收藏
下载资源

【课件】Windows 2000系统安全

上传人:ni****g 文档编号:567918292 上传时间:2024-07-22 格式:PPT 页数:40 大小:316.50KB
返回 下载 相关 举报
【课件】Windows 2000系统安全_第1页
第1页 / 共40页
【课件】Windows 2000系统安全_第2页
第2页 / 共40页
【课件】Windows 2000系统安全_第3页
第3页 / 共40页
【课件】Windows 2000系统安全_第4页
第4页 / 共40页
【课件】Windows 2000系统安全_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《【课件】Windows 2000系统安全》由会员分享,可在线阅读,更多相关《【课件】Windows 2000系统安全(40页珍藏版)》请在金锄头文库上搜索。

1、Windows 2000系统安全http:/ 2000系统安全【课件】Windows 2000系统安全课程回顾防火墙技术入侵检测技术http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000安全结构http:/ 2000系统安全【课件】Windows 2000系统安全Winidws2000安全系统安全系统 http:/ 2000系统安全【课件】Windows 2000系统安全Windows安全对象Windows 2000中的对象类型有: 文件、文件夹、打印机、I/O设备、窗口、线程、进程和内存。本地的本地的Windows 2000Windows 2000安全

2、子系统包括下列关键组件:安全子系统包括下列关键组件: 安全标识符、访问令牌、安全描述符、访问控制列表和安全标识符、访问令牌、安全描述符、访问控制列表和访问控制条目。访问控制条目。http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000安全组件安全标识符:分配给所有用户、组和计算机的统计上的唯一号码为了保证SID的惟一性,在生成他们的时候使用一个公式,结合计算机名,当前时间和当前用户模式线程使用CPU时间的总量。SID像这样:S 1 5 21 1649288664 15498249601244863647500http:/ 2000系统安全【课件】Windo

3、ws 2000系统安全SIDS-1-5-21-1507001333-1204550764-1011284298-500SID带有前缀带有前缀S,它的各个部分之间用连字符隔开,它的各个部分之间用连字符隔开第一个数字第一个数字(本例中的本例中的1)是修订版本编号是修订版本编号第第二二个个数数字字是是标标识识符符颁颁发发机机构构代代码码(对对Windows 2000来说总是为来说总是为5)然然后后是是4个个子子颁颁发发机机构构代代码码(本本例例中中是是21和和后后续续的的3个个长长数数字字串串)和和一一个个相相对对标标识识符符(Relative Identifier,RID,本例中是本例中是500)

4、http:/ 2000系统安全【课件】Windows 2000系统安全SID的生成的生成SID中中的的一一部部分分是是各各系系统统和和域域惟惟一一具具有有的的,而而另另一一部部分分(RID)是跨所有系统和域共享的是跨所有系统和域共享的当当安安装装Windows 2000时时,本本地地计计算算机机会会颁颁发发一一个个随随机机的的SID。当当创创建建一一个个Windows 2000域域时时,它它也也被被指指定定一一个个惟惟一一的的SID。于于是是对对任任何何的的Windows 2000计计算算机机或或域域来来说说,子子颁颁发发机机构构代代码码总总是是惟惟一一的的(除除非非故故意意修修改改或或复复制

5、制,例例如如某某些底层的磁盘复制技术些底层的磁盘复制技术)http:/ 2000系统安全【课件】Windows 2000系统安全RIDRID对对所所有有的的计计算算机机和和域域来来说说都都是是一一个个常常数数。例例如如,带带有有RID 500的的 SID总总 是是 代代 表表 本本 地地 计计 算算 机机 的的 真真 正正 的的Administrator账户。账户。RID 501是是Guest账户账户在域中,从在域中,从1000开始的开始的RID代表用户账户代表用户账户Windows 2000(或或者者使使用用适适当当工工具具的的恶恶意意黑黑客客)总总是是将将具具有有RID 500的账户识别为

6、管理员的账户识别为管理员http:/ 2000系统安全【课件】Windows 2000系统安全其它的其它的SIDS-1-1-0EveryoneS-1-2-0Interactive用户用户S-1-3-0Creator OwnerS-1-3-1Creator Grouphttp:/ 2000系统安全【课件】Windows 2000系统安全查看查看SIDC:user2sid AdministratorS-1-5-21-1507001333-1204550764-1011284298-500Number of subauthorities is 5Domain is CORPC:sid2user 5

7、21 1507001333 1204550764 1011284298 500Name is AdministratorDomain is CORPType of SID is SidTypeUserhttp:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000安全组件访问控制令牌 :访问令牌由用户的SID、用户所属组的SID和用户名组成http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000安全组件安全描述符:安全描述符由对象所有者的SID、POSIX子系统使用的组SID、访问控制列表和系统访问控制列表组成。http:/

