操作系統(tǒng)安全

第一章

l.VVindows平安屬于哪一級(jí)別？

Windows安金次別----C2

蹄級(jí)保護(hù)，提供幅捌手段

安全域，數(shù)1S壕藏與分層、::然

結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)

標(biāo)記安全保護(hù)，如SystemV等

有自主的訪訶安全性，區(qū)分用戶(hù)

不區(qū)分用戶(hù)，基本的訪問(wèn)］希樹(shù)

沒(méi)旌全性可言，例如MSDOS

2.windows平安體系結(jié)構(gòu)

WindowsNT體系結(jié)構(gòu)分為內(nèi)核液式(KernelMode)和用戶(hù)模式(UserMode)

內(nèi)核模式中的代碼具有極高的特權(quán)，可以直接對(duì)硬件進(jìn)行操作和直接訪問(wèn)所有的內(nèi)存空間

本地平安子系統(tǒng):支持Windows的身份驗(yàn)證，審核

核心為L(zhǎng)SA(localsecurityauthentication)

需和Win32子系統(tǒng)通信

用戶(hù)模式中的代碼擁有較低的特權(quán)，不能對(duì)硬件直接進(jìn)行訪問(wèn)，內(nèi)存訪問(wèn)受限。

組成內(nèi)核模式的整套效勞被稱(chēng)為執(zhí)行效勞

對(duì)象管理器(OM:ObjectManager)

平安引用監(jiān)控器(SRM:securityreferencemonitor)

3.于信任NT/2003是否可商遞？

WindowsNT的信任關(guān)系是單向且不具傳遞性

A->B&B->C*A-->C

但2000以后默認(rèn)信任關(guān)系是雙向且可傳遞

活動(dòng)目錄

L活動(dòng)目錄組件

⑴活動(dòng)目錄中資源組織的邏輯結(jié)構(gòu)

組織組織單位主要用來(lái)委派對(duì)用戶(hù)、組及資源集合的管理權(quán)限。組織單位是委派管理權(quán)限的最小分組,

其特殊在于可連接組策略。單位(OrganizationalUnit,OU)

域(Domain)

同一個(gè)域中的計(jì)算機(jī)共享配置，架構(gòu)和全局編錄

域是網(wǎng)絡(luò)中復(fù)制和平安管理的根本單元

域樹(shù)(Tree)

有連續(xù)命名空間的多個(gè)域稱(chēng)為樹(shù)。所謂具有連續(xù)的命名空間即多個(gè)域有相同的上級(jí)域名。

域森林(Forest)

不構(gòu)成連續(xù)命名空間的域樹(shù)的集合，這些目錄樹(shù)通過(guò)雙向的可傳遞信任關(guān)系鏈接在一起。

⑵物理結(jié)構(gòu)

站點(diǎn)（Site）

站點(diǎn)：是指一個(gè)由高速連接所形成的較快通信速率網(wǎng)絡(luò)。（一股指局域網(wǎng)LAN）

它們主要用于：確定復(fù)制拓?fù)洌员氵M(jìn)行有效而快速的復(fù)制。

活動(dòng)目錄信息的保存：

每個(gè)域控制器活動(dòng)目錄中保存的信息被分成三類(lèi)：域數(shù)據(jù)、架構(gòu)和配置數(shù)據(jù)

域數(shù)據(jù)：包含該域內(nèi)所有對(duì)象信息,這些信息被復(fù)制到該域的每個(gè)域控制器1不超出該域的范圍）

架構(gòu)數(shù)據(jù)：定義了可在ActiveDirectory中存儲(chǔ)哪些對(duì)象、屬性和操作規(guī)那么。屬于目錄林的范疇，在

林中的每一個(gè)域控制器上存儲(chǔ)。

配置數(shù)定義了復(fù)制拓?fù)浼芭cAD配置有關(guān)的其他數(shù)據(jù)（即其中存在哪些域，域控制器的位置等等），

對(duì)域森林中所有域通用，也被復(fù)制到森林的所有域控制器。

設(shè)域控制器是GC效勞器，還將保存第四種信息

為所有域保存“域數(shù)據(jù)”的局部副本（GC保存的屬性子集包括那些在搜索操作中最常用的屬性）

2.活動(dòng)目錄對(duì)象…對(duì)象標(biāo)準(zhǔn)屬性和命名規(guī)那么，及不同環(huán)境中的對(duì)象名稱(chēng)

對(duì)象的標(biāo)準(zhǔn)屬性

1）DN（DistinguishedName識(shí)另ij名稱(chēng)）和RDN（RelativeDistinguishedName相對(duì)識(shí)別名稱(chēng)）

DN定義了LDAP中到對(duì)象的完整路徑。完整路徑包括對(duì)象名稱(chēng)以及直到域根節(jié)點(diǎn)的所有父對(duì)象名稱(chēng)，

DN標(biāo)識(shí)了域?qū)哟沃械奈ㄒ粚?duì)象:RDN那么是DN中屬于對(duì)象完整路徑屬性的一局部

2）全局唯一標(biāo)識(shí)符（GUID）

GUID是在對(duì)象創(chuàng)立時(shí)由活動(dòng)目錄分配的128位數(shù)字。目錄數(shù)據(jù)存儲(chǔ)區(qū)中的每一對(duì)象都具有的唯一標(biāo)識(shí)。

