windows安全原理及安全管理.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 安全原理
内容
• Windows安全原理篇 • Windows安全管理篇
Windows安全原理篇
• Windows系统的安全架构 • Windows的安全子系统 • Windows的密码系统 • Windows的系统服务和进程 • Windows的日志系统
Windows系统的安全架构
Windows安全子系统
• 安全支持提供者的接口(Security Support Provide Interface):
微软的Security Support Provide Interface很简单地遵循RFC 2743和 RFC 2744的定义,提供一些安全服务的API,为应用程序和服务 提供请求安全的认证连接的方法。
Windows NT的安全包括6个主要的安全元素:Audit(审计), Administration(管理), Encryption(加密), Access Control(访问控 制), User Authentication(用户认证), Corporate Security Policy(公 共安全策略)。
以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
Windows安全子系统的组件
• 安全描述符(Security descriptors): Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全 配置。
• 访问控制列表(Access control lists): 在NT系统中,每当请求一个对象或资源访问时,就会检查它的ACL,确认 给用户授予了什么样的权利。每创建一个对象,对应的ACL也会创建。ACL 包含一个头部,其中包含有更新版本号、ACL的大小以及它所包含的ACE数 量等信息。
• 访问控制项(Access control entries): 访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有 两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的, 它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访 问总是优先于允许访问的。
Windows安全子系统
• 本地安全认证(Local Security Authority):
– 调用所有的认证包,检查在注册表 – 重新找回本地组的SIDs和用户的权限。 – 创建用户的访问令牌。 – 管理本地安装的服务所使用的服务账号。 – 储存和映射用户权限。 – 管理审核的策略和设置。 – 管理信任关系。
Windows子系统实现图
Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中 都可以看到,其他的以DLL方式被这些文件调用。
Windows安全子系统
• Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA
Windows安全子系统
– Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM)
DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有 力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,如果存在GinaDLL键,Winlogon将 使用这个DLL,如果不存在该键,Winlogon将使用默认值 MSGINA.DLL
串程是的SIDCPU耗费时间的总和三个参数决定以保证它的唯一性帐。户和组
例: S-1-5-21-1763234323-3212657521-1234321321-500
第二项是SID
然后表示一系列的
•的于版2访0本0问0号来令,说牌对,(Access
to子ke颁n发s)机:。构,前面
几项是标志域的
这个就访是问1 令牌是用户在通过验证的时候有登陆进程所提供的,所
Windows NT系统内置支持用户认证、访问控制、管理、审核。
ห้องสมุดไป่ตู้
Windows系统的安全组件
访问控制的判强问断制控(访制Discretion access control)
按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者 可以控制谁被允许访问该对象以及访问的方式。 • 对象重用(Object reuse) 当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源。 • 强制登陆(Mandatory log on) 与Windows for Workgroups,Windwows 95,Windows 98不同,Windows2K/ NT要求所有的用 户必须登陆,通过认证后才可以访问资源。 • 审核(Auditing) Windows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。 • 对象的访问控制(Control of access to object) Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用 通过第一次认证后再访问。
Windows安全子系统的组
件
然后是标志符的颁发机
构(identifier authority),
•第一安项全S标表识符(对S于ec2u0r0i0t内y I的de帐n户tif,ier颁s):
最后一个标
示该字符SID永远都发机是构唯就一是的N,T,由值计是算5 机名、当前时间、当前志用着户域态内线的
内容
• Windows安全原理篇 • Windows安全管理篇
Windows安全原理篇
• Windows系统的安全架构 • Windows的安全子系统 • Windows的密码系统 • Windows的系统服务和进程 • Windows的日志系统
Windows系统的安全架构
Windows安全子系统
• 安全支持提供者的接口(Security Support Provide Interface):
微软的Security Support Provide Interface很简单地遵循RFC 2743和 RFC 2744的定义,提供一些安全服务的API,为应用程序和服务 提供请求安全的认证连接的方法。
Windows NT的安全包括6个主要的安全元素:Audit(审计), Administration(管理), Encryption(加密), Access Control(访问控 制), User Authentication(用户认证), Corporate Security Policy(公 共安全策略)。
以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
Windows安全子系统的组件
• 安全描述符(Security descriptors): Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全 配置。
• 访问控制列表(Access control lists): 在NT系统中,每当请求一个对象或资源访问时,就会检查它的ACL,确认 给用户授予了什么样的权利。每创建一个对象,对应的ACL也会创建。ACL 包含一个头部,其中包含有更新版本号、ACL的大小以及它所包含的ACE数 量等信息。
• 访问控制项(Access control entries): 访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有 两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时,列表的排序是以文字为顺序的, 它并不象防火墙的规则那样由上往下的,不过好在并不会出现冲突,拒绝访 问总是优先于允许访问的。
Windows安全子系统
• 本地安全认证(Local Security Authority):
– 调用所有的认证包,检查在注册表 – 重新找回本地组的SIDs和用户的权限。 – 创建用户的访问令牌。 – 管理本地安装的服务所使用的服务账号。 – 储存和映射用户权限。 – 管理审核的策略和设置。 – 管理信任关系。
Windows子系统实现图
Winlogon, Local Security Authorit以及Netlogon服务在任务管理器中 都可以看到,其他的以DLL方式被这些文件调用。
Windows安全子系统
• Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA
Windows安全子系统
– Winlogon – Graphical Identification and Authentication DLL (GINA) – Local Security Authority(LSA) – Security Support Provider Interface(SSPI) – Authentication Packages – Security support providers – Netlogon Service – Security Account Manager(SAM)
DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有 力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ,如果存在GinaDLL键,Winlogon将 使用这个DLL,如果不存在该键,Winlogon将使用默认值 MSGINA.DLL
串程是的SIDCPU耗费时间的总和三个参数决定以保证它的唯一性帐。户和组
例: S-1-5-21-1763234323-3212657521-1234321321-500
第二项是SID
然后表示一系列的
•的于版2访0本0问0号来令,说牌对,(Access
to子ke颁n发s)机:。构,前面
几项是标志域的
这个就访是问1 令牌是用户在通过验证的时候有登陆进程所提供的,所
Windows NT系统内置支持用户认证、访问控制、管理、审核。
ห้องสมุดไป่ตู้
Windows系统的安全组件
访问控制的判强问断制控(访制Discretion access control)
按照C2级别的定义,Windows 支持对象的访问控制的判断。这些需求包括允许对象的所有者 可以控制谁被允许访问该对象以及访问的方式。 • 对象重用(Object reuse) 当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源。 • 强制登陆(Mandatory log on) 与Windows for Workgroups,Windwows 95,Windows 98不同,Windows2K/ NT要求所有的用 户必须登陆,通过认证后才可以访问资源。 • 审核(Auditing) Windows NT 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。 • 对象的访问控制(Control of access to object) Windows NT不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用 通过第一次认证后再访问。
Windows安全子系统的组
件
然后是标志符的颁发机
构(identifier authority),
•第一安项全S标表识符(对S于ec2u0r0i0t内y I的de帐n户tif,ier颁s):
最后一个标
示该字符SID永远都发机是构唯就一是的N,T,由值计是算5 机名、当前时间、当前志用着户域态内线的