Windows NT、2000的安全与保护措施

单击此处编辑母版标题样式,单击此处编辑母版副标题样式,第5章Windows NT/2000的安全与保护措施,5.1 Windows NT/2000系统的安全基础,5.2 Windows NT/2000的安全模型,5.3 Windows NT/2000用户登录与账户管理,5.4 用活动目录管理Windows 2000的账户,5.5 Windows NT/2000系统的访问控制与权限,5.6 Windows NT/2000系统数据保护措施,5.7 Windows NT/2000系统的缺陷,5.8 常见破解Windows NT/2000密码的方法及防范措施,5.9 Windows NT/2000的安全管理,5.10 利用输入法漏洞本地入侵Windows 2000的防范,5.11 本章小结,练习题,当前，Windows NT/2000作为服务器操作系统平台，越来越受到用户的欢迎。在Internet上采用Windows NT/2000为服务器的站点越来越多，同时众多企业已经采用它作为企业计算、各项服务和局域网的解决方案。既然Windows NT/2000的服务器对于网络而言，特别是在连接到Internet上以后，其安全性能远超过DOS、Windows 95/98/ME，甚至可以与UNIX系统的安全相媲美。,但是，Windows NT/2000与UNIX系统一样，也存在着不少安全漏洞，如输入法登录漏洞、安全账号管理(SAN)问题、数据库的复制问题、特洛伊木马与SAN问题、Administrator访问权问题、GUEST账号问题等等。如果不了解这些安全漏洞，不采用,相应的安全对策和防范措施，就会使系统完全暴露在黑客的入侵范围之内，随时随地遭受毁灭性攻击。因此，在使用Windows NT/2000网络和操作系统时，一定要熟悉Windows NT/2000的安全基础、登录机制、安全策略、安全机制和防范措施。这样，才能降低遭受威胁和攻击的风险。,因此，本章主要介绍Windows NT/2000的安全与保护措施，包括以下几部分内容：,Windows NT/2000的安全基础；,Windows NT/2000的安全模型；,Windows NT/2000用户的登录机制；,Windows NT/2000的访问控制机制；,Windows NT/2000的安全配置与权限设置；,Windows NT/2000的安全管理与数据保护措施；,Windows NT/2000的安全漏洞及防范措施。,作为网络管理员和用户，在配置和使用Windows NT/2000网络时，必须首先弄清楚这些问题，才可以安全地运行和访问网络。,5.1 Windows NT/2000系统的安全基础,Windows NT/2000操作系统不同于Windows 95/98/ME操作系统，在其设计的初期就把网络连接、安全和审核报告作为操作系统的核心功能之一。可以说，Windows NT/2000操作系统就是建立在一套完整的安全机制上的，因而任何一个机构，在使用Windows NT/2000前都必须指定它们的安全策略。这些策略要详细说明该机构对登录机制、访问控制、信息保护及审核的要求。用户可以用Windows NT/2000来配置网络，使信息能够按需要知道的部门和用户群来分类并控制非法用户的访问。同时，NT/2000系统还使得用户能够将网络和有组织的资源当作对象组来进行管理，并改善身份确认和访问,控制的安全措施。只有将企业的安全策略和NT/2000操作系统的底层的安全机制有机地结合起来，才能充分发挥Windows NT/2000的各项安全特性。,尽管Windows NT/2000安全机制比较全面，但是那种认为安装上Windows NT/2000操作系统后就万事大吉的想法是很天真的。这是因为操作系统安全漏洞很多，也面临威胁和攻击，自身并不能解决安全问题。只有在制订精细的安全策略并进行正确配置和对象访问控制后，用户才能用NT/2000来构建一个高度安全的系统。,由于Windows NT/2000服务器和Windows NT/2000工作站的安全机制是相同的，因此，这里只介绍Windows NT/2000服务器的安全机理。,5.1.1 Windows NT系统的安全基础概念,Windows NT的安全机制是建立在对象的基础之上，因而对象的概念在整个与安全相关的主题中，都占有相当重要的地位。本节将介绍一些Windows NT环境里对象的概念，将对Windows NT服务器和Windows NT工作站之间，以及域与工作组之间的差别进行讨论。还将讨论与Windows NT注册表和C2级安全相关概念的一些术语。,1. Windows NT中的对象,对象是构成Windows NT操作系统的基本元素，对象可以是文件、目录、存储器、驱动器、系统程序或Windows桌面等。,对象为Windows NT操作系统提供了较高的安全级。