windows身份验证 要使用户和系统之间建立联系,本地用户必须请求本地登录进行身份验证,远程用户必须请求远程登录进行身份验证。Windows远程登录身份验证经过如下阶段SMB验证协议LM验证机制NTLM验证机制Kerberos验证体系,7.1.3 Windows身份验证7.1.3 Windo,用户请求访问登录前,
9、客户端计算机缓存密码的哈希值并放弃密码。客户端向服务器发送一个请求,该请求包括用户名以及纯文本格式的请求。服务器发送质询消息服务器生成一个称为质询的 16 字节随机数(即 NONCE),并将它发送到客户端。客户端发送应答消息客户端使用由用户的密码生成的一个密码哈希值来加密服务器发送的质询。它以应答的形式将这个加密的质询发回到服务器。服务器将质询和应答发送到域控制器服务器将用户名、原始质询以及应答从客户端计算机发送到域控制器。域控制器比较质询和应答以对用户进行身份验证域控制器获取该用户的密码哈希值,然后使用该哈希值对原始质询进行加密。接下来,域控制器将加密的质询与客户端计算机的应答进行比较。如果
10、匹配,域控制器则发送该用户已经过身份验证的服务器确认。服务器向客户端发送应答假定凭据有效,服务器授予对所请求的服务或资源的客户端访问权。,NTLM身份验证过程,用户请求访问NTLM身份验证过程,Windows操作系统安全技术课件,7.2 访问的安全控制,Windows访问控制由与每个进程相关的访问令牌和每个对象相关的安全描述符两个实体管理。 7.2.1 基本概念1 安全标识符(Security Identifiers)SID也就是安全标识符,是标识用户、组和计算机账户的唯一的号码。 其实Windows系统是按SID来区别用户的,不是按用户的用户账户名称,所以建立一个账户A,然后删除后马上再重建
11、一个用户A其实是两个账户。,7.2 访问的安全控制Windows访问控制由与每个进程相关,Windows操作系统安全技术课件,7.2.1 基本概念,2 安全描述符(Security Descriptors)安全描述符是 Windows 创建对象时所基于结构的一个主要部分,它包含了安全对象相关的安全信息,这意味着 Windows可识别的每一个对象(可以是文件对象、注册表键、网络共享、互斥量、信号灯、进程、线程、令牌、硬件、服务、驱动.)都可以保证其安全。一个安全描述符包含下面的安全信息:(1)拥有者或基本组对象的安全ID(SID)(2)DACL指定特殊用户或组的允许或拒绝的访问权限(3)SACL
12、指定对象通用评估记录尝试的访问类型(4)一个控制位集合,说明安全描述符的含义或它每个成员,7.2.1 基本概念2 安全描述符(Security De,Windows操作系统安全技术课件,7.2.1 基本概念,3 访问令牌(Access Tokens)访问令牌由用户的SID用户所属组的SID和用户名组成。登录时,系统通过比较密码与安全数据库中存储的信息来验证密码。如果密码得到认证,则系统产生访问令牌。令牌是一个数据结构,用于由所有该用户激活的进程和线程。,7.2.1 基本概念3 访问令牌(Access Token,Windows操作系统安全技术课件,7.2.1 基本概念,4 访问控制列表(Acc
13、ess Control Lists) 一个系统通过访问控制列表(ACL)来判断用户对资源的何种程度的访问。ACL由零个或多个ACE(Access Control Entries)组成,一个ACE包括一个SID和该SID可访问资源的描述,ACL分为自由访问控制列表(Discretionary ACL)系统访问控制列表(System ACL)DACL包括户和组的列表,以及相应的权限,允许或是拒绝,用来确定对资源的访问权限。SACL则用来确定安全资源的审核策略,包含了对象被访问的时间。5 访问控制项(Access Control Entries)访问控制项由对象的权限以及用户或者组的SID组成。AC
14、E分为允许访问和拒绝访问。允许访问的级别低于拒绝访问。,7.2.1 基本概念4 访问控制列表(Access Con,7.2.2 Windows安全子系统,7.2.2 Windows安全子系统,7.2.2 Windows安全子系统7.2.2 Wind,(1)WinlogonWindows登录服务。是系统启动自动启动的一个程序,是整个登录过程的司令官,监视整个登录的过程,同时加载GINA。(2)Graphical Identification and Authentication DLL (GINA):图形化标识和验证提供一个为用户登录提供验证请求的交互式界面,被开发成独立的模块。比如说要采用指纹
15、登录的方式,厂商开发指纹认证的接口就可以了。默认是Msgina.dll。GINA调用LSA。(3)Local Security Authority(LSA):本地安全授权是安全子系统的核心,它的作用就是加载认证包,管理域间的信任关系。(4)Security Support Provider Interface(SSPI):安全支持提供者接口微软的SSPI很简单地遵循RFC 2743和RFC 2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的验证连接的方法。,7.2.2 Windows安全子系统,(1)Winlogon7.2.2 Windows安全子系统,(5)Authen
16、tication Packages:验证包通过GINA DLL的可信验证后,返回用户的SID给LSA,然后将其放在用户的访问令牌中。验证包还可以为真实用户提供验证。(6)Security support providers:安全支持提供者实现一些附加的安全机制,安装时以驱动的形式安装。默认情况下有Msnsspc.dll(微软网络挑战/反应认证模块)、Msapsspc.dll(分布式密码认证挑战/反应模块)、Schannel.dll(证书模块)三种。(7)Netlogon Service:网络登录服务是域登录的时候所使用到的,建立安全通道,前面的用户名密码在通道里是加密传输的。(8)Securi
17、ty Account Manager(SAM):安全账户管理者。是一个数据库,用来保存用户账号和口令。,7.2.2 Windows安全子系统,(5)Authentication Packages:验证包,Windows操作系统安全技术课件,Windows操作系统安全技术课件,Windows操作系统安全技术课件,Windows操作系统安全技术课件,7.2.3 访问控制,Windows 2000的访问控制过程图,7.2.3 访问控制Windows 2000的访问控制过程,7.3 注册表安全,注册表是Windows的内部数据库,集中存储各种信息资源(用户、应用程序、硬件、网络协议和操作系统信息),它
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 操作系统 安全技术 课件
链接地址:https://www.31ppt.com/p-1290033.html