windows安全原理与技术
深入研究计算机操作系统内核Windows内核原理解析
深入研究计算机操作系统内核Windows内核原理解析计算机操作系统是指支持计算机软硬件运行的基本软件系统,其中内核是操作系统的核心部分。
作为广泛应用的操作系统之一,Windows 内核在计算机领域中具有重要地位。
本文将深入研究Windows内核的原理解析,以帮助读者更好地理解计算机操作系统内核的工作原理。
一、Windows操作系统的发展历程Windows操作系统的发展经历了多个版本和起伏。
自20世纪80年代中期开始推出的Windows 1.0版本以图形用户界面为特点,为个人计算机用户带来了更加友好的操作界面。
随着版本的不断升级,Windows 操作系统逐渐成熟,并在个人计算机市场上占据主导地位。
二、Windows内核的概述Windows内核是Windows操作系统的核心组成部分,负责管理计算机硬件资源和提供系统服务。
Windows内核采用了微内核的设计思想,将核心的功能模块化,以实现更高的灵活性和可扩展性。
Windows内核包括以下几个主要组件:1. 进程管理:负责管理计算机上的进程,调度和分配资源,实现进程的并发执行。
2. 内存管理:负责管理计算机内存的分配和回收,以及虚拟内存的管理,提供内存保护机制。
3. 文件系统:负责管理磁盘上的文件和目录,提供文件读写和文件共享的功能。
4. 设备驱动程序:提供与硬件设备的通信接口,实现对硬件设备的操作和控制。
5. 网络通信:提供网络通信功能,实现计算机之间的数据传输和通信。
三、Windows内核的工作原理分析1. 进程管理Windows内核通过进程管理来实现系统的多任务处理。
每个进程都有自己的地址空间和调度优先级。
内核根据调度算法来选择需要执行的进程,并为其分配CPU时间片。
当一个进程处于等待状态时,内核将其挂起,切换到其他可执行的进程,保证系统的整体性能。
2. 内存管理Windows内核通过内存管理来管理计算机的物理内存和虚拟内存。
物理内存管理负责将物理内存划分成多个页框,提供页面分配和回收的功能。
windows操作系统原理
windows操作系统原理Windows操作系统原理是指Windows操作系统设计与实现的基本原理和机制。
Windows操作系统是由微软公司开发的一种面向个人计算机的操作系统。
Windows操作系统的原理包括以下几个方面:1. 多任务管理:Windows操作系统采用了抢占式的多任务处理机制,通过任务调度器来管理多个任务的执行。
每个任务独立运行在自己的进程中,操作系统根据进程的优先级和时间片来进行任务调度。
2. 内存管理:Windows操作系统使用虚拟内存管理机制,将物理内存划分为多个页框,每个进程有自己的虚拟地址空间。
操作系统通过分页机制将虚拟内存映射到物理内存中,以便实现进程间的隔离和保护。
3. 文件系统:Windows操作系统使用NTFS文件系统作为默认的文件系统。
NTFS文件系统支持文件和目录的权限控制、文件压缩和加密等功能。
4. 设备管理:Windows操作系统通过设备驱动程序来管理硬件设备。
每个设备驱动程序负责与特定设备的通信,并提供统一的接口供应用程序调用。
5. 网络通信:Windows操作系统支持TCP/IP协议栈,并提供了各种网络通信服务,如网络协议栈、网络接口、套接字接口等,以实现应用程序之间的网络通信。
6. 用户界面:Windows操作系统提供了图形用户界面(GUI),包括窗口管理、菜单、对话框等,使得用户可以通过鼠标、键盘等输入设备与计算机进行交互。
7. 安全性:Windows操作系统通过用户账户和权限管理来保护系统和用户数据的安全性。
每个用户都有自己的账户,并且可以通过权限控制来限制对文件和系统资源的访问。
这些原理和机制共同构成了Windows操作系统的核心。
通过合理地设计和实现,Windows操作系统能够提供稳定、安全、高效的计算环境,满足用户的各种需求。
windows安全原理 考点
“审核登录事件”与“审核帐户登录事件”的区别审核登录事件:审核在此策略应用到的系统中发生的登录事件,无论帐户属于谁。
