2
絡(luò)協(xié)議和適配卡設(shè)置等信息的數(shù)據(jù)庫。注冊表包含了許多文件如: Config.SYS, Autoexec
能 BAT, System.INI,Win.IN1, Prtocol.INI, Lanman.IN, Control.INI以及其他:INI文件的功 ojito sono)s.
它是一個具有容錯功能的數(shù)據(jù)庫,一般是不會崩潰的。如果系統(tǒng)出現(xiàn)錯誤;日志文件使
Windows NT能夠恢復(fù)和修改數(shù)據(jù)庫,以確保系統(tǒng)能正常地運(yùn)行。
2.4.1.3滿足C2安全級的 Windows NT 的活
在 Windows NT Server上實(shí)現(xiàn)C2級安全標(biāo)準(zhǔn)僅僅是建立在軟件基礎(chǔ)上的。為了得到
個符合C2級安全標(biāo)準(zhǔn)的系統(tǒng)設(shè)置,必須具備或做到以下幾點(diǎn):A
(1)擁有對系統(tǒng)的非網(wǎng)絡(luò)訪問;?重香全
(2)去除或禁止使用軟盤驅(qū)動器;有R出宣隊(duì)美面お式用全支T
(3)更加嚴(yán)格地控制對標(biāo)準(zhǔn)文件系統(tǒng)的訪問。全 TV eomi1,.S
a在 Windows NT中,最重要的C2級安全標(biāo)準(zhǔn)特性是澄需全デ的T。 obit
(1)可自由決定的訪問控制(DAC):允許管理員或用房定義自己所擁有的對象的訪問控
制 知公確個R由好全的T/bm
(2)禁止對象重用:當(dāng)內(nèi)存被一個程序釋放后,不再允許對它進(jìn)行讀訪問;當(dāng)對象被刪除
后。即使對象所在的磁盤空間已經(jīng)重新進(jìn)行了分配,也不再允許用戶對對象再÷次進(jìn)行訪同
(3)身份的確認(rèn)和驗(yàn)證:在對系統(tǒng)進(jìn)行任何訪問之前,用戶必須首先確認(rèn)自己的身份。用
戶可以通過輸入用戶名、口令和域組合來完成對自己身份的確認(rèn)。,壓發(fā)ュて (4)審核:必須創(chuàng)建并維護(hù)用戶對對象的訪回記錄,并防止他人對此記錄進(jìn)行修改。必須
嚴(yán)格地規(guī)定只有指定的管理員才能訪問審核信息。個前さ國 2.4.2 Window NT安全知判個整、で2全統(tǒng)
Microsoft Windows NT Server操作系統(tǒng)提供安全管理功能,以及在企業(yè)組網(wǎng)范圍內(nèi)實(shí)現(xiàn)
戶對網(wǎng)絡(luò)資源的訪問。和管理這些功能。在企業(yè)這一級 Windows NT的安全體系基于域、用戶和組的概念,限制用 這之后的的詞天登向民?
能對任一 Windows NT資源訪問前,他們必須首先登錄并被 Windows NT所確認(rèn),且在工作站 安全性在 Windows NT最初的設(shè)計(jì)規(guī)格書中就已包括并滲透在整個操作系統(tǒng)中。在用戶
接, Windows NT能提供這種本地安全性,是因?yàn)槊恳慌_機(jī)器都有一個 Windows NT.服務(wù)器的 和服務(wù)器層次都要求有確認(rèn)工作。獲得最初級的資源保護(hù)并不要求和 Windows NT服務(wù)器連
賬戶和安全策略數(shù)據(jù)庫的副本。這一安全機(jī)制包括控制誰能訪問哪些對象(如文件和共享打
Windows NT Server集體式的領(lǐng)域和安全管理特性,使它成為能為大多數(shù)公司提供客戶 印機(jī)),決定某人針對某一對象能做什么和什么事件被審計(jì)。的用Aと工想
服務(wù)器值得推薦的選擇,因?yàn)榘踩院凸ぷ麝P(guān)系的管理會很快變得不可控制。的 機(jī)服務(wù)器計(jì)算的可取方案。在點(diǎn)到點(diǎn)的體系中使用 Windows NT Workstation并不是客戶機(jī)
