第一章 WINDOWS系统安全要素.ppt

1、第一章 WINDOWS系统安全要素,网络教研室,WINDOWS系统安全模型,特点：模块化的设计结构 支撑基础：系统内核模式 WINDOWS系统安全模型是WINDOWS系统中的一个子系统，控制着用户对对象的访问。,系统安全模型构成,系统安全的目的：对事件审核，监控资源的访问和应用。 安全模型构成：登录、本地安全权威、账号管理、安全引用监视器。,WINDOWS登录,作用：对用户身份的确认； 常用的登录方式：用户名与口令组合、智能终端卡等 Winlogon进程：负责记录用户信息；,本地安全权威,WINDOWS系统的核心，通过确认安全账号管理器中的数据信息来处理用户从本地或远程登录。 工作方式：产生访

2、问令牌，和管理本地安全策略并提供交互式的用户认证服务。,本地安全权威具体职能,1、在登录过程中建立访问令牌，提供用户身份证明； 2、管理安全性策略； 3、控制审计策略； 4、确认用户对本系统的访问权限； 5、记录安全引用监视器生成的信息。,安全账号管理器,作用：维护目录数据库； 目录数据库：又叫SAM数据库、安全性管理数据库，内容：所有用户与组的账号信息。 注：只提供本地安全权威身份服务，对用户输入的信息进行审计。 思考：在宿舍，当你登录其他同学的主机下载他的文件时，安全账号管理数据库放在哪里？,安全引用监视器,作用：检查WINDOWS系统的存取合法性，保护资源免受非法存取和修改。在验证对对象

3、的存取的合法性和检查主体权限的同时。生成必要的审计信息。 安全引用监视器避免了用户直接访问对象； 思考：为什么要避免用户直接访问对象？,对象,概念：是一件事、一个实体、一个名词，可以获得的东西，可以想象有自己的标识的任何东西。 在计算机中，对象包含文件、文件夹、存储器、驱动器、系统程序、进程、线程以及WINDOWS桌面等。 功能：把数据隐藏起来并只按对象的功能所定义的方式提供信息，为对象建立一个保护层，防止外部程序对网络数据的直接访问。,共享资源,提供出来以便通过网络进行访问、执行的任何对象。 我们最常见的共享资源有哪些？ 共享资源的属性：安全描述符，其作用是阻止共享资源的非授权访问。 安全描

4、述符的信息：所有者安全标识、组安全标识、自由访问控制列表、系统访问控制列表,共享资源,访问控制列表的访问控制项：Access Allowed,Access Denied,System Audit. 访问权限：完全控制、拒绝访问、读取、更改。 思考：学院中，一位教师需要建立一个文件夹要求学生上传作业，但是学生不能看到别人的作业情况，访问权限要怎么设置。,文件系统,WINDOWS支持的3种文件系统：FAT、FAT32、NTFS。 FAT原意：File Allocation Table，是一种由微软发明并拥有部分专利的文档系统，供MS-DOS使用，也是所有非NT内核的微软窗口使用的文件系统。,FAT

5、,比较古老的一种文件系统，不具备NTFS所提供的安全特性和磁盘自动修复功能，在共享文件资源时安全性较差。不支持大磁盘与长文件名。,FAT32,FAT32比FAT支持更小的簇和更大的卷，FAT32卷的空间分配更有效率。 当使用FAT32时，所有用户都将具有访问该驱动器上的所有文件的权限。 因此，要维护文件 和文件夹访问控制并支持有限的帐户时最好不要使用FAT32.,NTFS(New Technology File System),NTFS是Windows NT以及之后的Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008、

6、Windows Vista和Windows 7的标准文件系统。NTFS取代了文件分配表（FAT）文件系统，为Microsoft的Windows系列操作系统提供文件系统。NTFS对FAT和HPFS（高性能文件系统）作了若干改进，例如，支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能，如访问控制列表（ACL）和文件系统日志。该文件系统的详细定义属于商业秘密 ，但 Microsoft 已经将其注册为 知识产权产品。,NTFS 的目标,可靠性，通过可恢复能力(事件跟踪)和热定位的容错特征实现； 增加功能性的一个平台； 对 POSIX（Portable

7、 Operating System Interface of Unix ）需求的支持； 消除 FAT 和 HPFS (High Performance File System)文件系统中的限制。,NTFS 提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性。NTFS 支持大硬盘和在多个硬盘上存储文件(称为卷)。 例如，一个大公司的数据库可能大得必须跨越不同的硬盘。NTFS 提供内置安全性特征，它控制文件的隶属关系和访问。从DOS 或其他操作系统上不能直接访问 NTFS 分区上的文件。如果要在DOS下读写NTFS分区文件的话可以借助第三方软件；现如今，Linux 系统上已可以使用 NT

