RID是跨所有系统和域共享的当安装Windows2000时本地计算机会.PPT

Windows 2000系统安全 软件0706 课程回顾 防火墙技术 入侵检测技术 Windows 2000安全结构 Windows安全对象 Windows 2000中的对象类型有： 文件、文件夹、打印机、I/O设备、窗口、线程、进程和内存。 Windows 2000安全组件 安全标识符: 分配给所有用户、组和计算机的统计上的唯一号码 为了保证SID的惟一性，在生成他们的时候使用一个公式，结合计算机名，当前时间和当前用户模式线程使用CPU时间的总量。SID像这样： S－1－5－21－1649288664－1549824960－1244863647－500 SID S-1-5-21-1507001333-1204550764-1011284298-500 SID的生成 RID 其它的SID 查看SID Windows 2000安全组件 访问控制令牌 : 访问令牌由用户的SID、用户所属组的SID和用户名组成 Windows 2000安全组件 安全描述符: 安全描述符由对象所有者的SID、POSIX子系统使用的组SID、访问控制列表和系统访问控制列表组成。 Windows 2000安全组件 访问控制列表: Windows 2000安全组件 访问控制条目: 访问控制条目（Access Control Entry，ACE）包含用户或组的SID和分配给对象的权限。 Windows安全子系统 Windows安全子系统 Winlogon 图形身份认证和验证动态链接库（Graphical Identification And Authentication DLL，GINA） 本地安全管理授权（Local Security Authority，LSA） 安全支持供应商接口（Security Support Provider Interface，SSPI） 验证软件包（Authentication Packages） 安全支持供应商（Security Support Providers） Netlogon服务 安全帐户管理器（Security Account Manager，SAM） Winlogon Winlogon主要负责管理用户登录和注销过程，并加载GINA DLL并监视安全认证的顺序。 GINA DLL GINA DLL为登陆和登陆请求提供接口。GINA DLL被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以使用，比如利用指纹认证来代替默认的GINA DLL。 Winlogon访问注册表里的＼HKLM＼software＼Microsoft＼windows＼NT\currentversion＼winlogon 键来查看Gina DLL值是否存在。如果此DLL存在，Winlogon加载并使用那个DLL。否则的话WindowsNT就使用默认的DLL,叫MSGINA．DLL，是NT自带的。 由Winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给GINA。 本地安全授权(LSA) 本地安全授权是一个保护子系统，主要负责下列任务： 加载所有的认证包，包括检查存在于注册表中 ＼HKLM＼System＼CurrentControlSet＼ControL＼LSA中的Authentication Packages值 为用户找回本地组的SID以及用户的权限 创建用户的访问令牌 管理本地安全服务的服务帐号 存储和映射用户权限 管理审计策略和设置 管理信任关系 安全支持供应商接口(SSPl) 微软的安全支持供应商接口利RFC2743及RFC2744所定义的一般安全服务API极为相似安全服务提供商API为应用程序和服务要求安全认证连接提供了解决方法。 认证信息包 认证包的内容提供真正的用户验证。认证包检查通过GINA DLL所得到的证书，当用户的证书被检验后，认证包向LSA返回SID，包括用户的访问令牌。 安全支持供应  安全支持供应是安装驱动程序来支持额外的安全机制。WindowsNT默认安装包括以下： ．Msnsspc.dll：微软网络(MSN)挑战／响应认证方法。 . Msapsspc.dll：分布式密码认证(DPA)挑战／响应方法，也用于MSN。 ．Schannel.Dll 利用证书授权机购(如VeriSign)所发布的证书来时行验证。这种认证方法通常是在安全套接字层(SSL)或私有通信技术(PCT)协议连接时所使用。 Netlogon Net logon服务必须为认证的传输建立一个安全的通道。 为了达到这种效果，要定位—个域控制器来建立安全通道。 最