第1页共16页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共16页操作系统安全第一章安全法则概述:基本概念NT的安全性UNIX的安全性一、基本概念:1、安全级别:低安全性:在一个安全的位置,没有保存扫描病毒敏感信息中等安全性:保存公众数据,需要被多人使设置权限,激活审核,实现账号策略用高安全性:位于高风险的位置,保存有敏感最小化操作系统的功能,最大化安全机制信息2、安全机制:具体的安全机制:环绕机制:在进程或系统之间加密数据签名机制:抗抵赖性和抗修改性填充机制:增加数据捕获的难度访问控制机制:确保授权的合法性数据统一性机制:确保数据的顺序发送广泛的安全性机制:安全标记:通过指出数据的安全性级别来限制对数据的访问信任机制:提供了敏感信息的传输途径审核:提供了监控措施安全恢复:当出现安全性事件的时候采取的一组规则3、安全管理:系统安全管理:管理计算机环境的安全性,包括定义策略,选择安全性机制,负责审核和恢复进程安全服务管理:安全机制管理:实现具体的安全技术二、NT的安全性:当一个系统刚安装好的时候,处于一个最不安全的环境1、NT的安全性组件:第2页共16页第1页共16页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共16页随机访问控制:允许对象的所有人制定别人的访问权限对象的重复使用:强制登陆:审核:通过对象来控制对资源的访问对象:将资源和相应的访问控制机制封装在一起,称之为对象,系统通过调用对象来提供应用对资源的访问,禁止对资源进行直接读取包括:文件(夹),打印机,I/O设备,视窗,线程,进程,内存安全组件:安全标识符:SID,可变长度的号码,用于在系统中唯一标示对象,在对象创建时由系统分配,包括域的SID和RID。创建时根据计算机明、系统时间、进程所消耗CPU的时间进行创建。S-1-5--500AdministratorAuseraccountforthesystemadministrator.Thisaccountisthefirstaccountcreatedduringoperatingsysteminstallation.Theaccountcannotbedeletedorlockedout.ItisamemberoftheAdministratorsgroupandcannotberemovedfromthatgroup.S-1-5--501GuestAuseraccountforpeoplewhodonothaveindividualaccounts.Thisuseraccountdoesnotrequireapassword.Bydefault,theGuestaccountisdisabled.S-1-5-32-544AdministratorsAbuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberofthegroupistheAdministratoraccount.Whenacomputerjoinsadomain,theDomainAdminsgroupisaddedtotheAdministratorsgroup.Whenaserverbecomesadomaincontroller,theEnterpriseAdminsgroupalsoisaddedtotheAdministratorsgroup.TheAdministratorsgrouphasbuilt-incapabiltiesthatgiveitsmembersfullcontroloverthesystem.Thegroupisthedefaultownerofanyobjectthatiscreatedbyamember第3页共16页第2页共16页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共16页ofthegroup.S-1-5-32-545UsersAbuilt-ingroup.Aftertheinitialinstallationoftheoperatingsystem,theonlymemberistheAuthenticatedUsersgroup.Whenacomputerjoinsadomain,theDomainUsersgroupisaddedtotheUsersgrouponthecomputer.Userscanperformtaskssuchasrunningapplications,usinglocalandnetworkprinters,shuttingdownthecomputer,andlockingthecomputer.Userscaninstallapplicationsthatonlytheyareallowedtouseiftheinstallationprogramoftheapplicationsupportsper-userinstallation.实验:察看用户的SID访问控制令牌:包含创建:仅在用户登录的时候,刷新第4页共16页第3页共16页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共16页作用:访问资源的凭证安全描述符:每一个对象都具有,包括对象的SID,组的SID,随机访问控制列表和系统访问控制列表访问控制列表:进行访问控制和审核的方式,由一系列ACE构成DACL:控制资源的访问类型和深度SACL:控制对资源的审核ACLACE:表示一个用户对此资源的访问权限,拒绝优先于允许访...
