计算机网络管理与安全技术第8章Windows2000.ppt

网络管理与安全技术 李 艇 Windows 2000 Windows 2000原名是Windows NT 5.0，随着多种测试版本的发行，人们开始从各个侧面加深对它的认识。全新的界面、高度集成的功能、巩固的安全性、便捷的操作，都为计算机专业人员、普通用户带来莫大的惊喜 Windows 2000在界面、风格与功能上都具有统一性，是一种真正面向对象的操作系统，用户在操作本机的资源和远程资源时不会感到有什么不同 本章主要内容 操作系统安全基础 Windows 2000 安全结构 Windows 2000 文件系统安全 Windows 2000 账号安全 GPO 的编辑 活动目录安全性考察 Windows 2000 缺省值的安全性评估 Windows 2000 主机安全 8.1操作系统安全是系统安全的基础 各种应用软件均建立在操作系统提供的系统软件平台之上，上层的应用软件要想获得运行的高可靠性和信息的完整性、必威体育官网网址性，必须依赖于操作系统提供的系统软件基础 操作系统安全级别 常见操作系统安全级别 常见威胁类型 (一) 常见威胁类型 （二） 8.2 Windows 2000 安全结构 安全六要素 8.2.2 Windows 2000 安全组件 （一） 灵活的访问控制 Windows 2000支持C2级标准要求的灵活访问控制 对象重用 Windows 2000很明确地阻止所有的应用程序不可以访问被另—应用程序使用所占用资源内的信息（比如内存或磁盘） Windows 2000 安全组件 （一） 强制登录 Windows 2000用户在能访问任何资源前必须通过登录来验证他们的身份 Windows 2000 安全组件 （二） 审计 因为Windows 2000采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动 控制对象的访问 Windows 2000不允许直接访问系统里的资源，这种不许直接访问是允许访问控制的关键 8.2.4安全的组成部分（一） 安全标识符 安全标识符（SID）是统计上地唯一的数组分配给所有的用户、组、和计算机 每次当一个新用户或组被建立的时候，它们都会接收到一个唯一的SID 每当Windows 2000安装完毕并启动的时候，也会有一个新的SID分配给这台计算机 SID标识了用户、组和计算机的唯一性，不仅仅是在某台特定的电脑上还包括和其它计算机交互的时候 安全的组成部分（二） 访问令牌 访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的 访问令牌就好比用户能够访问计算机资源的“入场券”。无论何时用户企图进行访问，都要向Windows NT出示访问令牌 安全的组成部分（三） 安全描述符 Windows NT内的每个对象都有一个安全描述符作为它们属性的一部分。 安全描述符持有对象的安全设置。 安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表。 安全的组成部分（四） 访问控制列表 灵活访问控制列表里记录用户和组以及它们的相关权限，要么允许要么拒绝 访问控制条目 每个访问控制条目（ACE）包含用户或组的SID及对对象所持有的权限。对象分配的每个权限都有一个ACE 访问控制条目有二种类型：允许访问或拒绝访问。在访问控制列表里拒绝访问ACE优先于允许访问 8.2.5Windows 2000 安全机制（一） 帐号安全 计算机帐户 活动目录用户帐户 Windows 2000 安全机制（二） 文件系统安全 NTFS文件系统使用关系型数据库、事务处理以及对象技术，以提供数据安全以及文件可靠性的特性 Windows 2000 安全机制（三） 认证 Kerberos 5 Kerberos是一种被证明为非常安全的双向身份认证技术 其身份认证强调了客户机对服务器的认证，而别的身份认证技术往往只解决了服务器对客户机的认证 Kerberos有效地防止了来自服务器端身份冒领的欺骗 Windows 2000 安全机制（四） NTLM 认证 Windows 2000中仍然保留NTLM（NT-LanMan）认证，以便向后兼容 运行DOS、Windows 3.x、Windows 95、Windows 98、Windows NT 3.5和Windows NT 4.0的客户仍然需要LM和NTLM支持 但LanManager中的哈希算法有漏洞 l0pht已经发布用于破解NT系统中SAM文件的工具l0phtcrack Windows 2000已支持新的更安全的认证协议NTLM 2 8.3 Windows 2000文件系统安全 NT有关权限的标准 NT共享权限列表 8.3.2 文件系统类型 Fat16