Windows NT的系统安全

Windows系统安全机制1.前言多年来，黑客对计算机信息系统的攻击一直没有停止过，其手段也越来越高明，从最初的猜测用户口令、利用计算机软件缺陷，发展到现在的通过操作系统源代码分析操作系统漏洞。

同时网络的普及使得攻击工具和代码更容易被一般用户获得，这无疑给Windows 系统安全带来了更大的挑战。

解决Windows 系统安全问题，任重而道远。

2.Windows XP安全机制。

Windows XP采用Windows 2000/NT的内核，在用户管理上非常安全。

凡是增加的用户都可以在登录的时候看到，不像Windows 2000那样，被黑客增加了一个管理员组的用户都发现不了。

使用NTFS文件系统可以通过设置文件夹的安全选项来限制用户对文件夹的访问，如当某普通用户访问另一个用户的文档时会提出警告。

你还可以对某个文件(或者文件夹)启用审核功能，将用户对该文件(或者文件夹)的访问情况记录到安全日志文件里去，进一步加强对文件操作的监督。

Windows XP中的软件限制策略提供了一种隔离或防范那些不受信任且具有潜在危害性代码的透明方式，保护您免受通过电子邮件和Internet传播的各种病毒、特洛伊木马程序及蠕虫程序所造成的侵害。

