2
絡協議和適配卡設置等信息的數據庫。注冊表包含了許多文件如: Config.SYS, Autoexec
能 BAT, System.INI,Win.IN1, Prtocol.INI, Lanman.IN, Control.INI以及其他:INI文件的功 ojito sono)s.
它是一個具有容錯功能的數據庫,一般是不會崩潰的。如果系統出現錯誤;日志文件使
Windows NT能夠恢復和修改數據庫,以確保系統能正常地運行。
2.4.1.3滿足C2安全級的 Windows NT 的活
在 Windows NT Server上實現C2級安全標準僅僅是建立在軟件基礎上的。為了得到
個符合C2級安全標準的系統設置,必須具備或做到以下幾點:A
(1)擁有對系統的非網絡訪問;?重香全
(2)去除或禁止使用軟盤驅動器;有R出宣隊美面お式用全支T
(3)更加嚴格地控制對標準文件系統的訪問。全 TV eomi1,.S
a在 Windows NT中,最重要的C2級安全標準特性是澄需全デ的T。 obit
(1)可自由決定的訪問控制(DAC):允許管理員或用房定義自己所擁有的對象的訪問控
制 知公確個R由好全的T/bm
(2)禁止對象重用:當內存被一個程序釋放后,不再允許對它進行讀訪問;當對象被刪除
后。即使對象所在的磁盤空間已經重新進行了分配,也不再允許用戶對對象再÷次進行訪同
(3)身份的確認和驗證:在對系統進行任何訪問之前,用戶必須首先確認自己的身份。用
戶可以通過輸入用戶名、口令和域組合來完成對自己身份的確認。,壓發ュて (4)審核:必須創建并維護用戶對對象的訪回記錄,并防止他人對此記錄進行修改。必須
嚴格地規定只有指定的管理員才能訪問審核信息。個前さ國 2.4.2 Window NT安全知判個整、で2全統
Microsoft Windows NT Server操作系統提供安全管理功能,以及在企業組網范圍內實現
戶對網絡資源的訪問。和管理這些功能。在企業這一級 Windows NT的安全體系基于域、用戶和組的概念,限制用 這之后的的詞天登向民?
能對任一 Windows NT資源訪問前,他們必須首先登錄并被 Windows NT所確認,且在工作站 安全性在 Windows NT最初的設計規格書中就已包括并滲透在整個操作系統中。在用戶
接, Windows NT能提供這種本地安全性,是因為每一臺機器都有一個 Windows NT.服務器的 和服務器層次都要求有確認工作。獲得最初級的資源保護并不要求和 Windows NT服務器連
賬戶和安全策略數據庫的副本。這一安全機制包括控制誰能訪問哪些對象(如文件和共享打
Windows NT Server集體式的領域和安全管理特性,使它成為能為大多數公司提供客戶 印機),決定某人針對某一對象能做什么和什么事件被審計。的用Aと工想
服務器值得推薦的選擇,因為安全性和工作關系的管理會很快變得不可控制。的 機服務器計算的可取方案。在點到點的體系中使用 Windows NT Workstation并不是客戶機
Windows NT操作系統。Windows NT的安全子系統是個集成手系統,而不是環境子系統,因為它影響整個 間も店、、
安全子系統的組成部分有:同的田點00支
或多個 Windows NT系統中。網絡配置的類型包括 ?當一個系統里有不同的用戶賬戶時,本地的SAM數據庫就會被訪間;
當系統配置為有集中用戶賬戶信息的單一的域時,SAM數據庫處于域控制器中
?在主坡配置中,用戶賬戶也是集中放置的,SAM數據庫位于主域控制器(PDC)中,并將
其備份復制到備份域控制器(BDC)中。
3.安全參考監視器(SRM)。如圖2-4所示,作為 Windows NT的一個組成部分,SRM以
種核心模式運行。它負責完善LSA所要求的有效性訪問和階段審查策略。ISRM為對象的
有效性訪問提供服務并為用戶賬戶提供訪問特權。同時它還負責阻止沒有獲得授權的用戶對
對象的訪問。為了確保所有類型的對象都得到保護,SRM在系統中只維持一個有效性訪問代
嗎的持貝。用戶在要求訪間對象時必須具有SRM有效性訪間,而不能直接對對象進行訪問。
の、し同今回
SRM
文件對象ACL 程個出
授權訪回」圖速圖
圖24SRM訪問確認過程完さ一外司全
當用戶要求訪問一個對象時,系統就會將文件的安全描述器里的信息與儲存在用戶訪問
標記里的SID信息進行比較,如果具有足夠的權利,用戶就可以對對象進行訪間。安全描述
器由對象的訪問控制列表(ACL)中所有的訪問控制條目(ACE)組成。如果對象有訪問控制列
表(ACL),SRM將核查ACL中所有的訪問控制條目(ACE),以判定對對象的訪問是否合法。如果對象沒有訪問控制列表(ACL),則SRM將自動允許所有用戶都能訪問該對象。如果對
象有訪問控制列表(ACL)卻沒有訪問控制條目(ACE),則對所有的訪問請求都將被拒絕。當
SRM允許對對象進行訪問后,就沒有必要再對用戶訪問某一特定的對象進行有效性檢查。在
用戶被確認為合法用戶時將生成一個句柄。這之后的所有對對象的訪問都可以通過句柄來完
海只縣,國群路氣民的メ兩驗,で的溫個
2.4.2.2 Windows NT的登錄機制 11最氣阻有
Windows NT要求每一個用戶使用惟一的用戶名和口令登錄到計算機上;這種強制性登
錄過程不能關閉。與自型,動的大存具3taW出要 強制性登錄和使用Crl+Alt+Del啟動登錄過程的好處是:氣m的
個?強制性登錄過程用以確定用戶身份是否合法;從而確定用戶對系統資源的訪問權限。
?在強制性登錄期間,掛起對用戶模式程序的訪問,這便可以防止有人創建或偷奇用戶賬
號和口令的應用程序。例如入侵者可能會模仿個 Windows NT的登錄介面,然后讓用戶進
行登錄從而獲得用戶登錄名和相應的密碼。使用Ctrl+Alt+Del會造成用戶程序被終止,而
真正的登錄程序可以由Curl+Al+Del啟動,這就是為什么阻止這種欺騙行為的發生
強制登錄過程允許用戶具有單獨的配置,包括桌面和網絡連接,這些配置在用戶登錄后
自動調出,退出時自動保存。這樣,多個用戶可以使用同一臺機器,網站建設并且仍然具有他們自己的
本文地址:http://murenxiang.com.cn//article/3733.html
