组网与网络管理技术网络管理与维护 徐记金 xujijin@中粮安徽丰原砀山梨业有限公司第四章 计算机网络管理n4.1 网络管理的基本概念n4.2 简单网络管理协议SNMPn4.3 VLAN的使用和管理n4.4 日常网络管理n4.5 计算机网络的测试与维护4.4 日常网络管理n以Windows NT为例4.4.1 安全规则一、操作系统安全定义• 信息安全的五类服务,作为安全的操作系统时必须提供的• 有些操作系统所提供的服务是不健全的、默认关闭的二、信息安全评估标准nITSEC和TCSECn美国国防部TCSEC描述的系统安全级别–D A(彩虹系列)nCC(Common Critical)标准nBS 7799:2000标准体系nISO 17799标准TCSEC彩虹系列标准没有安全性可言,例如没有安全性可言,例如MS DOSMS DOS不区分用户,基本的访问控制不区分用户,基本的访问控制D 级C1 级C2 级B1 级B2 级B3 级A 级有自主的访问安全性,区分用户有自主的访问安全性,区分用户标记安全保护,如标记安全保护,如System VSystem V等等结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽校验级保护,提供低级别手段校验级保护,提供低级别手段C2级安全标准的要求n自主的访问控制n对象重用必须由系统控制n用户标识和认证n审计活动–能够审计所有安全相关事件和个人活 动–只有管理员才有权限访问C2级别操作系统应包含的安全组件n访问控制的判断(Discretion access control)允许对象所有者可以控制谁被允许访问该对象以及访问的 方式。
n对象重用(Object reuse)当资源(内存、磁盘等)被某应用访问时,Windows 禁止 所有的系统应用访问该资源,这也就是为什么无法恢复已经被删除 的文件的原因 n强制登陆(Mandatory log on)要求所有的用户必须登陆,通过认证后才可以访问资源n审核(Auditing)在控制用户访问资源的同时,也可以对这些访问作了相应的 记录n对象的访问控制(Control of access to object)不允许直接访问系统的某些资源必须是该资源允许被访 问,然后是用户或应用通过第一次认证后再访问三、Windows系统的安全架构Windows NT系统内置支持用户认证、加密、访问 控制、管理、审核四、Windows NT的对象n为了实现自身的安全特性, Windows NT 把所有的资源作为系统的特殊的对象 这些对象包含资源本身, Windows NT 提供了一种访问机制去使用它们由于这 些基本的原因,所以我们把 Windows NT 称为基于对象的操作系统Microsoft的安全就是基于以下的法则 :n用对象表现所有的资源 n只有Windows NT才能直接访问这些对象n对象能够包含所有的数据和方法 n对象的访问必须通过Windows NT的安全子系统的第一次验证 n存在几种单独的对象,每一个对象的类型决 定了这些对象能做些什么Windows 中首要的对象类型n文件 n文件夹 n打印机 nI/O 设备 n窗口 n线程 n进程 n内存五、Windows安全子系统的组件n安全标识符(Security Identifiers) n访问令牌(Access tokens)n安全描述符(Security descriptors)n访问控制列表(Access control lists)n访问控制项(Access control entries)安全标识符(Security Identifiers )n就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组 一个唯一SID,当你重新安装系统后,也会得到 一个唯一的SID。
nSID永远都是唯一的,由计算机名、当前时间 、当前用户态线程的CPU耗费时间的总和三个参 数决定以保证它的唯一性例:S-1-5-21- 1763234323-3212657521-234321321-500访问令牌(Access tokens)n用户通过验证后,登陆进程会给用户一个访问令牌, 该令牌相当于用户访问系统资源的票证,当用户试图访 问系统资源时,将访问令牌提供给Windows 系统,然后 Windows NT检查用户试图访问对象上的访问控制列表如果用户被允许访问该对象,系统将会分配给用户适 当的访问权限n访问令牌是用户在通过验证的时候有登陆进程所提供 的,所以改变用户的权限需要注销后重新登陆,重新获 取访问令牌安全描述符(Security descriptors )nWindows 系统中的任何对象的属性都有安全描述符这部分它保存对象的安全配置访问控制列表(Access controllists )n访问控制列表有两种:任意访问控制列表( Discretionary ACL)、系统访问控制列表( System ACL)任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。
每 一个用户或组在任意访问控制列表中都有特殊的 权限而系统访问控制列表是为审核服务的,包 含了对象被访问的时间访问控制项(Access control entries )n访问控制项(ACE)包含了用户或组的SID以及对象的权限n访问控制项有两种:允许访问和拒绝访问 拒绝访问的级别高于允许访问六、 Windows安全子系统安全策略 数据库安全账号 管理器用户帐号 数据库审计日志登录进程本地安全机构Win32应用程序其他环境子系统Win32子系统执行体服务访问、验证 审计、检查安全、引用 监视程序用户模式核心模式安全策略审计消息身份验证1、登录进程(WinLogon)n接受用户的登录申请,包括初次交互登录( 对用户显示初始登录对话框)和允许远程用户访 问Windows NT服务器进程的远程登录进程2、本地安全机构(LSA)n确保具有权限的用户能够访问系统是 WindowsNT安全子系统的核心部分nLSA提供了许多服务程序,保障用户获得存取系统的许可权它产生令牌、执行本地安全管 理、提供交互式登录认证服务、控制安全审查策 略和由SRM产生的审查记录信息3、安全账号管理器(SAM)n用来维护用户的账号数据库。