换句话说,在域成员上,为此启用成功审核将在有人登录系统时生成一个事件。
如果用于登录的帐户是本地的,并且启用了“审核帐户登录事件”设置,则该登录将生成两个事件。
审核帐户登录事件:审核计算机用于验证用户身份的登录事件。
换句话说,在域控制器上,这将审核所有的域登录事件,而在域成员上,仅审核使用本地帐户的事件。
登录事件是指当用户登录和注销时产生的记录,不仅指本地,也包括登录到域,和远程登录信息。
账户登录不仅可以在主机上产生,也会在域服务器上产生。
1Windows的API函数–操作系统用户模式下的接口•被若干个DLL文件导出:kernel32.dll、user32.dll、gdi32.dll–逻辑上被分为很多个子类•Administration and management(系统管理)Task scheduler, WMI, …•Diagnostics(系统诊断)¸Event logging, debugging, …•Graphics and multimedia(图形和多媒体)•Networking(网络)¸Winsock, …•Security(安全)•Security•System services(系统服务)¸Processes, threads, registry, file systemsWindows UI(Windows图形化界面)进程(Process)访问控制令牌(Access Token),用以唯一的标识所有者及其所属组以及和该进程相关联的特权(Privilege)信息。
内核模式(Kernel mode)和用户模式(User mode)Windows支持两种处理器模式•内核模式(ring 0)•用户模式(ring 3)内核模式下的代码可以访问所有的内存空间可以直接操纵硬件用户模式下的代码无权访问系统空间的内存页面;无法直接操纵硬件。
13大举措让Windows系统更安全
13大举措让Windows系统更安全windows以其稳定性、强大的个人和网络功能为大家所推崇,但是它的安全性能一直以来是微软的一大缺憾,虽然随着系统的不断升级,安全性也有所提高,但出于对目前关于Windows方面的安全技术和概念的;理解,,本教程将为大家讲解13个基本措施做好Windows安全防范,帮助广大网友更好的理解Windows安全机制。
1、经常备份重要数据一些重要的数据,必须经常备份,例如重要的图片、个人信息等等。
大概一个月会刻录一次重要的资料,以防万一。
2、必须安装防火墙和杀毒软件虽然在面对新病毒时,杀毒软件会变得手足无措,倒不如自己上网找杀毒办法。
但有一个杀毒软件就是多了一道屏障,不管这道屏障有多高或多矮,始终是利大于弊的。
防火墙也是必须要安装的,同时最好还安装一些监测网络进程的程序,时刻监视有无恶意程序在进行非法操作。
3、为Administrator用户降权在Windows操作系统里,Administrator是最高级的用户,在正常的登陆模式是无法看到的,因此很容易忽略由Administrator用户带来的安全问题。
Administrator用户的初始密码是空的,如果没用安装防火墙,黑客很容易通过Administrator帐户进入你的电脑。
这时做什么都已经为时已晚了。
事实上,这并不是降权,是创建一个伪造的,无实际权利的Administrator用户。
具体操作如下,先以一个非Administrator的管理员帐户登陆windows,然后打开:控制面板-管理工具-计算机管理-本地用户和组-用户,删除Administrator用户,再创建一个新的Administrator用户,右击设置密码,密码有多复杂就多复杂,让其隶属于最低级别的用户组,并在属性里勾选帐户已停用。
这样,即使别人破解了你的Administrator帐户,进入后也发现只是一个没用实权的帐户。
其实直接删除掉这个用户就行了。
Windows系统安全机制
Windows系统安全机制1.前言多年来,黑客对计算机信息系统的攻击一直没有停止过,其手段也越来越高明,从最初的猜测用户口令、利用计算机软件缺陷,发展到现在的通过操作系统源代码分析操作系统漏洞。
