windows安全原理及安全管理.pptx
合集下载
Windows系统安全管理精品PPT课件
18
添加/删除帐户
Win2000/XP下
管理工具—计算机管理—本地用户和组
15
解读SID
颁发机构代码, Windows 2000总
为5
SID S-1-5-21-15070098-500
修订版 本编号
子颁发机构代码, 共有4个;具有
唯一性
著名的SID
相对标示符 RID,一般为
常数
❖S-1-1-0 Everyone ❖S-1-2-0 Interactive用户 ❖S-1-3-0 Creator Owner ❖S-1-3-1 Creator Group令牌Leabharlann 通过SID标示账号对象以及所属的组
SID S-1-5-21-15070098-500
令牌 User=S-1-21- S-1-5-21-15070098-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544
信息安全技术培训 ©2007
5、Windows下的几个系统命令
6、安全基本配置
信息安全技术培训 ©2007
4
什么是漏洞?
什么是漏洞?
信息安全技术培训 ©2007
5
什么是IPC问题
什么IPC? IPC(Interprocess communications
IPC$空会话连接!!
管理共享(C$、d$、Admin$)!!
信息安全技术培训 ©2007
信息安全技术培训 ©2007
7
IPC攻击演示
E:\>net use \\testPC\ipc$ “” /user:”” E:\>net view \\testPC 结果:获得testPC主机共享资源列表 Continue…… E:\>net use y: \\testPC\share “xxx” /user:”xxxx” 结果:testPC主机的share目录被映射为Y盘
Windows2000系统安全管理1课件
本地帐户
系统帐号管理
SAM数据库与AD
SAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上,账号与密码散列保存在%systemroot%\ntds\ntds.dit中
SYSKEY功能
从NT4 sp3开始提供
SID与令牌
系统帐号管理文件系统管理r(默认的超级管理员)系统帐号(Print Operater、Backup Operator)Guest(默认来宾帐号)
系统帐号管理
本地用户(accounts)和组(groups)
帐户(user accounts) -定义了Windows中一个用户所必要的信息,包括 口令、安全ID(SID)、组成员关系、登录限制,… 组:Administrators、Backup Operators、Guest、 Power Users
Windows系统进程
基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 用户登录管理 services.exe 包含很多的系统服务(DNS、NETBIOS…) lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IPSEC安全驱动程序。 svchost.exe 包含很多系统服务 (RPC、红外设备、移动设备…)spoolsv.exe 将文件加载到内存中以便迟后打印。 explorer.exe 资源管理器 winmgmt.exe 提供系统管理信息。 internat.exe 输入法
Windows 系统安装
组件的定制: Windows在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的,黑客可以进入任何一台默认安装的Windows 。安装时应该确切的知道需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。例如:典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files、IIS Snap-In、组件。如果确实需要安装其它组件请慎重,特别是:Indexing Service、FrontPage 2000 Server Extensions、 Internet Service Manager (HTML)这几个危险服务。
系统帐号管理
SAM数据库与AD
SAM中口令的保存采用单向函数(OWF)或散列算法实现在%systemroot%\system32\config\sam中实现DC上,账号与密码散列保存在%systemroot%\ntds\ntds.dit中
SYSKEY功能
从NT4 sp3开始提供
SID与令牌
系统帐号管理文件系统管理r(默认的超级管理员)系统帐号(Print Operater、Backup Operator)Guest(默认来宾帐号)
系统帐号管理
本地用户(accounts)和组(groups)
帐户(user accounts) -定义了Windows中一个用户所必要的信息,包括 口令、安全ID(SID)、组成员关系、登录限制,… 组:Administrators、Backup Operators、Guest、 Power Users
Windows系统进程
基本的系统进程smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 用户登录管理 services.exe 包含很多的系统服务(DNS、NETBIOS…) lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IPSEC安全驱动程序。 svchost.exe 包含很多系统服务 (RPC、红外设备、移动设备…)spoolsv.exe 将文件加载到内存中以便迟后打印。 explorer.exe 资源管理器 winmgmt.exe 提供系统管理信息。 internat.exe 输入法
Windows 系统安装
组件的定制: Windows在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的,黑客可以进入任何一台默认安装的Windows 。安装时应该确切的知道需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。例如:典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files、IIS Snap-In、组件。如果确实需要安装其它组件请慎重,特别是:Indexing Service、FrontPage 2000 Server Extensions、 Internet Service Manager (HTML)这几个危险服务。
计算机网络安全管理课件第4章 Windows 2000操作系统的安全管理
3. "事件日志"中的事件 如果策略已成功下载,将出现包含以下信息的"事件日志"事件: 类型:信息 来源 ID:SceCli 事件 ID:1704 消息字符串:组策略对象中的安全策略被成功应用 在应用该策略之后,可能要过几分钟后才显示此消息.如果没有收到成 功的事件日志消息,则需要运行 secedit /refreshpolicy machine_policy /enforce,然后重新启动服务器以强制下载策略.在重新启动之后再次检 , 查"事件日志"以验证策略是否已成功下载.
