操作系统安全

1第一章1.Windows安全属于哪一级别？2.windows安全体系结构WindowsNT体系结构分为内核模式（KernelMode）和用户模式（UserMode）内核模式中的代码具有极高的特权，可以直接对硬件进行操作和直接访问所有的内存空间本地安全子系统:支持Windows的身份验证，审核核心为LSA(localsecurityauthentication)需和win32子系统通信用户模式中的代码拥有较低的特权，不能对硬件直接进行访问，内存访问受限。组成内核模式的整套服务被称为执行服务对象管理器（OM:ObjectManager）安全引用监控器（SRM:securityreferencemonitor）3.于信任NT/2003是否可传递？WindowsNT的信任关系是单向且不具传递性A--B&B--CA--C但2000以后默认信任关系是双向且可传递活动目录1.活动目录组件(1)活动目录中资源组织的逻辑结构组织组织单位主要用来委派对用户、组及资源集合的管理权限。组织单位是委派管理权限的最小分组，其特殊在于可连接组策略。单位（OrganizationalUnit,OU）域（Domain）同一个域中的计算机共享配置，架构和全局编录域是网络中复制和安全管理的基本单元域树(Tree)有连续命名空间的多个域称为树。所谓具有连续的命名空间即多个域有相同的上级域名。2域森林(Forest)不构成连续命名空间的域树的集合，这些目录树通过双向的可传递信任关系链接在一起。(2)物理结构站点（Site）站点：是指一个由高速连接所形成的较快通信速率网络。（一般指局域网LAN）它们主要用于：确定复制拓扑，以便进行有效而快速的复制。活动目录信息的保存：每个域控制器活动目录中保存的信息被分成三类：域数据、架构和配置数据域数据：包含该域内所有对象信息，这些信息被复制到该域的每个域控制器（不超出该域的范围）架构数据：定义了可在ActiveDirectory中存储哪些对象、属性和操作规则。属于目录林的范畴，在林中的每一个域控制器上存储。配置数据：定义了复制拓扑及与AD配置有关的其他数据(即其中存在哪些域，域控制器的位置等等)，对域森林中所有域通用，也被复制到森林的所有域控制器。设域控制器是GC服务器，还将保存第四种信息为所有域保存“域数据”的部分副本（GC保存的属性子集包括那些在搜索操作中最常用的属性）2.活动目录对象---对象标准属性和命名规则，及不同环境中的对象名称对象的标准属性1)DN(DistinguishedName识别名称)和RDN(RelativeDistinguishedName相对识别名称)DN定义了LDAP中到对象的完整路径。完整路径包括对象名称以及直到域根节点的所有父对象名称，DN标识了域层次中的唯一对象;RDN则是DN中属于对象完整路径属性的一部分2)全局唯一标识符（GUID）GUID是在对象创建时由活动目录分配的128位数字。目录数据存储区中的每一对象都具有的唯一标识。GUID不能被修改和删除。3)ACL(AccesscontrolList)4)安全主体名称安全主体分三类：用户，组，计算机。安全主体名称是在单个域内用来唯一标识用户、计算机或组的名称安全主体名称在域内必须唯一，而在域间则无需唯一5)安全标识符SID是Windows系统安全子系统为安全主体对象（即用户、组和计算机账户）创建的唯一数字（48位），属于主体属性Windows系统的内部进程引用的是账户的SID，而不是账户的用户或组名。活动目录将为以上这些属性生成具体的值，而其他属性值由人输入。命名规则1.安全主体名称33.活动目录安装及客户机加入域（两种方法）4.能够为企业网建立相应的逻辑结构身份验证1.交互式本地登录、域登录各组件作用（考）Windows2000系统的交互式登录需要下面三个系统组件：Winlogon.exe、GINA（GraphicalIdentificationandAuthentication,图形化标识与验证）的动态链接库和网络提供程序的动态链接库。