收藏
下载资源

网络信息安全_第三次课2概要

上传人:今*** 文档编号:107177796 上传时间:2019-10-18 格式:PPT 页数:23 大小:429KB
返回 下载 相关 举报
网络信息安全_第三次课2概要_第1页
第1页 / 共23页
网络信息安全_第三次课2概要_第2页
第2页 / 共23页
网络信息安全_第三次课2概要_第3页
第3页 / 共23页
网络信息安全_第三次课2概要_第4页
第4页 / 共23页
网络信息安全_第三次课2概要_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《网络信息安全_第三次课2概要》由会员分享,可在线阅读,更多相关《网络信息安全_第三次课2概要(23页珍藏版)》请在金锄头文库上搜索。

1、第二章 网络操作系统安全,第三节 Windows NT系统安全,Windows NT系统整体安全性符合TCSEC的C2安全等级,部分安全措施已经达到了B2级别。,一、Windows NT的安全基础 1Windows NT中的对象 Windows NT的安全机制是建立在对象的基础上的,因此,对象的概念与安全问题密切相关。 对象是构成Windows NT操作系统的基本元素,它可以是文件、目录、存储器、驱动器或系统程序等。,对象属性:SID(安全标识符)GID(身份标识符) ACL(访问控制列表),文件,目录,存储器,驱动器,系统程序,对象,2Windows NT中的网络模型 Windows NT系

2、统中有两种基本的网络模型:工作组模型和域模型。 (1) 工作组模型 工作组模型:是一个“对等”网结构。 (2) 域模型 域是一个共享公共目录数据库和安全策略的计算机及用户的集合,它提供登录认证,并具有唯一的域名。,3. 用户帐户、权力(Power)和权限(Jurisdiction) 每个要登录Win NT的用户,都要有一个用户帐户,该帐户是由系统管理员创建的,用户帐户中包括用户的名称、密码、用户权力、访问权限等信息。创建帐户后,Win NT再为帐户指定一个唯一的安全标识符SID。,用户和组都有一定的权力,权力定义了用户在系统中能做什么。 用户权力一般包括:从网络中访问计算机、向域中添加工作站和

3、成员服务器、备份文件和目录、改变系统时间、强制从远程系统退出、装/卸设备驱动器、本地登录、恢复文件和目录等。这些权力大多数只指定给管理用户。,用户和组要有权限才能使用对象。 权限可由系统管理员赋予用户,也可由文件、目录等对象的所有者赋予用户。Win NT的权限有:列表、读取、添加、修改、添加并读取、完全控制等。,4. 目录数据库 目录数据库是整个网络系统中不可缺少的重要组成部分。目录数据库用来存放域中所有的安全数据和用户帐户信息。用户登录时,用它来核对、检验用户输入的数据是否符合其相应的身份和使用权限。该数据库被存放在主域控制器,在备份域控制器中也有它的备份。,5. 注册表 注册表是包括应用程

4、序、硬件设备、设备驱动程序配置、网络协议和网卡设置等信息的数据库。它是一个具有容错功能的数据库,如果系统出现错误,日志文件使用Windows NT能够恢复和修改数据库,以保证系统正常运行。,编辑注册表方法: “开始” “运行” 输入“regedit” 注册表结构 HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG HKEY_DYN_DATA,(二) Windows NT的安全性机制和技术 1安全性机制 (1) 账号规则 (2) 用户权限规则 (3) 审核规则 (4) 域管理机

5、制,帐号规则 用户名 系统中用户名必须唯一。 用户密码 密码要有最小长度、最短修改周期、最长使用时间、密码字符等限制。,用户权限规则 权限分类 用户访问权限:规定入网用户以何种权限使用网络资源。 资源访问权限:由资源的属性决定。,用户权限规则 Windows NT支持的文件系统: FAT和NTFS NTFS访问权限: 标准权限 和 特殊权限,审核规则 审核的时间:登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。 结果存放于日志中。,域管理机制 域中所有的安全机制信息或用户帐号信息都存放在目录数据库。,2安全性技术 (1) K

6、erberos (2) EFS (3) IP Security,(1)Kerberos,系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。,Kerberos工作流程: 认证服务器根据用户名找到用户密码 生成一个票据授权票和与客户共享的密码A 使用用户的密码将 数据A= 票据授权票+一个共享密码(密码A) 加密用户获得数据A,输入自己的密码,使用输入的密码来解开数据A,如果密码正确,获得票据授权票和共享密码A. 用户使用共享密码A

7、将用户名用户IP地址加密生成一个验证器A. 用户需要使用服务器A的服务A,向认证服务器提出索票请求。向认证服务器发送数据B=验证器票据授权票服务A名用户用户地址. 认证服务器收到数据,解开票据授权票获得共享密码A,使用密码A解开验证器,认证是否是真实用户。成功以后,认证服务器生成一个服务A的票,并且生成一个与服务A共享的密码B.最后向客户发送数据C=密码B+服务A的票 用户获得数据B后,使用密码B生成验证器B 用户向服务器A发送数据D=验证器B+服务A的票 服务器A接受数据D,获得服务A的票,并且获得共享密码B,使用密码B解开验证器B 使用验证器的用户名和地址核对是否是授权用户,如果是提供服务A,(2)EFS Encrypting File System,加密文件系统的缩写,他可以被应用在windows 2000以上的操作系统且为NTFS5格式的分区上(windows xp home不支持)。 只对存储在磁盘上的数据进行加密,是一种安全的本地信息加密服务。,(3)IP Security IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。 以上三方面的工作分别由AH,ESP和IKE(Internet Key Exchange,Internet 密钥交换)三个协议规定。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号