《操作系统安全配置手册.docx》由会员分享,可在线阅读,更多相关《操作系统安全配置手册.docx(239页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、密 级:文档编号:项目代号:操作系统安全配置手册Version 1.0第一章综述71.1 适用范围81.2 更新要求8第二章WINDOWS系统通用安全标准92.1 WINDOWS系统安全模型92.2 用户名和密码102.3 域和委托112.5 登录172.7 管理安全模板222.9 注册表29第三章WINDOWS主机安全配置333.1 用户、用户组及其权限管理333.1 .!对系统管理员账号进行限制.333.2 .3账户锁定策略353.2 远程访问主机系统353.2.1 对可以远程使用telnet服务的用户进行限定353.2.2 Pcanywhere 远程接入363.3 系统补丁373.4 文
2、件木统增蛍403.4.1 使用 NTFS 文 件糸绕403.4.2 删除OS/2和POS1X子系统.413.4.3 移动和对关键文件进行访问控制.423.4.4 关闭NTFS生成8.3文件名格式.433.4.5 设置NTFS的访问控制列表.443.5 防病毒463.5.1 安装防病毒软件及其更新.463.5.2 对web浏览器和电子邮件客户端的策略.473.6 系统服务调整483.6.1 通过注册表项增强服务安全483.6.3 根据情况停掉不必要的服务和组件523.6.4 SNMP 月k方 533.7 安全设置优化543.7.1 隐含最后登陆用户名543.7.2 登陆前显条警本信息543.7.
3、3 从登陆对话框中删除关机按钮.553.7.4 阻止未授权访问注册表.563.7.5 对关键注册表项进行访问控制.573.8 TCP/IP协议参数调整和端口过滤583.8.1 优化 TCPP, 抵几 DoS 攻击,583.8.2 禁用!P 路由存 发613.9 WINDOWS主机上DNS服务的安全增强(NT、2000 Server自带的DNS服务)613.9 .!限制区域文件传输.623.10 Windows主机上 WWW服务的安全增强(HS4、5) 623.10.1 及时升级最新的HS版本和安装最新的补T.623.10.3 删除未使用的脚本映射.653.10.4 在IIS服务器上更新根目录的
4、CA证书663.11 Windows主机上 SQLSERVER 服务的安全增强(V7、V2000) 673.11.1 使用安全的密码策略673.11.2 加强数据库日志的记录673.11.3 管理扩展存储过程.683.11.4 对网络连接进行IP限制693.11.5 针对 SLAMMER 鹹虫703.12 Windows主机共享服务的安全增强713.12.1 删除所有默认的网络共享.713.12.2 限制匿名网络访问,723.12.3 关闭文件和打印机共享.733.13.1 开启系统和文件审核.743.13.2 针对注册表的审核.753.13.3 日志文件的管理.75第四章UNIX系统通用安全
5、标准784.1 身分标识784.1.1 账户设定.784.1.2 用户属性.794.1.3 停用无用的用户.804.2 身分鉴别814.2.1 使用/etc/passwd 文件814.5 数据保护934.5.2 使用 MD5 checksum 检查一致性954.6 网络服务设定954.7 网络监视和入侵检测974.8 备份恢复98第五章SOLARIS系统安全配置995.1 身分识别995.1.1 账户设定.995.1.2 SSSumask 设置995.1.3 停用无用的账户.1001.1.1 取疋 BIOS 口 令1001.1.2 设疋账L 口令规贝1015.3 访问控制1025.3.1 更改
6、登录屏幕的欢迎消息1055.3.2 强制自动注销.1055.3.3 限制Root只可从控制台存取1065.4 数据保护1075.5 安全事件审计1155.5.1 设定事件审计.1155.5.2 M 见 Cron 档1175.6 网络服务设定1185.6.1 设置 OpenBool 的女全1185.6.2 设置堆栈溢出保护.1195.6.3 设贪inctd 的眉切j式.1205.6.4 增强TCP序列号强度.1205.6.5 调整网络参数.1215.6.6 关闭不必要的服务1235.6.7 .1 关闭 BSD R 糸!服务1255.6.8 .2 穴闭nPC 服务1265.6.9 .3 关闭/el
