windows系统安全机制1.pptVIP

Windows系统安全机制 基本内容 基本概念 1－Windows基本概念 Windows 的基本概念 对象 对象(object) 在windows2K操作系统中，系统的所有资源都被当做对象来处理。对象包括：文件、目录、设备、管道、进程、注册表键等。 对象的安全描述符(security descriptor) 每个对象都有一个安全描述符来描述他们的安全属性，安全描述符包括： 对象所有者的SID。 自定义访问控制列表(DACL)，它包含那些用户和组可以访问这个对象的信息。 系统访问控制列表(SACL),它定义对对象的审核。 所有组安全ID，由POSIX子系统(类似UNIX的环境)使用。 对象访问验证过程 当用户(进程)希望访问一个对象时，安全参考监视器SRM将用户的访问令牌中的用户信息与对象的DACL中的信息进行比较，从而决定是否允许用户对对象进行某种操作访问。 访问令牌（Access tokens）:。 访问令牌是用户在通过验证的时候由登陆进程所提供的，记录用户特权信息。所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 访问令牌的内容：用户的SID、组的SID等。 域(domain) 域(domain)： 是windows NT的功能核心，域是共享同一个认证数据库的一个或多个windows计算机的一个集合。对于用户的好处是他们登录到域上，可以访问域里的其他资源和服务，不需要再登录到每台服务器。域是win NT的安全管理边界。 域控制器(Domain Controller) 在Win NT中在创建一个域时，首先安装的第一台服务器应该是“主域控制器(Primary Domain Controller，PDC)”。PDC最主要的功能是保存整个域的认证数据库，这个数据库被称为“SAM数据库”，包括用户帐号的各种信息。另外，域中还可以有一个“备份域控制器(BDC)”,保存着域SAM数据库的备份。 工作组(workgroup) 工作组(workgroup)： 是不属于域的一个独立单元。工作组中的每个计算机各自维护自己的组帐号、用户帐号及安全帐号数据库，不与其他系统共享用户信息。一个工作组组成的网络是一个“对等网”。 信任关系(trust) 信任关系是一种使得一个域中的用户被其他域中的域控制器验证的机制。信任关系创建了域之间的隐含访问能力，它就像在域间建立了桥梁。 活动目录中的“树” 树是由多个域组成，这些域共享一个通用的架构和配置，在活动目录中形成一个连续的名称空间。树内得所有域通过具有传递性的信任关系连接在一起，这样更容易定位资源。 活动目录 活动目录包括两个方面：目录和与目录相关的服务。 目录是存储各种对象的一个物理上的容器，从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别，仅仅是一个对象，是一实体 目录服务是使目录中所有信息和资源发挥作用的服务 活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问，因为多台机上有相同的信息，所以在信息容器方面具有很强的控制能力，正因如此，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。 目录树结构 活动目录中的“森林” 森林：本质上是一个多个平等的树的集合，森林中没有单个根。 目录森林实例 森林 微软管理控制台(MMC) MMC是一个用于创建、保存或打开管理单元的集成化管理平台。 微软管理控制台(MMC.exe) 2－windows安全体系结构 Win2K安全子系统 安全子系统组件说明-1 Active Directory服务：提供win2K目录服务和复制。它支持LDAP协议和数据的管理部分。 安全子系统组件说明-2 MSV1.0：用于win NT身份验证的程序，它主要为不支持Kerberos的win客户提供身份验证。 本地安全授权(Local security authority，LSA) 本地安全授权(LSA) 是windows2K安全机制的核心，它通过确认安全帐号管理中的数据，控制各种类型的用户的本地和远程登录，并提供用户存取许可确认及产生访问令牌。同时本地安全授权还管理本地的安全策略、控制审计方案并将安全参考监视器产生的审计信息保存到日志文件中。 安全参考监视器（security reference monitor） 安全参考监视器(SRM) 是以核心模式运行的，它负责检查对对象的访问的合法性并为用户帐号提供访问权限。用户在要求访问对象时，不能直接访问对象，必须通过安全参考监视器的有效校验。安全参考监视器还负责审核生成策略，在验证对象的访问和检查用户帐号权限时生成必要的审核信息。 对象管理器(Object Manager) 对象管理器负责系统中各种对象的命名、保护、