CISP-2-Windows系统安全汇.pptVIP

信息安全技术Windows系统安全 Windows系统安全培训课程 Windows安全原理 Windows安全配置 Windows安全工具及checklist Windows安全原理篇 Windows系统的安全架构 Windows的安全子系统 Windows的密码系统 Windows的系统服务和进程 Windows的日志系统 Windows系统的安全架构 Windows系统的安全组件 由于Windows 是C2级别的操作系统，下面介绍作为C2级别的操作系统中所包含的安全组件： 访问控制的判断（Discretion access control） 按照C2级别的定义，Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么Windows NT禁止undelete已经被删除的文件的原因。 强制登陆（Mandatory log on） 与Windows for Workgroups，Windwows 95，Windows 98不同，Windows2K/ NT要求所有的用户必须登陆，通过认证后才可以访问资源。由于网络连接缺少强制的认证，所以Windows 作为C2级别的操作系统必须是未连网的。 审核（Auditing） Windows NT 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 对象的访问控制（Control of access to object） Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。 Windows系统的对象 为了实现自身的安全特性，Windows2K/ NT把所有的资源作为系统的特殊的对象。这些对象包含资源本身，Windows2K/ NT提供了一种访问机制去使用它们。由于这些基本的原因，所以我们把Windows2K/ NT称为基于对象的操作系统。 Microsoft的安全就是基于以下的法则： 用对象表现所有的资源 只有Windows2K/ NT才能直接访问这些对象 对象能够包含所有的数据和方法 对象的访问必须通过Windows 2K/NT的安全子系统的第一次验证 存在几种单独的对象，每一个对象的类型决定了这些对象能做些什么 Windows 中首要的对象类型有： 文件 文件夹 打印机 I/O设备 窗口 线程 进程 内存 这些安全构架的目标就是实现系统的牢固性。从设计来考虑，就是所有的访问都必须通过同一种方法认证，减少安全机制被绕过的机会。 Windows系统的安全主体 用户 用户、用户帐户、Administrator 与SYSTEM或LocalSystem的区别 用户组 为简化用户管理而引入的一个概念（类似一个容器，里面是权限相同的用户），还可以同时为多个用户授权。 计算机（机器帐户） 当一个Windows系统加入某个域的时，域控制器为它创建的一个计算机帐户。 用户权限 权限:可以授予用户或组的文件系统能力： 有了相应的用户权限，账户才有权去进行特定的操作。 两类用户权限： 登陆权限：账户在通过身份验证之前所具备的权限。 操作权限：账户在通过身份验证之后所具备的权限。 注意：如果某个帐户同时出现在“拒绝”和“允许”两种授权策略里，结果是“拒绝”大于“允许”的权限； 授权时注意“最小权限”原则； 用户权利和共享 网络安全性依赖于给用户或组授予的能力： 权力:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。 共享:用户可以通过网络使用的文件夹。 Windows系统的用户权利 　权利适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权利的帐号时，该用户就可以执行与该权利相关的任务。 下面列出了用户的特定权利： Access this computer from network 可使用户通过网络访问该计算机。 Add workstation to a domain 允许用户将工作站添加到域中。 Backup files and directories 授权用户对计算机的文件和目录进行备份。 Change the system time 用户可以设置计算机的系统时钟。 Load and un