7、c/rcZ.d 中的无用服务1275.6.10 4关闭其它不常用的服务1295.6.11 5 关闭 TCP/UDP 小服务1305.6.12 6关闭Time (时钟同步)服务1305.6.13 NFS服务安全配置.1325.6.14 X-windows1335.6.15 SNMP 服务1345.6.16 Sendmail 的配置设定1355.6.17 安装 SSH Secure Shell1365.6.18 架构名称解析服务(DNS)1405.6.19 架构网站服务器.1465.6.20 TcpWrapper 安全配置1485.7 入侵检测1505.8 其它安全设定1535.8.1 更新及修补
8、1535.8.2 -i - i ,也、:j,*5 1 J5.8.3 SUDO 安全配置1575.9 残留风险规避161第六章AIX系统安全配置1625.9.1 账户设定.1625.9.2 推荐用户属性.1635.9.3 用户帐户控制1645.9.4 登求用户标识.1675.9.5 使用访问控制表增强用户安全性1675.9.6 停用无用的账户(Unnecessary Accounts)1671.1.2 设定账户密码1691.1.3 使用 /etc/passwd 文件1701.1.4 使用/etc/passwd文件和网络环境.1721.1.6 设置推荐的密码选项.1731.1.7 扩展密码限制17
9、56.3 访问控制1766.3.1 保护使用者环境设定(User Configurations)1766.3.2 使用 Noshell178设置登录控制.1796.3.4 更改登录屏幕的欢迎消息1806.3.5 更改公共桌面环境的登录屏幕.1816.3.6 设置系统缺省登录参数1816.3.7 保护无人照管终端1826.3.8 强制自动注销.1826.3.9 限制Root只可从控制台存取.1836.3.10 保护 SU1D 程序.1846.3.11 限制性的 Restricted Shell1846.3.12 检查 World Writable Files1856.3.13 使用 TCP Wr
10、appe 限制存取1866.4 数据保护1876.4.1 完整性检测(Integrity Checking)1876.4.2 使用MD5 checksum 檢査一致性.1886.5 安全事件记录1886.5.1 加强系统日志1886.5.2 系统错误日志工具(Systems Error Log)1896.5.3 检查Cron 文件1906.5.4 清除乂件及目录1911.1.1 防止IP转送及主机欺骗(Host Spoofing)1911.1.2 设定闲费Inactive)的 Time-oiU 值1921.1.3 关闭不必要的服务1921.1.5 SNMP 服务2001.1.6 Send ma
11、il 的配置设定2001.1.7 安装 SSH Secure Shell2021.1.8 架构Anonymous FTP2121.1.9 架构名称解析服务(DNS)2181.1.10 架构网站服务器2196.7 入量侦测2246.8 其它安全设定2256.8.1 最少操作系统安装2256.7.2 移除多本的组件2266.7.3 更新及修补227第七章HP-UX系统安全配置2297.1 身份识别2297.5 安全事件审计2387.6 网络服务设定2397.8 其它安全设定2447.9 残留风险规避247第八章实施效果和残留风险2508.2 残留风限250第一章综述本主机系统安全策略不是个完整的系
12、统安全解决方案,而是网络主机系统安全体系建 设的安全技术参考。本主机系统安全策略对使用的Windows系统、Unix系统安全特性进行了深入分析,仅 从安全技术角度分析了各类主机系统应用的安全现状和安全风险,并在此基础上阐述了针对 特定系统、特定应用的安全策略配置。最后针对网络主机安全需求给出了相应的安全审计建 议。全文共分为章,第一章综述、第二章Windows主机系统的安全机制、第三章 Windows主机安全配置、第四章Unix通用安全标准,第五章Solaris主机系统安全配置、 第六章AIX主机系统安全配置,第七章HP-Unix主机系统安全配置,第八章实施效果和 残留风险,并根据各种安全风险
