搜索
声明:本文件由杨晓龙和刘泽霖两人根据老师最后一节课所提的复习题为来源,摘抄的书上与问题相关部分的内容,并非答案,非官方,旨在于方便大家考试时查阅,禁止用作他处。我二人对由此产生的任何不良影响不负任何责任。使用此文档即表示你已经同意这则声明。从操作系统本身而言,WindowsNT系统主要具有哪些特点?�32位操作系统,多重引导功能,可与其他操作系统共存。�实现了“抢先式”多任务和多线程操作。�采用SMP(对称多处理)技术,支持多CPU系统。�支持CISC(如Intel系统)和RISC(如PowerPC、R4400等)多种硬件平台。�可与各种网络操作系统实现互操作,如:UNIX、NovelNetware、Macintosh等系统;对客户操作系统提供广泛支持,如MS-DOS、Windows、WindowsNTWorkstation、UINX、OS/2、Macintosh等;支持多种协议:TCP/IP、NetBEUI、DLC、AppleTalk、NWLINK等。�安全性达到美国国防部的C2标准。1.WindowsNT系统在系统和网络安全性上引入了哪些新的概念?�NTFS(WindowsNTFileSystem):WindowsNT采用的新型文件系统,可提供安全存取控制及容错能力,在大容量磁盘上,它的效率比FAT高。�共享权限:支持对网络资源设置一定的权限许可,没有得到权限许可,就无法访问网络资源。�用户账户(UserAccount):要想使用网络资源,就必须有用户账户。WindowsNT对用户和服务程序,都要求提供合法账户。专为应用程序或服务进程创建的账户即服务账户,在系统启动时,服务进程使用服务账户登录以获得在系统中使用资源的权利和权限。普通用户账户由用户登录时提供,用于WindowsNT控制该用户在系统中的权利和权限,与服务账户本质上没有区别。�域(Domain):域是WindowsNT中数据安全和集中管理的基本单位。网络由域组成,域具有惟一的名称。域可以看作由运行NT的服务器组成的系统,一组电脑共用相同的账户及安全数据库。�工作组(Workgroup):工作组是一种资源与系统管理都分散的网络结构。在工作组的范围里,每台电脑既可以充当服务器的角色,也可以充当工作站的角色,彼此之间是平等关系。�权限(Right):权限是授权某用户可以在系统上执行某些操作。权限用来保护系统整体。�许可(Permission):许可用来保护特定对象。许可规定可以使用某一对象的用户以及用什么方法使用。�安全审核:WindowsNT将记录发生在电脑上各项与安全系统相关的过程。2.活动目录的概念和作用分别是什么,包括哪些组成部分?活动目录(ActiveDirectory,AD)服务是Windows2000安全模型灵活性与可扩展性的核心,它提供了完全集成于Windows2000的一个安全、分布式、可扩展以及重复的分层目录服务。活动目录替代了WindowsNT早期版本中域控制器的注册表数据库内的安全账户管理器(SecurityAccountsManager,SAM),从而成为用户账户、工作组和口令等安全信息的主要存储区域。同样地,活动目录形成了本地安全授权(LocalSecurityAuthorization,LSA)的一个可信任组件。换句话说,活动目录既为支持验证而存储了用户证书,也为支持授权访问系统资源而存储了访问控制信息。活动目录主要包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理容器,目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应用管理。3.请简述Kerberos协议的思想,并描述一次典型的操作过程。Windows2000使用Internet标准KerberosV5协议(RFC1510)作为验证用户身份的主要方法。Kerberos协议提供在客户机和服务器之间的网络连接打开前交互身份验证的机制。此方法对包含开放通信(如那些已经在Internet上实现的)的网络来说是非常理想的。Kerberos验证协议定义了客户、资源和网络验证服务(密钥分配中心、KDC)之间的安全交互。在Windows2000中,KDC是作为每个域控制器上的验证服务来实现的。通过把活动目录当作用户(主体)和工作组的账户数据库,Windows2000域变成了Kerberos域的一个等价物。Windows2000将Kerberos协议完全集成到了Winlogon单一登录体系结构之中,提供了身份验证和访问控制功能。Kerberos协议是基于“票据”的思想。票据是由密钥分发中心(KDC)的可信颁发机构颁发的加密数据包。票据可以证明用户的身份,同时还携带了其他信息。KDC为其颁发机构范围或“领域”内的所有用户提供票据,它提供身份验证服务和票据授予服务这两项服务。在Windows2000中,每个域控制器就是一个KDC,而域控制器的领域与其所在的域对应。Kerberos协议的操作过程其实比较简单,如图1-3所示。登录时,用户向KDC验证自己的身份,KDC为用户提供一个初始票据,称为TGT(TicketGrantingTicket,票据授予票据)。此后,当用户需要使用网络资源时,其用户会话将TGT提交给域控制器,并请求特定的资源票据,即ST(ServiceTicket,服务票据)。然后,用户将ST提交给资源,由资源授权访问。4.配置IPSec协议可以完成哪些安全功能?�根据Kerberos身份验证、数字证书或共享机密密钥(密码)来验证IP数据包发送者身份。�确保在网络上传送的IP数据包的完整性。�按照绝密等级对所有在网络上传送的数据进行加密。�在数据传输过程中,隐藏IP源地址。第二章:1.请解释WindowsNT系统安全体系结构中内核模式和用户模式之间的区别。应用程序及其子系统运行在用户模式下。该模式拥有较低特权,不能对硬件直接进行访问。用户模式的应用程序被限定在由操作系统所分配的内存空间内,不能对其他内存地址空间直接进行访问。