课件16：第六.6节实际操作系统的安全机制.ppt

课件16;6.6 实际操作系统的安全机制 ;6.6.1 Windows NT操作系统 ; ;一、 NT的安全子系统 ;图6-9 Windows NT体系结构 ;图6-10 NT安全子系统 ;NT登录进程进行三类登录： ;（1）本地安全授权LSA（Local Security Authority）;（2）安全账号管理器SAM(Security Account Manager)。 SAM组件管理用户账号数据库。当LSA需要验证用户是否有权限访问对象时，它就与SAM联系。 （3）安全访问监控器SRM（Security Reference Monitor）。SRM是一个核心模式下的软件组件，它检查一个用户是否有权限访问一个对象或者是否有权利完成某些动作。 ;二、 NT系统的安全机制 ;要想访问NT系统，首先需要在NT系统中拥有一个账户，其次要为该账户设置在系统中的权利（Right）和许可（Permission）权限。 权利是指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等权利； 许可权限是指用户对系统资源所能做的事情，如对文件的读、写、执行、对打印机的管理文档、删除文档等许可。 ; ;用户要想访问系统资源，首先向系统登录，NT有一个专用登录进程用于核对用户身份与口令。如果确认账户和口令有效，则把安全账户数据库中有关账户的信息收集在一起，形成一个访问令牌。访问令牌中包括： ? 用户名与SID ? 用户所属的组及组GID ? 用户对系统所具有的权利 ;; ; ; ; ;三、 NT 的安全策略 ;NT的安全策略包括： ;（1）账户策略 ;选项;（2）用户权限策略 ;（3）审计策略;事件;四、 NT 的资源管理 ;（1）本地资源管理; ; ;（2）管理网络共享资源 ; ; ;6.6.2 UNIX操作系统 ; ;一、 普通用户的安全管理 ; ; ; ; ;2、访问控制; 所属者 同组用户 其他用户 读 R R R 写 W W W 执行 X X X $LS –L README notes script - r—r—r-- 1 rik usr 14977 May 25 01:39 README - rw-------- 1 rik usr 890 May 23 01:46 notes - r-xr-xr-x 1 rik usr 1290 May 3 11:46 script UNIX系统的选择性访问机制表现在文件所有者可以对文件权限进行任意修改。组类可以用于代替访问控制列表。每个用户可以是多个组的成员；同组用户可以访问某一类信息。 ;（1）文件权限;CHMOD命令??受数字参数，数字参数由三个数字组成（每位取值0-7），读权限用4表示，写权限用2表示，执行权限用1表示。如： ? 所有者 同组用户 其他用户 读 4 4 4 写 2 执行 1 1 7 5 4 数字参数7 5 4表示：文件所有者具有读写和执行权，同组用户可读或执行，其他用户只读。 ;（2）目录权限; ; ; ; ;3、启动文件 ;4、更正权限;5、文件加密;用户使用UNIX安全措施的原则; ;二、 系统管理员的安全管理 ; ;ETC/PASSWD文件的每一行都包括用户名、口令、用户id、组id、注释、注册目录、注册shell等七个字段，它们彼此用“：”分隔。 如下所示： ? rik : hN6vLm9j : 108 : 101 : rik far : /usr/acct/rik : /bin/sh ; ; ; ;2、系统文件和目录管理 ; ;3、调整用户特权和组特权 ; ;三、 UNIX安全性隐患 ; ; ; ; ; ; ; ;小结