8、2000系统安全【课件】Windows 2000系统安全Windows 2000安全组件访问控制列表:http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000安全组件访问控制条目:访问控制条目(Access Control Entry,ACE)包含用户或组的SID和分配给对象的权限。http:/ 2000系统安全【课件】Windows 2000系统安全Windows安全子系统WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support Pr

9、oviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制提供登陆接口提供真正的用户校验管理用户和用户证书的数据库为认证建立安全通道http:/ 2000系统安全【课件】Windows 2000系统安全Windows安全子系统Winlogon图形身份认证和验证动态链接库(Graphical Identification And Authentication DLL,GINA)本地安全管理授权(Local Security Authority,LSA)安全支持供应商接口(Security Support Provider Interface,SSPI)验证软件包(Authenti

10、cation Packages)安全支持供应商(Security Support Providers)Netlogon服务安全帐户管理器(Security Account Manager,SAM)http:/ 2000系统安全【课件】Windows 2000系统安全Winlogon Winlogon主要负责管理用户登录和注销过程,并加载GINA DLL并监视安全认证的顺序。 http:/ 2000系统安全【课件】Windows 2000系统安全GINA DLLGINA DLL为登陆和登陆请求提供接口。GINA DLL被设计成独立的模块并可被更强壮的认证机制所代替。目前有很多强有力的认证设备可以

11、使用,比如利用指纹认证来代替默认的GINA DLL。 Winlogon访问注册表里的HKLMsoftwareMicrosoftwindowsNTcurrentversionwinlogon 键来查看Gina DLL值是否存在。如果此DLL存在,Winlogon加载并使用那个DLL。否则的话WindowsNT就使用默认的DLL,叫MSGINADLL,是NT自带的。 由Winlogon来监视安全认证的顺序并当一个登陆请求发生时通知给GINA。 http:/ 2000系统安全【课件】Windows 2000系统安全本地安全授权(LSA) 本地安全授权是一个保护子系统,主要负责下列任务: 加载所有的认

12、证包,包括检查存在于注册表中 HKLMSystemCurrentControlSetControLLSA中的Authentication Packages值 为用户找回本地组的SID以及用户的权限 创建用户的访问令牌 管理本地安全服务的服务帐号 存储和映射用户权限 管理审计策略和设置 管理信任关系 http:/ 2000系统安全【课件】Windows 2000系统安全安全支持供应商接口(SSPl) 微软的安全支持供应商接口利RFC2743及RFC2744所定义的一般安全服务API极为相似安全服务提供商API为应用程序和服务要求安全认证连接提供了解决方法。 http:/ 2000系统安全【课件】

13、Windows 2000系统安全认证信息包 认证包的内容提供真正的用户验证。认证包检查通过GINA DLL所得到的证书,当用户的证书被检验后,认证包向LSA返回SID,包括用户的访问令牌。http:/ 2000系统安全【课件】Windows 2000系统安全安全支持供应 安全支持供应是安装驱动程序来支持额外的安全机制。WindowsNT默认安装包括以下: Msnsspc.dll:微软网络(MSN)挑战响应认证方法。 . Msapsspc.dll:分布式密码认证(DPA)挑战响应方法,也用于MSN。 Schannel.Dll 利用证书授权机购(如VeriSign)所发布的证书来时行验证。这种认证

14、方法通常是在安全套接字层(SSL)或私有通信技术(PCT)协议连接时所使用。 http:/ 2000系统安全【课件】Windows 2000系统安全Netlogon Net logon服务必须为认证的传输建立一个安全的通道。 为了达到这种效果,要定位个域控制器来建立安全通道。 最后,通过这条安全通道来传递用户的认证再以用户SID及用户权限的形式接收到域控制器的响应。 http:/ 2000系统安全【课件】Windows 2000系统安全安全帐号管理(SAM) 安全帐号管理实际上是一个掌管用户和用户证书的数据库。它存储在Windows NET 注册表的一部分。每个域都有不同的SAM,作为两台域服

15、务器复制的一部分。 http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000认证与授权访问用户AWinlogon使用账户名称/口令进行认证成功成功令牌令牌令牌令牌User=S-1-5-21-1507001333-User=S-1-5-21-1507001333-1204550764-1011284298-5001204550764-1011284298-500Group1=EveryOne S-1-1-0Group1=EveryOne S-1-1-0Group2=Administrators S-1-5-32-544Group2=Administrator

16、s S-1-5-32-544Read=A S-1-5-21 Read=A S-1-5-21 Write=administrators S-1-5-32-544Write=administrators S-1-5-32-544File.txtSRM,安全安全参考监视器参考监视器访问http:/ 2000系统安全【课件】Windows 2000系统安全WINDOWS安全机制(1)Windows认证机制 以Windows 2000为例,提供两种认证:本地认证和网络认证。(2)Windows访问控制机制: WindowsNT/XP的安全性达到C2级,C2级实现了何种访问控制?(3)Windows审计和

