《1_3系统安全》.pdf

系统安全 崔宝江副教授博导 北京邮电大学信息安全中心 cui_bj@ 北邮•信息安全中心•崔宝江 系统安全 • 1. 用户帐户和密码管理 • 2. 保护注册表 • 3. 监视安全事件 • 4.端口和协议安全 北邮•信息安全中心•崔宝江 Windows安全基础 • 1. 用户帐户和密码管理 设定安全的密码 至少包含8个字符（获得最高的安全性，至少15个 字符，使强硬破解方式成指数倍增长） 大小写、数字和符号的组合 不包含姓名、用户名或者常用单词 不与其他人共享 定期更换密码（1、2、3个月） 北邮•信息安全中心•崔宝江 SAM (Security Accounts Manager) • 在独立的Windows计算机上，安全账户管理器负责保存 用户账户名和口令的信息 • 口令通过散列并被加密，现有的技术不能将打乱的口令恢 散列并被加密 复(尽管如此，散列的口令是可以被猜出的) • SAM 组成了注册表的5 个配置单元之一，它在文件 %systemroot%\system32\config\sam中实现 • 在Windows 2000域控制器上，用户账户和散列的数据保 存在活动目录中(默认为%systemroot%\ntds\ntds.dit) 。 散列是以相同的格式保存的，但是要访问它们必须通过不 同的方法 北邮•信息安全中心•崔宝江 一. Windows安全基础 加载GINA， 监视认证顺序 提供登陆接口 Winlogon GINA 提供真正的 用户校验 加载认证包 LSASS SSPI Authentication Packages Security Support Provider 支持额外的 Security Account Management Netlogon 验证机制 管理用户和用户 为认证建立 证书的数据库 安全通道 北邮•信息安全中心•崔宝江 一. Windows安全基础 Winlogon GINA图形身份认证和验证动态链接库 LSA本地安全管理授权 Authentication Packages验证软件包 Netlogon服务 SAM安全帐户管理器 北邮•信息安全中心•崔宝江 Windows 的身份验证机制 • 不同身份验证机制： LanManager -- LM 口令散列算法