§4.3 Windows 2000的安全特性
Windows 2000有数据安全性,企业间通信的安全性,企业和Internet网的单 点安全登录,以及易用和良好扩展性的安全管理等安全特性. 1. 数据安全性 数据安全是指数据的保密性和完整性,Windows 2000的数据安全性表现在 : (1)用户登录时的安全性 在用户登录网络时,数据的安全保护开始,Windows 2000使用Kerberos和 PKI验证协议提供了强有力的口令保护和单点登录. (2)网络数据的保护 网络数据指的是本地网络中数据以及不同网络间传送的数据. 本地网络的数据是由验证协议以及IP Security加密来实现. 网络间传送的数据可以通过IP Security 加密TCP/IP通信,Windows 2000 路由和远程访问服务,代理服务等实现. (3) 存储数据的保护 存储数据的保密在Windows 2000中有文件加密系统以及数字签名等来实现 存储数据的保密.
§4.1 Windows 2000的安全性设计
作为继Windows NT之后的新一代的企业级网络操作系统,Windows 2000在 安全特性主要体现在三个方面: 对Internet上的新型服务的支持 Windows 2000可以实现移动办公,远程服务,以及安全通信和基于 SSL/TLS的电子商务等服务. 使用安全性框架 Windows 2000中有"安全服务提供者接口"即SSPI,(Security Service Provider Interface),方便了其它验证方式在Windows 2000中对于其上层应 用层来说,是没有任何不同的. 实现对Windows NT 4.0的网络的支持 Windows 2000提供了对Windows NT 4.0中采用的NTLM(NT LAN Manager) 安全验证机制的支持.用户可以迁移到Windows 2000中,替代NTLM的 Kerberos安全验证机制.
《windows系统安全》课件
Windows系统安全检测
1
安装系统漏洞检测软件
了解如何使用系统漏洞检测软件来发
扫描恶意软件和病毒
2
现和修复Windows系统中的潜在漏洞。
掌握使用安全软件进行系统扫描,以
检测并清除潜在的恶意软件和病毒。
3
维护系统补丁以提高安全性
了解如何定期更新系统补丁和安全更 新,以增强Windows系统的安全性。
《Windows系统安全》 PPT课件
Windows系统安全的重要性以及如何保护自己免受威胁的关键步骤。通过本 课程,了解如何防范病毒、恶意软件和网络攻击,提高安全意识。
简介
Windows系统安全是指保护并确保计算机操作系统免受潜在威胁和攻击的措施。了解Windows系统安全 的重要性以及为什么我们需要关注它。
Windows系统安全解决方案
使用杀毒软件、防火墙 等进行防御
了解常见的防御工具和措施, 如杀毒软件、防火墙和入侵检 测系统,以提高Windows系统 的ows系 统中的漏洞,以防止潜在的攻 击和入侵。
提高用户安全意识
培养用户对Windows系统的安 全意识和最佳实践,如强密码 使用和定期备份数据。
结论
Windows系统安全是我们不能忽视的重要议题。通过采取正确的安全策略,我们可以减少安全问题的发 生,并保护个人和组织的数据和隐私。
Windows系统安全威胁
病毒、蠕虫、木马
恶意软件的不同类型对Windows系统的威胁。了解这些威胁的特点以及可能带来的损害。
恶意软件的危害
恶意软件如何对个人和组织的数据、隐私和安全造成危害。掌握发现和应对这些威胁的方法。
网络攻击引发的安全问题
网络攻击如何成为Windows系统安全的威胁。了解常见的攻击类型和防护策略。
《第13讲 Windows系统安全.ppt》
User Y …
NTFS file object security
Windows Explorer File, Properties, Security File Access
Token
User xxx
1. 打开一个 可写的文件 4. 返回文 件句柄 3. 是否允许?
