《第11章 Windows2000系统的安全机制》由会员分享,可在线阅读,更多相关《第11章 Windows2000系统的安全机制(23页珍藏版)》请在金锄头文库上搜索。
1、第11章 Windows2000系统的 安全机制学习目标 l 了解Windows 2000 Server的加密机制 l 了解Windows 2000 Server的认证机制 l 了解Windows 2000 Server的审计机制 l 熟练掌握Windows 2000 Server的基本安 全配置11.1 windows2000的认证机制11.1.1身份认证 Windows 2000 身份认证的重要功能就是它 对单一注册的支持。单一注册允许用户 使用一个密码一次登录到域,然后向域 中的任何计算机认证身份。 单一注册在安全性方面提供了两个主要优 点:对用户而言,单个密码或智能卡的 使用减少了混乱
2、,提高了工作效率;对 管理员而言,由于管理员只需要为每个 用户管理一个帐户,域用户所要求的管 理支持减少了。 Windows 2000 身份认证分两部分过程执行:交 互式登录和网络身份认证。1.交互式登录 交互式登录过程向域帐户或本地计算机确认用户的身份,这一 过程根据用户帐户的类型而不同。如果使用域帐户登录, 被授权的用户可以访问该 域以及任何信任域中的资源。如 果使用密码登录到域帐户,Windows 2000 将使用 Kerberos V5 进行身份认证。如果使用智能卡,Windows 2000 将使用带证书 的 Kerberos V5 身份认证。 2网络身份认证 网络身份认证确认用户对于
3、试图访问的任意网络服务的身份。 为了提供这种类型的身份认证,Windows 2000 安全系统支 持多种不同的身份认证机制,包括 Kerberos V5、安全套接 字层/传输层安全 (SSL/TLS) 以及为了与 Windows NT 4.0 兼容而提供的NTLM。 11.1.2消息验证1消息身份验证 消息身份验证是验证发送消息的用户就是它们所申明的用户的 过程。消息身份验证也保证了消息不被篡改。 2用户证书 用户证书主要用于验证消息发送者的 SID。只有当用户证书在 Active Directory 中首次注册时才能验证 SID。 3外部证书 外部用户证书包含由证书颁发机构 (CA) 提供(
4、而不是 SID) 的信息,以验证发送者的身份。创建证书的 CA 保证外部证 书中的消息。 4服务器身份验证 客户使用服务器身份验证功能可以来验证发送到消息队列服务 器的查询结果是否没有被篡改,是否为正确的消息队列服务 器返回的结果。 11.1.3数字签名Microsoft 的数字签名向用户保证:如果某个特定 文件已经满足了某项测试级别,则不会被另一 个程序的安装进程修改或覆盖。 Windows 2000 包含以下功能,用于确保您的设 备驱动程序和系统文件保持在原始状态,即数 字签名状态。 l Windows 文件保护 l 系统文件检查程序 l 文件签名验证 1Windows 文件保护在 Win
5、dows 2000 之前的 Windows 版本上,安装操作系统之外 的软件可能会覆盖共享的系统文件,如动态链接库(.dll 文 件)和可执行文件(.exe 文件)等。如果系统文件被覆盖, 则可能会导致系统性能不可预知、程序运行无规律以及操作 系统失败等问题。Windows 2000 中,“Windows 文件保护” 能够阻止替换受保护的系统文件,如 .sys、.dll、.ocx、.ttf、 .fon 和 .exe 文件。 启用“Windows 文件保护”后,只有在安装以下程序时,系统 才允许替换受保护的系统文件: 使用 Update.exe 的 Windows 2000 Service Pa
6、ck 使用 Hotfix.exe 的修补程序分发 使用 Winnt32.exe 的操作系统升级 Windows 更新 2系统文件检查程序“系统文件检查程序”(sfc.exe) 是一个命令行 实用程序,其作用是在重新启动计算机之后扫 描并验证所有受保护的系统文件的版本。如果 系统文件检查程序发现受保护的文件被覆盖, 则从 %systemroot%system32dllcache 文件 夹中检索文件的正确版本,然后替换不正确的 文件。 “系统文件检查程序”的具体语法如下: sfc /scannow /scanonce /scanboot /cancel /quiet /enable /purgec
7、ache /cachesize=x其中,各参数的含义是: /scannow:立即扫描所有受保护的系统文件。 /scanonce:一次扫描所有受保护的系统文件。 /scanboot:每次重新启动计算机时扫描所有受保 护的系统文件。 /cancel:取消对受保护系统文件的所有未决扫描 。 /quiet:替换所有不正确的文件版本,而不提示用 户。 /enable:将“Windows 文件保护”返回到默认操 作,如果检测到不正确的版本则提示用户还原受保护 的系统文件。 /purgecache:清除“Windows 文件保护”文件缓 存并立即扫描所有受保护的系统文件。 /cachesize=x:以 MB
8、 为单位设置“Windows 文件 保护”文件缓存的大小。3使用文件签名验证在计算机上安装新软件时,系统文件被未经过签 名的或不兼容的版本覆盖,可能会导致系统不 稳定。Windows 2000 提供的系统文件具有 Microsoft 数字签名,这表明文件是原始的、 未被篡改或Microsoft已批准由 Windows 2000 使用的系统文件。使用“文件签名验证”,用 户可以标识计算机上未经过签名的文件并查看 相应文件的有关信息,如:文件名、文件位置 、文件的修改日期、文件类型以及文件的版本 号等。 11.2 Windows2000的审计机制10.2.1 审核策略 审核策略指定了要审核的安全相
