2
絡(luò)協(xié)議和適配卡設(shè)置等信息的數(shù)據(jù)庫(kù)。注冊(cè)表包含了許多文件如: Config.SYS, Autoexec
能 BAT, System.INI,Win.IN1, Prtocol.INI, Lanman.IN, Control.INI以及其他:INI文件的功 ojito sono)s.
它是一個(gè)具有容錯(cuò)功能的數(shù)據(jù)庫(kù),一般是不會(huì)崩潰的。如果系統(tǒng)出現(xiàn)錯(cuò)誤;日志文件使
Windows NT能夠恢復(fù)和修改數(shù)據(jù)庫(kù),以確保系統(tǒng)能正常地運(yùn)行。
2.4.1.3滿足C2安全級(jí)的 Windows NT 的活
在 Windows NT Server上實(shí)現(xiàn)C2級(jí)安全標(biāo)準(zhǔn)僅僅是建立在軟件基礎(chǔ)上的。為了得到
個(gè)符合C2級(jí)安全標(biāo)準(zhǔn)的系統(tǒng)設(shè)置,必須具備或做到以下幾點(diǎn):A
(1)擁有對(duì)系統(tǒng)的非網(wǎng)絡(luò)訪問(wèn);?重香全
(2)去除或禁止使用軟盤驅(qū)動(dòng)器;有R出宣隊(duì)美面お式用全支T
(3)更加嚴(yán)格地控制對(duì)標(biāo)準(zhǔn)文件系統(tǒng)的訪問(wèn)。全 TV eomi1,.S
a在 Windows NT中,最重要的C2級(jí)安全標(biāo)準(zhǔn)特性是澄需全デ的T。 obit
(1)可自由決定的訪問(wèn)控制(DAC):允許管理員或用房定義自己所擁有的對(duì)象的訪問(wèn)控
制 知公確個(gè)R由好全的T/bm
(2)禁止對(duì)象重用:當(dāng)內(nèi)存被一個(gè)程序釋放后,不再允許對(duì)它進(jìn)行讀訪問(wèn);當(dāng)對(duì)象被刪除
后。即使對(duì)象所在的磁盤空間已經(jīng)重新進(jìn)行了分配,也不再允許用戶對(duì)對(duì)象再÷次進(jìn)行訪同
(3)身份的確認(rèn)和驗(yàn)證:在對(duì)系統(tǒng)進(jìn)行任何訪問(wèn)之前,用戶必須首先確認(rèn)自己的身份。用
戶可以通過(guò)輸入用戶名、口令和域組合來(lái)完成對(duì)自己身份的確認(rèn)。,壓發(fā)ュて (4)審核:必須創(chuàng)建并維護(hù)用戶對(duì)對(duì)象的訪回記錄,并防止他人對(duì)此記錄進(jìn)行修改。必須
嚴(yán)格地規(guī)定只有指定的管理員才能訪問(wèn)審核信息。個(gè)前さ國(guó) 2.4.2 Window NT安全知判個(gè)整、で2全統(tǒng)
Microsoft Windows NT Server操作系統(tǒng)提供安全管理功能,以及在企業(yè)組網(wǎng)范圍內(nèi)實(shí)現(xiàn)
戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。和管理這些功能。在企業(yè)這一級(jí) Windows NT的安全體系基于域、用戶和組的概念,限制用 這之后的的詞天登向民?
能對(duì)任一 Windows NT資源訪問(wèn)前,他們必須首先登錄并被 Windows NT所確認(rèn),且在工作站 安全性在 Windows NT最初的設(shè)計(jì)規(guī)格書中就已包括并滲透在整個(gè)操作系統(tǒng)中。在用戶
接, Windows NT能提供這種本地安全性,是因?yàn)槊恳慌_(tái)機(jī)器都有一個(gè) Windows NT.服務(wù)器的 和服務(wù)器層次都要求有確認(rèn)工作。獲得最初級(jí)的資源保護(hù)并不要求和 Windows NT服務(wù)器連
賬戶和安全策略數(shù)據(jù)庫(kù)的副本。這一安全機(jī)制包括控制誰(shuí)能訪問(wèn)哪些對(duì)象(如文件和共享打
Windows NT Server集體式的領(lǐng)域和安全管理特性,使它成為能為大多數(shù)公司提供客戶 印機(jī)),決定某人針對(duì)某一對(duì)象能做什么和什么事件被審計(jì)。的用Aと工想
服務(wù)器值得推薦的選擇,因?yàn)榘踩院凸ぷ麝P(guān)系的管理會(huì)很快變得不可控制。的 機(jī)服務(wù)器計(jì)算的可取方案。在點(diǎn)到點(diǎn)的體系中使用 Windows NT Workstation并不是客戶機(jī)
Windows NT操作系統(tǒng)。Windows NT的安全子系統(tǒng)是個(gè)集成手系統(tǒng),而不是環(huán)境子系統(tǒng),因?yàn)樗绊懻麄€(gè) 間も店、、
