收藏
下载资源

CISP-2-Windows系统安全.ppt

上传人:自*** 文档编号:124303687 上传时间:2020-03-12 格式:PPT 页数:94 大小:2.05MB
返回 下载 相关 举报
CISP-2-Windows系统安全.ppt_第1页
第1页 / 共94页
CISP-2-Windows系统安全.ppt_第2页
第2页 / 共94页
CISP-2-Windows系统安全.ppt_第3页
第3页 / 共94页
CISP-2-Windows系统安全.ppt_第4页
第4页 / 共94页
CISP-2-Windows系统安全.ppt_第5页
第5页 / 共94页
点击查看更多>>
资源描述

《CISP-2-Windows系统安全.ppt》由会员分享,可在线阅读,更多相关《CISP-2-Windows系统安全.ppt(94页珍藏版)》请在金锄头文库上搜索。

1、 信息安全技术 Windows系统安全 银长城 CISP培训系列 Windows系统安全培训课程 vWindows安全原理 vWindows安全配置 vWindows安全工具及checklist 银长城 CISP培训系列 Windows安全原理篇 银长城 CISP培训系列 Windows安全原理篇 vWindows系统的安全架构 vWindows的安全子系统 vWindows的密码系统 vWindows的系统服务和进程 vWindows的日志系统 银长城 CISP培训系列 Windows系统的安全架构 Windows NT的安全包括6个主要的安全元素 Audit Administration

2、Encryption Access Control User Authentication Corporate Security Policy Windows NT系统内置支持用户认证 访问控制 管理 审核 银长城 CISP培训系列 Windows系统的安全组件 由于Windows 是C2级别的操作系统 下面介绍作为C2级别的操作系统中所包含的安全组件 v访问控制的判断 Discretion access control 按照C2级别的定义 Windows 支持对象的访问控制的判断 这些需求包括允许对象的所有者 可以控制谁被允许访问该对象以及访问的方式 v对象重用 Object reuse 当

3、资源 内存 磁盘等 被某应用访问时 Windows 禁止所有的系统应用访问该资源 这也 就是为什么Windows NT禁止undelete已经被删除的文件的原因 v强制登陆 Mandatory log on 与Windows for Workgroups Windwows 95 Windows 98不同 Windows2K NT要求所有的 用户必须登陆 通过认证后才可以访问资源 由于网络连接缺少强制的认证 所以Windows 作为C2级别的操作系统必须是未连网的 v审核 Auditing Windows NT 在控制用户访问资源的同时 也可以对这些访问作了相应的记录 v对象的访问控制 Cont

4、rol of access to object Windows NT不允许直接访问系统的某些资源 必须是该资源允许被访问 然后是用户或应用 通过第一次认证后再访问 银长城 CISP培训系列 Windows系统的对象 为了实现自身的安全特性 Windows2K NT把所有的资源作为系统 的特殊的对象 这些对象包含资源本身 Windows2K NT提供了一种访 问机制去使用它们 由于这些基本的原因 所以我们把Windows2K NT 称为基于对象的操作系统 v Microsoft的安全就是基于以下的法则 用对象表现所有的资源 只有Windows2K NT才能直接访问这些对象 对象能够包含所有的数据

5、和方法 对象的访问必须通过Windows 2K NT的安全子系统的第一 次验证 存在几种单独的对象 每一个对象的类型决定了这些对象 能做些什么 v Windows 中首要的对象类型有 文件 文件夹 打印机 I O设备 窗口 线程 进程 内存 v 这些安全构架的目标就是实现系统的牢固性 从设计来考虑 就是所有 的访问都必须通过同一种方法认证 减少安全机制被绕过的机会 银长城 CISP培训系列 Windows系统的安全主体 v用户 用户 用户帐户 Administrator 与SYSTEM或LocalSystem的区别 v用户组 为简化用户管理而引入的一个概念 类似一个容器 里面是权限相同 的用户

6、 还可以同时为多个用户授权 v计算机 机器帐户 当一个Windows系统加入某个域的时 域控制器为它创建的一个计算 机帐户 银长城 CISP培训系列 用户权限 v权限 可以授予用户或组的文件系统能力 有了相应的用户权限 账户才有权去进行特定的操作 v两类用户权限 登陆权限 账户在通过身份验证之前所具备的权限 操作权限 账户在通过身份验证之后所具备的权限 注意 如果某个帐户同时出现在 拒绝 和 允许 两种授权策略里 结 果是 拒绝 大于 允许 的权限 授权时注意 最小权限 原则 银长城 CISP培训系列 用户权利和共享 网络安全性依赖于给用户或组授予的能力 v权力 在系统上完成特定动作的授权 一

7、般由系统 指定给内置组 但也可以由管理员将其扩大到组 和用户上 v共享 用户可以通过网络使用的文件夹 银长城 CISP培训系列 Windows系统的用户权利 权利适用于对整个系统范围内的对象和任务的操作 通常是用来授权用户执 行某些系统任务 当用户登录到一个具有某种权利的帐号时 该用户就可以执行 与该权利相关的任务 下面列出了用户的特定权利 Access this computer from network 可使用户通过网络访问该计算机 Add workstation to a domain 允许用户将工作站添加到域中 Backup files and directories 授权用户对计算机

8、的文件和目录进行备份 Change the system time 用户可以设置计算机的系统时钟 Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序 Restore files and directories 允许用户恢复以前备份的文件和目录 Shutdown the system 允许用户关闭系统 银长城 CISP培训系列 Windows系统的用户权限 v权限适用于对特定对象如目录和文件 只适用于 NTFS卷 的操作 指定允许哪些用户可以使用这些 对象 以及如何使用 如把某个目录的访问权限授予 指定的用户 权限分为目录权限和文件权限 每一 个权