9、关事件的类别。 第一次安装 Windows 2000 时所有的审核类别 都将被关闭。通过打开各种审核事件类别,可 以实现符合单位安全需要的审计策略。可被选 来进行审核的事件类别有:审核帐户登录事件 ;审核帐户管理;审核目录服务访问;审核登 录事件;审核对象访问;更改审核策略;审核 特权使用;审核过程跟踪;审核系统事件。 10.2.2审核对象的设置 每个对象都带有一组安全信息或安全描述符。安 全描述符中的一部分内容指定了可以访问对象 的组或用户,以及授予这些组或对象的访问类 型(权限)。这一部分内容称为自由访问控制 列表(DACL)。除了包含权限信息外,对象的安 全描述符还包括审核信息。审核信息
10、被称为系 统访问控制列表(SACL)。具体说来,SACL 指 明了:访问对象时要审核的组和用户帐户;对 于每个组或用户需要审核的访问事件(如:修 改文件),基于对象的 DACL 中授予的每个组 或用户的权限的每个访问事件的成功或失败属 性。 11.2.3选择审核项的应用位置 审核文件和文件夹时会出现“审核项”对 话框。在此对话框中,“应用到”列表 显示了可以应用审核项的地方。这些审 核项应用的方式取决于是否选中了“仅 对此容器内的对象和/或容器应用这些审 核项”。默认情况下,该复选框是清除 的。10.3 Windows2000的加密机制 10.3.1文件加密系统 文件加密系统 (EFS) 提供
11、一种核心文件加密技术,该技 术用于在 NTFS 文件系统卷上存储已加密的文件。使 用文件加密系统 (EFS),用户可以对文件进行加密和 解密。以保证文件的安全,防止那些未经许可的入侵 者访问存储的敏感资料(例如,通过盗窃笔记本计算 机或外挂式硬盘驱动器来偷取资料)。用户可以象使 用普通文件和文件夹那样使用已加密的文件和文件夹 。EFS 用户如果是加密者本人,系统会在用户访问这 些文件和文件夹时将其自动解密。但是,不允许入侵 者访问任何已加密的文件或文件夹。文件的加密过程如下: (1)每个文件都有一个唯一的文件加密密钥,用于以后对 文件资料进行解密。 (2)文件的加密密钥在文件之中是加密的,通过
12、与用户的 EFS 证书对应的公钥进行保护。 (3)文件加密密钥同时受到授权恢复代理的公钥的保护。 文件的解密过程如下: (1)要解密一个文件,首先要对文件加密密钥进行解密。 当用户的私钥与这个公钥匹配时,文件加密密钥就被解 密。 (2)用户并不是唯一能对文件加密密钥进行解密的人。恢 复代理的私钥同样可以对文件加密密钥进行解密。 (3)当文件加密密钥被解密后,可以被用户或恢复代理用 于文件资料的解密。 作为系统的整个安全策略的一部分,“加密文件 系统”(EFS) 的资料故障恢复是十分有用的。 例如,如果用户丢失了文件加密证书和相关的 私钥(由于磁盘错误或是其它原因),可以通 过指定的故障恢复代理
13、来恢复数据。又如,在 商业环境中,单位能够在雇员离开后,利用“ 资料故障恢复”功能恢复雇员加密的资料。 EFS 通过实施故障恢复策略要求来提供内置资料 的故障恢复。要求故障恢复策略必须在用户可 以加密文件之前就位。故障恢复策略提供人员 将作为被指派的故障恢复代理。当管理员第一 次登录到系统上时,默认的故障恢复策略将会 自动地添加进去,以便为管理员提供故障恢复 代理。资料故障恢复在网络环境中,对于故障恢复策略影响范围中的 所有计算机用户,域管理员控制如何执行 EFS 。在默认的 Windows 2000 安装中,当安装第 一个网域控制器时,域管理员是指定的域故障 恢复代理。域管理员配置故障恢复策
14、略的方法 将决定如何为本地机器上的用户执行 EFS。域 管理员登录到第一网域控制器以更改域的故障 恢复策略。因为 Windows 2000 安全子系统处 理故障恢复策略的实施、复制和缓冲,用户能 够在暂时脱机的系统上执行文件加密,例如便 携式计算机(此过程类似于使用缓冲的凭据登 录到域帐户)。 10.3.2网络资料的安全性 “网际协议安全 (IPSec)”是一种开放标准的框架结构,使 用加密安全服务确保通过 IP 网络的安全保密通讯。IPSec 是基于端对端的安全模型,这意味着只有知道 IPSec 的计 算机才是发送和接收的计算机。Windows 2000 的 IPSec 实 现了基于 Int
15、ernet 工程任务组 (IETF) IPSec 工作组开发 的标准。 Windows 2000 路由器服务使用安全虚拟专用网络 (VPN) 连 接提供在 LAN 和 WAN 环境中以及通过 Internet 的路由服 务。VPN 连接是基于点对点隧道协议 (PPTP) 和第 2 层隧 道协议 (L2TP)的。 Microsoft 代理服务器通过控制局域网到 Internet 的通讯 使 Intranet 应用程序的安全性和使用效率达到最高,从而 有助于减少这种潜在的危险。Microsoft 代理服务器充当了 在用户网络和 Internet 之间带有防火墙类型安全的网关。11.4 Windows2000的安全配置 11.4.1 安全策略配置 利用windows2000的管理工具“本地安全策略” ,可以配置服务器的安全策略。依次选择“开 始”“程序” “管理工具” “本地安 全策略”,打开“本地安全配置”窗口,如图 11-1所示。 1帐户策略 2本地策略 3IP安全策略配置 11.4.2 文件保护1Windows文件保护 打开“组策略”窗口,在左侧列表里展开“计算机设置”|“管 理模板”|“系统”|“Windows文件”,在右侧列表中显示已 有的文件保护策略,如图11-15所示,双击列表中的某