安全子系統(tǒng)的組成部分有:同的田點(diǎn)00支
或多個(gè) Windows NT系統(tǒng)中。網(wǎng)絡(luò)配置的類型包括 ?當(dāng)一個(gè)系統(tǒng)里有不同的用戶賬戶時(shí),本地的SAM數(shù)據(jù)庫(kù)就會(huì)被訪間;
當(dāng)系統(tǒng)配置為有集中用戶賬戶信息的單一的域時(shí),SAM數(shù)據(jù)庫(kù)處于域控制器中
?在主坡配置中,用戶賬戶也是集中放置的,SAM數(shù)據(jù)庫(kù)位于主域控制器(PDC)中,并將
其備份復(fù)制到備份域控制器(BDC)中。
3.安全參考監(jiān)視器(SRM)。如圖2-4所示,作為 Windows NT的一個(gè)組成部分,SRM以
種核心模式運(yùn)行。它負(fù)責(zé)完善LSA所要求的有效性訪問(wèn)和階段審查策略。ISRM為對(duì)象的
有效性訪問(wèn)提供服務(wù)并為用戶賬戶提供訪問(wèn)特權(quán)。同時(shí)它還負(fù)責(zé)阻止沒(méi)有獲得授權(quán)的用戶對(duì)
對(duì)象的訪問(wèn)。為了確保所有類型的對(duì)象都得到保護(hù),SRM在系統(tǒng)中只維持一個(gè)有效性訪問(wèn)代
嗎的持貝。用戶在要求訪間對(duì)象時(shí)必須具有SRM有效性訪間,而不能直接對(duì)對(duì)象進(jìn)行訪問(wèn)。
の、し同今回
SRM
文件對(duì)象ACL 程個(gè)出
授權(quán)訪回」圖速圖
圖24SRM訪問(wèn)確認(rèn)過(guò)程完さ一外司全
當(dāng)用戶要求訪問(wèn)一個(gè)對(duì)象時(shí),系統(tǒng)就會(huì)將文件的安全描述器里的信息與儲(chǔ)存在用戶訪問(wèn)
標(biāo)記里的SID信息進(jìn)行比較,如果具有足夠的權(quán)利,用戶就可以對(duì)對(duì)象進(jìn)行訪間。安全描述
器由對(duì)象的訪問(wèn)控制列表(ACL)中所有的訪問(wèn)控制條目(ACE)組成。如果對(duì)象有訪問(wèn)控制列
表(ACL),SRM將核查ACL中所有的訪問(wèn)控制條目(ACE),以判定對(duì)對(duì)象的訪問(wèn)是否合法。如果對(duì)象沒(méi)有訪問(wèn)控制列表(ACL),則SRM將自動(dòng)允許所有用戶都能訪問(wèn)該對(duì)象。如果對(duì)
象有訪問(wèn)控制列表(ACL)卻沒(méi)有訪問(wèn)控制條目(ACE),則對(duì)所有的訪問(wèn)請(qǐng)求都將被拒絕。當(dāng)
SRM允許對(duì)對(duì)象進(jìn)行訪問(wèn)后,就沒(méi)有必要再對(duì)用戶訪問(wèn)某一特定的對(duì)象進(jìn)行有效性檢查。在
用戶被確認(rèn)為合法用戶時(shí)將生成一個(gè)句柄。這之后的所有對(duì)對(duì)象的訪問(wèn)都可以通過(guò)句柄來(lái)完
海只縣,國(guó)群路氣民的メ兩驗(yàn),で的溫個(gè)
2.4.2.2 Windows NT的登錄機(jī)制 11最氣阻有
Windows NT要求每一個(gè)用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上;這種強(qiáng)制性登
錄過(guò)程不能關(guān)閉。與自型,動(dòng)的大存具3taW出要 強(qiáng)制性登錄和使用Crl+Alt+Del啟動(dòng)登錄過(guò)程的好處是:氣m的
個(gè)?強(qiáng)制性登錄過(guò)程用以確定用戶身份是否合法;從而確定用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。
?在強(qiáng)制性登錄期間,掛起對(duì)用戶模式程序的訪問(wèn),這便可以防止有人創(chuàng)建或偷奇用戶賬
號(hào)和口令的應(yīng)用程序。例如入侵者可能會(huì)模仿個(gè) Windows NT的登錄介面,然后讓用戶進(jìn)
行登錄從而獲得用戶登錄名和相應(yīng)的密碼。使用Ctrl+Alt+Del會(huì)造成用戶程序被終止,而
真正的登錄程序可以由Curl+Al+Del啟動(dòng),這就是為什么阻止這種欺騙行為的發(fā)生
強(qiáng)制登錄過(guò)程允許用戶具有單獨(dú)的配置,包括桌面和網(wǎng)絡(luò)連接,這些配置在用戶登錄后
自動(dòng)調(diào)出,退出時(shí)自動(dòng)保存。這樣,多個(gè)用戶可以使用同一臺(tái)機(jī)器,網(wǎng)站建設(shè)并且仍然具有他們自己的
本文地址:http://m.blackside-inc.com//article/3733.html