同时网络的普及使得攻击工具和代码更容易被一般用户获得,这无疑给Windows 系统安全带来了更大的挑战。
解决Windows 系统安全问题,任重而道远。
2.Windows XP安全机制。
Windows XP采用Windows 2000/NT的内核,在用户管理上非常安全。
凡是增加的用户都可以在登录的时候看到,不像Windows 2000那样,被黑客增加了一个管理员组的用户都发现不了。
使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件夹的访问,如当某普通用户访问另一个用户的文档时会提出警告。
你还可以对某个文件(或者文件夹)启用审核功能,将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里去,进一步加强对文件操作的监督。
Windows XP中的软件限制策略提供了一种隔离或防范那些不受信任且具有潜在危害性代码的透明方式,保护您免受通过电子邮件和Internet传播的各种病毒、特洛伊木马程序及蠕虫程序所造成的侵害。
这些策略允许您选择在系统上管理软件的方式:软件既可以被“严格管理”(可以决定何时、何地、以何种方式执行代码),也可以“不加管理”(禁止运行特定代码)。
软件限制策略能够保护系统免受那些受感染电子邮件附件的攻击。
这些附件包括存储在临时文件夹中的文件附件以及嵌入式对象与脚本。
同时,它还将保护您免受那些启动Internet Explorer或其它应用程序,并下载带有不受信任嵌入式脚本的Web页面的URL/UNC链接所造成的攻击。
在Windows 2000中,微软就采用了基于公共密钥加密技术的加密文件系统(EFS)。
在Windows XP中,对加密文件系统做了进一步改进,使其能够让多个用户同时访问加密的文档。
Windows 系统常见安全漏洞的原理和防范
Professional Security Solution Provider
23
编写一个最基本的Windows ShellCode
Professional Security Solution Provider
24
编写一个最基本的Windows Shellcode
• 设定目标:
– 运行系统的“计算器”程序
strcat()strcpy(),sprintf(),vsprintf(),bcopy(),gets(),sca nf()……
– 用户自己写的存在类似问题的函数
• 安全函数
– 可以限制所操作的数据长度,正确使用则不会导致缓冲 区问题的函数
strncpy(),memcpy(),snprintf(),strncat()…… strncpy( DstBuffer, SrcBuffer, sizeof(DstBuffer)-1 );
Windows Shellcode的特点
• 相对Unix的Shellcode而言一般较长一些
– Unix的Shellcode可以直接用系统调用编写 – 各版本Windows的系统调用号并不一样 – Windows的系统调用接口比较复杂
• 核心在于定位函数地址技巧
PEB定位 暴力搜索PE头
• 使用编码-自解码技术以去除特殊字符
Professional Security Solution Provider
14
和攻击Windows漏洞有关的几个术语
• 边界检查(Boundary Check):
– 在向缓冲区中存储数据时,确定数据长度是否会超出缓 冲区边界
if (strlen(SrcBuffer) < sizeof(DstBuffer)) strcpy(DstBuffer, SrcBuffer); else printf("DstBuffer is too small.\n");
操作系统的网络安全与防护技术
操作系统的网络安全与防护技术操作系统是计算机软件的核心,负责管理和控制计算机硬件资源,同时也是网络安全的关键环节。
随着网络的普及和互联网的发展,网络安全问题变得日益复杂和严峻。
本文将介绍操作系统在网络安全和防护技术方面的作用和应用。