13、特性进行分类描述。1.1 适用范围本文档的适用操作系统为Microsoft Windows 2000 Server/Advanced ServerMicrosoft Windows 2003 Server/Advanced ServerSun Solaris 2.8Sun Solaris 2.9IBMAIX5.1LIBMAIX5.2LIBMAIX5.3LHP HP-UX Hi1.2 更新要求本文档每年必须由负责人员重新审查内容,并按照需求修正。各操作系统厂商推出新版本时,亦必须重新审查内容及修正。第二章Windows系统通用安全标准2.1 windows系统安全模型Windows系统的安全模块
14、是操作系统内核的不可分割的一部分。由于访问任 何系统资源必须经过内核安全模块的验证,从而保证没有得到正确的授权的用户 不能访问相应资源。用户使用Windows系统资源,首先必须在系统中拥有账号,其次,此账号 必须具有一定的“权”和“权限”。在Windows系统中,“权”指用户对整 个系统能够做的事情,如关闭系统、增加设备、更改系统时间等等。“权限”指 用户对系统资源所能做的事情,如对某文件的读、写控制,对打印机队列的管 理。、Windows系统使用安全帐号数据库,存放用户账号以及该账号所具有的权 力等。用户对系统资源所具有的权限则与特定的资源一起存放。在Windows系统中,安全模型由本地安全
15、认证、安全账号管理器和安全监 督器构成。除此之外还包括注册、访问控制和对象安全服务等。它们之间的相互 作用和集成构成了安全模型的主要部分。Windows安全模型的主要功能是用户身份验证和访问控制。身份验证过程 通过某种技术手段确认用户所提供的身份的真实性,并在确认用户身份的真实性 后赋予用户相应的权利和系统身份标识。访问控制机制利用用户获得的系统身份 标识,以及事先分配给用户的对系统资源的权限来确保系统资源被合理的使用。用户身份验证:Windows安全子系统提供了两种类型的身份验证:通过控制 台交互式登录系统(根据用户的计算机的本地账户来确认用户的身份)和通过网 络登录系统(根据域控制器中保留
16、的域账户来确认用户的身份)从而使得用户可 以访问网络上远程主机的资源。为保证通过网络登录系统的安全性,Windows安 全子系统提供了三种不同的身份验证机制:Kerberos V5 (仅Windows 2000系统 提供)、公钥证书和NTLMo基于对象的访问控制:Windows采用对象模型描述系统资源,管理员可以通 过对特定资源配置相应的用户访问权限来控制用户对系统资源的访问。管理员可 以通过域控制器实现对整个域的资源的统管理与控制。Windows系统通过允 许管理员以对象安全描述符的方式描述具体的访问控制策略。安全描述符列出了 允许访问对象的用户和组,以及分配给这些用户和组的特殊权限。安全描
17、述符还 指定了该对象需要安全审核特定事件,如特定用户的读,写,执行文件。文件、 打印机和服务都是对象的具体例子。通过管理对象的属性,管理员可以设置权限, 分配所有权以及监视用户访问。2.2 用户名和密码Windows系统的安全机制通过分配用户帐号和用户密码来帮助保护计算机 及其资源。给值得信任的使用者,按其使用的要求和网络所能给与的服务分配合 适的用户帐号,并且使用足够安全的帐号密码。使用对帐号的用户权的限制以 及对文件的访问管理权限的策略,可以达到对服务器的数据的保护。其中用户帐 号有用户名、全名、描述三个部分。用户名是用户帐号的标识,全名是对应用户 名的全称,描述是对用户所拥有的权限的较具