GUID不能被修改和刪除。

3）ACL（AccesscontrolList）對(duì)客體而言

4）平安主體名稱(chēng)

平安主體分三類(lèi)：用戶(hù)，組，計(jì)算機(jī)。

平安主體名稱(chēng)是在單個(gè)域內(nèi)用來(lái)唯一標(biāo)識(shí)用戶(hù)、計(jì)算機(jī)或組的名稱(chēng)

平安主體名稱(chēng)在域內(nèi)必須唯一，而在域間那么尢需唯一

5）平安標(biāo)識(shí)符

SID是Windows系統(tǒng)平安子系統(tǒng)為平安主體對(duì)象［即用戶(hù)、組和計(jì)算機(jī)賬戶(hù)）創(chuàng)立的唯一數(shù)字（48位），

屬于主體屬性

Windows系統(tǒng)的內(nèi)部進(jìn)程引用的是賬戶(hù)的SID,而不是賬戶(hù)的用戶(hù)或組名。

活動(dòng)目錄將為以上這些屬性生成具體的值，而其他屬性值由人輸入。

命名規(guī)那么

1.平安主體名稱(chēng)

?名稱(chēng)不得與同一域內(nèi)的任何其他用戶(hù)、計(jì)算機(jī)或組名稱(chēng)相同。名稱(chēng)最多可包含20

個(gè)大寫(xiě)或小寫(xiě)字符，但以下字符除外："八［］："=,+*?<>

?用戶(hù)名、計(jì)算機(jī)名和組名不可以只包含英文句號(hào)（.）或空格

3.活動(dòng)目錄安裝及客戶(hù)機(jī)參加域（兩種方法）

4.能夠?yàn)槠髽I(yè)網(wǎng)建立相應(yīng)的邏輯結(jié)構(gòu)

域工作站用戶(hù)域控制器服務(wù)器

安全性密碼，賬用戶(hù)權(quán)限，文EFS策略用戶(hù)權(quán)限，文用戶(hù)權(quán)限，文件

戶(hù)件和注冊(cè)表件和注冊(cè)表和注冊(cè)表ACL畝

畝核；事核；事件日志；

KerberosACLACL審核；事

件日志；本地本地設(shè)貿(mào)

策略,PKI設(shè)置件日志；本地

信任列表設(shè)置

應(yīng)用程必須的核心發(fā)布可選應(yīng)用管理工具管理工具

序部署應(yīng)用程序程序和組件

1計(jì)算機(jī)啟動(dòng)腳木；磁盤(pán)配額打印機(jī)刪除：

系統(tǒng)設(shè)登錄；磁盤(pán)

置配額；脫機(jī)

文件

用戶(hù)設(shè)登錄腳本（環(huán)回）禁用（環(huán)回）禁用

置IE設(shè)置，文件標(biāo)準(zhǔn)用戶(hù)設(shè)置標(biāo)準(zhǔn)用戶(hù)設(shè)置

夾重定向；桌

面鎖定；網(wǎng)

絡(luò)J系統(tǒng)

應(yīng)用程0ffice及其

一序設(shè)置他程序

身份驗(yàn)證

1.交互式本地登錄、域登錄各組件作用（考）

Windows2000系統(tǒng)的交互式登錄需要下面三個(gè)系統(tǒng)組件：Winlogon.exeGINA

（GraphicalIdentificationandAuthentication.圖形化標(biāo)識(shí)與驗(yàn)證）的動(dòng)態(tài)鏈接庫(kù)和網(wǎng)絡(luò)提供

程序的動(dòng)態(tài)鏈接庫(kù)。

本地登陸：

為了登錄到本地計(jì)算機(jī)，每個(gè)Windows2000用戶(hù)都必須在系統(tǒng)安全賬戶(hù)管理器

（SecurityAccountManager,SAM）中具有一個(gè)賬戶(hù)。SAM是一個(gè)受到保護(hù)的子系統(tǒng)，它通

過(guò)存儲(chǔ)在本地計(jì)算機(jī)注冊(cè)表（位于HKEY_LOCAL_MACI!INE\SAMSAM下）中的安全賬

戶(hù)來(lái)管理用戶(hù)和組信息。當(dāng)用戶(hù)請(qǐng)求登錄句本地計(jì)登機(jī)時(shí)，系統(tǒng)將登錄信息與SAV數(shù)據(jù)庫(kù)

中的條目進(jìn)行比較來(lái)判斷用戶(hù)提交的信息是否正確c雖然Kerberos是Windows2000的默認(rèn)

