欢迎来到天天文库
浏览记录
ID:40198880
大小:1.18 MB
页数:94页
时间:2019-07-25
《信息安全专题培训(windows系统安全)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、NSFocusInformationTechnologyCo.Ltd.Windows系统安全徐毅Xylonxuyi@nsfocus.comTrainingdept.,CustomerSupportCenterAugust2005StrictlyPrivate&ConfidentialWindows安全模型操作系统安全定义•信息安全的五类服务,作为安全的操作系统时必须提供的•有些操作系统所提供的服务是不健全的、默认关闭的信息安全评估标准ITSEC和TCSECTCSEC描述的系统安全级别D------------ACC(Com
2、monCritical)标准BS7799:2000标准体系ISO17799标准TCSEC定义的内容没有安全性可言,例如MSDOS不区分用户,基本的访问控制D级C1级C2级B1级B2级B3级A级有自主的访问安全性,区分用户标记安全保护,如SystemV等结构化内容保护,支持硬件保护安全域,数据隐藏与分层、屏蔽校验级保护,提供低级别手段C2级安全标准的要求自主的访问控制对象再利用必须由系统控制用户标识和认证审计活动能够审计所有安全相关事件和个人活动只有管理员才有权限访问CC(CommonCritical)标准CC的基本功能标准化
3、叙述技术实现基础叙述CC的概念维护文件安全目标评估目标Windows2000安全结构Windows安全子系统WinlogonGINALSASecurityAccountManagementNetlogonAuthenticationPackagesSecuritySupportProviderSSPI加载GINA,监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库Windows账号管理Windows采用的账号认证方案LanManager认证(称为LM协议)早期版
4、本NTLMv1认证协议NT4.0SP3之前的版本NTLMv2认证协议NT4.0SP4开始支持Kerberosv5认证协议Windows2000引进用户类型Administrator(默认的超级管理员)系统帐号(PrintOperater、BackupOperator)Guest(默认来宾帐号)帐户(accounts)和组(groups)帐户(useraccounts)定义了Windows中一个用户所必要的信息,包括口令、安全ID(SID)、组成员关系、登录限制...组:universalgroups、globalgroups
5、、localgroupsAccountIdentifier:Securityidentifier(SID)时间和空间唯一S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs字符串形式和二进制形式的SIDWindows2000的默认账号账户名注释System/localsystem本地计算机的所有特权Administrator同上;可以改名,但不能删除Guest有限的权限,默认禁用IUER_计算机名IIS的匿名访问,guests组成员IWAM_计算机名IIS进程外应用程序运行的账号,Guests组成员TSIn
6、ternetUser终端服务KrbtgtKerberos密钥分发账号,只在DC上出现,默认禁用Windows2000下的内建组组名注释Administrators成员具有本地计算机的全部权限Users所有账号,较低的权限Guests有限的权限,与users相同Authenticatedusers特殊的隐含组,包含所有已登录的用户Replicator用于域中的文件复制BackupOperators没有administrators权限高,但十分接近ServerOperators没有administrators权限高,但十分接近A
7、ccountOperators没有administrators权限高,但十分接近PrintOperators没有administrators权限高,但十分接近密码存放位置注册表HKEY_LOCAL_MACHINESAM下Winnt/system32/config/sam添加/删除帐户Win2000/XP下管理工具—计算机管理—本地用户和组WinNT下(域)用户管理器命令行方式netuser用户名密码/add[/delete]将用户加入到组netlocalgroup组名用户名/add[/delete]帐户重命名将Admini
8、strator重命名将Guest来宾用户重命名新建一Administrator用户,隶属于Guest组密码策略的推荐设置强制执行密码历史记录密码最长期限密码最短期限密码必须符合复杂性要求为域中所有用户使用可还原的加密来储存密码24个密码42天2天启用禁用针对远程破解的策略定制密码复杂性要求
此文档下载收益归作者所有