NTFS
2. 从文件中 得到SD Yes/No
Access Check
SD file
基于policy的安全性
Auditing
Categories: Success/Failure events
Logon and Logoff、File and Object Access、Use of User rights、 User and Group Management、Security Policy Changes、Restart, Shutdown system、Process Tracking
注册表是活动目录的一个部分写照 兼容性
Windows 2000中的活动目录(Active Directory)
Windows 2000支持两个目录服务
DNS,扩展 —— 找到域控制器 活动目录 —— 访问域中对象的信息 一个数据库 访问协议 —— LDAP 信息的命名和组织方式
活动目录
Winlogon GINA DLL Multiple network providers
GINA
NP
登录界面
一些跟Winlogon有关的概念
Initializing Winlogon
首先注册CTRL+ALT+DEL SAS(secure attention sequence) 然后在WinSta0 window station内创建三个desktops
Windows-2008安全管理实战ppt课件
域控制器 Windows 2008网络策略服务器 DHCP服务器 DNS服务器 Windows Vista客户机
案例3:通过NAP加强企业网安全
实验准备:
使用三台计算机完成本实验: 计算机DC01,IP地址为192.168.100.1,充当
域控制器和DNS服务器 计算机NPS01,IP地址为192.168.100.2,充当
本章结构
Windows 2008 安全管理实战
2008安全设置 数据加密和数据保护
部署NAP服务 PKI高级应用 配置RODC
NAP简介 部署NAP服务
RODC简介 配置RODC
Windows 2008安全设置
Windows 2008安全配置向导
为了简化安全配置过程,Windows 2008提供 了安全配置向导
在域控制器中安装“Active Directory证书服务” 以UserB登录域控制器,建立一个空文件夹,
在文件夹中建立一个教文员演本示文操作件过。程 将建立的文件 夹及文件加密
案例4:设置加密恢复代理
申请证书:
以财务主管的帐户UserA登录域 建立MMC管理控制台,添加“证书”工具,申
案例2:保证文件服务器数据安全
BENET公司的网络中有一台文件服务器, 该服务器的E:\Data文件夹中保存了大量机 密文档,为了防止这些文件外泄,公司要 求禁止无关人员取读、复制和修改这些文 件
案例2:保证文件服务器数据安全
加密E:\Data文件夹,使用不同用户访问该 文件夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
案例3:通过NAP加强企业网安全
BENET公司的网络是一个Windows域,域 名为。域中所有客户机通过一台 DHCP服务器动态获得IP地址。为了加强安 全性,管理员希望只有启用了Windows防 火墙的计算机能访问网络,否则不能访问
案例3:通过NAP加强企业网安全
实验准备:
使用三台计算机完成本实验: 计算机DC01,IP地址为192.168.100.1,充当
域控制器和DNS服务器 计算机NPS01,IP地址为192.168.100.2,充当
本章结构
Windows 2008 安全管理实战
2008安全设置 数据加密和数据保护
部署NAP服务 PKI高级应用 配置RODC
NAP简介 部署NAP服务
RODC简介 配置RODC
Windows 2008安全设置
Windows 2008安全配置向导
为了简化安全配置过程,Windows 2008提供 了安全配置向导
在域控制器中安装“Active Directory证书服务” 以UserB登录域控制器,建立一个空文件夹,
在文件夹中建立一个教文员演本示文操作件过。程 将建立的文件 夹及文件加密
案例4:设置加密恢复代理
申请证书:
以财务主管的帐户UserA登录域 建立MMC管理控制台,添加“证书”工具,申
案例2:保证文件服务器数据安全
BENET公司的网络中有一台文件服务器, 该服务器的E:\Data文件夹中保存了大量机 密文档,为了防止这些文件外泄,公司要 求禁止无关人员取读、复制和修改这些文 件
案例2:保证文件服务器数据安全
加密E:\Data文件夹,使用不同用户访问该 文件夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
案例3:通过NAP加强企业网安全
BENET公司的网络是一个Windows域,域 名为。域中所有客户机通过一台 DHCP服务器动态获得IP地址。为了加强安 全性,管理员希望只有启用了Windows防 火墙的计算机能访问网络,否则不能访问
《windows系统安全》PPT课件
精品文档
为了解决这些安全问题,采用公钥基础设施PKI。 PKI 的 核 心 是 CA (Certificate Authority) 。 CA
是受一个或多个用户信任,提供用户身份验证的 第三方机构,承担公钥体系中公钥的合法性检验 的责任。
精品文档