身份驗(yàn)證協(xié)議，但它并不處理本地登錄請(qǐng)求。

用戶(hù)通過(guò)按下SAS熱鍵（默認(rèn)為Ctrl+Alt+Dcl）來(lái)啟動(dòng)登錄過(guò)程。Winlogon一旦接收

到此SAS熱鍵就會(huì)切換到Winlogon桌面，并且調(diào)用GINA來(lái)顯示標(biāo)準(zhǔn)的登錄對(duì)話框，提示

用戶(hù)輸入用戶(hù)名和口令。一旦用戶(hù)輸入了這些信息，GINA就將它傳送給LSA進(jìn)行驗(yàn)證。

LSA則調(diào)用適當(dāng)?shù)尿?yàn)證程序包（如MSVl_0）,并且將口令使用單向散列函數(shù)轉(zhuǎn)換成非可逆

的密鑰形式，然后在SAM數(shù)據(jù)庫(kù)中找尋應(yīng)配的密鑰。如果SAM找到了賬戶(hù)信息，就向身

份驗(yàn)證程序包返回用戶(hù)的SID和用戶(hù)所在組的SJDo驗(yàn)證程序包再向LSA返回這些SID,

LSA使用這些SID創(chuàng)建安全訪問(wèn)令牌，并把令牌句柄和登錄確認(rèn)信息返回給Winlogon。經(jīng)

歷了這樣的一個(gè)過(guò)程，用戶(hù)就可以進(jìn)入Windows桌面了。

域登陸:

域用戶(hù)賬戶(hù)的信息存儲(chǔ)在域的活動(dòng)目錄服務(wù)中。這樣，當(dāng)住戶(hù)從一臺(tái)Windows2000計(jì)

算機(jī)登錄到域賬戶(hù)時(shí)，用戶(hù)實(shí)質(zhì)上是在請(qǐng)求允許使用那臺(tái)計(jì)算上的本地系統(tǒng)服務(wù)。請(qǐng)求使用

任何域服務(wù)的所有用戶(hù)都必須在獲得訪問(wèn)權(quán)限之前首先向域驗(yàn)證自己的身份。同樣的，用戶(hù)

在允許使用Windows2000計(jì)算機(jī)的本地系統(tǒng)服務(wù)之前也必須證明自己的身份。

默認(rèn)情況下，域環(huán)境的登錄和身份驗(yàn)證使用Kerberosv5協(xié)議，這里面包含有多個(gè)步驟。

Kerberos是一個(gè)基于票據(jù)（Ticket）的協(xié)議，為客戶(hù)與服務(wù)器之間提供了雙向的身份驗(yàn)證。

為了訪問(wèn)和使用網(wǎng)絡(luò)資源和服務(wù)需要迸行票據(jù)申請(qǐng)和票據(jù)授予。本章稍后將會(huì)詳細(xì)介紹

Kerberosv5辦議。

用戶(hù)通過(guò)按下SAS熱鍵（默認(rèn)為Ctrl+Alt+Dcl）來(lái)啟動(dòng)登錄過(guò)程。Winlogon一旦接收

到此SAS熱鍵就會(huì)切換到Winlogon桌面，并調(diào)用GINA來(lái)顯示標(biāo)準(zhǔn)的登錄對(duì)話框，提示用

戶(hù)輸入用戶(hù)名、口令和域名稱(chēng)。對(duì)域賬戶(hù)而言，用戶(hù)登錄名與用戶(hù)主體名（UP、）格式一致。

用戶(hù)主體名由包含在賬戶(hù)中的用戶(hù)賬戶(hù)名和賬戶(hù)所在域的域名組成，并由“@”字符隔開(kāi)，

例如cric@Sjiu【nfbscc.nci。一旦用戶(hù)輸入了LPX和口令并選擇了正確的域名，G【NA就會(huì)將

這些信息傳到LSA進(jìn)行驗(yàn)證。

當(dāng)LSA接收到用戶(hù)的登錄信息后，將口令使用單向散列函數(shù)轉(zhuǎn)換成非可逆的密鑰形式,

然后將其存儲(chǔ)在以后還可以檢索到的證書(shū)緩存區(qū)中。LSA通過(guò)Kerberos驗(yàn)證程序包與域控

制器的密鑰分發(fā)中心（KeyDistributionCenter,KDC）進(jìn)行通信。Kerberos驗(yàn)證程序包向KDC

發(fā)送一個(gè)含有用戶(hù)身份信息和驗(yàn)證預(yù)處理數(shù)據(jù)的驗(yàn)證服務(wù)請(qǐng)求.KDC一旦收到這個(gè)驗(yàn)證服

務(wù)請(qǐng)求之后，就用自己的密鑰對(duì)其解密來(lái)驗(yàn)證用戶(hù)是否確實(shí)知道口令。

一旦KDC證實(shí)了用戶(hù)的身份，就會(huì)為客戶(hù)返回一個(gè)登錄會(huì)話室鑰（用客戶(hù)密鑰加密）,

并且向Kerberos驗(yàn)iE程字包返回一個(gè)TGT（TicketGrantingTicket.票據(jù)授予票據(jù)只該TGT

（用KDC自己的密鑰加密）允許用戶(hù)為獲得包括目錄計(jì)算機(jī)上的系統(tǒng)服務(wù)在內(nèi)的域服務(wù)而

申請(qǐng)票據(jù)。Kerberos驗(yàn)證程序包會(huì)將會(huì)話密鑰解密并將它同TGT一起存儲(chǔ)到證書(shū)緩存區(qū)中

以備后用。

Kerberos險(xiǎn)證程序包為本地計(jì)算機(jī)向KDC發(fā)送一個(gè)票據(jù)請(qǐng)求，KDC則會(huì)用會(huì)話票據(jù)響

