网站大量收购闲置独家精品文档,联系QQ:2885784924

Win2k系統安全.pptVIP

  1. 1、本文档共168页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Win2k系統安全

Win2k系统安全(1) 胡建斌 北京大学网络与信息安全研究室 E-mail: hjbin@ /~hjbin Win2K的安全架构 Win2K安全子系统 Windows NT的设计从最初就考虑了安全问题:获得了TCSEC C2认证,这在竞争激烈的商业操作系统市场中是一个不错的业绩 Windows 2000正处于一个类似的标准评估过程中,使用通用标准(Common Criteria, CC) 为了获得更高的级别(B级),Windows 2000需要在它的设计中融入一些关键的元素,包括(但不限于): 用于认证的安全登录工具 可自由设定的访问控制 审核 Windows 2000通过它的安全子系统实现了这些功能。图2.1显示了Windows 2000的安全子系统 SRM 处于内核模式 监视用户模式中的应用程序代码发出的资源访问请求并进行检查 所有的安全访问控制应用于所有的安全主体(security principle) 安全主体 用户 组 计算机 用户帐户 账户是一种参考上下文,操作系统在这个上下文描述符运行它的大部分代码。换一种说法,所有的用户模式代码在一个用户账户的上下文中运行。即使是那些在任何人都没有登录之前就运行的代码(例如服务)也是运行在一个账户(特殊的本地系统账户SYSTEM)的上下文中的 如果用户使用账户凭据(用户名和口令)成功通过了登录认证,之后他执行的所有命令都具有该用户的权限。于是,执行代码所进行的操作只受限于运行它的账户所具有的权限。恶意黑客的目标就是以尽可能高的权限运行代码。那么,黑客首先需要“变成”具有最高权限的账户 系统内建帐户 用户帐户攻击 本地Administrator或SYSTEM账户是最有权力的账户 相对于Administrator和SYSTEM来说,所有其他的账户都只具有非常有限的权限 因此,获取Administrator或SYSTEM账户几乎总是攻击者的最终目标 组 组是用户账户集合的一种容器 Windows 2000具有一些内建的组,它们是预定义的用户容器,也具有不同级别的权限 放到一个组中的所有账户都会继承这些权限。 最简单的一个例子是本地的Administrators组,放到该组中的用户账户具有本地计算机的全部权限 系统内建组 域中的组 当Windows 2000系统被提升为域控制器时,同时还会安装一系列预定义的组 权限最高的预定义组包括域管理员(Domain Admins),它具有域中的所有权限 还有企业管理员(Enterprise Admins),它具有域森林的全部权限 域内建组 组攻击 本地Administrator或SYSTEM账户是最有权力的账户 本地Windows 2000系统中的本地Administrators组是最有吸引力的目标,因为这个组的成员继承了相当于管理员的权限 Domain Admins和Enterprise Admins是Windows 2000域中最有吸引力的目标,因为用户账户加入到它们当中后将会提升为具有域中的全部权限 相对于Administrators、Domain Admins和Enterprise Admins,所有其他的组都只具有非常有限的权限 获取Administrators、Domain Admins和Enterprise Admins组中的账户几乎总是攻击者的最终目标 特殊用户 Windows NT/2000具有一些特殊身份,它们是处于特定传输状态的账户(例如通过网络登录)或来自于特定位置的账户(例如在键盘上进行交互式登录)的容器 这些身份能够用来调节对资源的访问控制。例如,NT/2000中对特定进程的访问受限于INTERACTIVE(交互)用户 特殊用户 SAM (Security Accounts Manager) 在独立的Windows 2000计算机上,安全账户管理器负责保存用户账户名和口令的信息 口令通过散列并被加密,现有的技术不能将打乱的口令恢复(尽管如此,散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一,它在文件%systemroot%\system32\config\sam中实现 在Windows 2000域控制器上,用户账户和散列的数据保存在活动目录中(默认为%systemroot%\ntds\ntds.dit)。散列是以相同的格式保存的,但是要访问它们必须通过不同的方法 SYSKEY 从NT4 Service Pack 3开始,Microsoft提供了对SAM散列进行进一步加密的方法,称为SYSKEY SYSKEY是System KEY的缩写,它生成一个随机的128位密钥,对散列再次进行加密(不是对SAM文件加密,而是对散列) 为了启用SYSKEY,你必须运行SYSKEY命令, SYSKEY

文档评论(0)

1234554321 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档