Security6_安全操作系统基础.pptVIP

计算机网络安全技术 ——安全操作系统基础;内容提要;操作系统概述;访问控制;用户被机器认证的方法;访问控制矩阵;访问控制表和能力表;Windows系统;Windows NT系列操作系统优点;Windows NT系列操作系统优点;Windows NT系列操作系统优点; 1、 Windows NT的系统登录 Windows NT要求每一个用户提供唯一的用户名和口令来登录到计算机上，这种强制性登录过程不能关闭。 成功的登录过程有以下四个步骤： ;Win32子系统;登录使用安全警示序列键的好处;2、账户锁定 为了防止有人企图强行闯入系统，用户可以设定最大登录次数，如果用户在规定的次数内未登陆成功，系统就自动锁定账户，该帐户就不能再用于登录。;;;;;3、 Windows NT安全性标识符（SID） 安全性标识符用来在安全系统上标识一个注册用户的唯一名字，它可以用来标识一个用户或一组用户。安全性标识符是系统内部的，在存取令牌和ACL(Access Control List)内使用。 一个SID是系统上面的唯一的数值，也就是，用于代表一个用户的SID值在以后应该永远不会被另一个用户使用，所有的SID用一个用户信息、时间、日期和域信息的结合体来创建。;4、 Windows NT的账户口令管理 在NT中，当系统管理员创建了一个用户帐户，他可以对用户的口令作出一些必要的规定：;;;文件和资源的访问控制;1、Windows NT的资源访问控制 （1）Windows NT访问控制表及其组成 （范围）Windows NT中所有的对象（命名对象、进程、线程）都有一个安全性描述符，（内容）安全性描述符上列出了允许用户和组在对象上可以执行的动作，（作用）安全性描述符可以用来设置和检查一个对象的安全属性。 Windows NT 定义了一系列安全信息，并把它们应用于所有对象的实例，这些安全信息包括：; 安全信息包括 1）所有者 它指向一个安全标识符（SID），用于确定拥有这个对象的用户。 2）组 指向一个组SID的指针，用于指出这个对象和哪个组相联系。 3）自由访问控制表（Access Control List ,ACL） 由对象拥有者控制，标明谁可以和谁不可以存取该对象。 ;4）系统访问控制表 由安全管理者控制，用于控制审计消息的产生。审计就是对用户活动的记录，通过查看日志文件管理员就可以发现异常的活动。 5）存取令牌（Access Token） 存取令牌包括用户的SID和用户所属组的ID，它永久地连接到用户的每个进程当中，并作为进程试图使用资源时的身份证。; ; （2）许可检查（Permission Check） 安全子系统比较存取令牌的步骤： A 从ACL的顶部开始，安全子系统检查每个ACE，看是否显示的拒绝该用户所要求的访问形式（读、写），或该用户所在组的这种形式的访问。 B 检查，看是否用户要求的访问形式已经显示的授予用户（或组）。 C 对ACL每次重复A,B步，直到遇到显示地拒绝，或者累计所有的访问形式得到许可，以授权所有要求的访问。 D 如果对于每个需要的许可，ACL中没有拒绝，也没有授权，则用户将被拒绝。; File Object 访问控制表 File Object 访问控制表;Windows NT的许可检查规则可总结为： （1） 许可权可以进行累计； （2）拒绝的优先级永远高于授予的优先级； （3）没有明确的授权就是拒绝。 ;2、Windows NT的NTFS文件系统 FAT 文件系统极不安全，因为它不支持文件访问控制，任何人都可以随便地打开该文件，甚至修改、删除该文件。 NTFS 文件系统是一种安全的文件系统，因为它支持文件访问控制，可以设置文件和目录的访问权限，控制谁可以使用这个文件，以及如何使用这个文件。如：拒绝访问，读取，更改，完全控制，选择访问。;;安全配置方案初级篇 ;1、物理安全;2、停止Guest帐号;;3 限制用户数量;4 多个管理员帐号;5 管理员帐号改名;6 陷阱帐号;7 更改默认