第8章操作系统安全配置.ppt

第八章 操作系统安全配置方案 ;内容提要;操作系统概述;安全级别列表;UNIX系统;主要特色;Linux系统 ;Linux是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。 它是在共用许可证GPL(General Public License)保护下的自由软件，也有好几种版本，如Red Hat Linux、Slackware，以及国内的Xteam Linux、红旗Linux等等。Linux的流行是因为它具有许多优点，典型的优点有7个。;Linux典型的优点有7个。;Windows系统;Windows NT系列操作系统; ;安全操作系统的基本概念 ;主体和客体 ;安全策略和安全模型 ;访问监控器;安全内核 ;可信计算基 ; ?1 Windows系统的安全架构 ?2 Windows的安全子系统 ?3 Windows的账户及密码系统 ?4 Windows的权利与权限 ?5 Windows的系统服务和进程 ?6 Windows的日志系统 ;1. Windows系统的安全架构;1.1 Windows系统的安全组件;1.2 Windows系统的对象;2.Windows安全子系统;Windows安全子系统的组件; ?安全描述符（Security descriptors）： Windows NT中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 ?访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。 ?访问控制项（Access control entries）: 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 当你使用管理工具列出对象的访问权限时，列表的排序是以文字为顺序的，它并不象防火墙的规则那样由上往下的，不过好在并不会出现冲突，拒绝访问总是优先于允许访问的。;2.1Windows安全子系统的身份认证;Windows安全子系统的身份认证架构示意图;Winlogon and Gina:;本地安全认证（Local Security Authority）;安全支持提供者的接口（Security Support Provide Interface）;认证包（Authentication Package）;安全支持提供者（Security Support Provider）;网络登陆（Netlogon）;安全账号管理者（Security Account Manager）;2.2Windows身份认证机制;NTLM身份认证过程;Kerberos V5;3.Windows的账户及密码系统;4.Windows的权利和权限;Windows系统的用户权利;Windows系统的用户权限;Windows系统的用户权限关联表一;Windows系统的用户权限关联表二;Windows系统的共享权限;Windows系统的共享权限列表;5.Windows的系统服务;服务类型;系统服务在注册表下的设置;6.Windows的系统进程; 附加的系统进程（这些进程不是必要的） –mstask.exe 允许程序在指定时间运行。(系统服务) –regsvc.exe 允许远程注册表操作。(系统服务) –winmgmt.exe 提供系统管理信息(系统服务)。 –inetinfo.exe 通过Internet 信息服务的管理单元提供FTP 连接和管理。(系统服务) –tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) –termsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。(系统服务) –dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) –tcpsvcs.exe 提供在PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。(系统服务) –ismserv.exe 允许在Windows Advanced Server 站点间发送和接收消息。(系统服务) ;–ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) –wins.exe 为注册和解析NetBIOS 型名称的TCP/IP 客户提供N