计算机网络信息安全理论与实践教程第17章ppt课件.ppt

计算机网络信息安全理论与实践教程第17章ppt课件.ppt

ID:59231660

大小:287.00 KB

页数:68页

时间:2020-09-22

计算机网络信息安全理论与实践教程第17章ppt课件.ppt_第1页
计算机网络信息安全理论与实践教程第17章ppt课件.ppt_第2页
计算机网络信息安全理论与实践教程第17章ppt课件.ppt_第3页
计算机网络信息安全理论与实践教程第17章ppt课件.ppt_第4页
计算机网络信息安全理论与实践教程第17章ppt课件.ppt_第5页
资源描述:

《计算机网络信息安全理论与实践教程第17章ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第17章Windows系统安全17.1Windows系统安全概况17.2Windows系统安全分析17.3Windows系统安全增强技术方法与流程17.4Windows2000系统安全增强实例17.5Windows系统常见漏洞与解决方法17.6本章小结本章思考与练习17.1Windows系统安全概况17.1.1Windows系统架构Windows系统是微软公司研究开发的操作系统,其发展经历了Windows3.1、Windows98、WindowsNT、Windows2000、WindowsXP等多个版面。由于Windows系统的易用性,许多用户都使

2、用它,特别是其桌面操作系统。下面我们以WindowsXP为例,分析其架构。WindowsXP的结构是层次结构和客户机/服务器结构的混合体,其系统结构如图17-1所示。图17-1WindowsXP的系统结构示意图17.1.2Windows安全模型Windows系统在安全设计上有专门的安全子系统,安全子系统主要由本地安全授权(LSR)、安全帐户管理(SAM)和安全参考监视器(SRM)等组成,如图17-2所示。其中,本地安全授权部分提供了许多服务程序,保障用户获得存取系统的许可权。它产生令牌,执行本地安全管理,提供交互式登录认证服务,控制安全审查策略和由

3、SRM产生的审查记录信息。图17-2Windows2000安全子系统安全帐户管理部分保存SAM数据库,该数据库包含所有组和用户的信息。SAM提供用户登录认证,负责对用户在Welcome对话框中输入的信息与SAM数据库中的信息比对,并为用户赋予一个安全标识符(SID)。根据网络配置的不同,SAM数据库可能存在于一个或多个WindowsNT系统中。安全参考监视器负责访问控制和审查策略,由LSA支持。SRM提供客体(文件、目录等)的存取权限,检查主体(用户帐户等)的权限,产生必要的审查信息。客体的安全属性由安全控制项(ACE)来描述,全部客体的ACE组成

4、访问控制表(ACL)。没有ACL的客体意味着任何主体都可访问,而有ACL的客体则由SRM检查其中的每一项ACE,从而决定主体的访问是否被允许。17.1.3Windows安全机制1.Windows认证机制早期Windows系统的认证机制不很完善,甚至缺乏认证机制。例如Windows32、Windows98。随着系统的发展,微软公司逐步增强了Windows系统的认证机制。以Windows2000为例,系统提供两种基本认证类型,即本地认证和网络认证。其中,本地认证根据用户的本地计算机或ActiveDirectory帐户确认用户的身份。而网络验证根据此用户

5、试图访问的任何网络服务确认用户的身份。为提供这种类型的身份验证,Windows2000安全系统集成了三种不同的身份验证技术:KerberosV5、公钥证书和NTLM。2.Windows访问控制机制WindowsNT/XP的安全性达到了橘皮书C2级,实现了用户级自主访问控制。它的访问控制机制如图17-3所示。为了实现进程间的安全访问,WindowsNT/XP中的对象采用了安全性描述符(Securitydesciptor)。安全性描述符主要由用户SID(Owner)、工作组SID(Group)、访问控制列表(DACL)和系统访问控制列表(SACL)组成

6、。3.Windows审计/日志机制日志文件是Windows系统中一个比较特殊的文件,它记录Windows系统的运行状况,如各种系统服务的启动、运行、关闭等信息。Windows日志有三种类型:系统日志、应用程序日志、安全日志,它们对应的文件名为SysEvent.evt、AppEvent.evt和SecEvent.evt。这些日志文件通常存放在操作系统安装的区域“system32config”目录下。4.Windows协议过滤和防火墙针对来自网络上的威胁,WindowsNT4.0、Windows2000提供了包过滤机制,通过过滤机制可以限制网络包进入

7、用户计算机。而WindowsXP则自带了防火墙,该防火墙能够监控和限制用户计算机的网络通信。5.Windows文件加密系统为了防范入侵者通过物理途径读取磁盘信息,绕过Windows系统文件访问控制机制,微软公司研究开发了加密的文件系统EFS。利用EFS,文件中的数据在磁盘上是加密的。用户如果访问加密的文件,则必须拥有这个文件的密钥,才能够打开这个文件,并且像普通文档一样透明地使用它。17.2Windows系统安全分析17.2.1Windows口令帐号和口令是进入Windows系统的重要凭证,获取帐号和口令信息是入侵者攻击Windows系统的重要途径

8、。例如,Windows2000的默认安装允许任何用户通过空用户得到系统所有的帐号和共享列表,这本来是为了方便局域网用户共享

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。