PKI正成为安全体系结构的核心部分,有了它,许多 标准的安全应用成为可能。例如:
精品文档
PKI的标准
ITU-T X.509 PKIX文档(RFC) PKCS系列标准
精品文档
X.509
➢ 国际标准 idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997
➢ X.509是PKI的雏形,PKI在X.509标准的基础上发展起 来的。
➢ 已经达到了标准化的最高水平,非常稳定 ➢ X.509标准有三个版本,版本2和版本3是对版本1的扩
能备份
精品文档
组件6:证书废除处理系统
证书在有效期之内由于某些原因可能需要废除
➢ 废除证书一般是将证书列入证书黑名单(CRL)来完 成
➢ CRL一般存放在目录系统中
精品文档
组件7:PKI应用系统接口
PKI的价值在于使用户能够方便地使用加密,数字签 名等安全服务
一个完整的PKI必须提供良好的应用接口,使得各种 应用能够以安全,一致,可信的方式与PKI交互,确 保所建立起来的网络环境的可信性
(1) 安全电子邮件。 (2) 安全Web访问与服务。 (3) 虚拟专用网(VPN)。 (4) 安全路由器。 (5) 登录用户认证系统。 (6) 安全传输层协议SSL、TLS。 (7) 安全电子交易协议SET。 (8) 安全目录访问协议与服务。
精品文档
7.1、PKI(公钥基础结构)的功能
Windows系统安全ppt课件
是否显示上次成功登陆的用户名 开场|运转|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安全性增强—安全选项
是否允许未登陆系统执行关机命令 开场|运转|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安▪全仅登性陆用户增允许强使用—光盘安全选项
探测 选择攻击对象,了解部分简单的对象信息;针对具体
的攻击目标,随便选择了一组IP地址,进行测试,选 择处于活动状态的主机,进行攻击尝试 针对探测的安全建议 对于网络:安装防火墙,禁止这种探测行为 对于主机:安装个人防火墙软件,禁止外部主机的 ping包,使对方无法获知主机当前正确的活动状态
停止主机上不必要的服务,各种服务打开的端 口往往成为黑客攻击的入口
使用安全的密码 如果没有文件和打印机共享要求,最好禁止135、
139和445端口上的空会话 经常利用net session、netstat查看本机连接情
况
Windows系统安装 防止病毒、正常安装补丁等
使用正版可靠安装盘
将系统安装在NTFS分区上
允许对象所有者可以控制谁被允许访问该对象以
及访问的方式。
对象重用〔Object reuse)
当资源〔内存、磁盘等〕被某应用访问时, Windows 禁止所有的系统应用访问该资源,这也就是 为什么无法恢复已经被删除的文件的原因。
强制登陆〔Mandatory log on)
要求所有的用户必须登陆,通过认证后才可以访问 资源
Administrator口令破解情况
针对Windows 的入侵(5)
巩固权力
现在我们得到了Administrator的帐户,接下去我们需 要巩固权力
设置项
安全性增强—安全选项
是否允许未登陆系统执行关机命令 开场|运转|gpedit.msc|计算机配置|Windows设置|本 地策略|安全选项
设置项
安▪全仅登性陆用户增允许强使用—光盘安全选项
探测 选择攻击对象,了解部分简单的对象信息;针对具体
的攻击目标,随便选择了一组IP地址,进行测试,选 择处于活动状态的主机,进行攻击尝试 针对探测的安全建议 对于网络:安装防火墙,禁止这种探测行为 对于主机:安装个人防火墙软件,禁止外部主机的 ping包,使对方无法获知主机当前正确的活动状态
停止主机上不必要的服务,各种服务打开的端 口往往成为黑客攻击的入口
使用安全的密码 如果没有文件和打印机共享要求,最好禁止135、
139和445端口上的空会话 经常利用net session、netstat查看本机连接情
况
Windows系统安装 防止病毒、正常安装补丁等
使用正版可靠安装盘
将系统安装在NTFS分区上
允许对象所有者可以控制谁被允许访问该对象以
及访问的方式。
对象重用〔Object reuse)
当资源〔内存、磁盘等〕被某应用访问时, Windows 禁止所有的系统应用访问该资源,这也就是 为什么无法恢复已经被删除的文件的原因。
强制登陆〔Mandatory log on)
要求所有的用户必须登陆,通过认证后才可以访问 资源
Administrator口令破解情况
针对Windows 的入侵(5)
巩固权力
现在我们得到了Administrator的帐户,接下去我们需 要巩固权力
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows NT系统内置支持用户认证、访问控制、管理、审核。
Windows系统的安全组件
访问控制的判强问断制控(访制Discretion access control)
