資訊動態(tài)
滿足C2安全級的 Windows NT 的活
發(fā)布:2018-08-28 17:16:15 瀏覽:4038
2
絡協(xié)議和適配卡設置等信息的數(shù)據(jù)庫。注冊表包含了許多文件如:Config.SYS,Autoexec
能BAT,System.INI,Win.IN1,Prtocol.INI,Lanman.IN,Control.INI以及其他:INI文件的功ojitosono)s.
它是一個具有容錯功能的數(shù)據(jù)庫,一般是不會崩潰的。如果系統(tǒng)出現(xiàn)錯誤;日志文件使
WindowsNT能夠恢復和修改數(shù)據(jù)庫,以確保系統(tǒng)能正常地運行。
2.4.1.3滿足C2安全級的WindowsNT的活
在WindowsNTServer上實現(xiàn)C2級安全標準僅僅是建立在軟件基礎上的。為了得到
個符合C2級安全標準的系統(tǒng)設置,必須具備或做到以下幾點:A
(1)擁有對系統(tǒng)的非網(wǎng)絡訪問;?重香全
(2)去除或禁止使用軟盤驅(qū)動器;有R出宣隊美面お式用全支T
(3)更加嚴格地控制對標準文件系統(tǒng)的訪問。全TVeomi1,.S
a在WindowsNT中,最重要的C2級安全標準特性是澄需全デ的T。obit
(1)可自由決定的訪問控制(DAC):允許管理員或用房定義自己所擁有的對象的訪問控
制知公確個R由好全的T/bm
(2)禁止對象重用:當內(nèi)存被一個程序釋放后,不再允許對它進行讀訪問;當對象被刪除
后。即使對象所在的磁盤空間已經(jīng)重新進行了分配,也不再允許用戶對對象再÷次進行訪同
(3)身份的確認和驗證:在對系統(tǒng)進行任何訪問之前,用戶必須首先確認自己的身份。用
戶可以通過輸入用戶名、口令和域組合來完成對自己身份的確認。,壓發(fā)ュて(4)審核:必須創(chuàng)建并維護用戶對對象的訪回記錄,并防止他人對此記錄進行修改。必須
嚴格地規(guī)定只有指定的管理員才能訪問審核信息。個前さ國2.4.2WindowNT安全知判個整、で2全統(tǒng)
MicrosoftWindowsNTServer操作系統(tǒng)提供安全管理功能,以及在企業(yè)組網(wǎng)范圍內(nèi)實現(xiàn)
戶對網(wǎng)絡資源的訪問。和管理這些功能。在企業(yè)這一級WindowsNT的安全體系基于域、用戶和組的概念,限制用這之后的的詞天登向民?
能對任一WindowsNT資源訪問前,他們必須首先登錄并被WindowsNT所確認,且在工作站安全性在WindowsNT最初的設計規(guī)格書中就已包括并滲透在整個操作系統(tǒng)中。在用戶
接,WindowsNT能提供這種本地安全性,是因為每一臺機器都有一個WindowsNT.服務器的和服務器層次都要求有確認工作。獲得最初級的資源保護并不要求和WindowsNT服務器連
賬戶和安全策略數(shù)據(jù)庫的副本。這一安全機制包括控制誰能訪問哪些對象(如文件和共享打
WindowsNTServer集體式的領域和安全管理特性,使它成為能為大多數(shù)公司提供客戶印機),決定某人針對某一對象能做什么和什么事件被審計。的用Aと工想
服務器值得推薦的選擇,因為安全性和工作關系的管理會很快變得不可控制。的機服務器計算的可取方案。在點到點的體系中使用WindowsNTWorkstation并不是客戶機
WindowsNT操作系統(tǒng)。WindowsNT的安全子系統(tǒng)是個集成手系統(tǒng),而不是環(huán)境子系統(tǒng),因為它影響整個間も店、、
安全子系統(tǒng)的組成部分有:同的田點00支
或多個WindowsNT系統(tǒng)中。網(wǎng)絡配置的類型包括?當一個系統(tǒng)里有不同的用戶賬戶時,本地的SAM數(shù)據(jù)庫就會被訪間;
當系統(tǒng)配置為有集中用戶賬戶信息的單一的域時,SAM數(shù)據(jù)庫處于域控制器中
?在主坡配置中,用戶賬戶也是集中放置的,SAM數(shù)據(jù)庫位于主域控制器(PDC)中,并將
其備份復制到備份域控制器(BDC)中。
3.安全參考監(jiān)視器(SRM)。如圖2-4所示,作為WindowsNT的一個組成部分,SRM以
種核心模式運行。它負責完善LSA所要求的有效性訪問和階段審查策略。ISRM為對象的
有效性訪問提供服務并為用戶賬戶提供訪問特權。同時它還負責阻止沒有獲得授權的用戶對
對象的訪問。為了確保所有類型的對象都得到保護,SRM在系統(tǒng)中只維持一個有效性訪問代
嗎的持貝。用戶在要求訪間對象時必須具有SRM有效性訪間,而不能直接對對象進行訪問。
の、し同今回
SRM
文件對象ACL程個出
授權訪回」圖速圖
圖24SRM訪問確認過程完さ一外司全
當用戶要求訪問一個對象時,系統(tǒng)就會將文件的安全描述器里的信息與儲存在用戶訪問
標記里的SID信息進行比較,如果具有足夠的權利,用戶就可以對對象進行訪間。安全描述
器由對象的訪問控制列表(ACL)中所有的訪問控制條目(ACE)組成。如果對象有訪問控制列
表(ACL),SRM將核查ACL中所有的訪問控制條目(ACE),以判定對對象的訪問是否合法。如果對象沒有訪問控制列表(ACL),則SRM將自動允許所有用戶都能訪問該對象。如果對
象有訪問控制列表(ACL)卻沒有訪問控制條目(ACE),則對所有的訪問請求都將被拒絕。當
SRM允許對對象進行訪問后,就沒有必要再對用戶訪問某一特定的對象進行有效性檢查。在
用戶被確認為合法用戶時將生成一個句柄。這之后的所有對對象的訪問都可以通過句柄來完
海只縣,國群路氣民的メ兩驗,で的溫個
2.4.2.2WindowsNT的登錄機制11最氣阻有
WindowsNT要求每一個用戶使用惟一的用戶名和口令登錄到計算機上;這種強制性登
錄過程不能關閉。與自型,動的大存具3taW出要強制性登錄和使用Crl+Alt+Del啟動登錄過程的好處是:氣m的
個?強制性登錄過程用以確定用戶身份是否合法;從而確定用戶對系統(tǒng)資源的訪問權限。
?在強制性登錄期間,掛起對用戶模式程序的訪問,這便可以防止有人創(chuàng)建或偷奇用戶賬
號和口令的應用程序。例如入侵者可能會模仿個WindowsNT的登錄介面,然后讓用戶進
行登錄從而獲得用戶登錄名和相應的密碼。使用Ctrl+Alt+Del會造成用戶程序被終止,而
真正的登錄程序可以由Curl+Al+Del啟動,這就是為什么阻止這種欺騙行為的發(fā)生
強制登錄過程允許用戶具有單獨的配置,包括桌面和網(wǎng)絡連接,這些配置在用戶登錄后
自動調(diào)出,退出時自動保存。這樣,多個用戶可以使用同一臺機器,網(wǎng)站建設并且仍然具有他們自己的
>>> 查看《滿足C2安全級的 Windows NT 的活》更多相關資訊 <<<
本文地址:http://www.modelkey.org/news/html/3733.html