18、体的说明。组有组名和描述两个部 份,组名是标识,描述是说明。一定的用户帐号对应一定的权限,NT对权限的 划分比较细,例如:备份、远程管理、更改系统时间等等,通过对用户的授权(在 规则菜单中)可以细化个用户或组的权限。用户的帐号和密码有一定的规则, 包括帐号长度,密码的有效期,登录失败的锁定,登录的历史记录等等,通过对 这些的综合修改可以保证用户帐号的安全使用。系统将用户分为管理者、用户和来宾三类,各有其不同的权限。双击“我的 电脑/控制面板/用户和密码”图标,打开“用户和密码”对话框。系统在安装完 成后自动建立Administrator(系统管理员)和Guest (来宾)用户。你可在第一 次启
19、动按Ctrl+Alt+Del后选“更改密码”更改系统管理员的密码。你还可按 “添加/删除来添加/删除用户或用户组。用户名列表上方有个复选框“要使用本机,必须输入用户名和密码”,要 使用用户管理必须使之有效,即:选中它。系统管理员对用户和密码的管理权限主要有:添加用户、删除用户及更改用 户。系统会在你添加新用户时询问其权限的设置。选择高级”标签,再点击“高 级按钮,就会出现“本地用户和组”管理对话框窗口,上面列出了全部用户和按 组分类的用户名单。在上述界面右边窗口中选中某个用户,点右键,在弹出的快 捷菜单中选属性弹出用户属性窗口,在其中可对此用户账号进行是否允许 修改密码、是否停用账号等项设置。
20、注意:停用账户和删除账户是有区别的,停 用账户是临时停止某个账户的使用,随时可以恢复,而删除掉的账户必须重建后 才能使用。另外,Windows系统支持工作组概念,可以方便的给组用户授予特权和权 限,同时一个用户同时属于个或多个工作组。方便了对用户权限的细化。在 Windows系统中有两种类型的工作组:全局工作组和本地工作组。本地工作组只 能在本地的系统或域内使用。全局工作组可以在系统中相互信任的域中使用。Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账 号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任 何个远程用户也可以通过同样的方法得到你的用户列表
21、,并可能使用暴力法破 解用户密码给整个网络带来破坏,这是整个网络中的最大不安全因素之一2.3 域和委托以Windows系统组建的网络是个局域网范围的网。所谓“域”是指网络 服务器和其它计算机的逻辑分组,凡是在共享域范围内的用户都使用公共的安全 机制和用户帐号信息。每个用户有一个帐号,每次登录的是整个域,而不是某一 个服务器。即使在物理上相隔较远,但在逻辑上可以在个域上,域的集中化用 户帐号数据库和安全策略使得系统管理员可以用个简单而有效的方法维护整 个网络的安全。在网络环境下,使用域的管理就显得更为有效。这里我们应该注 意到在NT中,关于域的所用的安全机制信息或用户帐号信息都存放在目录数据 库
22、中(称为安全帐号管理器(SAM)数据库)。目录数据库存放在服务器中,并 且复制到备份服务器中。通过有规律的同步处理,可以保证数据库的安全性、有 效性。在用户每次登录时,通过目录数据库检查用户的帐号和密码。所以在对NT 进行维护时应该特别小心目录数据库的完整性,般来讲只有管理员具有对此 的编辑权限。域的最大的优点是域中的控制器服务器形成了共享的安全机制和用户帐号 信息的单个管理单元,大大地节省了管理员和用户的精力和时间,在管理上较方 便,也显得集中。在使用“域”的划分时,我们应该注意到“域”是建立在个 子网范围内,其基础是相互之间的信任度。由NT组网区别于一般的TCP/IP的 组网,TCP/IP
23、是种较松散的组网型式,靠路由器完成子网之间的寻径通讯; 而NT组网是种紧密的联合,服务器之间是靠安全信任建立他们的联系的。主 从关系,委托关系是建立在信任度上的。委托是一种管理办法,它将多个域连接 在起,并且允许域中的用户互相访问。委托关系可使用户帐号和工作组能够在 建立它们的域之外的域中使用。委托关系只能是被定义为单向的,为了获得双向 委托关系,域和域之间必须相互委托。2.4 活动目录活动目录的概念Active Directory是用于 Windows 2000 Server的目录服务。它存储着网络 上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。Active Directory