按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者 可以控制谁被允许访问该对象以及访问的方式。 • 对象重用(Object reuse) 当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源。 • 强制登陆(Mandatory log on) 与Windows for Workgroups,Windwows 95,Windows 98不同,Windows2K/ NT要求所有的用 户必须登陆,通过认证后才可以访问资源。 • 审核(Auditing) Windows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。 • 对象的访问控制(Control of access to object) Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用 通过第一次认证后再访问。
Windows安全子系统
• 安全支持提供者的接口(Security Support Provide Interface):
微软的Security Support Provide Interface很简单地遵循RF的API,为应用程序和服务 提供请求安全的认证连接的方法。
• 访问控制项(Access control entries): 访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有 两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的, 它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访 问总是优先于允许访问的。
Windows 安全原理
内容
• Windows安全原理篇 • Windows安全管理篇
Windows安全原理篇
• Windows系统的安全架构 • Windows的安全子系统 • Windows的密码系统 • Windows的系统服务和进程 • Windows的日志系统
Windows系统的安全架构
串程是的SIDCPU耗费时间的总和三个参数决定以保证它的唯一性帐。户和组
例: S-1-5-21-1763234323-3212657521-1234321321-500
第二项是SID
然后表示一系列的
•的于版2访0本0问0号来令,说牌对,(Access
to子ke颁n发s)机:。构,前面
几项是标志域的
这个就访是问1 令牌是用户在通过验证的时候有登陆进程所提供的,所
Windows安全子系统
– Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM)
Windows安全子系统的组
件
然后是标志符的颁发机
构(identifier authority),
•第一安项全S标表识符(对S于ec2u0r0i0t内y I的de帐n户tif,ier颁s):
最后一个标
示该字符SID永远都发机是构唯就一是的N,T,由值计是算5 机名、当前时间、当前志用着户域态内线的
DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有 力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,如果存在GinaDLL键,Winlogon将 使用这个DLL,如果不存在该键,Winlogon将使用默认值 MSGINA.DLL
Windows NT的安全包括6个主要的安全元素:Audit(审计), Administration(管理), Encryption(加密), Access Control(访问控 制), User Authentication(用户认证), Corporate Security Policy(公 共安全策略)。
Windows安全子系统
• 本地安全认证(Local Security Authority):
– 调用所有的认证包,检查在注册表 – 重新找回本地组的SIDs和用户的权限。 – 创建用户的访问令牌。 – 管理本地安装的服务所使用的服务账号。 – 储存和映射用户权限。 – 管理审核的策略和设置。 – 管理信任关系。
以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
Windows安全子系统的组件
• 安全描述符(Security descriptors): Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全 配置。
• 访问控制列表(Access control lists): 在NT系统中,每当请求一个对象或资源访问时,就会检查它的ACL,确认 给用户授予了什么样的权利。每创建一个对象,对应的ACL也会创建。ACL 包含一个头部,其中包含有更新版本号、ACL的大小以及它所包含的ACE数 量等信息。
Windows子系统实现图
Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中 都可以看到,其他的以DLL方式被这些文件调用。
Windows安全子系统
• Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA
Windows系统的安全组件
访问控制的判强问断制控(访制Discretion access control)