17、日志机制(4)Windows协议过虑和防火墙(5)Windows文件系统加密系统http:/ 2000系统安全【课件】Windows 2000系统安全身份验证Windows 2000 支持,包括 X.509 证书、智能卡和、Kerberos 协议和NTLM 协议数种产业标准身份验证机制http:/ 2000系统安全【课件】Windows 2000系统安全TCSEC定义的内容没有安全性可言,例如没有安全性可言,例如没有安全性可言,例如没有安全性可言,例如MS DOSMS DOS不区分用户,基本的访问控制不区分用户,基本的访问控制不区分用户,基本的访问控制不区分用户,基本的访问控制D 级级C1 级

18、级C2 级级B1 级级B2 级级B3 级级A 级级有自主的访问安全性,区分用户有自主的访问安全性,区分用户有自主的访问安全性,区分用户有自主的访问安全性,区分用户标记安全保护,如标记安全保护,如标记安全保护,如标记安全保护,如System VSystem V等等等等结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护结构化内容保护,支持硬件保护安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽安全域,数据隐藏与分层、屏蔽校验级保护,提供低级别手段校验级保护,提供低级别手段校验级保护,提供低级别手段校验级保护,提供低级别手段htt

19、p:/ 2000系统安全【课件】Windows 2000系统安全Windows访问控制机制(C2级安全标准的要求)自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000的默认目录Windows 2000的%system%winnt目录几个需要注意的默认安装目录IIS的默认目录Log的默认目录(%WinDir%System32LogFiles和%WinDir%system32config)SAM和SAM备份的日志目录http:/ 2000系统

20、安全【课件】Windows 2000系统安全Windows 2000的默认账号 账户名账户名 注释注释System/localsystem 本地计算机的所有特权本地计算机的所有特权Administrator 同上;可以改名,但不能删除同上;可以改名,但不能删除Guest 有限的权限,默认禁用有限的权限,默认禁用IUER_计算机名计算机名 IIS的匿名访问,的匿名访问,guests组成员组成员IWAM_计算机名计算机名 IIS进程外应用程序运行的账号,进程外应用程序运行的账号, Guests组成员组成员TSInternetUser 终端服务终端服务Krbtgt Kerberos密钥分发账号,只在

21、密钥分发账号,只在DC上出现,默认禁用上出现,默认禁用http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000下的内建组 组名组名 注释注释Administrators 成员具有本地计算机的全部权限成员具有本地计算机的全部权限 Users 所有账号,较低的权限所有账号,较低的权限 Guests 有限的权限,与有限的权限,与users相同相同Authenticated users 特殊的隐含组,包含所有已登录的用户特殊的隐含组,包含所有已登录的用户 Replicator 用于域中的文件复制用于域中的文件复制Backup Operators 没有没有admin

22、istrators权限高,但十分接近权限高,但十分接近Server Operators 没有没有administrators权限高,但十分接近权限高,但十分接近Account Operators 没有没有administrators权限高,但十分接近权限高,但十分接近Print Operators 没有没有administrators权限高,但十分接近权限高,但十分接近http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000默认共享C$、D$ Ipc$:远程会话管理Admin$:指向%WinDir%目录,用于远程管理http:/ 2000系统安全【课件】W

23、indows 2000系统安全评估Windows 2000风险的关键IIS 5.0风险Windows 2000终端服务风险客户端访问风险http:/ 2000系统安全【课件】Windows 2000系统安全Windows 2000终端服务TS(Terminal Service)工作于3389端口TS基于RDP(Remote Desktop Protocol)实现终端服务不是使用HTTP或HTTPS的,而是通过RDP通道实现TS监听端口可以自己指定HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp值-PortNu

24、mber REG_WORD 3389(默认)http:/ 2000系统安全【课件】Windows 2000系统安全针对TS的攻击密码猜测攻击风险(TSGrinder)权限提升风险(PipeUpAdmin、GetAdmin)http:/ 2000系统安全【课件】Windows 2000系统安全MS客户端风险评估恶意电子邮件-MIME扩展Outlook缓冲区溢出Media Play缓冲区溢出VBS地址簿蠕虫http:/ 2000系统安全【课件】Windows 2000系统安全Outlook溢出起源于vCard(一种电子名片)Outlook直接打开并运行附件中的vCards而不提示用户vCards存

25、储于.vcf文件中,也是没有提示而直接运行的当vCards的生日字段(BDAY)超过55字符时,就会出现溢出对策:应用IE 5.5 sp2http:/ 2000系统安全【课件】Windows 2000系统安全3、WINDOWS增强方法停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全关闭DirectDraw、关闭默认共享禁用Dump File、文件加密系统加密Temp文件夹、锁住注册表、关机时清除文件禁止软盘光盘启动、使用智能卡、使用IPSec禁止判断主机类型、抵抗DDOS禁止Guest访问日志和数据恢复软件http:/ 2000系统安全【课件】Windows 2000系统安全

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号