一、操作系统的网络安全功能操作系统在保证计算机系统正常运行的前提下,能够提供一系列网络安全功能,以确保计算机系统和网络数据的安全性。
1. 访问控制操作系统可以通过用户账户和权限管理来实现对计算机和网络资源的访问控制。
管理员可以设置用户账户的权限级别和访问权限,限制用户对系统资源的操作和访问。
这样可以防止未授权用户访问和篡改系统数据。
2. 密码保护操作系统提供了对用户密码的安全保护机制。
用户在登录系统时需要输入密码,而密码是经过加密和存储的,防止被黑客获取或破解。
同时,操作系统还支持对密码的有效期限和复杂度要求的设置,提高了密码的安全性。
3. 数据加密操作系统可以对存储在计算机或网络中的数据进行加密,防止黑客通过网络攻击手段获取敏感数据。
加密算法可以保障数据的机密性和完整性,即使数据被偷窃也难以解密。
4. 防火墙防火墙是操作系统中重要的网络安全功能之一,能够监控和控制计算机系统和网络之间的数据通信。
通过设置防火墙规则,可以过滤和屏蔽非法访问和攻击,保护系统免受网络威胁和恶意行为。
二、操作系统的网络防护技术除了上述的网络安全功能,操作系统还提供了一些专门的网络防护技术,以抵御各种网络攻击和威胁。
1. 权限管理操作系统可以通过权限管理来限制用户对系统资源的操作和访问。
管理员可以为每个用户或用户组分配特定的权限,防止未授权的用户修改系统配置或访问敏感数据。
2. 入侵检测系统(IDS)入侵检测系统是一种网络安全设备,可以通过分析网络流量和行为模式来检测和报告潜在的入侵活动。
操作系统可以集成IDS功能,通过实时监测和分析网络数据,及时发现并阻止入侵行为。
3. 更新和补丁管理操作系统厂商会不定期地发布安全更新和补丁,以修复已知的漏洞和弱点。
windows系统的安全机制
windows系统的安全机制Windows系统的安全机制随着计算机技术的不断发展,Windows操作系统在个人电脑和企业网络中的应用越来越广泛。
为了保护用户的数据和隐私安全,Windows系统采取了一系列的安全机制来防范各种威胁和攻击。
本文将从用户账户管理、访问控制、数据加密和防病毒软件等方面介绍Windows系统的安全机制。
Windows系统通过用户账户管理来保障系统的安全性。
每个用户都可以拥有自己的账户,并设置独立的用户名和密码。
这样可以确保只有授权的用户才能登录系统,保护系统和用户数据的安全。
此外,Windows系统还支持不同权限的用户账户,如管理员账户和普通用户账户。
管理员账户具有更高的权限,可以对系统进行更多的操作,而普通用户账户则受到一定的限制,以保护系统免受恶意软件和未经授权的更改。
Windows系统采用访问控制机制来限制用户对资源的访问。
通过访问控制列表(ACL)和权限设置,可以对文件、文件夹和注册表等资源进行细粒度的权限控制。
管理员可以根据需要设置不同的访问权限,确保只有授权的用户才能访问敏感数据或系统文件。
此外,Windows系统还支持安全策略和组策略,可进一步限制用户的访问和操作,以提高系统的安全性。
数据加密是保护数据安全的重要手段之一。
Windows系统提供了多种数据加密技术,如BitLocker和EFS(加密文件系统)。
BitLocker可以对整个硬盘或特定分区进行加密,防止未经授权的访问和数据泄露。
EFS则可以对文件和文件夹进行加密,保护敏感数据的机密性。
这些加密技术都采用了强大的加密算法,确保数据在传输和存储过程中的安全性。
防病毒软件是保护Windows系统安全的重要组成部分。
Windows 系统自带了Windows Defender防病毒软件,可以实时监测和阻止病毒、恶意软件和网络攻击。
此外,用户还可以选择安装其他第三方的防病毒软件,如卡巴斯基、诺顿等,提供更加全面的安全保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
085155 Windows安全原理与技术学分:3 学时:48先修课程:高级语言程序设计、操作系统课程性质:专业选修(限选)课程适用专业:信息安全专业内容简介:《Windows安全原理与技术》是信息安全专业网络安全方向专业选修(限选)课程。