按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者 可以控制谁被允许访问该对象以及访问的方式。 • 对象重用(Object reuse) 当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源。 • 强制登陆(Mandatory log on) 与Windows for Workgroups,Windwows 95,Windows 98不同,Windows2K/ NT要求所有的用 户必须登陆,通过认证后才可以访问资源。 • 审核(Auditing) Windows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。 • 对象的访问控制(Control of access to object) Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用 通过第一次认证后再访问。
Windows安全子系统
• 安全支持提供者的接口(Security Support Provide Interface):
微软的Security Support Provide Interface很简单地遵循RF的API,为应用程序和服务 提供请求安全的认证连接的方法。
• 访问控制项(Access control entries): 访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有 两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的, 它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访 问总是优先于允许访问的。
Windows 安全原理
内容
• Windows安全原理篇 • Windows安全管理篇
Windows安全原理篇
• Windows系统的安全架构 • Windows的安全子系统 • Windows的密码系统 • Windows的系统服务和进程 • Windows的日志系统
Windows系统的安全架构
串程是的SIDCPU耗费时间的总和三个参数决定以保证它的唯一性帐。户和组
例: S-1-5-21-1763234323-3212657521-1234321321-500
第二项是SID
然后表示一系列的
•的于版2访0本0问0号来令,说牌对,(Access
to子ke颁n发s)机:。构,前面
几项是标志域的
这个就访是问1 令牌是用户在通过验证的时候有登陆进程所提供的,所
Windows安全子系统
– Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM)
Windows安全子系统的组
件
然后是标志符的颁发机
构(identifier authority),
•第一安项全S标表识符(对S于ec2u0r0i0t内y I的de帐n户tif,ier颁s):
最后一个标
示该字符SID永远都发机是构唯就一是的N,T,由值计是算5 机名、当前时间、当前志用着户域态内线的
DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有 力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,如果存在GinaDLL键,Winlogon将 使用这个DLL,如果不存在该键,Winlogon将使用默认值 MSGINA.DLL
Windows NT的安全包括6个主要的安全元素:Audit(审计), Administration(管理), Encryption(加密), Access Control(访问控 制), User Authentication(用户认证), Corporate Security Policy(公 共安全策略)。
Windows安全子系统
• 本地安全认证(Local Security Authority):
– 调用所有的认证包,检查在注册表 – 重新找回本地组的SIDs和用户的权限。 – 创建用户的访问令牌。 – 管理本地安装的服务所使用的服务账号。 – 储存和映射用户权限。 – 管理审核的策略和设置。 – 管理信任关系。
以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
Windows安全子系统的组件
• 安全描述符(Security descriptors): Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全 配置。
• 访问控制列表(Access control lists): 在NT系统中,每当请求一个对象或资源访问时,就会检查它的ACL,确认 给用户授予了什么样的权利。每创建一个对象,对应的ACL也会创建。ACL 包含一个头部,其中包含有更新版本号、ACL的大小以及它所包含的ACE数 量等信息。
Windows子系统实现图
Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中 都可以看到,其他的以DLL方式被这些文件调用。
Windows安全子系统
• Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA