清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 第5章 WindOws nt/2000的安全与保护措施 51 Windows nt2000系统的安全基础 52 Windows nt/2000的安全模型 53 Windows nt2000用户登录与账户管理 54用活动目录管理 Windows2000的账户 55 Windows nt2000系统的访问控制与权限 56 Windows nt2000系统数据保护措施 57 Windows nt2000系统的缺陷 58常见破解 Windows nt2000密码的方法及防范措施 59 Windows nt2000的安全管理 510利用输入法漏洞本地入侵 Windows2000的防范
第5章 Windows NT/2000的安全与保护措施 5.1 Windows NT/2000系统的安全基础 5.2 Windows NT/2000的安全模型 5.3 Windows NT/2000用户登录与账户管理 5.4 用活动目录管理Windows 2000的账户 5.5 Windows NT/2000系统的访问控制与权限 5.6 Windows NT/2000系统数据保护措施 5.7 Windows NT/2000系统的缺陷 5.8 常见破解Windows NT/2000密码的方法及防范措施 5.9 Windows NT/2000的安全管理 5.10 利用输入法漏洞本地入侵Windows 2000的防范
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 当前, WindOws nt/2000作为服务器操作系统平台, 越来越受到用户的欢迎。在 Internet上采用 Windows nt/2000为服务器的站点越来越多,同时 众多企业已经采用它作为企业计算、各项服务和局 域网的解决方案。既然 WindOws nt/2000的服务器 对于网络而言,特别是在连接到 Internet上以后, 其安全性能远超过DOS、 Windows95/98/ME,甚 至可以与UNⅨ系统的安全相媲美。 但是, Windows nt2000与UNIX系统一样,也存在 着不少安全漏洞,如输入法登录漏洞、安全账号管 理(SAN)问题、数据库的复制问题、特洛伊木马与 SAN问题、 Administrator访问权问题、 GUEST账 号问题等等。如果不了解这些安全漏洞,不采用
当前,Windows NT/2000作为服务器操作系统平台, 越来越受到用户的欢迎。在Internet上采用 Windows NT/2000为服务器的站点越来越多,同时 众多企业已经采用它作为企业计算、各项服务和局 域网的解决方案。既然Windows NT/2000的服务器 对于网络而言,特别是在连接到Internet上以后, 其安全性能远超过DOS、Windows 95/98/ME,甚 至可以与UNIX系统的安全相媲美。 但是,Windows NT/2000与UNIX系统一样,也存在 着不少安全漏洞,如输入法登录漏洞、安全账号管 理(SAN)问题、数据库的复制问题、特洛伊木马与 SAN问题、Administrator访问权问题、GUEST账 号问题等等。如果不了解这些安全漏洞,不采用
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 相应的安全对策和防范措施,就会使系统完全暴 露在黑客的入侵范围之内,随时随地遭受毁灭性攻 击。因此,在使用 Windows nt/2000网络和操作系 统时,一定要熟悉 Windows nt/200安全基础、 登录机制、安全策略、安全机制和防范措施。这样, 才能降低遭受威胁和攻击的风险 因此,本章主要介绍 WindOws nt/2000的安全与保护 措施,包括以下几部分内容: Windows nt/2000的安全基础; Windows nt2000的安全模型; Windows nt/2000用户的登录机制; Windows nt/2000的访问控制机制;
相应的安全对策和防范措施,就会使系统完全暴 露在黑客的入侵范围之内,随时随地遭受毁灭性攻 击。因此,在使用Windows NT/2000网络和操作系 统时,一定要熟悉Windows NT/2000的安全基础、 登录机制、安全策略、安全机制和防范措施。这样, 才能降低遭受威胁和攻击的风险。 因此,本章主要介绍Windows NT/2000的安全与保护 措施,包括以下几部分内容: Windows NT/2000的安全基础; Windows NT/2000的安全模型; Windows NT/2000用户的登录机制; Windows NT/2000的访问控制机制;