这些策略允许您选择在系统上管理软件的方式：软件既可以被“严格管理”(可以决定何时、何地、以何种方式执行代码)，也可以“不加管理”(禁止运行特定代码)。

软件限制策略能够保护系统免受那些受感染电子邮件附件的攻击。

这些附件包括存储在临时文件夹中的文件附件以及嵌入式对象与脚本。

同时，它还将保护您免受那些启动Internet Explorer或其它应用程序，并下载带有不受信任嵌入式脚本的Web页面的URL/UNC链接所造成的攻击。

在Windows 2000中，微软就采用了基于公共密钥加密技术的加密文件系统(EFS)。

在Windows XP中，对加密文件系统做了进一步改进，使其能够让多个用户同时访问加密的文档。

网络安全试题二一．判断题（每题1分，共25分）1.网络安全管理漏洞是造成网络受攻击的原因之一。

2.人为的主动攻击是有选择地破坏信息的有效性和完整性。

3.防火墙技术是网络与信息安全中主要的应用技术。

4."明文是可理解的数据, 其语义内容是可用的。

"5.移位和置换是密码技术中常用的两种编码方法。

6.在实际应用中，不可以将对称密钥密码体制与非对称密钥密码体制混用。

7.加密算法的安全强度取决于密钥的长度。

8.数字签名一般采用对称密码算法。

9.PEM是基于EDS和RSA算法的。

10.在PGP信任网中用户之间的信任关系可以无限进行下去。

11.在局域网中，由于网络范围小，所以很难监听网上传送的数据。

12.子网掩码用来区分计算机所有的子网。

13.安全检测与预警系统可以捕捉网络的可疑行为，及时通知系统管理员。

14.操作系统的安全设置是系统级安全的主要需求。

15.网络服务对系统的安全没有影响，因此可以随意的增加网络服务。

16.在系统中，不同的用户可以使用同一个帐户和口令，不会到系统安全有影响。

17.在Windows NT操作系统中，用户不能定义自已拥有资源的访问权限。

18.在Windows NT操作系统中，文件系统的安全性能可以通过控制用户的访问权限来实现。

19.在NetWare操作系统中，访问权限可以继承。

20.口令机制是一种简单的身份认证方法。

21.用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。

22.数据原发鉴别服务对数据单元的重复或篡改提供保护。

23.防火墙是万能的，可以用来解决各种安全问题。

24.在防火墙产品中，不可能应用多种防火墙技术。

25.入侵检测系统可以收集网络信息对数据进行完整性分析，从而发现可疑的攻击特征。

二．单项选择题（每题1分，共25分）1.按TCSEC安全级别的划分，DOS属于哪一个安全级别？A DB C1C C2D B12.以下那些属于系统的物理故障：A. 硬件故障与软件故障B. 计算机病毒C. 人为的失误D. 网络故障和设备环境故障3.UNIX和Windows NT、NetWare操作系统是符合哪个级别的安全标准：A. A级B. B级C. C级D. D级4.下面描述了Kerberos系统认证协议过程，哪一个是正确的？A 请求TGS入场券→请求服务B 请求服务器入场券→请求服务C 请求TGS入场券→请求服务器入场券→请求服务D 请求服务器入场券→请求TGS入场券→请求服务5.在对称密钥密码体制中，加、解密双方的密钥：A. 双方各自拥有不同的密钥B. 双方的密钥可相同也可不同C. 双方拥有相同的密钥D. 双方的密钥可随意改变6.对称密钥密码体制的主要缺点是：A. 加、解密速度慢B. 密钥的分配和管理问题C. 应用局限性D. 加密密钥与解密密钥不同7.数字签名是用来作为：A. 身份鉴别的方法B. 加密数据的方法C. 传送数据的方法D. 访问控制的方法8.在以太网卡中，有一个唯一的物理地址固化在硬件中标识这个网卡，这个物理地址是：A 长度64位B 长度48位C 长度32位D 长度28位9.下面协议哪些属于传输层的协议？A SSLB SMTPC FTPD NetBeui10.对IP层的安全协议进行标准化，已经有很多方案。

windows nt账户的安全防护措施为了提高Windows NT账户的安全性，可以采取以下措施：1. 强化账户密码：选择复杂且不易被猜测的密码，包括数字、字母和符号的组合。

定期更换密码，以降低账户被破解的风险。

2. 限制账户权限：根据实际需求，为每个账户分配必要的最小权限。

避免使用高权限账户进行日常操作，以降低因账户权限过高而引发的安全风险。

3. 启用安全审计：开启安全审计功能，对系统中的重要事件进行记录和监控。

通过审计日志，及时发现异常行为和潜在的安全威胁。

4. 安装防病毒软件：在系统中安装可靠的防病毒软件，并定期更新病毒库，以便及时检测和清除病毒、木马等恶意程序。

5. 关闭不必要的服务：禁用或删除不必要的服务和应用程序，以减少安全风险。

仅保留必要的服务，并确保它们受到适当的保护。

6. 定期备份数据：定期备份重要数据，以防数据丢失或损坏。

同时，备份数据应存储在安全可靠的地方，以免数据被未经授权的人员访问。

7. 及时更新系统补丁：定期检查并安装系统补丁，以修复已知的安全漏洞。

微软会定期发布补丁程序，用于修复Windows NT系统中的安全问题。

8. 配置防火墙：在系统中配置防火墙，限制网络通信的访问权限。

根据安全策略，仅允许必要的网络流量通过防火墙，阻止恶意攻击和未经授权的访问。

9. 定期检查账户活动：定期查看账户活动记录，了解账户使用情况。

及时发现异常行为，如未知登录、异常操作等，并采取相应的应对措施。

10. 限制远程访问：仅允许必要的远程访问，并采取身份验证措施，如使用VPN、SSH等加密通信协议，以确保远程访问的安全性。

通过采取以上措施，可以提高Windows NT账户的安全性，保护系统免受恶意攻击和未经授权的访问。

请注意，这些措施需要结合实际情况进行实施，并根据安全需求进行适当的调整和更新。

第2章 Windows NT安全原理虽然本书以Windows 2000作为阐述Windows系统安全原理与技术的重点，但由于Windows 2000的大部分核心功能和面向对象的设计都来源于Windows NT 4.0，大部分原有的基础安全结构仍然保持不变，因此本章将首先说明Windows NT 4.0系统安全的基本原理与技术。