对外来者，它们的数据封装在对象中，并只按对象的功能所定义的方式提供数据。对所有对象的操作都必须事先得到授权并由操作系统来执行。这就建立起一个保护层，可以有效地防止外部程序直接访问网络数据。Windows NT正是通过阻止程序直接访问对象来获得高的安全级的。在Windows NT中，对象的属性可以用安全描述器和存储标识来设定和保护。可被设定的属性包括以下几个方面：,(1) 指明谁是对象的所有者和使用者的安全身份号(SID)。,(2) 只能被可移植操作系统界面(POSIX)子系统使用的组安全身份号(SID)。,(3) 包含用户和组访问许可权限的可自由决定的访问控制列表，此列表由对象所有者控制。,(4) 控制审核信息生成的系统访问控制列表(ACL)。,共有两种形式的对象，即集装箱式的对象和非集装箱式的对象。集装箱式的对象可以容纳别的对象，而非集装箱式的对象则不能容纳别的对象。例如，目录是集装箱式的对象，而文件则是非集装箱式的对象。在父集装箱式对象中所生成的子对象，可以拥有父集装箱式对象所有的许可权限。,2. Windows NT网络的工作组模型,在Windows NT网络中有两种基本的组网模型： 工作组模型和域模型。,在工作组模型的网络中，组是指计算机的逻辑组合，它把具有共同目的的设置如打印机、硬盘供组成员共享，组成员管理自己的账号和数据的安全性，如图5.1所示。,图5.1,在网络中没有专门的域控制器和服务器，网络中的各台计算机都互为其他计算机的服务器和工作站，每台计算机上都有自己的用户和组账户。这种结构适用于用户较少的网络中，缺点是每台计算机都有目录数据库，用以验证在自己计算机上创建的本地用户和组账户，在网络中没有集中的账户管理，当用户增多时，效率会迅速降低。,3. Windwos NT网络的域模型,(1) 域,域是指共享公共账号数据库和数据安全策略的计算机的逻辑组合，提供登录验证，并只有惟一的域名。域一般由几个运行Windows NT 4.0工作站版和服,务器版的计算机组成。在一个域中的所有Windows NT Server都使用同一套用户和组账户，所以要使域中所有的服务器承认一个账户，用户只需输入一次用户账户的信息即可使用域中的资源，如图5.2所示。,图5.2,(2) 域的主要组成部分,组成一个域至少需要一台运行Windows NT Server的计算机作为主域控制器，用来保存用户账户和组账户信息的数据库的主拷贝，同时负责管理用户和组账户，可选的组成部分有：备份域控制器、成员或独立的服务器和各种类型的客户机(Windows 3.x客户机、Windows for Workgroup客户机、MS-DOS客户机、Windows NT Workstation客户机、Windows 9x客户机、LAN Manager 2.x客户机、Novell Netware客户机、Macintosh客户机等等)。,安装了Windows NT Server的计算机就成为一台服务器，服务器在网络中能承担如下角色：, 主域控制器(PDC),在每个域中都有一个主域控制器(PDC)，计算机都要与主域控制器(PDC)相关联。因为PDC负责账号的集中管理和维护，跟踪域中账号的改动。任何时候，管理员对域中账号的改动，都会记录在主域控制器的目录数据库中，只有主域控制器才是直接接受这些改动的服务器。在安装过程中，要先定义好PDC，在域中安装任何其他计算机时，PDC必须正在运行。PDC包含域的目录数据库的主拷贝。在一个域中只能有一个主域控制器。, 备份域控制器(BDC),备份域控制器(BDC)负责维护目录数据库的备份，该备份可以自动定期地与主域控制器保持同步。备,份域控制器也对用户登录进行验证，并且备份域控制器可以升级为具有主域控制器功能的服务器。一个域中可以同时拥有多个备份域控制器，当主域控制器出现故障时，可以用备份域控制器之一的计算机升级为主域控制器，但是在主域控制器出现故障时、未来得及更新的账号数据有可能丢失。任何备份域控制器都可以确认从下列客户机发来的登录请求：Windows NT Workstation、Windows 95/98、MS LAN Manager和安装有连接软件的MS-DOS。, 独立域成员服务器,独立域服务器具有Windows NT的所有特点，支持RAS服务、容错能力、Internet信息服务、Macintosh文件和打印服务、支持MS-DOS、,Windows 3.x、Windows 9x客户机的远程程序装载(RPL)。与域控制器不同的是，独立域服务器不作账号复制或对合法域用户的登录请求，因此，独立域服务器比域控制器能更高效地提供文件、打印和应用程序服务。独立服务器可以是工作组或域中的一个成员，作为域中一部分的独立服务器，也称为成员服务器，与运行Windows NT Workstation的计算机类似，独立服务器不能提升为BDC或PDC，除非重新安装。,加入域的服务器并不获得域用户数据库的备份，但服务器仍受益于域的用户和组数据库。