8、FS-3G 进行对 NTFS 分区的完美读写，不必担心数据丢失,NTFS的特点,支持大小NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。而Win 2000中的FAT32支持分区的大小最大为32GB。 可靠的文件系统NTFS是一个可恢复的文件系统。在NTFS分区上用户很少需要运行磁盘修复程序。NTFS通过使用标准的事务处理日志和恢复技术来保证分区的一致性。发生系统失败事件时，NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。 支持文件夹压缩NTFS支持对分区、文件夹和文件的压缩。任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序

9、进行解压缩，当对文件进行读取时,文件将自动进行解压缩；文件关闭或保存时会自动对文件进行压缩。,NTFS的特点,磁盘空间的有效管理 NTFS采用了更小的簇,可以更有效率地管理磁盘空间。在Win 2000的FAT32文件系统的情况下,分区大小在2GB8GB时簇的大小为4KB；分区大小在8GB16GB时簇的大小为8KB；分区大小在16GB32GB时,簇的大小则达到了16KB。而Win 2000的NTFS文件系统，当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小;当分区的大小在2GB以上时(2GB2TB),簇的大小都为4KB。相比之下，NTFS可以比FAT32更有效地管理磁盘空间，最大限度

10、地避免了磁盘空间的浪费。 更好的安全性,NTFS的特点,在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。 许可的设置包括两方面的内容：一是允许哪些组或用户对文件夹、文件和共享资源进行访问；二是获得访问许可的组或用户可以进行什么级别的访问。访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核，审核结果记录在安全日志中，通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作，从而发现系统可能面临的非法访

11、问,通过采取相应的措施，将这种安全隐患减到最低。,NTFS的特点,在Win 2000的NTFS文件系统下可以进行磁盘配额管理。磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制，每一用户只能使用最大配额范围内的磁盘空间。设置磁盘配额后，可以对每一个用户的磁盘使用情况进行跟踪和控制，通过监测可以标识出超过配额报警阈值和配额限制的用户，从而采取相应的措施。磁盘配额管理功能的提供，使得管理员可以方便合理地为用户分配存储资源，避免由于磁盘空间使用的失控可能造成的系统崩溃，提高了系统的安全性。,NTFS的容错,磁盘镜像：要求有不同磁盘上的两个分区，两个磁盘共用一个硬盘控制器，磁盘镜像使两全磁盘的

12、内容保持一致。 磁盘双工：需要两个硬盘控制器。,CIFS(Common Internet File System),作用：在windows主机之间进行网络文件共享 。 使程序可以访问远程Internet计算机上的文件并要求此计算机的服务。CIFS 使用客户/服务器模式。客户程序请求远在服务器上的服务器程序为它提供服务。服务器获得请求并返回响应。CIFS是公共的或开放的SMB协议版本，并由Microsoft使用。SMB协议现在是局域网上用于服务器文件访问和打印的协议。象SMB协议一样，CIFS在高层运行，而不象TCP/IP协议那样运行在底层。CIFS可以看做是应用程序协议如文件传输协议和超文本传

13、输协议的一个实现。,CIFS使用户得到比FTP更好的对文件的控制。它提供潜在的更直接地服务器程序接口，这比使用HTTP协议的浏览器更好。CIFS最典型的应用是windows用户能够从“网上邻居”中找到网络中的其他主机并访问其中的共享文件夹.,CIFS功能,1.访问服务器本地文件并读写这些文件 2.与其它用户一起共享一些文件块 3.在断线时自动恢复与网络的连接 4.使用西欧字符文件名,EFS(Encrypting File System）,EFS是Windows 2000及以上Windows版本中，磁盘格式为NTFS的文件加密。 EFS加密是基于公钥策略的。 EFS加密系统对用户是透明的。如果你

14、加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的，只要登录到Windows，就可以打开任何一个被授权的加密文件。,EFS加密,选中NTFS分区中的一个文件或文件夹，点击鼠标右键，选择“属性”命令，在出现的对话框中点击“常规”选项卡，然后点击“高级”按钮，在出现的对话框中选中“加密内容以便保护数据”选项，点击“确定”即可。,EFS解密,如果其他人想共享经过EFS加密的文件或文件夹，又该怎么办呢？由于重装系统后，SID(安全标示符)的改变会使原来由