本课程的目的在于使学生掌握Windows系统内核的基本原理和Windows安全技术。
本课程内容: WINDOWS系统的内存管理,虚拟内存访问,文件的内存映射;PE文件结构;进程和线程的管理、Win 32消息处理、堆栈、动态链接库;活动目录、身份验证、访问控制、文件系统安全、网络传输安全、应用服务安全、组策略、安全配置与分析、安全审核和公钥基础结构等。
参考书:[1] Jeffrey Richter 《Windows核心编程》机械工业出版社 2000 年5月[2] Greg Hoglund 《Windows内核的安全防护》清华大学出版社 2007 年4月[3] Charles Petzold 《Windows程序设计》北京大学出版社2004 年5月[4] 刘晖《Windows安全指南》电子工业出版社2008 年2月[5] 王轶骏《Windows系统安全原理与技术》清华大学出版社2005-8-1编写人:审核人:课程编号《Windows安全原理与技术》课程教学大纲48学时 3学分一、课程的性质、目的及任务本课程的教学目的是使学生掌握Windows系统内核的基本原理和Windows安全技术。
第一部分是关于Windows系统内核,包括WINDOWS系统的内存管理,虚拟内存访问,文件的内存映射;PE文件结构;进程和线程的管理、Win 32消息处理、堆栈、动态链接库。
对Windows 系统内核的深入理解是掌握windows安全技术的基础。
第二部分关于Windows系统的安全体系结构和构成组件,内容涵盖了活动目录、身份验证、访问控制、文件系统安全、网络传输安全、应用服务安全、组策略、安全配置与分析、安全审核和公钥基础结构等。
通过本课程的学习,使学生对Windows系统的运行及安全机制有较深入的了解。
二、适用专业信息安全专业三、先修课程高级语言程序设计、操作系统四、课程的基本要求1)要求学生有一定的Windows系统编程能力,因为本课会大量涉及到windows系统下的程序,所有的例子都是用c,c++实现,所以同时要求学生有较好的c,c++功底。
2)对计算机体系结构有较好的理解。
在内核编程中会涉及一些底层硬件的知识。
3) 对汇编语言有一定的了解。
五、课程的教学内容第一部分深入了解WINDOWS系统第1章 WINDOWS系统的内存管理1.1 引言1.2 内存管理概述1.2.1 虚拟内存1.2.2 CPU工作模式1.2.3 逻辑、线性和物理地址1.2.4 存储器分页管理机制1.2.5 线性地址到物理地址的转换1.3 虚拟内存访问1.3.1 获取系统信息1.3.2 在应用程序中使用虚拟内存1.3.3 获取虚存状态1.3.4 确定虚拟地址空间的状态1.3.5 改变内存页面保护属性1.3.6 进行一个进程的内存读写1.4 文件的内存映射1.4.1 内存映射API函数1.4.2 用内存映射在多个应用程序之间共享数据1.4.3 用内存映射文件读取大型文件1.5 深入认识指针的真正含义1.5.1 指针的真正本质1.5.2 用指针进行应用程序之间的通信1.6 本章小结第2章 PE文件结构2.1 引言2.2 PE文件格式概述2.2.1 PE文件结构布局2.2.2 PE文件内存映射2.2.3 Big-endian和Little-endian2.2.4 3种不同的地址2.3 PE文件结构2.3.1 MS-DOS头部2.3.2 IMAGE_NT_HEADER头部2.3.3 IMAGE_SECTION_HEADER头部2.4 如何获取PE文件中的OEP2.4.1 通过文件读取OEP值2.4.2 通过内存映射读取OEP值2.4.3 读取OEP值方法的测试2.5 PE文件中的资源2.5.1 查找资源在文件中的起始位置2.5.2 确定PE文件中的资源2.6 一个修改PE可执行文件的完整实例2.6.1 如何获得MessageBoxA代码2.6.2 把MessageBoxA()代码写入PE文件的完整实例2.7 本章小结第3章内核对象3.1 什么是内核对象3.1.1 内核对象的使用计数3.1.2 安全性3.2 进程的内核对象句柄表3.2.1 