24、目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基 础。Active Directory的优点:信息安全性、基于策略的管理、可扩展性、可 伸缩性、信息的复制、与DNS集成、与其它目录服务的互操作性、灵活的 查询。域域提供了多项优点:组织对象。发布有关域对象的资源和信息。将组策略对象应用到域可加强资源和安全性管理。委派授权使用户不再需要大量的具有广泛管理权利的管理员。要创建域,用户必须将一个或更多的运行Windows 2000 Server的计算机升 级为域控制器。域控制器为网络用户和计算机提供Active Directory目录服务、 存储目录数据并管理用户和域之间的交互作用,包括用户
25、登录过程、验证和目录 搜索。每个域至少必须包含个域控制器。域树和域林活动目录中的每个域利用DNS域名加以标识,并且需要一个或多个域控制 器。如果用户的网络需要一个以上的域,则用户可以创建多个域。共享相同的公 用架构和全局目录的个或多个域称为域林。如果树林中的多个域有连续的 DNS域名,则该结构称为域树。如果相关域树共享相同的Active Directory架构以及目录配置和复制信息, 但不共享连续的DNS名称空间,则称之为域林。域树和域林的组合为用户提供了灵活的域命名选项。连续和非连续的DNS 名称空间都可加入到用户的目录中。域和帐户命名Active Directory域名通常是该域的完整DN
26、S名称。但是,为确保向下兼 容,每个域还有一个Windows 2000以前版本的名称,以便在运行Windows 2000 以前版本的操作系统的计算机上使用。用户帐户在Active Directory中,每个用户帐户都有一个用户登录名、个Windows 2000以前版本的用户登录名(安全帐户管理器的帐户名)和一个用户主要名称 后缀。在创建用户帐户时,管理员输入其登录名并选择用户主要名称。Active Directory建议Windows 2000以前版本的用户登录名使用此用户登录名的前 20个字节。所谓用户主要名称是指由用户账户名称和表示用户账户所在的域的域名组 成。这是登录到 Windows
27、2000域的标准用法。表准格式为:user (类似个人的电子邮件地址)。但不要在用户登录名或用户主要名称中加入号。 Active Directory在创建用户主要名称时自动添加此符号。包含多个号的用 户主要名称是无效的。在Active Directory中,默认的用户主要名称后缀是域树中根域的DNS 名。如果用户的单位使用由部门和区域组成的多层域树,则对于底层用户的域名 可能很长。对于该域中的用户,默认的用户主要名称可能是 。该域中用户默认的登录名可能是 user。创建主要名称后缀root使同一用户使用更 简单的登录名user就可以登录。域间信任关系对于 Windows 2000计算机,通过基
28、于Kerberos V5安全协议的双向、可传递信任关系启用域之间的帐户验证。在域树中创建域时,相邻域(父域和子域)之间自动建立信任关系。在域林 中,在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这 些信任关系是可传递的,所以可以在域树或域林中的任何域之间进行用户和计算 机的身份验证。如果将 Windows 2000以前版本的Windows域升级为Windows 2000域 时,Windows 2000域将保留域和任何其它域之间现有的单向信任关系。包括 Windows 2000以前版本的Windows域的所有信任关系。如果用户要安装新的 Windows 2000域并且希望与任何
29、Windows 2000以前版本的域建立信任关系, 则必须创建与那些域的外部信任关系。所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特 征进行描述:单向单向信任是域A信任域B的单信任关系。所有的单向关系都是不可传 递的,并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受 信任域。Windows 2000的域可与以下域建立单向信任:不同树林中的Windows 2000 域、 Windows NT 4.0 域、 MIT Kerberos V5 领域。双向Windows 2000树林中的所有域信任都是双向可传递信任。建立新的子域时, 双向可传递信任在新的子域和父域之间
30、自动建立。可传递Windows 2000树林中的所有域信任都是可传递的。可传递信任始终为双向: 此关系中的两个域相互信任。可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时, 在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。这样,可传 递信任关系在域树中按其形成的方式向上流动,并在域树中的所有域之间建立起 可传递信任。不可传递不可传递信任受信任关系中的两个域的约束,并不流向树林中的任何其它 域。在大多数情况下,用户必须明确建立不可传递信任。在Windows 2000域和 Windows NT域之间的所有信任关系都是不可传递的。从Windows NT升级至 Window
31、s 2000时,目前所有的Windows NT信任都保持不动。在混和模式环境 中,所有的Windows NT信任都是不可传递的。不可传递信任默认为单向信任 关系。外部信任外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用 户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向 非转移的信任快捷信任快捷信任是双向可传递的信任,使用户可以缩短复杂树林中的路径。 Windows 2000同一树林中域之间的快捷信任是明确创建的。快捷信任具有优化 的性能,能缩短与Windows 2000安全机制有关的信任路径以便进行身份验证。 在树林中的两个域树之间使用快捷信任是最有效的
32、。站点站点是由一个或多个IP子网中的组计算机,确保目录信息的有效交换, 站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空间之 间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻辑结 构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没有必 要的相关性,Active Directory允许单个站点中有多个域,单个域中有多个站点。如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站 点能提高网络使用的效率。站点服务在以下两方面令网络操作更为有效:服务请 求和复制。当客户从域控制器请求服务时,只要相同域中的域控制器有一个可用,此请 求就将
33、会发给这个域控制器。选择与发出请求的客户连接良好的域控制器将使该 请求的处理效率更高。站点使目录信息以流水线的方式复制。目录架构和配置信息分布在整个树林 中,而且域数据分布在域中的所有域控制器之间。通过有策略地减少复制,用户 的网络拥塞也会同样减少。Active Directory在个站点内比在站点之间更频繁 地复制目录信息。这样,连接最好的域控制器中,最可能需要特定目录信息的域 控制器首先接收复制的内容。其它站点中的域控制器接收对目录所进行的更改, 但不频繁,以降低网络带宽的消耗。Active Directory用户和计算机帐户Active Directory用户和计算机帐户代表物理实体,诸
34、如计算机或人。用户 账户和计算机账户(以及组)称为安全主体。安全主体是自动分配安全标识符的 目录对象。带安全标识符的对象可登录到网络并访问域资源。用户或计算机账户 用于:验证用户或计算机的身份。授权或拒绝访问域资源。管理其它安全主体。审计使用用户或计算机帐户执行的操作。Windows 2000提供了可用于登录到运行Windows 2000的计算机的预定义 用户帐户。这些预定义帐户为:管理员账户来宾账户预定义账户就是允许用户登录到本地计算机并访问本地计算机上资源的默 认用户账户。设计这些账户的主要目的是本地计算机的初始登录和配置。每个预 定义账户均有不同的权利和权限组合。管理员账户有最广泛的权利
35、和权限,同时 来宾账户有受限制的权利和权限。组策略组策略设置影响计算机或用户账户并且可应用于站点、域或组织单位。它可 用于配置安全选项、管理应用程序、管理桌面外观、指派脚本并将文件夹从本地 计算机重新定向到网络位置。集成DNS由于Active Directory与DNS集成而且共享相同的名称空间结构,因此注 意两者之间的差异非常重要:DNS是种名称解析服务。DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收 名称查询,然后通过本地存储的文件解析名称查询,或者査询其它DNS服务器 进行名称解析。DNS不需要Active Directory就能运行。Active Director
36、y是一种目录服务。Active Directory提供信息储存库以及让用户和应用程序访问信息的服务。 Active Directory客户使用轻量级目录访问协议(LDAP)响 Active Directory服 务器发送查询。耍定位Active Directory服务器,Active Directory客户机将查询 DNS- Active Directory 需要 DNS 才能工作。Active Directory用于组织资源,而DNS用于查找资源。只有它们共同工 作才能为用户或其它请求类似信息的过程返回信息。DNS是Active Directory 的关键组件,如果没有DNS, Active
37、 Directory就无法将用户的请求解析成资源 的IP地址,因此在安装和配置Active Directory之前,用户必须对DNS有深 入的理解。组织单位包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用 户、组、计算机和其它单位放入其中的Active Directory容器。组织单位不能包 括来自其它域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作 用域或单位。使用组织单位,用户可在组织单位中代表逻辑层次结构的域中创建 容器。这样用户就可以根据用户的组织模型管理帐户和资源的配置和使用。2.5 登录Windows系统首先必须在系统中拥有一个账号,其次,规定该账号在系
38、统中 的权和权限。在没有用户登录时,可以看到屏幕上显示一个对话框,提示用户登录在NT 系统中。实际上,NT系统中有一个登录进程。当用户在开始登录时,按下Ctrl+Alt +Del键,NT系统启动登录进程,弹出登录对话框,让用户输入帐号名及口令。 按下Ctrl+Alt+Del键时,NT系统保证弹出的登录对话框是系统本身的,而不是 个貌似登录对话框的应用程序,以防止被非法窃取用户名及口令。登录进程收 到用户输入的账号和口令后,就查找安全账户数据库中的信息。如果帐户及口令 无效,则用户的登录企图被拒绝;如果帐户及口令有效,则把安全帐户数据库中 有关该账户的信息收集在起,形成一个存取标识。存取标识中的
39、主要内容有:用户名以及SID用户所属的组及组SID用户对系统所具有的权然后NT就启动个用户进程,将该存取标识与之连在起,这个存取标识 就成了用户进程在NT系统中的通行证。用户进行任何操作,NT中负责安全的 进程都会检查其存取标识,以确定其操作是否合法。用户成功地登录之后,只要用户没有注销自己,其在系统中的权就以存取 标识为准,NT安全系统在此期间不再检查安全帐户数据库。这主要是考虑到效 率。存取标识的作用相当于缓存,只不过存取标识缓存的是用户安全信息,使得 系统不必再从硬盘上查找。安全帐户数据库是由域用户管理器来维护的,在某个 用户登录后,有可能管理员会修改其帐户以及权等,但这些修改只有在用户
40、下 次登录时有效,因为NT安全系统在用户登录后只检查存取标识,而不是检查 安全帐户数据库。比如Userl已登录到了 NT系统中,管理员发现其缺少了某种 权,就用域用户管理器做了相应的修改,那么,除非Userl重新登录一次,否 则Userl仍无法享有该权。在Windows系统中登录过程还包括网络登录,在网络登录中,每次登录到 Windows系统中都会产生一个访问令牌,访问令牌是由用户帐号和工作组帐号的 安全标示符(SID)以及用户LUID (用户特权和工作组特权)组合而成的,访 问令牌有两个用途:访问令牌保存全部安全信息,可以加速访问验证过程。当某个用户进 程要访问某个对象时,安全子系统检查该进