当指定用户权限和对象许可权或创建本地组时，用户具有来自服务器加入的域内的合法的用户账户，这些用户账户在本台服务器管理员许可的情况下可以访问此服务器并使用其资源。,一台不加入域的服务器仅仅拥有它自身用户的数据库并自己处理登录请求。它不能与其他任何计算机共享账户信息，不能使用域中的账户。在这样的服务器上，只有那些在此服务器上创建的用户账户能被登录或给予本服务器的权限和许可。这种服务器与Windows NT Workstation计算机有同样类型的用户和组账户，但不同于Windows NT Server域上的账户类型。,(3) 域模型,域有4种组织网络模型： 单域模型、主域模型、多主域模型及以完全信任模型。, 单域模型： 网络中只有一个域，适用于用户很少的网络中。, 主域模型： 由于某种原因将网络分成几个域，只在一个域(主域)中创建网络中的所有用户和全局组，所有其他的域都信任这个域，可以使用在主域中定义的用户和全局组。在这种模型下，主域一般是一个账户域，主要负责管理用户账户，网络中的其他域是资源域，提供各种资源给网络中的用户使用。适用于网络中用户和组数量不是很多的情况。, 多主域模型： 在网络中有多个主域和多个域(资源域)，其中主域作为账户域，所有的用户账户和组都创建在主域上，每个主域都相互信任，其他的所有资源域都信任每个主域。这种模型的缺点是，如果一个全局组需要保存来自两个或两个以上域的用户，必须创建多个全局组(每个主域一个全局组)，,并且要使用所有的全局组，而在其他域模型中只使用一个全局组。这种模型适用于网络中用户数量很多且有一个专门的管理部门的情况。, 完全信任模型： 网络中具有多个主域，每个域中都有自己的用户和全局组，且这些域均两两信任。这种模型适用于网络中用户众多且没有一个专门的管理部门的情况下。这种模型的缺点是没有一个专门管理域的部门，且要建立大量的信任关系。,如在图5.3所示的网络中，包含三个域：计算中心域A、计算机系域B和信息系域C。,(4) 信任关系,信任关系是域之间的链接，允许跨越身份验证。通过信任关系，使用户可以使用其他域中的网络资源(当然还要有使用资源的权限)。有两种类型的信任关系：, 单向信任关系： 一个域(信任域)信任其他域(被信任域)中的用户使用其资源，即信任域完全承认来自被信任域的所有用户和全局组账户，而信任域中的用户无法使用被信任域中的资源。在图5.3中，域C信任域A，属于单向信任关系。, 双向信任关系： 网络中的每个域都信任对方域中的用户使用其网络资源。通过适当使用双向信任关系，可以使任一域中的用户使用网络中的所有网络资源。所以说双向信任关系相当于两个单向信任关系，即域相互信任。全局用户账号和全局组可被用来从任何一个域中得到授权来访问其中任何一个域中的资础图5.3中，域A与域B，属于双向信任关系。,图5.3,(5) 域的优点, 单一登录过程： 用户只需要一个域用户账号的信息即可登录到域上,并使用域中的网络资源，而不必逐一登录域中的所有服务器。, 集中式管理：网络管理员若要修改某个用户的账户信息，只需在主域控制器上进行修改，此修改信息应用于整个域，而不必逐台服务器修改同一用户的信息，保持了用户信息的一致性。,(6) 域命名约定,规划域时，需要考虑域的名称，为清楚起见，域名应反映其服务的范围。一旦设计好域名，最好不要更改。原因是更改域名后要求对每台属于重命名域的服务器进行重新安装。例如，将一个系作为一个域，域名即是系名。,(7) 组命名和分配约定,网络管理员可能为每个资源域创建一个全局组，该组可能包括所有将该域作为主要资源来源的成员。其他全局组可能为所有部门或位置而创建，并且，每个部门的成员自动成为其部门组的成员。组名应该反映域和部门，例如，若以一个系作为域，则系中的各个班就是一个个全局组，可以写鳌跋得_班名”,4. 用户账户与组,(1) 用户账户,任何一个用户想要登录到Windows NT服务器上，就必须要拥有一个属于自己的用户账户。用户账户保存了用户的信息(包括姓名、密码以及该用户能,使用网络资源的限制)，有了这个用户账户，用户才能登录到网络中，对网络中的资源拥有一定的权利。例如，改变机器的设置、添加新设备、更改数据访问权限等。一个用户可以有多个用户账户。也可将做相同工作或需要同一资源的用户分为全局组和本地组，分组使得授予权限和资源许可权更为方便，只需将权限和资源许可权授予一个组，就等于将权限或许可权授予了现在和未来的组成员。,用户账户也可分为两类：全局用户账户和本地用户账户。, 全局账户： 大多数或全部的用户将是全局用户账户。, 本地账户： 如果网络中有一台非Windows NT网络操作系统的服务器，例如，IBM LAN Server、Novell NetWare Server或LAN Manager 2.x，用户可以通过本地用户账户(本地账户)使该系统用户和Windows NT Server域账户之间的访问更简单一些。,(2) 组,将用户账户分成组使得授予多个用户资源的访问更快更方便。