创建内核对象3.2.2 关闭内核对象3.3 跨越进程边界共享内核对象3.3.1 对象句柄的继承性3.3.2 改变句柄的标志3.3.3 命名对象3.3.4 终端服务器的名字空间3.3.5 复制对象句柄第4章进程基础知识4.1 编写第一个Windows应用程序4.1.1 进程的实例句柄4.1.2 进程的前一个实例句柄4.1.3 进程的命令行4.1.4 进程的环境变量4.1.5 进程的亲缘性4.1.6 进程的错误模式4.1.7 进程的当前驱动器和目录4.1.8 进程的当前目录4.1.9 系统版本4.2 CreateProcess函数4.2.1 pszApplicationName和pszCommandLine4.2.2 psa Process、psa Thread和binherit Handles4.2.3 fdwCreate4.2.4 pvEnvironment4.2.5 pszCurDir4.2.6 psiStartInfo4.2.7 ppiProcInfo4.3 终止进程的运行4.3.1 主线程的进入点函数返回4.3.2 ExitProcess函数4.3.3 TerminateProcess函数4.3.4 进程终止运行时出现的情况4.4 子进程4.5 枚举系统中运行的进程第7章线程的基础知识7.1 何时创建线程7.2 何时不能创建线程7.3 编写第一个线程函数7.4 CreateThread函数7.4.1 psa7.4.2 cbStack7.4.3 pfnStartAddr和pvParam7.4.4 fdwCreate7.4.5 pdwThreadID7.5 终止线程的运行7.5.1 线程函数返回7.5.2 ExitThread函数7.5.3 TerminateThread函数7.5.4 在进程终止运行时撤消线程7.5.5 线程终止运行时发生的操作7.7 线程的一些性质7.7 C/C++运行期库的考虑7.7.1 Oops—错误地调用了Create Thread 7.7.2 不应该调用的C/C++运行期库函数7.8 对自己的ID概念应该有所了解第10章内存映射文件10.1 内存映射的可执行文件和DLL文件10.1.1 可执行文件或DLL的多个实例不能共享静态数据10.1.2 在可执行文件或DLL的多个实例之间共享静态数据10.1.3 AppInst示例应用程序10.2 内存映射数据文件10.2.1 方法 1:一个文件,一个缓存10.2.2 方法 2:两个文件,一个缓存10.2.3 方法 3:一个文件,两个缓存10.2.4 方法 4:一个文件,零缓存10.3 使用内存映射文件10.3.1 步骤 1:创建或打开文件内核对象10.3.2 步骤 2:创建一个文件映射内核对象10.3.3 步骤 3:将文件数据映射到进程的地址空间10.3.4 步骤4:从进程的地址空间中撤消文件数据的映像10.3.5 步骤 5和步骤 6:关闭文件映射对象和文件对象10.3.6 文件倒序示例应用程序10.4 使用内存映射文件来处理大文件10.5 内存映射文件与数据视图的相关性10.6 设定内存映射文件的基地址10.7 实现内存映射文件的具体方法10.8 使用内存映射文件在进程之间共享数据10.9 页文件支持的内存映射文件第11章堆栈11.1 进程的默认堆栈11.2 为什么要创建辅助堆栈11.2.1 保护组件11.2.2 更有效的内存管理11.2.3 进行本地访问11.2.4 减少线程同步的开销11.2.5 迅速释放堆栈11.3 如何创建辅助堆栈11.3.1 从堆栈中分配内存块11.3.2 改变内存块的大小11.3.3 了解内存块的大小11.3.4 释放内存块11.3.5 撤消堆栈11.3.6 用C++程序来使用堆栈11.4 其他堆栈函数第12章 DLL基础12.1 DLL与进程的地址空间12.2 DLL的总体运行情况12.3 创建DLL模块12.3.1 输出的真正含义是什么12.3.2 创建用于非Visual C++工具DLL 12.4 创建可执行模块12.5 运行可执行模块第13章 DLL的高级操作技术13.1 DLL模块的显式加载和符号链接13.1.1 