《网络操作系统安全.ppt

四种基本的域模型 单域模型：网络中只有一个域，就是主域，域中有一个主域控制器和一个或多个备份域控制器。该模型适合于用户较少的网络中。 主域模型：网络中至少有两个域，但只在其中一个域(主域)中创建所有用户并存储这些用户信息。其他域则称为资源域，负责维护文件目录和打印机资源，但不需要维护用户账户。资源域都信任主域，使用主域中定义的用户和全局组。该模型适合于用户不太多，但又必须将资源分组的情况。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 多主域模型：网络中有多个主域和多个资源域，其中主域作为账户域，所有的用户账户和组都在主域之上创建。各主域都相互信任，其他的资源域都信任主域，但各资源域之间不相互信任。该模型便于大网络的统一管理，具有较好的伸缩性。因此，该模型适合于用户数很多且有一个专门管理机构的网络中。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 完全信任域模型：网络中有多个主域，且这些域都相互信任。所有域在控制上都是平等的，每个域都执行自己的管理。该模型适合于各部门管理自己的网络情况。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 虽然Windows系统采用了较强的安全性规则，但该系统还是存在许多安全漏洞。如SAM数据库漏洞，SMB协议漏洞，Registry数据库权限漏洞，权限设置漏洞，打印机漏洞，建立域别名漏洞等。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Windows系统的安全性机制 Windows的安全机制主要有帐号规则、权限规则、审计规则和域管理机制。 帐号规则 帐号规则是对用户帐号和口令进行安全管理--入网访问控制。用户帐号还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 权限规则 Windows系统采用两类访问权限：用户访问权限和资源访问权限。用户访问权限有四种：完全控制、更改、读写和拒绝访问，完全控制权限最大。 NTFS允许用两种访问权限来控制用户对特定目录和文件的访问：一种是标准权限(基本安全性措施)；另一种是特殊权限(特殊安全性措施)。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 审核规则 审核规则是系统对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows系统可对如下事件进行审核：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 域管理机制 域是Windows系统目录服务和安全管理的基本单元，域内工作由主域控制器控制。用户每次登录整个域而非某一服务器。域所使用的安全机制信息或用户帐号信息都存放在目录数据库中--安全帐号管理数据库。目录数据库存放在服务器中并复制到备份服务器中。在每次用户登录时，都要通过目录数据库检查用户帐号信息。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 A