本地登陆：4域登陆：52kerberos用户身份验证服务和票据授予服务过程63.账户安全策略（远程登陆）（考）访问控制（选择+简答）1.Windows的访问控制模型及组件强制访问控制（Mandatoryaccesscontrol：MAC）自主访问控制（Discretionaryaccesscontrol:DAC）主流操作系统，防火墙（ACLs）等都是基于自主访问控制机制来实现访问控制。基于角色的访问控制（Rolebasedaccesscontrol:RBAC基于任务的访问控制模型(TBAC)基于属性的访问控制模型使用控制模型UCON2.主体和客体的安全描述在Windows2000系统中，安全主体（SecurityPrincipal）不仅仅包括用户，还包括组和服务等主动的实体；而客体则包括文件、文件夹、打印机、注册表、活动目录项以及其他对象。客体的安全描述7用户登录时，系统为其创建访问令牌用户启动程序时，线程获取令牌的拷贝程序请求访问客体时，提交令牌。系统使用该令牌与客体的安全描述进行比较来执行访问检查和控制3.用户和组：本地组和域组（全局组，域本地组，通用组）(考）（1）本地组（localgroup）是本地计算机上的用户账户的集合。可使用本地组给本地组所计算机上的资源分配权限。Windows2000在本地安全性数据库（SAM）中创建本地组。意将这个本地组同具有域本地作用域的ActiveDirectory组区别开来。使用本地组的原则如下，□只可在创建本地组的计算机上使用本地组。本地组权限只提供对本地组所在计算上资源的访问。□可在运行Windows2000的非域控制器的计算机上使用本地组，不能在域控制器创建本地组。这是因为域控制器不能拥有与ActiveDirectory服务中数据库独立安全性数据库。□可使用本地组来限制本地用户和组访问网络资源的能力，而无须创建域组。能够添加到本地组的用户必须满足如下条件。□本地组只包含来自本地组所在计算机上的本地用户账户。□本地组不能使其他任何组的成员。（2）域本地组(DomainLocalGroup)在管理域资源时，我们一般会把权限指派给本地域组。而不会直接指派给用户账户。成员：同一个域中的其他本地域组；森林中的任何域的用户成员；整个森林的全局组和通用组特点：仅管理本地域内的资源在创建它的域中，只能在这个域中复制，不会出现在GC中（3）全局组(GlobalGroup)在实际应用中一般会把隶属同一部门的用户组织成全局组，然后再将全局组加入某本地域组中。总之，全局组是用来组织某个域的用户账户的，让这些账户一次获得相同的权限。全局组成员：同一个域的用户；同一个域的其他全局组特点：其用户成员可访问任何域中的资源；存储在创建它的域中，只能在这个域中复制出现在GC中，但它的成员不出现。（4）通用组(UniversalGroup)通用组和全局组一样，可指派森林中的任何资源的权限给用户，通用组是为了简化多域的管理。通用组成员：成员可来自森林中的任何域成员：用户账户、全局组、通用组特点：可访问任何域中的资源；存储在全局编录GC中。文件系统1.NTFS权限82.加密文件系统（EFS）(考）9EFS的优势与局限性加密文件系统的优势●基于公钥与文件系统紧密结合的加密技术●无需管理上的设置即可使用，在操作上对用户完全透明。●支持对单个文件或整个卷的加解密。●提供内置的数据恢复支持。加密文件系统的局限性●增加花费，降低性能●病毒监测程序无法起到作用●其他(%systemroot%文件夹或根目录中)3.磁盘配额（不考）4.网络共享网络共享的最终访问权限NTFS权限NTFS权限指定了用户如何查看及使用本地计算机上数据的限制（包括本地登录的用户）共享权限10指通过网络连接到共享文件夹的用户的最大权限AD中共享文件夹的权限对活动目录用户访问共享的进一步限制5.