n保存SAM数据库,该数据库包含所有组和用 户的信息SAM提供用户登录认证,负责对用户 在Welcome对话框中输入的信息与SAM数据库中的信息比对,并为用户赋予一个安全标识符( SID)根据网络配置的不同,SAM数据库可能 存在于一个或多个Windows NT系统中4、安全引用监视程序(SRM)n负责检查具有权限的用户访问对象和试图执行的任何 操作nSRM负责访问控制和审查策略,由LSA支持提供客体(文件、目录等)的存取权限,检查主体(用户账 户等)的权限,产生必要的审查信息客体的安全属性 由安全控制项(ACE)来描述,全部客体的ACE组成访 问控制表(ACL)没有ACL的客体意味着任何主题都 可访问而有ACL的客体则由SRM检查其中的每一项 ACE,从而决定主体的访问是否被允许4.2.2 访问控制n允许或限制访问的特征:–用户帐号–用户权利–用户组–主体和模仿–对象的安全信息(权限)一、用户帐号n在域中独立用户必须有一个用户帐号, 以进行登录和使用域的资源n管理员建立用户帐号时,需要分配用户 名,指定用户的标识数据,并定义该用户 在系统中的权限n用户帐号包含用户信息、组成员关系和 安全策略信息。
nWindows NT Server给新帐号分配了 一个唯一的安全标识符SID每个SID在任何时候都是唯一的n当用户登陆时, Windows NT 生成一个安全访问标记该标记包含用户的安全 标识符,以及该用户所属组的其他安全标 识符同时包含该用户名及所属组的其他 用户名等信息该用户的每个进程都会获 得该用户的访问标记副本二、用户权利n用户权力决定用户能执行哪些操作n一般为一个组用户定义用户权利,某个 用户帐号加入这个组时自动享有指定用户 权利n可能需要改变的默认用户权力有本地登 录和关闭系统等三、具有相近需求的组用户n管理员根据用户在网络上进行分组,使 同组具有相同的权利和权限n组账号的两种类型:–全局组–本地组全局组n由同一个域中的几个用户帐号组成,这些用 户帐号被分配在一个组账号名下n“全局”表示该组具有实用多个域中资源的权利和权限n运行Windows NT Workstation的计算机或者作为成员服务器的计算机不能创建全局组本地组n由一个或多个域中的用户帐号或者全局组构 成,用户帐号和全局组被安排在同一个账号名下 n“本地”表示该组仅有使用本域中资源的权限和权利n本地组可以包含用户和全局组,不能包含其 他本地组。
组的使用原则n最好把权力和权限分配给本地组通过使用 全局组的方法把用户添加到本地组中将很多用 户添加到另一个域中的最佳方法是全局组包含 该全局组的本地组将必要的权利和权限提供给加 入的全局组n将用户加入本地组最有效的方法是全局组四、主体与模仿n主体(Subject)包含用户的访问标记和按用 户意愿运行的程序nWindows NT使用主体跟踪和管理用户运行 程序所具有的权限nWindows NT安全体系架构中的两类实体:–简单实体:对应的用户登录时指定安全环境 的进程–服务器主体:作为保护方式的服务器执行的 进程,具有作为客户机的其他主体nWindows NT允许进程通过一项称为“模仿” 的技术获取另一进程的安全属性五、对象的安全信息(权限)n安全描述符描述对象的安全属性,包含 :–安全标识符( Object Owner SID )–组安全标识符( Group SID )–自选访问控制列表( DACL )–系统访问控制列表( SACL )4.4.3 Windows NT Server域n 域是一个共享公共安全性和用户帐号信息的网络服务器和其它计算机的逻辑组n域结构在维护安全的网络方面具有优势 :–单一登录进程;–全域资源访问;–集中化网络管理。
一、域控制器n域控制器是运行Windows NT Server,并使用一个共享目录存放整个域中的安 全和用户帐号信息的计算机n负责位域验证用户身份的服务器n有两种域控制器:–主控制器PDC–备份控制器BDC二、成员服务器n成员服务器不存储目录数据库的副本 不能鉴别账号,也不能接受同步产生的目 录数据库的副本n用来执行特定的任务,如打印或文件服 务器三、委托关系n委托关系使多个域之间的安全得到保证委 托关系是能把两域组合成为一个管理单元的连接 ,该管理单元有权访问两个域中的资源n两种类型:–单项委托关系:一个域(委托域)委托其他域中(受托域)的用户使用其资源–双向委托关系:每个域都委托对方域中的用 户帐号–使用任何一个域中的资源都要受限于资源有 关权限四、域安全策略n域的三种安全策略–账号策略:控制用户帐号如何使用密 码–审计策略:控制安全日志需要记录的 事件类型–委托关系策略:控制哪些是受托域, 哪些是委托域五、计算机账号和安全通信通道n计算机账号是域中每台运行Windows NT Workstation和 Windows NT Server的计算机在目录数据库中的账号n安全通信通道是Windows NT Workstation 和 Windows NT Server的计算机登录上网时, 客户机的NetLogon服务程序和服务器上的 NetLogon间建立的通信会话。
n两者能使管理员远程管理工作站和成员服务 器六、混合操作系统环境的安全性nWindows NT Server有一个开放的网络结构,具有和其他网络产品通信的灵活 性–工作组客户机–Windows 95客户机–MS-DOS客户机–Novell NetWare客户机。