15、EFS加密的文件无法打开，所以为了保证别人能共享EFS加密文件或者重装系统后可以打开EFS加密文件，必须要进行备份证书。 当其他用户或重装系统后欲使用该加密文件时，只需记住证书及密码，然后在该证书上点击右键，选择“安装证书”命令，即可进入“证书导入向导”对话框。按默认状态点击“下一步”按钮，输入正确的密码后，即可完成证书的导入，这样就可顺利打开所加密的文件。,DFS（Distributed File System）,DFS为文件系统提供了单个访问点和一个逻辑树结构，通过DFS，用户在访问文件时不需要知道它们的实际物理位置，即分布在多个服务器上的文件在用户面前就如同在网络的同一个位置。使用户更加

16、容易访问和管理物理上跨网络分布的文件。,通过DFS，可以将同一网络中的不同计算机上的共享文件夹组织起来，形成一个单独的、逻辑的、层次式的共享文件系统。用户在访问时不需要知道实际物理位置。,DFS的特性,1、更容易访问文件； 2、更高的可用性，WINDOWS 2000以上版本将DFS拓扑发布到AD中，管理员可以复制DFS根目录和DFS共享文件夹，这样，即使某个物理服务器不可用也不影响用户访问文件。 3、服务器负载平衡。确保访问文件的用户分布于多个服务器。,域（Domain),域：域是一种管理边界，是Windows网络中独立运行的单位，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工

17、作站的集合。,域控制器,在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 域是由主域控制器或备份域控制器来控制的。 每个域中只能有一个主域控制器，备份域控制器可以有一个或数个。,域控制器的作用,域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有

18、权限保护的资源，他只能以对等网用户的方式访问Windows共享出来,工作组,工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中，以方便管理。 思考：如果不为电脑分组，会发生什么现象？,工作组的作用,工作组是一个由许多在同一物理地点，而且被相同的局域网连接起来的用户组成的小组。 一个工作组也可以是遍布一个机构的，但却被同一网络连接的用户构成的逻辑小组。 在以上两种情况下，在工作组中的用户都可以以预定义的方式，共享文档、应用程序、电子函件和系统资源。一个工作组可以是用同一名字的简单的用户小组，例如在电子函件中的地址“Managers”或“Temps”等指明的小组。另一方面，这个

19、工作组可以在这个网络上具有一些特权，例如对文件服务器或一些特殊应用的访问等等。,用户帐号,WINDOWS系统安全的核心，WINDOWS系统网络中发生的一切活动都可以追溯到特定的授权用户。 在WINDOWS中，每一个访问者都必须要由系统管理员建立一个帐号。 登录时由系统安全管理器进行验证，本地安全权威LSA为用户产生一个唯一的安全令牌。,用户帐号对应着用户的权限，用户的不同则权限可能不同。 只有用户拥有对资源的访问权限时，用户才能访问。,用户帐号-帐号类型,WINDOWS中的两种帐号类型：全局帐号与本地帐号。用户的帐号可以是全局帐号也可以是本地帐号。 全局帐号：又被称为域帐号，其认证是由主域控制

20、器或备份域控制器或者通过和其他域所建立起的委托关系来完成的。,本地帐号：在域中为常规帐号不在受委托域的用户提供的。可以通过某种远程登录过程访问在网络上运行WINDOWS系统工作站或者服务器的计算机。本地帐号只能在建立它的域上进行认证和应用。 思考：我们在宿舍共享文件时用的是什么帐号？,用户管理,WINDOWS系统中的用户管理是用用户管理器或域用户管理器。 域用户管理器是WINDOWS系统域服务器中的管理工具；用户管理器出现在工作站或独立服务器的管理工具中。,用户组,在整个网络中，各个访问网络的用户的权限可能是各不相同的，可以将具有相同权限的用户划为一组，这样可以减少网络管理员的负担，也就是说，

21、只要对这个用户组赋予一定的权力，那么该组内的用户就具有相同的权力。 用户组的实质是一个包含其他帐号的集合帐号。,思考,在windows 2000 server里面，有哪些常见的用户组用户？ 如果需要建立一个管理员用户，那么这个用户应该放在哪一些？,3种类型,WINDOWS中的3种类型用户组: 1、全局组 全局组的成员来自自己的域，全局组用来访问任意域中的资源。在本机模式中的全局组可以包含此组所在域中的用户账户的全局组。在混合模式域中，它们只能包含此组所在域的用户账户。,全局组,WINDOWS中三种全局组： 管理员组：DOMAIN ADMINS包括域管理员的帐号，同时还是域级本地管理员组和域中工