41、程的访问令牌,判断该用 户的访问特权。每个进程均有一个与之相关联的访问令牌,因此,每个进程都可以在不影响其它代表该用户运行的进程的条件下,在某种可允许的范围内 修改进程的安全特性。2.6 存储控制Windows系统启动个用户进程,将存储标识与之连在起。存取标识包含 的内容并没有访问许可权限,而存取标识又是用户在系统中的通行证,那么NT 如何根据存取标识控制用户对资源的访问呢?当某个进程要访问个对象时,进程的SID与访问控制项列表比较,决定 是否可以访问该对象,访问控制列表由访问控制项(ACE)组成,每个访问控制 项标识用户和工作组对该对象的访问权限。一般情况下,访问控制列表有三个访 问控制项,
42、分别代表如下含义:拒绝对该对象的访问;允许对该对象读取和写入; 允许执行该对象。访问控制列表首先列出拒绝访问的访问控制项,然后是允许 的访问控制项。给资源分配的权限作为该资源的个属性与资源一起存放。比如目录为D: Files,对其指定Userl只读,User2可完全控制,则这两个权限都作为D: Files 目录的属性与该目录连在起,在NT内部以访问控制列表的形式存放。ACL 中包含了每个权限的分配,以访问控制项来表示。ACL中包含了用户名以及该 用户的权限。比如上面提到的这个例子中,D: Files的ACL中有两个ACE,分 别是Userl:只读,User2:完全控制。当Userl访问该目录时
43、,NT安全系统检 查用户的存取标识,与目录的ACL对照,发现用户存取标识中的用户名与ACL 中有对应关系且所要求的权限合法,则访问获得允许,否则,访问被拒绝。控制对象访问过程如下:1 .设置、查看、更改或删除文件和文件夹权限步骤1打开Windows资源管理器,然后定位到用户要设置权限的文件和 文件夹。步骤2右键单击该文件或文件夹,单击属性,然后单击安全选项卡, 如图:deploy髭住_ZJ凶爾及I Vb共享I共享安全|_添加一&皿w I 必向日权限允评 拒拊ws 溶學及通行 列出文件夷目染*K 写入飽竺P允许将来目父系的可健承权用能叫谡对象国)定 m清应用步骤3执行以下任一项操作:要设置新组或
44、用户的权限,请单击添加。 按照域名、名称的格式键入要设置权限的组或用户的名称,然后单击确定关闭对 话框。要更改或删除现有的组或用户的权限,请单击该组或用户的名称。步骤4如果必要,请在权限中单击每个要允许或拒绝的权限的允许或 拒绝。或者若要从权限列表中删除组或用户,请单击删除。注意:只能在格式化为使用NTFS的驱动器上设置文件和文件夹权限。要更改访问权限,用户必须是所有者或已经由所有者授权执行该操作。无论保护文件和子文件夹的权限如何,被准许对文件夹进行完全控制的组或 用户都可以删除该文件夹内的任何文件和子文件夹。如果权限下的复选框为灰色,或者没有删除,按钮,则文件或文件夹已经 继承了父文件夹的权
45、限。2 .设置、查看或删除共享文件夹或驱动器的权限步骤1打开Windows资源管理器,然后定位到要设置权限的共享文件夹 或驱动器。步骤2右键单击共享文件夹或驱动器,然后单击共享。步骤3在共享选项卡上,单击权限。步骤4要设置共享文件夹权限,请单击添加。键入要设置权限的组或用户 的名称,然后单击确定关闭对话框。要删除权限,请在名称中选择组或用户, 然后单击删除。步骤5在权限中,如果需要,请对每个权限单击允许或拒绝。如图M。).巴色)权闱9拒第book的权限 日0日?X|*疣 取消 J 应用 J3 .取得文件或文件夹的所有权步骤1打开Windows资源管理器,然后定位到要取得其所有权的文件或 文件夹。步骤2右键单击该文件或文件夹,单击属性,然后单击安全选项卡。步骤3单击高级,然后单击所有者选项卡,如图步骤4单击新的所有者,然后单击确定2.7 管理安全模板启动安全模板流程如下:步骤1决定是否将安全模板添加到现有的控制台,或创建新控制台。要创 建控制台,请单击开始,单击运行,然后键入mmc,然后单击确定。要 将安全模板添加到现有的控制台中,打开控制台,然后进行下步。步骤2在控制台菜单上,请单击添加/删除管理单元,然后单击添加。步骤3选择安全模板,单击添加,单击关闭,然后单击确定