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS Windows nt/2000的安全配置与权限设置; Windows nt2000的安全管理与数据保护措施; Windows nt/2000的安全漏洞及防范措施。 作为网络管理员和用户,在配置和使用 Windows NT/2000网络时,必须首先弄清楚这些问题,才可 以安全地运行和访问网络
Windows NT/2000的安全配置与权限设置; Windows NT/2000的安全管理与数据保护措施; Windows NT/2000的安全漏洞及防范措施。 作为网络管理员和用户,在配置和使用Windows NT/2000网络时,必须首先弄清楚这些问题,才可 以安全地运行和访问网络
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 5 1 WindOws nt2000系统的安全基础 Windows nt/200操作系统不同于 Windows 95/98∧ME操作系统,在其设计的初期就把网络连接、 安全和审核报告作为操作系统的核心功能之一。可 以说, WindOws nt/200.操作系统就是建立在一套 完整的安全机制上的,因而任何一个机构,在使用 Windows nt/2000前都必须指定它们的安全策略。 这些策略要详细说明该机构对登录机制、访问控制、 信息保护及审核的要求。用户可以用 Windows NT/2000来配置网络,使信息能够按需要知道的部 门]和用户群来分类并控制非法用户的访问。同时, NT/2000系统还使得用户能够将网络和有组织的资 源当作对象组来进行管理,并改善身份确认和访问
5.1 Windows NT/2000系统的安全基础 Windows NT/2000操作系统不同于Windows 95/98/ME操作系统,在其设计的初期就把网络连接、 安全和审核报告作为操作系统的核心功能之一。可 以说,Windows NT/2000操作系统就是建立在一套 完整的安全机制上的,因而任何一个机构,在使用 Windows NT/2000前都必须指定它们的安全策略。 这些策略要详细说明该机构对登录机制、访问控制、 信息保护及审核的要求。用户可以用Windows NT/2000来配置网络,使信息能够按需要知道的部 门和用户群来分类并控制非法用户的访问。同时, NT/2000系统还使得用户能够将网络和有组织的资 源当作对象组来进行管理,并改善身份确认和访问
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 控制的安全措施。只有将企业的安全策略和 NT/2000操作系统的底层的安全机制有机地结合起 来,才能充分发挥 Windows nt/200各项安全特 性。 尽管 Windows nt/2000安全机制比较全面,但是那种 认为安装上 Windows nt/200操作系统后就万事大 吉的想法是很天真的。这是因为操作系统安全漏洞 很多,也面临威胁和攻击,自身并不能解决安全问 题。只有在制订精细的安全策略并进行正确配置和 对象访问控制后,用户才能用NT/2000来构建一个 高度安全的系统。 由于 Windows nt2000服务器和 Windows nt2000工 作站的安全机制是相同的,因此,这里只介绍 WindOws nt2000服务器的安全机理
控制的安全措施。只有将企业的安全策略和 NT/2000操作系统的底层的安全机制有机地结合起 来,才能充分发挥Windows NT/2000的各项安全特 性。 尽管Windows NT/2000安全机制比较全面,但是那种 认为安装上Windows NT/2000操作系统后就万事大 吉的想法是很天真的。这是因为操作系统安全漏洞 很多,也面临威胁和攻击,自身并不能解决安全问 题。只有在制订精细的安全策略并进行正确配置和 对象访问控制后,用户才能用NT/2000来构建一个 高度安全的系统。 由于Windows NT/2000服务器和Windows NT/2000工 作站的安全机制是相同的,因此,这里只介绍 Windows NT/2000服务器的安全机理