,如果要将某种许可权给予多个用户时，只要将这些用户归为一个组，然后将许可权授予这个组，这样，这个组中的所有用户就都拥有了这个许可权。组的另一个好处是，当一个新用户加入网络时，如果他所需要的权限恰好是WORK组拥有的权限，那么将这个新用户加入到WORK这个组中，他就拥有了他所需要的所有权限。,组分为全局组和本地组。, 全局组： 一个全局组是能在自己的域以及其他信任这个域的域中被赋予权限和许可权的用户的集合。全局组只能包含用户账户，不能包含其他的全局组或本地组。当全局组创建后，它就全局有效。一个全局组是由来自一个域的一些用户账户组织在一起并给一个组名。全局组只能包含来自创建全局组的域的用户账户。当全局组创建以后，它就全局有效。它能在自己的域中被授予权限和许可权。, 本地组： 本地组是一些组织在一个组名下的来自一个或多个域的用户和全局组的集合。因为一个域的本地组可以包括该域或信任该域的域的用户和全局组，所以可以授予本地组对其所在域的资源的,权限和许可权。该组的使用只限于所在的域。本地组可以包括用户和全局组，但不能包含其他本地组。作为成员服务器或工作站的本地组成员具有在这台计算机上执行各种任务的权力和能力。,域的全局组只能包含域的用户，而域的本地组可以包含域的用户和全局组。,本地组有Administrators组、Power User组、User组、Guests组、Everyone组、Backup Operators组。,Administrators组： 在域或计算机上的Administrators本地组中的账户有能力做域或计算机上可做的任何事情，包括创建、修改、删除和管理用户账户、全局组、本地组、设置文件所有权、备份文件目录、共享和停止共享目录、共享和停止共享打印机等。,Power User组： 属于本组的成员可以从本地登录、从网络访问计算机、关闭系统、创建和管理用户账户(只能修改和删除他自己所创建的账户)和本地组(但不能修改Administrators组和Backup Operators组)、共享和停止共享目录、共享和停止共享打印机等。,User组： 属于本组的成员可以在工作站上登录并用它访问网络资源、锁定和关闭工作站、拥有一个在工作站上的用户配置文件、修改他所创建的本地组的成员(但不能修改内嵌的或其他人创建的本地组)。,Guests组： 在运行Windows NT Server的域控制器上，Guests组的成员拥有和User组成员一样的权限，,两个组都只能通过网络访问域控制器，而不能在域控制器上本地登录。在运行Windows NT Workstation的计算机上工作时，Guests的权限比User的要小，Guests不能保持本地的用户配置文件、锁定工作站以及创建、删除和修改工作站上的本地组。,Everyone组： 包含所有用户的组。,Backup Operators组： 属于本组的成员能备份文件、恢复文件、本地登录以及关闭计算机。,(3) 内嵌账户,当NT安装后，各个默认的用户和组账户被键入计算机的账户数据库中。,内嵌用户账户： 两个默认的用户账户初始化在每个NT计算机上：Administrator和Guest。,Administrator： 在用户创建其他用户账户之前，Administrator是最先能使用的管理新服务器和工作站的账户。Administrator账户不能删除或使之失效，这保证用户永远不能通过删除或使管理账户无效而锁定自己。,Guest： 是用作Guest登录的账户，它可被那些在计算机或域中没有账户的人用来登录的。在NT安装时，Guest账户被默认的置为无效，但若要允许Guest登录，可使之有效。但Guest在域中的权限非常小，几乎不能完成某项具体的工作。,(4) 内嵌全局组,在域的主域和备份域控制中，有3个内嵌的全局组：Domain Admins、Domain Users和Domain Guests，它们都不能被删除。, Domain Admins： 初始化时包含Administrator账户。当为域管理员创建账户时，创建者应该将这些管理员账户放入Domain Admins 全局组，而不是放在Administrator本地组中。, Domain Users ： 初始化时包含Administrator账户，每个域管理员后来加入到该域的账户均被自动放到Domain Users全局组中。, Domain Guests ： 初始化时包含Guest账户。,(5) 内嵌本地组,在任何机器上安装NT时，都建立几个默认的本地组，所有内嵌本地组将不能被删除。,作为这些本地组的附加组，另有一个叫Everyone的标识，它描述网络中所有的用户，包括管理员、各种类型的操作员、用户及Guest。它不能修改任何人的身份，它总是自动保存所有用户；Everyone不是一个真正的本地组，不出现在组的User Manager列表中，但网络管理员可以给Everyone指定文件许可权(NT资源管理器中)，也可以给Everyone指定权限(在域用户管理器中)。在主域控制器上的内嵌本地组有：Administrators组、Users组、Guests组、Server Operators组、,Print Operators组、Backup Operators组、Account Operators组和Replicator组。,5. Windows NT/2000的注册表,注册表是包括由应用程序、硬件设备、设备驱动程序配置、网络协议和适配卡设置等信息的数据库。注册表包含了许多文件，例如config.sys，autoexec.bat，system.ini，win.ini，protocol.ini，lanman.ini，control.ini，system.dat,user.dat,sam以及一些其他文件的功能。它是一个具有容错功能的数据库，一般不会崩溃。如果系统出现错误，日志文件使用Windows NT能够恢复和修改数据库，以保证系统正常运行。,注册表的数据结构由以下4个子树构成：, HKEY_LOCAL_MACHINE： 含有本地系统的部分信息。这些信息包括硬件设置、操作系统设置、启动控制数据和驱动器的驱动程序。, HKEY_CLASS_ROOT： 含有与对象的连接与嵌套(OLE)和文件级关联相关的信息。, HKEY_CURRENT_USER： 含有正在登录上网用户信息。包括用户所属的组、环境变量、桌面设置、网络连接、打印机和应用程序等。, HKEY_USER： 含有所有登录入网的用户信息。包括从本地访问系统的用户和远程登录的用户信息存储在注册表的远程机器中。,5.1.2 Windows 2000系统的安全概述,1. 概述,Windows 2000 安全的主要功能是用户身份验证和访问控制。,(1) 用户身份验证,Windows 2000 安全模型包括用户身份验证的概念，这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中，安全性系统提供了两种类型的身份验证：交互式登录(根据用户的本地计算机或 Active Directory 账户确认用户的身份)和网络身份验证(根据此用户试图访问的任何网络服务确认用户的身份)。为提供这种类型的身份验证，Windows 2000 安全系统包括了三种不同的身份验,证机制：Kerberos V5、公钥证书和 NTLM(与 Windows NT 4.0 系统兼容)。,(2) 基于对象的访问控制,通过用户身份验证，Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组，以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性，管理员可以设置权限，分配所有权以及监视用户访问。,管理员不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问。例如，通过适当配置对象的安全描述符，用户可以被允许访问一部分信息。如只访问员工姓名和电话号码,而不能访问他们的家庭住址。,(3) Active Directory 和安全性,Active Directory 通过使用对象和用户凭据的访问控制提供了对用户账户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息，因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如，用户登录到网络时，Windows 2000 安全系统通过存储在 Active Directory 上的信息来验证用户。然后，当用户试,图访问网络上的服务时，系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组账户，因此管理员可以更有效地管理系统的安全性。例如，通过调节文件属性，管理员可以允许组中的所有用户读取文件。这样，访问 Active Directory 中的对象以组成员为基础。,2域的体系结构,(1) 域和安全性,域是网络对象的分组，例如，用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。每个域都是一个安全界限，这意味,着安全策略和设置(例如系统管理权利、安全策略和访问控制表)不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。由于每个域都是一个安全壁垒，因此不同的系统管理员可以在单位中创建和管理不同的域。,理解域的关键是： 安全策略可以贯穿整个域来实现。,为保证数据库的同步，包括安全信息的 Active Directory 会定期复制到域中的每个域控制器。,Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。,可转移的信任关系可以建立在域树中的域之间。,(2) 单个域和多个域,Windows NT 4.0 限制了目录可以存储的用户账户的个数。因此，为了适应大计算环境的需要，创建和管理多个域，而且每个域都拥有自己的用户账户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织：主域(存储用户和组的账户)和资源域(存储文件、打印机、应用程序服务等)。,这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。,通过扩大存储用户、组和计算机账户的能力，Active Directory 可实现多个域的功能，因此取而,代之。通过 Active Directory，系统管理员可以把跨越多个域的所有账户(过去必须存储在主域中)和所有资源(过去必须存储在资源域中)合并到单个域中。出于管理目的，系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而，在某些情况下，用户出于策略原因可能希望保留多个域。,(3) 可转移的信任关系,当户将对象从多个域转到单个域时，会降低必须建立和保持的域信任关系的数量。同样，将域合并成单个域林时，这些域将自动建立可转移的信任关系，减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域，每个域同域林中的另一个域只需要一个信任关系。,(4) 服务器角色,域中的服务器担当下面两种角色之一：, 域控制器运行 Active Directory 并且提供身份验证和策略。, 成员服务器不提供身份验证和策略，常作为文件、应用程序、数据库、Web服务器等使用。,3. 身份验证,身份验证是系统安全性的一个基本方面。它负责确认试图登录域或访问网络资源的任何用户的身份。Windows 2000 身份验证允许对整个网络资源进行单独登记。采用单独登记的方法，用户可以使用单个密码或智能卡一次登录到域，然后,通过身份验证向域中的所有计算机表明身份。,Windows 2000 支持几种工业标准的身份验证类型。验证用户身份时，Windows 2000 依据多种要素使用不同种类的身份验证。Windows 2000 支持的身份验证类型有：,Kerberos V5 身份验证；,安全套接字层 (SSL) 和传输层安全性 (TLS) 的身份验证；,NTLM 身份验证。,在Windows 2000 中，NTLM 被用作域中两台计算机之间事务的身份验证协议，其中一台或两台计算机运行 Windows NT 4.0 或更早版本。Windows 2000 在默认情况下以混合模式网络配置安装。混合模式的网络配置使用 Windows NT 4.0 和,Windows 2000 的任意组合系统。如果没有混合模式网络，可以在域控制器中转换为本地模式来禁用 NTLM 身份验证。,4. 授权,Windows 2000 的安全性建立在身份验证和授权之上。,管理员可以给组账户或单个用户账户指派特定权利。,用户权利定义了本地级别上的功能。虽然用户权利可以应用于单个的用户账户，但最好是在组账户基础上管理，这样可以确保作为组成员登录的账户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利，可以简化用户账户管理的任务。当组中的用户都需要相同的用户权利时，用户可以一次对该组指派用户权利，而不是重复地对每个单独的用户账户指派相同的用户权利。,对组指派的用户权利应用到该组的所有成员(在它们还是成员的时候)。如果用户是多个组的成员，则用户权利是累积的，这意味着用户有多组权利。指派给某个组的权利只有在特定登录权利的情况下才会与指派给其他组的权利发生冲突。然而，指派给某个组的用户权利通常不会与指派给其他组的权利发生冲突。要删除用户的权利，管理员只需简单地从组中删除用户。在这种情况下，用户不再拥有指派给这个组的权利。,用户权利有两种类型： 特权和登录权利。,特权： 特权的一个典型范例就是备份文件和目录的权利。,登录权利： 登录权利的一个典型范例就是登录本地系统的权利。,5. 审核,安全审核是 Windows 2000 的一项功能，负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。,应该被审核的最普通的事件类型包括：,访问对象，例如文件和文件夹；,用户和组账户的管理；,用户登录以及从系统注销时；,除了审核与安全性有关的事件，Windows 2000 还生成安全日志，并提供了查看日志中所报告的安全事件的方法。,6. 安全策略,安全策略包括： 安全设置、安全模板和安全配置工具。,安全设置定义了系统安全的相关操作。通过对 Active Directory 中组策略对象的使用，系统管理员可以集中应用保护企业系统所要求的安全级别。,确定包括多台计算机的组策略对象的设置时，必须考虑给定站点、域或单位的组织和功能特征。