應(yīng)。用戶(hù)就可以用這個(gè)會(huì)話票據(jù)來(lái)請(qǐng)求訪問(wèn)計(jì)算機(jī)上的系統(tǒng)服務(wù)了。然后，LSA確定用戶(hù)

是否為任何本地安全組的一部分，以及用戶(hù)在這臺(tái)計(jì)算機(jī)上是否擁有任何特權(quán)c據(jù)此而得到

的SID與來(lái)自會(huì)話票據(jù)的SID一起被LSA用來(lái)創(chuàng)建會(huì)話令牌。該令牌句柄和登錄確認(rèn)信息

返回到Winlogon,至此，用戶(hù)就可以進(jìn)入Windows臬面了。交互式域賬戶(hù)登錄的過(guò)程如圖

5-2所示。

圖5?2交互式域賬戶(hù)登錄

默認(rèn)情;兄下，每個(gè)域控制器都向域提供了一個(gè)Kerberosv5的KDC。當(dāng)Windows2000

計(jì)算機(jī)上的Kerberos客戶(hù)想要向域驗(yàn)證自己的身份時(shí)，系統(tǒng)就會(huì)從D'S中找出最近可用的

域控制器來(lái)進(jìn)行密鑰分配，即變成首選的KDC,在用戶(hù)登錄會(huì)話期間，如果首選的KDC失

效，那么客戶(hù)就會(huì)從DNS中另外尋找一個(gè)KDC來(lái)繼續(xù)進(jìn)行驗(yàn)證。如果客戶(hù)找不到任何可

用于身份驗(yàn)證的域控制器，那么Windows2000就會(huì)嘗試使用MSVI_0來(lái)對(duì)用戶(hù)進(jìn)行身份驗(yàn)

證。

2kerberos用戶(hù)身份驗(yàn)證效勞和票據(jù)授予效勞過(guò)程

3Kerbm、的身份*E過(guò)收

KDC1&供了下EUMh

?身停3證表磬（AS）.A3時(shí)名戶(hù)迸行?概,并發(fā)行供客戶(hù)M家請(qǐng)求會(huì)誥票TGT

（MK刊SUV）?

?票揖發(fā)予服務(wù)（TOS）?TOS在發(fā)行簫客戶(hù)TOT的皿E為網(wǎng)絡(luò)吸務(wù)ST（含

話票靠）.

在名戶(hù)司儀為網(wǎng)絡(luò)及務(wù)情求會(huì)話”之■,這尊客戶(hù)初自己的身倚.AS

紀(jì)所提交的量錄證書(shū)與活動(dòng)目錄申傀閑戶(hù)&戶(hù)進(jìn)行叨竦■以它戶(hù)的身e?-emu.

AS意會(huì)震行一個(gè)供名戶(hù)用"求會(huì)話事■的TOT.

X隊(duì)情況下.TOT*生存叫10小”.每次客戶(hù)依襄訪不一，《修服務(wù)時(shí)?會(huì)

ttWftTGT.客戶(hù)紀(jì)TGT與妾餐船g的版多名一網(wǎng)貴靖TOS.TftHhTGS

籟會(huì)發(fā)行f會(huì)話”.客戶(hù)收費(fèi)法會(huì)話9mB看對(duì)，它存＜14，己的IM?存區(qū)中.

會(huì)話1M加K做字盤(pán)**嵬了愣BUI做也m?客戶(hù)每次請(qǐng)求使用EM務(wù)時(shí)，S?

從它的IHHt存區(qū)中檢索票霸，棄?mèng)?，效麻襄苗?nèi)的般務(wù).上it過(guò)程可，JMW.

從上靖過(guò)程中可以野出.MTOT的最主要好處IUM少了KDC必fHHU滬??

息的次量.四射t個(gè)過(guò)414M余，但用戶(hù)依一發(fā)做內(nèi)觥是愴\自己的春碼用豪日?

圖5-4顯示了客戶(hù)機(jī)、KDC、活動(dòng)目錄和使用Kerberos身份驗(yàn)證協(xié)議的網(wǎng)絡(luò)服務(wù)器三

者之間的關(guān)系。

圖5-4Kerberos身份驗(yàn)證過(guò)程

5.5.3Kerheros的票據(jù)

出于保密性考慮，服務(wù)票據(jù)中的大部分?jǐn)?shù)據(jù)都用服務(wù)器的密鑰進(jìn)行了加需，當(dāng)然，為了

客戶(hù)能夠管理自己的票據(jù)，每個(gè)票據(jù)都需要一個(gè)非敏感性的頭信息，以供任何程序都不用對(duì)

票據(jù)進(jìn)行解密就可以訪問(wèn)到這個(gè)頭信息。

以下的票據(jù)信息都是非加密的。

?票據(jù)格式的版本號(hào)。在Windows2000Kerberosv5協(xié)議中，該版本號(hào)為5,

?發(fā)布票據(jù)的域的名稱(chēng)。

?密鑰發(fā)行中心的服務(wù)器名稱(chēng)。

而以下的票據(jù)信息則被服務(wù)器的密鑰進(jìn)行了保護(hù)。

?客戶(hù)和服務(wù)之間為安全傳輸而共享的會(huì)話密鑰。

?客戶(hù)所在域的名稱(chēng)。

?客戶(hù)名稱(chēng)。

?票據(jù)起始時(shí)間。

?票據(jù)生存時(shí)間(有效時(shí)間)。

票據(jù)(包括TGT和ST)是有生存時(shí)間的，那么當(dāng)票據(jù)過(guò)期后會(huì)發(fā)生什么情況呢？

Kerberos協(xié)議改進(jìn)網(wǎng)絡(luò)和服務(wù)器性能的一種方式就是：當(dāng)某個(gè)票據(jù)過(guò)期時(shí)，客戶(hù)將不會(huì)得到

