信息安全专题培训Windows系统安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
加载GINA,监 视认证顺序
加载认证包wk.baidu.com
Authentication Packages Security Account Management
Security Support Provider
Netlogon
支持额外的验 证机制
管理用户和用户证 书的数据库
为认证建立安 全通道
Strictly Private & Confidential
NSFocus Information Technology Co. Ltd.
Windows系统安全
徐毅 Xylon
xuyi@nsfocus.com Training dept. , Customer Support Center August 2005
Strictly Private & Confidential
• Account Identifier: Security identifier(SID)
– 时间和空间唯一 – S-1-N-Y1-Y2-Y3-Y4 – Some well-known SIDs – 字符串形式和二进制形式的SID
Strictly Private & Confidential
12
Windows 2000的默认账号
终端服务 Kerberos密钥分发账号,只在DC上出现,默认禁用
Strictly Private & Confidential
13
Windows 2000下的内建组
组名 Administrators
Users Guests Authenticated users Replicator Backup Operators Server Operators Account Operators Print Operators
2
信息安全评估标准
• ITSEC和TCSEC • TCSEC描述的系统安全级别
– D------------A
• CC(Common Critical)标准 • BS 7799:2000标准体系 • ISO 17799标准
Strictly Private & Confidential
3
TCSEC定义的内容
注释 成员具有本地计算机的全部权限
所有账号,较低的权限 有限的权限,与users相同 特殊的隐含组,包含所有已登录的用户 用于域中的文件复制 没有administrators权限高,但十分接近 没有administrators权限高,但十分接近 没有administrators权限高,但十分接近 没有administrators权限高,但十分接近
• Kerberos v5认证协议
– Windows 2000引进
Strictly Private & Confidential
10
用户类型
• Administrator(默认的超级管理员) • 系统帐号(Print Operater、Backup Operator) • Guest(默认来宾帐号)
A级 B3 级 B2 级 B1 级 C2 级 C1 级 D级
校验级保护,提供低级别手段 安全域,数据隐藏与分层、屏蔽 结构化内容保护,支持硬件保护 标记安全保护,如System V等 有自主的访问安全性,区分用户 不区分用户,基本的访问控制 没有安全性可言,例如MS DOS
Strictly Private & Confidential
4
C2级安全标准的要求
• 自主的访问控制 • 对象再利用必须由系统控制 • 用户标识和认证 • 审计活动
– 能够审计所有安全相关事件和个人活动 – 只有管理员才有权限访问
Strictly Private & Confidential
5
CC(Common Critical)标准
• CC的基本功能
– 标准化叙述 – 技术实现基础叙述
Strictly Private & Confidential
14
密码存放位置
• 注册表HKEY_LOCAL_MACHINE\SAM下 • Winnt/system32/config/sam
Strictly Private & Confidential
15
添加/删除帐户
• Win2000/XP下
8
Windows账号管理
Strictly Private & Confidential
9
Windows采用的账号认证方案
• LanManager认证(称为LM协议)
– 早期版本
• NTLM v1 认证协议
– NT 4.0 SP3之前的版本
• NTLM v2 认证协议
– NT 4.0 SP4开始支持
Strictly Private & Confidential
11
帐户(accounts)和组(groups)
• 帐户(user accounts)
– 定义了Windows中一个用户所必要的信息,包括口令、安全ID(SID)、组成员关系、 登录限制...
– 组:universal groups、global groups、local groups
• CC的概念
– 维护文件 – 安全目标 – 评估目标
Strictly Private & Confidential
6
Windows 2000安全结构
Strictly Private & Confidential
7
Windows 安全子系统
提供登陆接口
SSPI
提供真正的 用户校验
Winlogon GINA LSA
Strictly Private & Confidential
Windows安全模型
Strictly Private & Confidential
1
操作系统安全定义
• 信息安全的五类服务,作为安全的操作系统时必须提供的 • 有些操作系统所提供的服务是不健全的、默认关闭的
Strictly Private & Confidential
账户名 System/localsystem Administrator Guest IUER_计算机名 IWAM_计算机名 TSInternetUser Krbtgt
注释 本地计算机的所有特权 同上;可以改名,但不能删除 有限的权限,默认禁用 IIS的匿名访问,guests组成员 IIS进程外应用程序运行的账号, Guests组成员
– 管理工具—计算机管理—本地用户和组