Windows NT操作系統(tǒng)。Windows NT的安全子系統(tǒng)是個集成手系統(tǒng),而不是環(huán)境子系統(tǒng),因?yàn)樗绊懻麄€ 間も店、、
安全子系統(tǒng)的組成部分有:同的田點(diǎn)00支
或多個 Windows NT系統(tǒng)中。網(wǎng)絡(luò)配置的類型包括 ?當(dāng)一個系統(tǒng)里有不同的用戶賬戶時,本地的SAM數(shù)據(jù)庫就會被訪間;
當(dāng)系統(tǒng)配置為有集中用戶賬戶信息的單一的域時,SAM數(shù)據(jù)庫處于域控制器中
?在主坡配置中,用戶賬戶也是集中放置的,SAM數(shù)據(jù)庫位于主域控制器(PDC)中,并將
其備份復(fù)制到備份域控制器(BDC)中。
3.安全參考監(jiān)視器(SRM)。如圖2-4所示,作為 Windows NT的一個組成部分,SRM以
種核心模式運(yùn)行。它負(fù)責(zé)完善LSA所要求的有效性訪問和階段審查策略。ISRM為對象的
有效性訪問提供服務(wù)并為用戶賬戶提供訪問特權(quán)。同時它還負(fù)責(zé)阻止沒有獲得授權(quán)的用戶對
對象的訪問。為了確保所有類型的對象都得到保護(hù),SRM在系統(tǒng)中只維持一個有效性訪問代
嗎的持貝。用戶在要求訪間對象時必須具有SRM有效性訪間,而不能直接對對象進(jìn)行訪問。
の、し同今回
SRM
文件對象ACL 程個出
授權(quán)訪回」圖速圖
圖24SRM訪問確認(rèn)過程完さ一外司全
當(dāng)用戶要求訪問一個對象時,系統(tǒng)就會將文件的安全描述器里的信息與儲存在用戶訪問
標(biāo)記里的SID信息進(jìn)行比較,如果具有足夠的權(quán)利,用戶就可以對對象進(jìn)行訪間。安全描述
器由對象的訪問控制列表(ACL)中所有的訪問控制條目(ACE)組成。如果對象有訪問控制列
表(ACL),SRM將核查ACL中所有的訪問控制條目(ACE),以判定對對象的訪問是否合法。如果對象沒有訪問控制列表(ACL),則SRM將自動允許所有用戶都能訪問該對象。如果對
象有訪問控制列表(ACL)卻沒有訪問控制條目(ACE),則對所有的訪問請求都將被拒絕。當(dāng)
SRM允許對對象進(jìn)行訪問后,就沒有必要再對用戶訪問某一特定的對象進(jìn)行有效性檢查。在
用戶被確認(rèn)為合法用戶時將生成一個句柄。這之后的所有對對象的訪問都可以通過句柄來完
海只縣,國群路氣民的メ兩驗(yàn),で的溫個
2.4.2.2 Windows NT的登錄機(jī)制 11最氣阻有
Windows NT要求每一個用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上;這種強(qiáng)制性登
錄過程不能關(guān)閉。與自型,動的大存具3taW出要 強(qiáng)制性登錄和使用Crl+Alt+Del啟動登錄過程的好處是:氣m的
個?強(qiáng)制性登錄過程用以確定用戶身份是否合法;從而確定用戶對系統(tǒng)資源的訪問權(quán)限。
?在強(qiáng)制性登錄期間,掛起對用戶模式程序的訪問,這便可以防止有人創(chuàng)建或偷奇用戶賬
號和口令的應(yīng)用程序。例如入侵者可能會模仿個 Windows NT的登錄介面,然后讓用戶進(jìn)
行登錄從而獲得用戶登錄名和相應(yīng)的密碼。使用Ctrl+Alt+Del會造成用戶程序被終止,而
真正的登錄程序可以由Curl+Al+Del啟動,這就是為什么阻止這種欺騙行為的發(fā)生
強(qiáng)制登錄過程允許用戶具有單獨(dú)的配置,包括桌面和網(wǎng)絡(luò)連接,這些配置在用戶登錄后
自動調(diào)出,退出時自動保存。這樣,多個用戶可以使用同一臺機(jī)器,網(wǎng)站建設(shè)并且仍然具有他們自己的
本文地址:http://m.123beaconmarketing.com//article/3733.html