电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

《系统安全技术》ppt课件

58页
  • 卖家[上传人]:xiao****1972
  • 文档编号:74343793
  • 上传时间:2019-01-27
  • 文档格式:PPT
  • 文档大小:1.39MB
  • / 58 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、Windows系统安全技术,祝晓光 ,提纲,系统安全模型 服务安全性 降低风险,Windows系统安全模型,操作系统安全定义, 信息安全的五类服务,作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,信息安全评估标准,ITSEC和TCSEC TCSEC描述的系统安全级别 D-A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准,TCSEC定义的内容,没有安全性可言,例如MS DOS,不区分用户,基本的访问控制,有自主的访问安全性,区分用户,标记安全保护,如System V等,结构化内容保护,支持硬件保护,安全域,数据隐藏与分层、屏蔽,校验级保护,提供低级别手段,C2级安全标准的要求,自主的访问控制 对象再利用必须由系统控制 用户标识和认证 审计活动 能够审计所有安全相关事件和个人活动 只有管理员才有权限访问,CC(Common Critical)标准,CC的基本功能 标准化叙述 技术实现基础叙述 CC的概念 维护文件 安全目标 评估目标,Windows系统的安全架构,Windows NT系统内置支持用户认证

      2、、访问 控制、管理、审核。,Windows系统的安全组件,访问控制的判断(Discretion access control) 允许对象所有者可以控制谁被允许访问该对象以及访问的方式。 对象重用(Object reuse) 当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源,这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆(Mandatory log on) 要求所有的用户必须登陆,通过认证后才可以访问资源 审核(Auditing) 在控制用户访问资源的同时,也可以对这些访问作了相应的记录。 对象的访问控制(Control of access to object) 不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。,Windows安全子系统的组件,安全标识符(Security Identifiers): 就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装系统后,也会得到一个唯一的SID。 SID永远都是唯一的,由计算机名、当前时间、当前用户态

      3、线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例: S-1-5-21-1763234323-3212657521-1234321321-500 访问令牌(Access tokens): 用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows 系统,然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。,Windows安全子系统的组件,安全描述符(Security descriptors): Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。 访问控制列表(Access control lists): 访问控制列表有两种:任意访问控制列表(Discretionary ACL)、系统访问控制列表(System ACL)。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。每一个

      4、用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。 访问控制项(Access control entries): 访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。,Windows安全子系统,安全子系统包括以下部分: Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Interface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM),Windows 安全子系统,Winlogon,加载GINA,监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,

      5、Windows安全子系统,Winlogon and Gina: Winlogon调用GINA DLL,并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLL,Windows安全子系统,本地安全认证(Local Security Authority): 本地安全认证(LSA)是一个被保护的子系统,它负责以下任务: 调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值,并调用该DLL进行认证(MSV_1.DLL)。在4.0版里,Windows NT会寻找HKLMSYSTEMCu

      6、rrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。 重新找回本地组的SIDs和用户的权限。 创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户权限。 管理审核的策略和设置。 管理信任关系。,Windows安全子系统,安全支持提供者的接口(Security Support Provide Interface): 微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的认证连接的方法。 认证包(Authentication Package): 认证包可以为真实用户提供认证。通过GINA DLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。,Windows安全子系统,安全支持提供者(Security Support Provider): 安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,Windows NT安装了以下三种: Msn

      7、sspc.dll:微软网络挑战/反应认证模块 Msapsspc.dll:分布式密码认证挑战/反应模块,该模块也可以在微软网络中使用 Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。这种认证方式经常在使用SSL(Secure Sockets Layer)和PCT(Private Communication Technology)协议通信的时候用到。,Windows安全子系统,网络登陆(Netlogon): 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限。 安全账号管理者(Security Account Manager): 安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝。,Windows的密码系统,Windows N

      8、T及Win2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全标识就不再存在了,即使用相同的用户名重建帐号,也会被赋予不同的安全标识,不会保留原来的权限。,服务安全性,IIS服务安全配置,禁用或删除所有的示例应用程序 示例只是示例;在默认情况下,并不安装它们,且从不在生产服务器上安装。请注意一些示例安装,它们只可从 http:/localhost 或 127.0.0.1 访问;但是,它们仍应被删除。下面 列出一些示例的默认位置。 示例 虚拟目录 位置 IIS 示例 IISSamples c :inetpubiissamples IIS 文档 IISHelp c:winnthelpiishelp 数据访问 MSADC c:program filescommon filessystemmsadc,IIS服

      9、务安全配置,启用或删除不需要的 COM 组件 某些 COM 组件不是多数应用程序所必需的,应加以删除。特别是,应考虑禁用文件系统对象组件,但要注意这将也会删除 Dictionary 对象。切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object: regsvr32 scrrun.dll /u 删除 IISADMPWD 虚拟目录 该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下,并不作为 IIS 5 的一部分安装,但是 IIS 4 服务器升级到 IIS 5 时,它并不删除。如果您不使用 Intranet 或如果将服务器连接到 Web 上,则应将其删除。,IIS服务安全配置,删除无用的脚本映射 IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下: 打开 Internet 服务管理器。 右键单击 Web 服务器,然后从上下文菜单中选择“属性”。 主目录 | 配置 | 删除无用的.htr .ida .idq .printer .idc .stm .shtml等,IIS服务安全配置,禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“”。禁用该选项的步骤如下: 右键单击该 Web 站点的根,然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。 单击“配置”。 单击“应用程序选项”选项卡。 取消选择“启用父路径”复选框。 禁用-内容位置中的 IP 地址 IIS4里的“内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。,IIS服务安全配置,设置适当的 IIS 日志文件 ACL 确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是

      《《系统安全技术》ppt课件》由会员xiao****1972分享,可在线阅读,更多相关《《系统安全技术》ppt课件》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.