任何通知。這是因?yàn)槿绻鸎erberos對(duì)所有發(fā)布了耍證的客戶(hù)進(jìn)行通知，那么用戶(hù)的KDC和

網(wǎng)絡(luò)性能將會(huì)受到很大的影響，

下面讓我們來(lái)看一下過(guò)期的TGT和ST的情況。

第一種情加是當(dāng)某個(gè)客戶(hù)的TGT過(guò)期,井口客戶(hù)正在請(qǐng)求一個(gè)用干某個(gè)網(wǎng)絡(luò)資源的ST

時(shí)。此時(shí)當(dāng)客戶(hù)請(qǐng)求新的ST時(shí)，KDC將響應(yīng)一個(gè)錯(cuò)誤消息，客戶(hù)必須從KDC請(qǐng)求一個(gè)新

的TGT。

第二種情況是當(dāng)客戶(hù)試圖使用一個(gè)過(guò)期的ST訪問(wèn)一個(gè)網(wǎng)絡(luò)資源時(shí)。此時(shí)如果客戶(hù)通過(guò)

一個(gè)ST訪問(wèn)位于服務(wù)器上的某個(gè)資源，那么該服務(wù)器將響應(yīng)一個(gè)錯(cuò)誤信息，客戶(hù)必須從

KDC請(qǐng)求一個(gè)新的ST。當(dāng)客戶(hù)被認(rèn)證通過(guò)之后，他便可以訪問(wèn)服務(wù)器上的資源了。如果

ST是在客戶(hù)已連接到資源的期訶過(guò)期的，那么客戶(hù)不會(huì)立即斷開(kāi)連接：但是，當(dāng)為戶(hù)下一

次請(qǐng)求訪問(wèn)該資源時(shí)，就需要上述過(guò)程來(lái)進(jìn)行訪問(wèn)。

3.賬戶(hù)平安策略(遠(yuǎn)程登陸)(考)

訪問(wèn)控制〔選擇+簡(jiǎn)答〕

1.Windows的訪問(wèn)控制模型及組件

強(qiáng)制訪問(wèn)控制(Mandatoryaccesscontrol：MAC)

自主訪問(wèn)控制(Discretionaryaccesscontrol:DAC)主流操作系統(tǒng)，防火墻(ACLs)等都是基于自主訪

問(wèn)

控制機(jī)制來(lái)實(shí)現(xiàn)訪問(wèn)控制。

基F角色的訪問(wèn)控制(Rolebasedaccesscontrol:RBAC

基于任務(wù)的訪問(wèn)控制模型(TBAC)

基于屬性的訪問(wèn)控制模型

使用控制模型UCON

2.主體和客體的平安描述

在Windows2000系統(tǒng)中，平安主體(SecurityPrincipal)不僅僅包括用戶(hù)，還包

括組和效勞等主動(dòng)的實(shí)體：而客體那么包括文件、文件夾、打印機(jī)、注冊(cè)表、活動(dòng)目錄項(xiàng)以及

其他對(duì)象。

客體的平安描述

用戶(hù)登錄時(shí)，系統(tǒng)為其創(chuàng)立訪問(wèn)令牌

用戶(hù)啟動(dòng)程序時(shí)，線程獲取令牌的拷貝程序請(qǐng)求訪問(wèn)客體時(shí)，提交令牌。

系統(tǒng)使用該令牌與客體的平安描述進(jìn)行比擬來(lái)執(zhí)行訪問(wèn)檢查和控制

3,用戶(hù)和組：本地組和域組(全局組，域本地組，通用組)(考)

(1)本地組(localgroup)是本地計(jì)算機(jī)上的用戶(hù)賬戶(hù)的集合?？墒褂帽镜亟M給本地組所

計(jì)算機(jī)上的資源分配權(quán)限。Windows2000在本地平安性數(shù)據(jù)庫(kù)(SAM)中創(chuàng)立本地組。

意將這個(gè)本地組同具有域本地作用域的ActiveDirectory組區(qū)別開(kāi)來(lái)。

使用本地組的原那么如下，

□只可在創(chuàng)立本地組的計(jì)算機(jī)上使用本地組。本地組權(quán)限只提供對(duì)本地組所在計(jì)算上資源的訪問(wèn)。

□可在運(yùn)行Windows2000的非域控制器的計(jì)算機(jī)上使用本地組，不能在域控制器創(chuàng)立本地組。這是因

為域控制器不能擁有與ActiveDirectory效勞中數(shù)據(jù)庫(kù)獨(dú)立平安性數(shù)據(jù)庫(kù)。

口可使用本地組來(lái)限制本地用戶(hù)和組訪問(wèn)網(wǎng)絡(luò)資源的能力，而無(wú)須創(chuàng)立域組。能夠添加到本地組的用

