2
絡(luò)協(xié)議和適配卡設(shè)置等信息的數(shù)據(jù)庫。注冊表包含了許多文件如: Config.SYS, Autoexec
能 BAT, System.INI,Win.IN1, Prtocol.INI, Lanman.IN, Control.INI以及其他:INI文件的功 ojito sono)s.
它是一個具有容錯功能的數(shù)據(jù)庫,一般是不會崩潰的。如果系統(tǒng)出現(xiàn)錯誤;日志文件使
Windows NT能夠恢復(fù)和修改數(shù)據(jù)庫,以確保系統(tǒng)能正常地運行。
2.4.1.3滿足C2安全級的 Windows NT 的活
在 Windows NT Server上實現(xiàn)C2級安全標準僅僅是建立在軟件基礎(chǔ)上的。為了得到
個符合C2級安全標準的系統(tǒng)設(shè)置,必須具備或做到以下幾點:A
(1)擁有對系統(tǒng)的非網(wǎng)絡(luò)訪問;?重香全
(2)去除或禁止使用軟盤驅(qū)動器;有R出宣隊美面お式用全支T
(3)更加嚴格地控制對標準文件系統(tǒng)的訪問。全 TV eomi1,.S
a在 Windows NT中,最重要的C2級安全標準特性是澄需全デ的T。 obit
(1)可自由決定的訪問控制(DAC):允許管理員或用房定義自己所擁有的對象的訪問控
制 知公確個R由好全的T/bm
(2)禁止對象重用:當內(nèi)存被一個程序釋放后,不再允許對它進行讀訪問;當對象被刪除
后。即使對象所在的磁盤空間已經(jīng)重新進行了分配,也不再允許用戶對對象再÷次進行訪同
(3)身份的確認和驗證:在對系統(tǒng)進行任何訪問之前,用戶必須首先確認自己的身份。用
戶可以通過輸入用戶名、口令和域組合來完成對自己身份的確認。,壓發(fā)ュて (4)審核:必須創(chuàng)建并維護用戶對對象的訪回記錄,并防止他人對此記錄進行修改。必須
嚴格地規(guī)定只有指定的管理員才能訪問審核信息。個前さ國 2.4.2 Window NT安全知判個整、で2全統(tǒng)
Microsoft Windows NT Server操作系統(tǒng)提供安全管理功能,以及在企業(yè)組網(wǎng)范圍內(nèi)實現(xiàn)
戶對網(wǎng)絡(luò)資源的訪問。和管理這些功能。在企業(yè)這一級 Windows NT的安全體系基于域、用戶和組的概念,限制用 這之后的的詞天登向民?
能對任一 Windows NT資源訪問前,他們必須首先登錄并被 Windows NT所確認,且在工作站 安全性在 Windows NT最初的設(shè)計規(guī)格書中就已包括并滲透在整個操作系統(tǒng)中。在用戶
接, Windows NT能提供這種本地安全性,是因為每一臺機器都有一個 Windows NT.服務(wù)器的 和服務(wù)器層次都要求有確認工作。獲得最初級的資源保護并不要求和 Windows NT服務(wù)器連
賬戶和安全策略數(shù)據(jù)庫的副本。這一安全機制包括控制誰能訪問哪些對象(如文件和共享打
Windows NT Server集體式的領(lǐng)域和安全管理特性,使它成為能為大多數(shù)公司提供客戶 印機),決定某人針對某一對象能做什么和什么事件被審計。的用Aと工想
服務(wù)器值得推薦的選擇,因為安全性和工作關(guān)系的管理會很快變得不可控制。的 機服務(wù)器計算的可取方案。在點到點的體系中使用 Windows NT Workstation并不是客戶機
Windows NT操作系統(tǒng)。Windows NT的安全子系統(tǒng)是個集成手系統(tǒng),而不是環(huán)境子系統(tǒng),因為它影響整個 間も店、、
安全子系統(tǒng)的組成部分有:同的田點00支
或多個 Windows NT系統(tǒng)中。網(wǎng)絡(luò)配置的類型包括 ?當一個系統(tǒng)里有不同的用戶賬戶時,本地的SAM數(shù)據(jù)庫就會被訪間;
當系統(tǒng)配置為有集中用戶賬戶信息的單一的域時,SAM數(shù)據(jù)庫處于域控制器中
?在主坡配置中,用戶賬戶也是集中放置的,SAM數(shù)據(jù)庫位于主域控制器(PDC)中,并將
其備份復(fù)制到備份域控制器(BDC)中。
3.安全參考監(jiān)視器(SRM)。如圖2-4所示,作為 Windows NT的一個組成部分,SRM以
種核心模式運行。它負責完善LSA所要求的有效性訪問和階段審查策略。ISRM為對象的
有效性訪問提供服務(wù)并為用戶賬戶提供訪問特權(quán)。同時它還負責阻止沒有獲得授權(quán)的用戶對
對象的訪問。為了確保所有類型的對象都得到保護,SRM在系統(tǒng)中只維持一個有效性訪問代
嗎的持貝。用戶在要求訪間對象時必須具有SRM有效性訪間,而不能直接對對象進行訪問。
の、し同今回
SRM
文件對象ACL 程個出
授權(quán)訪回」圖速圖
圖24SRM訪問確認過程完さ一外司全
當用戶要求訪問一個對象時,系統(tǒng)就會將文件的安全描述器里的信息與儲存在用戶訪問
標記里的SID信息進行比較,如果具有足夠的權(quán)利,用戶就可以對對象進行訪間。安全描述
器由對象的訪問控制列表(ACL)中所有的訪問控制條目(ACE)組成。如果對象有訪問控制列
表(ACL),SRM將核查ACL中所有的訪問控制條目(ACE),以判定對對象的訪問是否合法。如果對象沒有訪問控制列表(ACL),則SRM將自動允許所有用戶都能訪問該對象。如果對
象有訪問控制列表(ACL)卻沒有訪問控制條目(ACE),則對所有的訪問請求都將被拒絕。當
SRM允許對對象進行訪問后,就沒有必要再對用戶訪問某一特定的對象進行有效性檢查。在
用戶被確認為合法用戶時將生成一個句柄。這之后的所有對對象的訪問都可以通過句柄來完
海只縣,國群路氣民的メ兩驗,で的溫個
2.4.2.2 Windows NT的登錄機制 11最氣阻有
Windows NT要求每一個用戶使用惟一的用戶名和口令登錄到計算機上;這種強制性登
錄過程不能關(guān)閉。與自型,動的大存具3taW出要 強制性登錄和使用Crl+Alt+Del啟動登錄過程的好處是:氣m的
個?強制性登錄過程用以確定用戶身份是否合法;從而確定用戶對系統(tǒng)資源的訪問權(quán)限。
?在強制性登錄期間,掛起對用戶模式程序的訪問,這便可以防止有人創(chuàng)建或偷奇用戶賬
號和口令的應(yīng)用程序。例如入侵者可能會模仿個 Windows NT的登錄介面,然后讓用戶進
行登錄從而獲得用戶登錄名和相應(yīng)的密碼。使用Ctrl+Alt+Del會造成用戶程序被終止,而
真正的登錄程序可以由Curl+Al+Del啟動,這就是為什么阻止這種欺騙行為的發(fā)生
強制登錄過程允許用戶具有單獨的配置,包括桌面和網(wǎng)絡(luò)連接,這些配置在用戶登錄后
自動調(diào)出,退出時自動保存。這樣,多個用戶可以使用同一臺機器,網(wǎng)站建設(shè)并且仍然具有他們自己的
本文地址:http://blackside-inc.com//article/3733.html