用户模式只能使用特殊的应用程序编程接口(API)来从内核模式组件中申请系统服务。用户模式中包含有以下一些主要的子系统。�Win32子系统:这是主要的应用程序子系统,所有的32位Windows应用程序都运行在这个子系统之下。�本地安全子系统:用来支持Windows的登录过程,包括对登录的身份验证和审核工作。安全子系统需要和Win32子系统进行通信。�OS/2子系统:被设计用来运行和OS/21.x相兼容的应用程序。�POSIX子系统:被设计用来运行和POSIX1.x相兼容的应用程序。而内核模式中的代码则具有极高的特权,可以直接对硬件进行操作以及直接访问所有的内存空间,并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。组成内核模式的整套服务被称为“执行服务”(有时也被称为WindowsNTExecutive)。执行服务通过响应用户模式下应用程序发出的请求来提供内核模式服务。WindowsNT系统的用户模式中包含哪些安全子系统?见上请说明FAT文件系统和NTFS文件系统的不同点。,WindowsNT4.0的安全性能在很大程度上依赖于NTFS文件系统。所谓NTFS,即NTFileSystem(NT文件系统),它是从WindowsNT所开始采用的独特文件系统结构。NTFS建立在保护文件和目录数据基础上,同时以节省存储资源、减少磁盘占用率为设计目的。NTFS较FAT文件系统而言,功能更强大,适合更大的磁盘和分区,支持安全性,是更为完善和灵活的文件系统。NTFS文件系统为WindowsNT服务器或工作站提供了必需的安全保障,它的安全特性主要体现在以下几个方面。�在NTFS分区上支持随机访问控制和拥有权,对共享文件夹可以指定权限,以免受到本地访问或远程访问的影响。�对于在计算机上存储文件夹或单个文件,或者是通过连接到共享文件夹访问的用户,都可以指定权限,以使每个用户只能按照系统赋予的权限进行操作,充分保护了系统和数据的安全。�NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障等问题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。正是由于具备了这些安全特性,WindowsNT下网络资源的本地安全性是通过NTFS权限许可来实现的。在一个格式化为NTFS的分区上,每个文件或者文件夹都可以被单独地分配一个许可,这个许可使得这些资源具备更高级别的安全性。用户无论是在本机还是通过远程网络访问这些设置有NTFS许可的资源,都必须具备访问这些资源的权限。此外,NTFS支持对单个文件或者整个文件夹进行压缩。这种压缩不同于FAT文件系统中对驱动器卷的压缩,其可控性和速度均要好得多。NTFS文件系统还具备其他一些优点,例如:对于超过4GB以上的磁盘,使用NTFS分区可以减少磁盘碎片的数量,大幅度提升磁盘的利用率;NTFS可支持的磁盘分区大小可达64GB,远大于FAT32可支持的4GB;支持长文件名等。请说明工作组和域之间的不同之处。工作组(Workgroup)是一个不共享任何用户账户信息和组账户信息的小型WindowsNT系统集合。工作组中每个系统之间是彼此独立的,在进行验证时都使用系统自身的SAM数据库。所以,这种配置仅适用于最小型的环境,否则将是难以管理的,并且根本无法集中进行控制。不同于工作组的独立和松散,WindowsNT4.0域是具有集中安全授权机构(如主域控制器,PDC)的一批计算机。它至少应该由一台PDC和若干台工作站和成员服务器所组成。在实际情况中,域中一般还存在备份域控制器(BDC),它用来提供整个域SAM数据库的多份完全复本,以提高有效性,并可以用来向多台服务器提供分布式的验证服务。WindowsNT域为用户、组和计算机账户定义了安全边界的管理范围。由于集中安全授权机构的存在,一个域就允许在这个域中的所有用户共享普通的用户账户数据库和普通的安全策略,并不再需要每台计算机都各自提供自己的验证服务。一旦某用户通过了PDC或者BDC的域验证,那么该用户就可以在具有必要权限的域和主体内的任何地方访问资源了。两个域之间的信任关系有哪两种?WindowNT系统的工作组和域之间能否建立起信任关系?两个域之间的信任关系有如下两种。�单向信任关系:信任只存在于一个方向上,即只是一个域信任另外一个域,反之则不然。信任域信任被信任域中的用户,允许被信任域中的用户访问信任域中的资源。�双向信任关系:信任建立在两个方向上,两个域之间彼此信任对方,每个域中的用户账户都可以授权访问另一个域中的资源。信任关系只限于域和域之间,WindowsNT域与工作组之间不能建立信任关系。当域之间建立起信任关系之后,被信任域中的全局组可以成为信任域中的本地组成员,信任域可以在域中为该本地组指定资源访问许可和权限。在带信任关系的多域环境中,组策略一般也是把用户加入全局组,再将全局组加入本地组。只不过全局组在被信任域中定义,本地组在信任域中定义。信任关系之间也不具有传递性。如果我们假设域A信任域B,域B信任域C,那么将无法推出域A信任域C的结论。13.根据域之间的信任关系,我们可以创建哪些域模型?各种域模型的特点和适用对象是什么?我们可以利用信任这个基本概念创建多个域模型。每个域模型具有不同的管理效果,在特定的环境中都具有其特殊的优势。(1)单域模型采用单域模型(SingleDomainModel)的网络环境中只有一个域,不具有信任关系。单域模型的优势在于可以进行集中的账户管理和资源访问控制,适用于网络规模小,用户数不多的小型组织。(2)主域模型采用主域模型(MasterDomainModel)的网络环境中具有多个域。所有用户账户集中在某个域中(账户域)进行管理,我们称这个域为主域;而其他域则信任这个账户域,我们称之为资源域,如存放文件与打印服务器的域。用户放在主域的全局组内,并且这些组被加入到适当资源域的本地组中。账户域的域管理员负责管理用户账户,而每个资源域的