戶(hù)必須滿(mǎn)足如下條件。

□本地組只包含來(lái)自本地組所在計(jì)算機(jī)上的本地用戶(hù)賬戶(hù)。

□本地組不能使其他任何組的成員。

(2)域本地組(DomainLocalGroup)

在管理域資源時(shí)，我們一股會(huì)把權(quán)限指派給本地域組。而不會(huì)直接指

派給用戶(hù)賬戶(hù)。

成員：同一個(gè)域中的其他本地域組；森林中的任何域的用戶(hù)成員；整個(gè)森林的全局組和通用組

特點(diǎn)：僅管理本地域內(nèi)的資源

在創(chuàng)立它的域中，只能在這個(gè)域中復(fù)制，不會(huì)出現(xiàn)在GC中

(3)全局組(GlobalGroup)

在實(shí)際應(yīng)用中一般會(huì)把隸屬同一部門(mén)的用戶(hù)組織成全局組，然后再將全局組參加某本地域組中?？傊?

全局組是用來(lái)組織某個(gè)域的用戶(hù)賬戶(hù)的，讓這些賬戶(hù)一次獲得相同的權(quán)限。

全局組成員：同一個(gè)域的用戶(hù)；同一個(gè)域的其他全局組

特點(diǎn)：其用戶(hù)成員可訪問(wèn)任何城中的資源；存儲(chǔ)在創(chuàng)立它的域中，只能在這個(gè)域中復(fù)制出現(xiàn)在GC中,

但它的成員不出現(xiàn)。

(4)通用組(UniversalGroup)

通用組和全局組一樣，可指派森林中的任何資源的權(quán)限給用戶(hù)，通用組是為了簡(jiǎn)化多域的管理。

迪用組成員：成員可來(lái)自森林中的任何域成員：用戶(hù)賬戶(hù)、全局組、通用組

特點(diǎn)：可訪問(wèn)任何域中的資源；存儲(chǔ)在全局編錄GC中。

文件系統(tǒng)

LNTFS權(quán)限

NTFS權(quán)限是與文件系統(tǒng)相關(guān)的訪問(wèn)控制規(guī)則，作用的對(duì)象是文件和文件夾，它用來(lái)指

定哪些用戶(hù)可以訪問(wèn)文件系統(tǒng)對(duì)象以及可以使用什么樣的方式訪問(wèn)。

NTFS權(quán)限只能使用在、TFS卷上，而不能使用在FAT或FAT32文件系統(tǒng)上。無(wú)論用戶(hù)

是通過(guò)計(jì)算機(jī)控制臺(tái)還是網(wǎng)絡(luò)來(lái)訪問(wèn)文件或文件夾，NTFS的權(quán)限控制都有效。此外，

Windows2000還支持共享的權(quán)限控制，該控制在功能上很相似，但只是通過(guò)網(wǎng)絡(luò)來(lái)控制用

戶(hù)對(duì)共享的訪問(wèn)。

2.加密文件系統(tǒng)(EFS)

加解密過(guò)程(考)

II

（1）文件被復(fù)制到臨時(shí)文件。若復(fù)制過(guò)程中發(fā)生錯(cuò)誤，則利用此文件進(jìn)行恢復(fù)，

（2）文件被一個(gè)隨機(jī)產(chǎn)生的Key加密，這個(gè)Key叫作文件加密密鑰（FEK）,FEK的長(zhǎng)

度為128位（僅美國(guó)和加拿大），這個(gè)文件使用DESX加密算法進(jìn)行加密。

（3）數(shù)據(jù)加密區(qū)域（DDF）產(chǎn)生，這個(gè)區(qū)域包含了使用RSA加密的FEK和用戶(hù)的公鑰。

（4）數(shù)據(jù)恢第區(qū)域（DRF）產(chǎn)生，這個(gè)區(qū)域的目的是為了在用戶(hù)解密文件的中可能解密

文件不可用（丟失Key、離開(kāi)公司等）。這些用戶(hù)叫做恢復(fù)代理，恢復(fù)代理在加密數(shù)據(jù)恢復(fù)

策略（EDRP）中定義，它是一個(gè)域的安全策略。如果一個(gè)域的EDRP沒(méi)有設(shè)置，本地EDRP

被使用。在任一種情況下，在一個(gè)加密發(fā)生時(shí)，EDRP必須存在（因此至少有一個(gè)恢復(fù)代理

被定義）。DRF包含使用RSA加密的FEK和恢復(fù)代理的公鑰。如果在EDRP列表中有多個(gè)

恢復(fù)代理，F(xiàn)EK必須用每個(gè)恢曳代理的公鑰進(jìn)行加密，因此，必須為個(gè)恢史代理創(chuàng)建一個(gè)