22、作站上系统级本地管理员组成。 用户组：域中所有用户，根据指定能够访问指定的资源。 域客人组：用于临时参观者的临时帐户,本地组,对于运行 Windows 的计算机和成员服务器，是可以从其自己的计算机和（如果该计算机处于域中）用户帐户中授予权利和权限的组，以及从其所在域和受信任域的全局组中授予权利和权限的组 。 管理对象：所处系统；,当WINDOWS系统仅做为服务器安装时，会产生下列一些本地系统级的组类型。 管理员组：允许对系统进行完全的本地组； 特权用户组：允许共享目录和打印机； 用户组：普通用户； 客人组：进行较低级访问； 备份操作员组：为了得到完全的备份，可以越过文件的安全检查。,特别组,为

23、了特定的目的而建立的组； 其权限较低，一般不能被浏览、修改、也不能通过用户管理器为它增加新成员。用户是否具有特别组的成员资格由用户访问系统资源的方式决定。 Everyone组，所有登录用户都是这个组的成员，如果登录时出现权限问题，一般都是Everyone的问题。,注册表,注册表（Registry，繁体中文版Windows称之为登录）是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。早在Windows 3.0的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。 但是，从Microsoft Windows 9

24、5开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。,注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件。16位驱动在Winnt下无法工作，所以所有设备都通过注册表来控制，一般这些 注册表是通过BIOS来控制的。在没有注册表的情况下，操作系统不会获得必须的信息来运行和控制附属的设备和应用程序及正确响应用户的输入。,注册表是Windows程序员建造的一个复杂的信息数据库，它是多层次式的。在不同系统上注册表的基本结构相同。其中的复杂数据会在不同方式上结合，从而产生出一个绝对唯一的注册表。 计算机配置和缺省用

25、户设置的注册表数据在Winnt中被保存在下面这五个文件中： DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。 d,数据结构,注册表由键（或称“项”）、子键（子项）和值项构成。一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。,数据类型,各主键的简单介绍,HKEY_LOCAL_MACHINE 是一个显示控制系统和软件的处理键。HKLM键保存着计算机的系统信息。它包

26、括网络和硬件上所有的软件设置。（比如文件的位置，注册和未注册的状态，版本号等等）这些设置和用户无关，因为这些设置是针对使用这个系统的所有用户的。,HKEY_LOCAL_MACHINEEnumNetwork 网络功能在这个键有详细说明，子键包括了每个已经安装的主要的服务和协议。 HKEY_LOCAL_MACHINENetwork 这个键仅保存网络登陆信息。所有网络服务细节都保存在HKEY_LOCAL_MACHINEEnumNetwork这个键中。这个键有一个子键，logon，包括了lmlogon（本地机器登陆，0=false 1=true）的值，logonvalidated（必须登陆验证），策略

27、处理，主登陆方式（Windows登陆 ，微软网络客户方式等），用户名和用户配置。,HKEY_CLASSES_ROOT,在注册表中HKEY_CLASSES_ROOT是系统中控制所有数据文件的项。这个在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制键包括了所有文件扩展和所有和执行文件相关的文件。它同样也决定了当一个文件被双击时起反应的相关应用程序。 HKEY_CLASSES_ROOT被用作程序员在安装软件时方便的发送信息，,HKEY_CURRENT_CONFIG,WINDOWS一般只使用一个硬件配置文件。如果有多个硬件配置文件。HKEY_LOCAL_MACHINEConf

28、ig中就会添加一个键。 在启动时，你可以选择你愿意使用的配置文件。如果有多个安装，每次系统重新启动时，你就必须选择.HKEY_CURRENT_CONFIG是在启动时控制目前硬件配置的键 在系统启动以后，任何地方的变化都会自动影响到它。程序员经常使用HKEY_CURRENT_CONFIG方便的来存取配置信息。,注册表中的关键字,HKEY ：“根键”或“主键”，它的图标与资源管理器中文件夹的图标有点儿相像。 key(键)：它包含了附加的文件夹和一个或多个值。 subkey（子键）：在某一个键（父键）下面出现的键（子键）。 value entry（值项）：带有一个名称和一个值的有序值。每个键都可包含

29、任何数量的值项。每个值项均由三部分组成：名称，数据类型，数据。,字符串(REG_SZ)：顾名思义，一串ASCII码字符。如“Hello World”，是一串文字或词组。在注册表中，字符串值一般用来表示文件的描述、硬件的标识等。通常它由字母和数字组成。注册表总是在引号内显示字符串。 二进制(REG_BINARY）：如 F03D990000BC ，是没有长度限制的二进制数值，在注册表编辑器中，二进制数据以十六进制的方式显示出来。 双 字(REG_DWORD)：从字面上理解应该是Double Word ，双字节值。由1-8个十六进制数据组成，我们可用以十六进制或十进制的方式来编辑。如 D1234567 。 Default（缺省值）：每一个键至少包括一个值项，称为缺省值（Default），它总是一个字串。,保护Windows注册表,1、使用windows备份软件