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 511 Windows nt系统的安全基础概念 Windows nt的安全机制是建立在对象的基础之上, 因而对象的概念在整个与安全相关的主题中,都占 有相当重要的地位。本节将介绍一些 Windows nt 环境里对象的概念,将对 Windows NT服务器和 WindOws nt工作站之间,以及域与工作组之间的 差别进行讨论。还将讨论与 Windows nt注册表和 C2级安全相关概念的一些术语。 1. Windows nt中的对象 对象是构成 Windows nt操作系统的基本元素,对象 可以是文件、目录、存储器、驱动器、系统程序或 Windows桌面等
5.1.1 Windows NT系统的安全基础概念 Windows NT的安全机制是建立在对象的基础之上, 因而对象的概念在整个与安全相关的主题中,都占 有相当重要的地位。本节将介绍一些Windows NT 环境里对象的概念,将对Windows NT服务器和 Windows NT工作站之间,以及域与工作组之间的 差别进行讨论。还将讨论与Windows NT注册表和 C2级安全相关概念的一些术语。 1. Windows NT中的对象 对象是构成Windows NT操作系统的基本元素,对象 可以是文件、目录、存储器、驱动器、系统程序或 Windows桌面等
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 对象为 WindOws nt操作系统提供了较高的安全级。 对外来者,它们的数据封装在对象中,并只按对象 的功能所定义的方式提供数据。对所有对象的操作 都必须事先得到授权并由操作系统来执行。这就建 立起一个保护层,可以有效地防止外部程序直接访 问网络数据。 WindOws nt正是通过阻止程序直接 访问对象来获得高的安全级的。在 Windows nt中, 对象的属性可以用安全描述器和存储标识来设定和 保护。可被设定的属性包括以下几个方面 (1)指明谁是对象的所有者和使用者的安全身份号 (SID) (2)只能被可移植操作系统界面POSⅨ)子系统使用 的组安全身份号SID)
对象为Windows NT操作系统提供了较高的安全级。 对外来者,它们的数据封装在对象中,并只按对象 的功能所定义的方式提供数据。对所有对象的操作 都必须事先得到授权并由操作系统来执行。这就建 立起一个保护层,可以有效地防止外部程序直接访 问网络数据。Windows NT正是通过阻止程序直接 访问对象来获得高的安全级的。在Windows NT中, 对象的属性可以用安全描述器和存储标识来设定和 保护。可被设定的属性包括以下几个方面: (1) 指明谁是对象的所有者和使用者的安全身份号 (SID)。 (2) 只能被可移植操作系统界面(POSIX)子系统使用 的组安全身份号(SID)
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS (3)包含用户和组访问许可权限的可自由决定的访问 控制列表,此列表由对象所有者控制。 (4)控制审核信息生成的系统访问控制列表(ACL。 共有两种形式的对象,即集装箱式的对象和非集装 箱式的对象。集装箱式的对象可以容纳别的对象, 而非集装箱式的对象则不能容纳别的对象。例如, 目录是集装箱式的对象,而文件则是非集装箱式的 对象。在父集装箱式对象中所生成的子对象,可以 拥有父集装箱式对象所有的许可权限。 2. WindOws nt网络的工作组模型 在 WindOws nt网络中有两种基本的组网模型:工作 组模型和域模型
(3) 包含用户和组访问许可权限的可自由决定的访问 控制列表,此列表由对象所有者控制。 (4) 控制审核信息生成的系统访问控制列表(ACL)。 共有两种形式的对象,即集装箱式的对象和非集装 箱式的对象。集装箱式的对象可以容纳别的对象, 而非集装箱式的对象则不能容纳别的对象。例如, 目录是集装箱式的对象,而文件则是非集装箱式的 对象。在父集装箱式对象中所生成的子对象,可以 拥有父集装箱式对象所有的许可权限。 2. Windows NT网络的工作组模型 在Windows NT网络中有两种基本的组网模型: 工作 组模型和域模型
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 在工作组模型的网络中,组是指计算机的逻辑组合, 它把具有共同目的的设置如打印机、硬盘供组成员 共享,组成员管理自己的账号和数据的安全性,如 图51所示
在工作组模型的网络中,组是指计算机的逻辑组合, 它把具有共同目的的设置如打印机、硬盘供组成员 共享,组成员管理自己的账号和数据的安全性,如 图5.1所示