例如，销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。,安全设置包括安全策略(账户和本地策略)、访问控制(服务、文件、注册表)、事件日志、组成员(受限的组)、网际协议 (IP) 的安全策略和公钥策略。,安全模板是安全配置的物理表现，一组安全设置应该存储于一个文件中。Windows 2000 包括一组以计算机的角色为基础的安全模板，从低安全域客户端的安全设置到非常安全的域控制器。这些模板可用于创建自定义安全模板，修改模板或者作为自定义安全模板的基础。,安全配置工具则是提供管理员进行安全配置的：,管理员可使用安全模板管理单元来定义和使用安全模板。,管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。,管理员可使用组策略管理单元来配置 Active Directory 中的安全性。,7. 数据保护,数据的保密性和完整性开始于网络的身份验证。用户可以通过适当的凭据(安全的密码或者公钥凭据)在网络上登录，并在此过程中获得访问存储数据的权限。,Windows 2000 支持两种数据保护方式：存储数据和网络数据。以下介绍这两种类型的保护方式。,(1) 存储数据的保护,保护存储的数据(联机或是脱机)可以通过文件加密系统 (EFS) 和数字签名来实现。,文件加密系统 (EFS)使用公钥加密技术对本地的 NTFS 数据进行加密，数字签名对软件组件进行签名以确保它们的合法性。,(2) 网络数据的保护,在用户的工作环境(局域网和子网)中的网络数据通过身份验证协议来保护它的安全。用户也可以选择其他的安全级对用户工作环境中的网络数据进行加密。使用网际协议 (IP) 的安全机制，用户可以对指定的客户端或某个域中的所有客户端的所有网络通信数据进行加密。,传入及传出用户所在工作环境的网络数据(通过内部网、外部网或 Internet 网关)可以通过使用以下实用程序进行保护。,网际协议安全： 对客户端的所有 TCP/IP 通信进行加密。,路由和远程访问： 配置远程访问协议和路由。,代理服务器： 为站点提供防火墙和代理服务器。,另外，像Microsoft Exchange、Microsoft Outlook 和 Microsoft Internet Explorer 这样的程序都提供了某个站点内或者整个网络上的信息和事务的公钥加密。,8. 公钥基础结构,在这个信息互连的时代，单位的网络可能包括内部网、Internet 站点和外部网，这些都有可能被一些未经授权、蓄意盗阅或更改单位数字信息财产的个人访问。,有许多潜在的机会可未经授权访问网络上的信息。个人可以尝试监视或更改类似于电子邮件、电子商务和文件传输这样的信息流。用户的单位可能与合,作伙伴在限定的范围和时间内进行项目合作，有些雇员用户虽然一无所知，但却必须给他们一定的权限访问用户的部分信息资源。如果用户为了访问不同安全系统需要记住许多密码，他们可能会选择一些防护性较差或很普通的密码，以便于记忆。这不仅给黑客提供一个容易破解的密码，而且还提供了众多安全系统和存储数据的访问。,那么，系统管理员怎样才能确定正在访问信息的用户的身份，而且利用身份对被访问的信息进行控制呢？另外，系统管理员怎样才能轻松而安全地分发和管理单位中的身份凭证呢？这些都是可以通过仔细规划的公钥基础结构解决的问题。,通常缩写为 PKI 的公钥系统是由数字证书、证书,颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。尽管作为电子商务必要组成部分的公钥基础结构 (PKI) 已被广泛应用，但它仍然在发展之中。,5.2 Windows NT/2000的安全模型,好的安全系统可确认试图访问计算环境的个人的身份，防止冒名顶替者的访问、盗窃或者破坏系统资源；保护环境中的特定资源免受用户的不正当访问；为设置和维护用户工作环境中的安全性提供了一种简单而有效的方法，同时防止信息和资源被损坏以及有人未授权访问。,Windows NT/2000网络采取的安全措施是： Windows NT/2000系统首先必须在NT中拥有一个账号，其次，规定该账号在系统中的权力和权限。,在 Windows NT/2000系统中，权力专指用户对整个系统能够做的事情，如关掉系统、往系统中添加设备、更改系统时间等。权限专指用户对系统资源所能做的事情，如对某文件的读、写控制，对打印机队列的管理等。在系统中有一个安全账号数据库，为,WINNTSYSTEM32CONFIG目录下的SAM文件，其中存放的内容有用户账号以及该账号所具有的权力等。用户对系统资源所具有的权限应与特定的资源一起存放。,5.2.1 Windows NT/2000的用户登录管理,Windows NT/2000要求每个用户使用惟一的用户名和口令登录到计算机上，这种登录过程不能关闭。,在没有用户登录时，可以看到屏幕上显示一个对话框，提示用户登录Windwos NT/2000系统。