DRF,

（5）包含加密數(shù)據(jù)、DDF及所有DRF的加密文件被寫(xiě)入磁盤(pán)。

（6）在第（1）步中創(chuàng)建的臨時(shí)文件被刪除。

加密款據(jù)j

喟一胃3

ca7<urc的熱坦加1宓田和

而下面的操作將在數(shù)據(jù)被解密時(shí)發(fā)生。

（1）使用DDF和用戶(hù)的私鑰解密FEK（文件加密密鑰）。

（2）使用FEK解密文件。

在恢復(fù)代理恢復(fù)文件的過(guò)程中，將產(chǎn)生同樣的操作。只是在第（1）步中是DRF而不是

DDF。

圖7-6說(shuō)明了EFS的數(shù)據(jù)解密過(guò)程。

用戶(hù)解密

圖7-6EFS的數(shù)據(jù)解密過(guò)程

EFS的優(yōu)勢(shì)與局限性

加密文件系統(tǒng)的優(yōu)勢(shì)

?基于公鑰與文件系統(tǒng)緊密結(jié)合的加密技術(shù)

?無(wú)需管理上的設(shè)置即可使用，在操作上對(duì)用戶(hù)完全透明。

?支持對(duì)單個(gè)文件或整個(gè)卷的加解密。

?提供內(nèi)置的數(shù)據(jù)恢復(fù)支持。

加密文件系統(tǒng)的局限性

?增加花費(fèi)，降低性能

?病毒監(jiān)測(cè)程序尢法起到作用

?其他

系統(tǒng)文件不能被加密（%systemroot%文件夾或根目錄中）

太多的恢復(fù)代理將影響性能

3.磁盤(pán)配額（不考）

磁盤(pán)配額是以文件所有權(quán)為根底的。

4.網(wǎng)絡(luò)共享

網(wǎng)絡(luò)共享的最終訪問(wèn)權(quán)限

NTFS權(quán)限

NTFS權(quán)限指定了用戶(hù)如何查看及使用本地計(jì)算機(jī)上數(shù)據(jù)的限制（包括本地登錄的用戶(hù)）

共享權(quán)限

指通過(guò)網(wǎng)絡(luò)連接到共享文件夾的用戶(hù)的最大權(quán)限

AD中共享文件夾的權(quán)限

對(duì)活動(dòng)目錄用戶(hù)訪問(wèn)共享的進(jìn)一步限制

5.動(dòng)態(tài)卷（考）

?簡(jiǎn)單卷

（1）是單獨(dú)的一個(gè)卷，與根本磁盤(pán)分區(qū)相似，但無(wú)空間和數(shù)量限制，當(dāng)空間不夠時(shí)可通過(guò)擴(kuò)展卷來(lái)擴(kuò)充空

間（系統(tǒng)卷，啟動(dòng)卷，帶區(qū)卷，鏡像卷、RAID-5卷不能擴(kuò)展）。

⑵如果計(jì)算機(jī)只安裝了一個(gè)硬盤(pán)驅(qū)動(dòng)器，那么只能選擇簡(jiǎn)單卷

⑶保證磁盤(pán)有1M沒(méi)被使用

?跨區(qū)卷

⑴將簡(jiǎn)單卷擴(kuò)展到其他磁盤(pán)上就形成了跨區(qū)卷

⑵是?個(gè)包含多塊磁盤(pán)上空間的卷（最多32塊），向夸區(qū)卷中寫(xiě)信息順序是存滿(mǎn)第?塊再漸向后面的磁

盤(pán)中存，這樣可將多塊物理磁盤(pán)中的空閑空間分配成同一個(gè)卷。

⑶可選多個(gè)磁盤(pán)，可限制大小

?帶區(qū)卷（軟RAID-0加速）

⑴由兩個(gè)或多個(gè)磁盤(pán)中的空余空間組成的卷，寫(xiě)數(shù)據(jù)時(shí)，數(shù)據(jù)被分割成64KB的數(shù)據(jù)塊，然后同時(shí)向陣

列中的每塊磁盤(pán)寫(xiě)入不同數(shù)據(jù)塊，提高磁盤(pán)效率，但不具備容錯(cuò)功能。

⑵每個(gè)區(qū)需一樣大

?鏡像卷（軟RAID-1）

⑴為一個(gè)帶有一份完全相同的副本的簡(jiǎn)單卷，它需要兩塊磁盤(pán)，一塊存儲(chǔ)運(yùn)作中的數(shù)據(jù)，一塊存儲(chǔ)完

全相同的那份副本，當(dāng)一塊失敗時(shí)，另一塊可立即使用。提供容錯(cuò)功能，不提供性能優(yōu)化

⑵也可通過(guò)為簡(jiǎn)單卷添加一個(gè)鏡像實(shí)現(xiàn)

?RAID-5卷

是具有奇偶校驗(yàn)的帶區(qū)卷，RAID-5卷至少包含3塊磁盤(pán)，陣列中任意一塊磁盤(pán)失敗時(shí)，都可用另兩塊

磁盤(pán)中的信息做運(yùn)算，并將失敗磁盤(pán)中的數(shù)據(jù)恢復(fù)。

平安協(xié)議

LIPSEC封裝協(xié)議（考）

封裝模式

IPSec在不同應(yīng)用需求下有不同的工作模式，分

別為：

傳輸模式（TransportMode）

一一兩部主機(jī)之間（點(diǎn)到點(diǎn)）傳遞的數(shù)據(jù)加密；用于端到端的連接。兩端的系統(tǒng)都必須支持IPSec,

而中間節(jié)點(diǎn)系統(tǒng)那么不必支持IPSec,它們只是以普通的方式轉(zhuǎn)發(fā)數(shù)據(jù)包。

隧道模式（TunnelMode）

——兩個(gè)不同的網(wǎng)段1站點(diǎn)到站點(diǎn)）所傳送的數(shù)據(jù)內(nèi)容加密或者兩個(gè)私有IP網(wǎng)段穿越Internet連接；

