安全操作系统01.pptVIP

安全操作系统 中国科学技术大学计算机系 陈香兰（0512 xlanchen@ 助教：裴建国 Autumn 2008 主流操作系统的安全技术 Linux/Unix安全技术 Windows安全技术 Windows的发展历史1 Windows的发展历史2 Windows NT 4.0 architecture Windows 2000 architecture Windows安全：NT是分水岭 NT设计目标：TCSEC标准的C2级 在用户级实现自主访问控制 提供对客体的访问的审计机制 实现客体重用 Windows NT 4.0 1999年11月通过美国国防部TCSEC C2级安全认证 Windows NT安全子系统 提供身份鉴别、自主访问控制、客体共享和安全审计等安全特性。 主要由本地安全授权（LSA）、安全账户管理（SAM）和安全参考监视器（SRM）等组成 security wheel The Windows Security Architecture from the Hacker’s Perspective Windows安全技术 Windows NT/2000/XP中的常用安全技术 Windows身份验证与访问控制 Windows审核机制 Windows注册表 Windows加密文件系统 Windows基准安全注意事项 Windows 2003中的新安全技术简介 Windows NT Security Components Windows NT的安全模型 Windows NT的安全模型包括5个主要部分 登录(WinLogon) 本地安全认证子系统(LSA) msv1_0 安全帐户管理器(SAM) NT LAN Manager(NTLM) Windows 2000安全模型 Windows安全性组件 安全引用监视器，SRM 本地安全认证 LSA策略数据库 安全帐号管理器服务 SAM数据库 默认身份认证包 登录进程 网络登录服务 SRM, Security Reference Monitor To create or gain access to an object, a request must first flow through the SRM the SRM operates in both kernel and user modes LSA Local Security Authority a process the Local Security Authority Subsystem Service lsass.exe The primary security gateway into Windows The SAM and Active Directory On all Windows computers, the SAM contains user account name and password information. 口令，以密文形式存放（scrambled value） The scrambling procedure：one-way function 采用哈希算法，密文就是一个哈希值 On Windows Server 2000 and later domain controllers, user account/hash data for the domain is kept in the Active Directory Active Directory (AD) 从windows server 2000开始 provides a variety of network services, including: LDAP-like Directory services Kerberos based authentication DNS based naming and other network information 采用层次结构来组织对象 3种对象种类 resources (e.g., printers) services (e.g., email) and users (user accounts and groups) The AD provides information on the objects organizes the objects controls access and sets security Forests, trees, and domains the logical parts in an AD network 基本概念：主体和客体 In Windows Subjects processes (associate