动态卷（考）●简单卷(1)是单独的一个卷，与基本磁盘分区相似，但无空间和数量限制，当空间不够时可通过扩展卷来扩充空间（系统卷，启动卷，带区卷，镜像卷、RAID-5卷不能扩展）。(2)如果计算机只安装了一个硬盘驱动器，则只能选择简单卷(3)保证磁盘有1M没被使用●跨区卷(1)将简单卷扩展到其他磁盘上就形成了跨区卷(2)是一个包含多块磁盘上空间的卷(最多32块)，向夸区卷中写信息顺序是存满第一块再渐向后面的磁盘中存，这样可将多块物理磁盘中的空闲空间分配成同一个卷。(3)可选多个磁盘，可限制大小●带区卷(软RAID-0加速)(1)由两个或多个磁盘中的空余空间组成的卷，写数据时，数据被分割成64KB的数据块，然后同时向阵列中的每块磁盘写入不同数据块，提高磁盘效率，但不具备容错功能。(2)每个区需一样大●镜像卷（软RAID-1）(1)为一个带有一份完全相同的副本的简单卷，它需要两块磁盘，一块存储运作中的数据，一块存储完全相同的那份副本，当一块失败时，另一块可立即使用。提供容错功能，不提供性能优化(2)也可通过为简单卷添加一个镜像实现●RAID-5卷是具有奇偶校验的带区卷，RAID-5卷至少包含3块磁盘，阵列中任意一块磁盘失败时，都可用另两块磁盘中的信息做运算，并将失败磁盘中的数据恢复。安全协议1.IPSEC封装协议(考）IPSec在不同应用需求下有不同的工作模式，分别为：传输模式（TransportMode）——两部主机之间（点到点）传递的数据加密;用于端到端的连接。两端的系统都必须支持IPSec,而中间节点系统则不必支持IPSec，它们只是以普通的方式转发数据包。隧道模式（TunnelMode）——两个不同的网段（站点到站点）所传送的数据内容加密或者两个私有IP网段穿越Internet连接;用于网关对网关的连接。（典型应用VPN）数据包的源和目的终端不必支IPSec,而只有提供安全服务的网关才必须支持IPSec。112.在Windows中实现IPSec●客户端（只响应）该策略用于在大部分时间都不能保证通信的计算机。例如，企业内部网客户可能不需要PSec，除非另一台计算机发出请求。该策略允许在它活动的计算机上正确响应安全通信请求。该策略包含一个默认的响应规则，该规则允许与请求IPSec的计算机进行协商。对于该通信，只有被请求的协议和端口传输才是安全的。●服务器（请求安全性）该策略用于应在大多数时间保证通信的计算机。该策略的一个例子就是传输敏感数据的服务器。在该策略中，计算机接受不安全的传输，但总是通过从原始发送者那里请求安全性来试图保护其他的通信。如果另一台计算机没有启用IPSec，则该策略允许整个通信都是不安全的。●安全服务器（需要安全性）该策略用于始终需要安全通信的计算机。该策略的一个例子就是传输高度敏感数据的服务器，或者保护内部网不受外界侵犯的安全性网关。该策略拒绝不安全的传入通信，并且传出的数据始终都是安全的。不允许不安全的通信，即使对方没有启用IPSec。建立自定义安全策略（考，综合）：安全策略的定义（筛选器列表，操作，身份验证方法）123.网络安全架构公钥基础结构PKI1.PKI的组件组件1：证书注册机构（RA）●RA(RegistrationAuthority)是面对用户的窗口，它负责接收用户的证书申请，审核用户的身份，RA也负责向用户发放证书。●注册功能有时可以通过CA直接实现，但有时将这部分功能分离成RA(registrationauthority)来实现组件2：证书颁发机构（CA）CA(CertificationAuthority)是PKI的核心，CA通过签发证书将一个主体与其公钥进行捆绑公证♂CA有两个知名的属性：CA的名字和CA的公钥。CA的功能CA执行的基本的PKI功能：签发证书(例如：创建和签名)；发布它的当前(例如：期限未满)证书和CRL，因此用户可以获得他们需要实现安全服务的信息；维持有关到期证书的状态信息档案13组件3：证书库●证书库是证书的集中存放地，用户可以从此处获得其他用户的证书●构造证书库可以采用X.