用于網(wǎng)關(guān)對(duì)網(wǎng)關(guān)的連接。（典型應(yīng)用VPN）數(shù)據(jù)包的源和目的終端不必支IPSec,而只有提供平安效勞

的網(wǎng)關(guān)才必須支持IPSec。

封裝協(xié)議

封裝協(xié)議：

負(fù)載安全封裝（ESBEncapsulatingSecurityPayload）

認(rèn)證報(bào)頭協(xié)議（AH,AuthenticationHeader）

協(xié)議功能

提供協(xié)商安全參數(shù)和創(chuàng)建認(rèn)證密鑰等,其參數(shù)

IKE由安全關(guān)聯(lián)（SA:SecurityAssociation）

確定

ESP提供加密、認(rèn)證和完整性保護(hù)

AH提供認(rèn)證和完整性保護(hù)

2.在Windows中實(shí)現(xiàn)IPSec

默認(rèn)策略

?客戶(hù)端（只響應(yīng)）

該策略用于在大局部時(shí)間都不能保證通信的計(jì)算機(jī)。例如，企業(yè)內(nèi)部網(wǎng)客戶(hù)可能不需要

PSec,除非另一臺(tái)計(jì)算機(jī)發(fā)出請(qǐng)求。該策略允許在它活動(dòng)的計(jì)算機(jī)上正確響應(yīng)平安通信請(qǐng)

求。該策略包含一個(gè)默認(rèn)的響應(yīng)規(guī)那么，該規(guī)那么允許與請(qǐng)求IPSec的計(jì)算機(jī)進(jìn)行協(xié)商。對(duì)于

該通信，只有被請(qǐng)求的協(xié)議和國(guó)傳輸才是平安的。

?效勞器（請(qǐng)求平安性）

該策略用于應(yīng)在大多數(shù)時(shí)間保證通信的

計(jì)算機(jī)。該策略的一個(gè)例子就是傳輸敏感數(shù)據(jù)的效勞器。在該策略中，計(jì)算機(jī)接受不平安的傳輸，但總

是通過(guò)從原始發(fā)送者那里請(qǐng)求平安性來(lái)試圖保護(hù)其他的通信。如果另一臺(tái)計(jì)算機(jī)沒(méi)有啟用IPSec,那么

該策略允許整個(gè)通信都是不平安的。

?平安效勞器（需要平安性）

該策略用于始終需要平安通信的計(jì)算機(jī)。該策略的一個(gè)例子就是傳輸高度敏感數(shù)據(jù)的效勞器，或者保

護(hù)內(nèi)部網(wǎng)不受外界侵犯的平安性網(wǎng)關(guān)。該策略拒絕不平安的傳入通信，并且傳出的數(shù)據(jù)始終都是平安的.

不允許不平安的通信，即使對(duì)方?jīng)]有啟用IPSeco

建立自定義平安策略（考，綜合）：平安策略的定義（篩選器列表，操作，身份驗(yàn)證方法）

要定義計(jì)算機(jī)的IPSec策略，必須要有訪問(wèn)“組策略”的適當(dāng)管理員權(quán)限，或者是本

地系統(tǒng)Administrators組的成員,

基本的操作步驟如下。

（1）在“1P安全策略管理”中，選擇要定義新策略還是編輯當(dāng)前的策略。

（2）如果需要?jiǎng)?chuàng)建新的策略，則在控制臺(tái)樹(shù)中，右擊“IP安全策略，在本地機(jī)器”，然

后在彈出的菜單中選擇“創(chuàng)建1P安全策略”命令。

（3）根據(jù)“1P安全策略向?qū)А敝械奶崾具M(jìn)行逐步的設(shè)置，直到出現(xiàn)新策略的“屬性”

對(duì)話框。

（4）如果需要編輯已有的策略，則右擊該策略，然后選擇“屬性”命令。

（5）打開(kāi)“常規(guī)”選項(xiàng)卡，在“名稱(chēng)”中輸入惟一的名稱(chēng)，在“描述”中，輸入關(guān)于安

全策略的說(shuō)明，例如它將影響的組或域。

（6）如果該計(jì)算機(jī)是域的一部分，那么，要指定策略代理檢杳組策略以便進(jìn)行更新的時(shí)

間間隔，可在“檢查策略更改間隔”中鍵入以分鐘為單位的值。

（7）如果對(duì)密鑰交換的安全性有特殊要求，可單擊“高級(jí)”按鈕。

（8）打開(kāi)“規(guī)則”選項(xiàng)卡，并為策略創(chuàng)建任何需要的規(guī)則。

如果正創(chuàng)建新策略，并且新策略沒(méi)有顯示在控制臺(tái)樹(shù)中，則可右擊“IP安全策略，在

本地機(jī)器”，然后選擇“刷新”命