[IT认证]04信息安全竞赛培训_Windows2008安全管理.ppt

主要内容 Windows2008系统安全性 Windows2008安全体系构架 Windows安全配置 Windows系统高级安全配置 Windows系统的审计分析 操作系统安全定义 信息安全评估标准 ITSEC和TCSEC TCSEC描述的系统安全级别 D?A CC(Common Critical)标准 BS 7799:2000标准体系 ISO 17799标准 TCSEC安全等级 基于C2级标准的安全组件 灵活的访问控制要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。 对象再利用Windows NT很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。 强制登陆Windows NT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。 审计因为Windows NT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。 控制对象的访问Windows NT不允许直接访问系统里的资源。 Windows系统漏洞导致的损失 2004年，Mydoom所造成的经济损失已经达到261亿美元 。 2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。 2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。 主要内容 Windows系统安全性 Windows体系构架 Windows安全配置 Windows系统高级安全配置 Windows的审计分析 WindowsNT系统构架 进程和线程 什么是进程？ 代表了运行程序的一个实例 每一个进程有一个私有的内存地址空间 什么是线程？ 进程内的一个执行上下文 进程内的所有线程共享相同的进程地址空间 每一个进程启动时带有一个主线程 运行程序的“主”函数 可以在同一个进程中创建其他的线程 可以创建额外的进程 系统进程 基本的系统进程 System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间 smss.exe 会话管理子系统，负责启动用户会话 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 系统进程树 smss.exe 对话管理器，第一个创建的进程引入参数 HKLM\System\CurrentControlSet\Control\Session Manager装入所需的子系统(csrss) ，然后winlogon csrss.exe Win32 子系统 winlogon.exe 登录进程：装入services.exe 和 lsass.exe 显示登录对话框（“键入CTRL+ALT+DEL ，登录） 当有人登入，运行在 HKLM\Software\Microsoft\Windows NT\WinLogon\Userinit 中的进程（通常只是userinit.exe) services.exe 服务控制器：也是几项服务的出发点 服务的开始进程不是services.exe的一部分 (由 HKLM\System\CurrentControlSet\Services驱动) lsass.exe 本地安全验证服务器（打开SAM） userinit.exe 登陆之后启动。启动外壳（通常是Explorer.exe —见 HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Shell) 装入配置文件，恢复驱动器标识符映象，然后退出 explorer.exe 和它的子进程是所有交互式应用的创建者 附加的系统进程 mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。 (系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务) tlntsvr.