9、级别都确定了一个执行特定的任务组合的能力 这些任务是 Read R Execute X Write W Delete D Set Permission P 和 Take Ownership O 下表显示了这些任务是如何与各种 权限级 别相关联的 银长城 CISP培训系列 Windows系统的用户权限 目录权限 权权限级别级别 RXWDPO允许许的用户动户动作 No Access 用户不能访问该 目录 ListRX可以查看目录中的子目录和文 件名 也可以进入其子目录 ReadRX 具有List权限 用户可以读取 目录中的文件和 运行目录中的 应用程序 AddXW用户可以添加文件和子录 Add a

10、nd ReadRXW具有Read和Add的权限 ChangeRXWD有Add和Read的权限 另外 还可以更改文件的内容 删除 文件和子目录 Full controlRXWDPO有Change的权限 另外用户 可以更改权限和获取目录的所 有权 如果对目录有Execute X 权限 表示可以穿越目录 进入其子目 银长城 CISP培训系列 Windows系统的用户权限 文件权限 权权限级别级别 RXWDPO允许许的用户动户动作 No Access 用户不能访问该 文件 ReadRX 用户可以读取该文件 如 果是应用程序可以运行 ChangeRXWD 有Read的权限 还可用修 和删除文件 Full

11、 controlRXWDPO 包含Change的权限 还可 以更改权限和获取文件的 有权 银长城 CISP培训系列 Windows系统的共享权限 v共享只适用于文件夹 目录 如果文件夹不是 共享的 那么在网 络上就不会有用户看到它 也 就更不能访问 网络上的绝大多数服务器 主要用 于存放可被网络用户访问的文件和目录 要使网 络用户可以访问 在NT Server服务器上的文件和 目录 必须首先对它建立共享 共享权 限建立了 通过网络对共享目录访问的最高级别 银长城 CISP培训系列 Windows系统的共享权限 下表列出从最大限制到最小限制的共享权限 共享权限 共享权权限级别级别 允许许的用户动

12、户动作 No Access 不能访问 禁止对目录和其中的文件及子目录进行访问但 允许查看文件名和子目录名 改变共享 Read 读 目录的子目录 还允许查看文件的数据 和运行 应用程序 Change 更改 具有 读 权限中允许的操作 另外允许往目录 中添加文件和子目录 更改文数据 删除文件 和子目录 Full control 完全控制 具有 更改 权限中允许的操作 另外还允许更 改权限 只适用于NTFS卷 和获所有权 只适用 于NTFS卷 共享点一定要小心地分配 因为权限仅仅是分配给共享点的 任何共享点下的文件 或目录都足以和共享点本身相同的权限被访问的 银长城 CISP培训系列 Windows

13、安全子系统的组件 Windows NT安全子系统包含五个关键的组件 Security identifiers Access tokens Security descriptors Access control lists Access Control Entries v 安全标识符 Security Identifiers 简称SID 每次当我们创建一个用户或一个组的时候 系统会分配给 改用户或组一个唯一SID 当你重新安装Windows NT后 也会得到一个 唯一的SID SID永远都是唯一的 由计算机名 当前时间 当前用户态 线程的CPU耗费时间的总和三个参数决定以保证它的唯一性 例 S

14、1 5 21 1763234323 3212657521 1234321321 500 SID以S开头 1是版本号 5是签发者主代码 其后四组数字是签发 者子代码 明确此SID的签发者是谁 500是RID Relative Identifier 相对标识符 银长城 CISP培训系列 Windows安全子系统的组件 v 访问令牌 Access tokens 用户通过验证后 登陆进程会给用户一个访问令牌 该令牌相当于用户访问系统资源的票证 当用户试图访问 系统资源时 将访问令牌提供给Windows NT 然后 Windows NT检查用户试图访问对象上的访问控制列表 如果用户被允许访问该对象 Wi

15、ndows NT将会分配给用 户适当的访问权限 访问令牌是用户在通过验证的时候有登陆进程所提供 的 所以改变用户的权限需要注销后重新登陆 重新获取 访问令牌 银长城 CISP培训系列 Windows安全子系统的组件 v 安全描述符 Security descriptors Windows NT中的任何对象的属性都有安全描述符这部分 它保存对象 的安全配置 v 访问控制列表 Access control lists 访问控制列表有两种 任意访问控制列表 Discretionary ACL 系统 访问控制列表 System ACL 任意访问控制列表包含了用户和组的列 表 以及相应的权限 允许或拒绝

16、 每一个用户或组在任意访问控制列 表中都有特殊的权限 而系统访问控制列表是为审核服务的 包含了对 象被访问的时间 v 访问控制项 Access control entries 访问控制项 ACE 包含了用户或组的SID以及对象的权限 访问控制 项有两种 允许访问和拒绝访问 拒绝访问的级别高于允许访问 当你使用管理工具列出对象的访问权限时 列表的排序是以文字为顺序 的 它并不象防火墙的规则那样由上往下的 不过好在并不会出现冲突 拒绝访问总是优先于允许访问的 银长城 CISP培训系列 Windows安全子系统 安全子系统包括以下部分 Winlogon Graphical Identification and Authentication DLL GINA Local Security Authority LSA Security Support Provider Interface SSPI Authentication Packages Security support providers Netlogon Service Security Account Manager SAM 银长城

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号