2.1 Windows NT系统安全体系图2-1显示了Windows NT 4.0系统体系结构中的多个组成部分以及彼此之间的相关性。

与其他大多数模型类似，这也是一种分层结构：计算机硬件位于底端，而高层的应用程序位于顶端。

用户与最高层的部分进行交互，中间的所有层次都为上一层提供服务并与下一层进行交互。

图2-1 Windows NT4.0安全体系结构该体系结构分为两种模式：内核模式（Kernel Mode）和用户模式（User Mode）。

应用程序及其子系统运行在用户模式下。

该模式拥有较低特权，不能对硬件直接进行访问。

用户模式的应用程序被限定在由操作系统所分配的内存空间内，不能对其他内存地址空间直接进行访问。

用户模式只能使用特殊的应用程序编程接口（API）来从内核模式组件中申请系统服务。

用户模式中包含有以下一些主要的子系统。

z Win32子系统：这是主要的应用程序子系统，所有的32位Windows应用程序都运行在这个子系统之下。

z本地安全子系统：用来支持Windows的登录过程，包括对登录的身份验证和审核工作。

安全子系统需要和Win32子系统进行通信。

z OS/2子系统：被设计用来运行和OS/2 1.x相兼容的应用程序。

z POSIX子系统：被设计用来运行和POSIX 1.x相兼容的应用程序。

而内核模式中的代码则具有极高的特权，可以直接对硬件进行操作以及直接访问所有的内存空间，并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。

组成内核模式的整套服务被称为“执行服务”（有时也被称为Windows NT Executive）。

信息安全基础(习题卷67)第1部分：单项选择题，共57题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]信息战的战争危害较常规战争的危害A)轻B)重C)不一定答案:C解析:2.[单选题]计算机网络组织结构中有两种基本结构，分别是域和A)用户组B)工作组C)本地组D)全局组答案:B解析:3.[单选题]管理信息大区主站与配电终端的通信方式原则上以（ ）为主。

A)光纤通信B)串口通信C)无线公网通信D)无线专网通信答案:C解析:4.[单选题]( )是建立有效的计算机病毒防御体系所需要的技术措施A)补丁管理系统、网络入侵检测和防火墙B)漏洞扫描、网络入侵检测和防火墙C)漏洞扫描、补丁管理系统和防火墙D)网络入侵检测、防病毒系统和防火墙答案:D解析:5.[单选题]以下哪个说法是正确的A)xcodeghost是一种可以直接远程控制手机控制权的攻击方式B)wormhole是一种可以直接远程控制手机控制权的攻击方式C)“心脏滴血”是一种可以直接远程控制手机控制权的攻击方式D)shellshock是一种可以直接远程控制手机控制权的攻击方式答案:A解析:6.[单选题]当在公共场所连接Wi-Fi时，下列哪一种行为相对更加安全？A)连接未进行加密的Wi-Fi热点答案:B解析:7.[单选题]以下哪种情况不会导致您的信息泄露A)在一些娱乐性质的网站/软件注册的时候填写真实的姓名B)在网上发具有标志性建筑物的自拍照C)分享自己的晚餐D)一个账号(QQ.微信)用于多种用途，如工作.游戏等，并添加了一些来路不明的好友。

答案:C解析:8.[单选题]更换部件或设备工作变更时，全程工作必须至少有（）人以上参加，工作完成后及时做好维修记录。

A)1B)2C)3D)4答案:B解析:9.[单选题]用"rm-i",系统会提示什么来让你确认( )A)命令行的每个选项B)是否真的删除C)是否有写的权限D)文件的位置答案:B解析:10.[单选题]以下哪项不是对1SO27001的描述( )A)ISO27001是一个有关信息安全管理体系(ISMS)的国际标准B)ISO27001的理念是基于风险评估的信息安全风险管理C)ISO27001采用PDCA过程方法,全面、系统、持续地改进组织的信息安全管理体系D)ISO2700是关于IT服务管理的国际标准答案:D解析:11.[单选题]以下哪个不属于iis自带的服务（）。