显式加载DLL模块13.1.2 显式卸载DLL模块13.1.3 显式链接到一个输出符号13.2 DLL的进入点函数13.2.1 DLL_PROCESS_ATTACH通知13.2.2 DLL_PROCESS_DETACH通知13.2.3 DLL_THREAD_ATTACH通知13.2.4 DLL_THREAD_DETACH通知13.2.5 顺序调用DllMain13.2.6 DllMain与C/C++运行期库13.3 延迟加载DLL13.4 函数转发器13.5 已知的DLL13.6 DLL转移13.7 改变模块的位置13.8 绑定模块第二部分 WINDOWS系统安全与应用第1章数据安全1.1NTFS权限简介1.1.1FAT32和NTFS文件系统对比1.1.2获得NTFS分区1.1.2.1将分区格式化为NTFS文件1.1.2.1系统1.1.2.2将分区转换为NTFS文件系统1.2NTFS权限设置1.2.1设置权限1.2.2判断有效权限1.3NTFS权限高级应用1.3.1权限的继承1.3.2获取所有权1.3.3权限设置的注意事项1.4EFS加密1.4.1加密和解密文件1.4.2证书的备份和还原1.4.2.1证书的备份1.4.2.2证书的还原1.4.3EFS的高级用法1.4.3.1EFS加密文件的共享1.4.3.2加密可移动存储介质1.4.3.3使用恢复代理1.4.3.4EFS的使用注意事项第2章活动目录2.1活动目录基础2.2活动目录的体系结构2.3活动目录对象2.4域2.5站点2.6活动目录的使用第3章身份验证3.1身份验证概述3.2交互式登录3.3网络身份验证3.4NTLM身份验证协议3.5Kerberos身份验证协议3.6智能卡第4章访问控制4.1访问控制概述4.2访问控制机制4.3用户和组基础4.4内置本地组4.5默认组成员4.6默认的访问控制设置第5章网络传输的安全5.1网络的不安全性5.2IPSe5.3SSL5.4VPN第6章组策略6.1组策略概述6.2组策略的存储6.3组策略的配置6.4组策略的应用6.5组策略的实现第7章安全配置与分析7.1安全配置工具集概述7.2安全配置工具组件7.3安全模板管理单元7.4安全配置和分析管理单元7.5组策略管理单元的安全设置扩展7.6Secedit命令第8章安全审核8.1Windowsc2000安全审核概述8.2审核策略的设置8.3事件日志的管理第9章公钥基础结构9.1PKI基础9.2Windowsc2000中的PKI9.3使用Windowsc2000中的PKI第10章 WINDOWS系统中的rootkit 10.1 攻击者的动机10.10.1 潜行的角色10.10.2 不需潜行的情况10.2 rootkit的定义10.3 rootkit存在的原因10.3.1 远程命令和控制10.3.2 软件窃听10.3.3 rootkit的合法使用10.4 rootkit的存在历史10.5 rootkit的工作方式10.5.1 打补丁10.5.2 复活节彩蛋10.5.3 间谍件修改10.5.4 源代码修改10.5.5 软件修改的合法性10.6 rootkit与其他技术的区别10.6.1 rootkit不是软件利用工具10.6.2 rootkit不是病毒10.7 rootkit与软件利用工具10.8 攻击型rootkit技术10.8.1 HIPS10.8.2 NIDS10.8.3 绕过IDS/IPS10.8.4 绕过取证分析工具10.9 小结六、学时分配表七、主要参考书[1] Jeffrey Richter 《Windows核心编程》机械工业出版社 2000 年5月[2] Greg Hoglund 《Windows内核的安全防护》清华大学出版社 2007 年4月[3] Charles Petzold 《Windows程序设计》北京大学出版社2004 年5月[4] 刘晖《Windows安全指南》电子工业出版社2008 年2月[5] 王轶骏《Windows系统安全原理与技术》清华大学出版社2005-8-1八、评价方式(包括作业、测验、考试等)一篇关于Windows内核安全的小论文加系统实现,占30%,考试70%。