实际上，在Windwos NT/2000系统中有一个登录进程，它是WINNTSYSTEM32目录下的Winlogon.exe文件。当用户开始登录时，按下CtrlAltDel键，Windwos NT系统启动登录进程执行Winlogon.exe文件，弹出登录对话框(如图5.4所示)，让用户输入账号名及口令。按下CtrlAltDel键时，NT系统保证弹出的登录对话框是系统本身的，而不是一个貌似登录对话框的应用程序，以防止被非法窃取用,户名及口令。所以，在登录时，无论屏幕上是否有登录对话框，一定要按下CtrlAltDel键，以确保弹出的对话框是Windwos NT/2000系统的登录对话框，此过程就是强制性登录过程。登录进程收到用户输入的账号和口令后，就查找安全账户数据库SAM中的信息。如果账户及口令无效，则用户的登录企图被拒绝；如果账户及口令有效，则把安全账户数据库中有关该账户的信息收集在一起，形成一个使用者的安全存取标识SID。存取标识中的主要内容有：,用户名以及SID。,用户所属的组及组SID。,用户对系统所具有的权力。,图5.4,然后，Windows NT/2000就启动一个用户进程，将该存取标识与之连在一起，这个存取标识就成了用户进程在Windows NT/2000系统中的通行证。用户无论做什么事情，Windows NT/2000中负责安全的进程都会检查其存取标识，以确定其操作是否合法。,用户成功地登录之后，只要用户没有注销自己，其在系统中的权力就以存取标识SID为准，Windows NT/2000安全系统在此期间不再检查安全账户数据库SAM。这主要是考虑到效率。,存取标识SID的作用相当于缓存，只不过存取标识缓存的是用户安全信息，这使得系统不必再从硬盘上查找。安全账户数据库SAM是由域用户管理器来维护的，在某个用户登录后，有可能管理员会修,改其账户SAM以及权力等，但这些修改只有在用户下次登录时才有效。因为NT安全系统在用户登录后只检查存取标识SID，而不是检查安全账户数据库SAM。例如 User1已登录到了Windows NT/2000系统中，管理员发现其缺少了某种权力，就用域用户管理器对其做相应的修改。那么，除非User1重新登录，否则User1仍无法享有该权力。,5.2.2 Windows NT/2000的资源访问控制机制,根据需要选择存取控制，使资源拥有者可以控制网络用户存取他们的资源以及能存取的权限。通过对程序控制列表(ACL)的控制，能确定授予用户和组的存取权限。系统资源包括系统本身、文件、目录和打印机等网络共享资源以及其他对象。,Windows NT/2000服务器提供控制资源的存取项的工具。对资源的灵活具体的存取控制能作用于特定的用户、多个用户、用户组、无人或者所有人。它们能由资源拥有者、系统管理账户的用户或者任何被授权控制系统上资源的用户来设定。,在安全系统上用惟一名字标识一个注册用户，它可以用来标识一个用户或一组用户。它和UNIX的用户标识号相同，安全性标识符是用于系统内部的，在存取令牌和ACL(access control list)内使用。与UNIX中的用户标识不同的是，SID不是一个两个字节的整数，而是一长串数字。一个SID数值用于代表一个用户的SID值在以后应该永远不会被另一个用户使用。所有的SID用一个用户信息、,时间、日期和域信息的结合体来创建。用SID标识用户的结果是，在同一个计算机上，可以多次创建相同的用户账户名，而每一个账户名都有一个惟一的SID。例如，用Yuan建立一个账户，然后删除这个账号，并为Yuan建立一个新的账号。即使两次的用户名相同，新账户和老账户也不会有相同的可以访问的资源。每次用户登录到系统上时，便生成了用户的存取SID，并且在登录后不再更新。所以，如果用户想获得另一个账户的存取权限，它们就必须退出系统并重新以另一个账户进行登录。UNIX在这方面要比Windows NT/2000具有更大的方便性，用户可以在登录后将自己的身份改变成另一个账户的身份，如Root账户的身份。,正如在“登录机制”中提到的，安全存取标识SID包含一个特定用户的信息。当用户初始化一个进程时，存取标识的一个副本就被永久地附于这个进程上。在登录过程中，创建和使用存取标识是非常重要的，存取标识SID包含的内容并没有访问许可权限，而存取标识SID又是用户在系统中的通行证，那么Windows NT/2000如何根据存取标识SID来控制用户对资源的访问呢？这就需要将原来给资源分配的权限作为该资源的一个属性，与资源一起存放。例如，有目录为D: Files，对其指定User1只读，User2可完全控制，则这两个权限都作为D:Files目录的属性与该目录连在一起。资源对象的安全属性在Windows NT/2000内部以访问控制列表ACL形式,存放，ACL中包含了每个权限的分配，以访问控制条目ACE来表示。ACE中包含了用户名以及该用户的权限。例如，在上面提到的这个例子中，D: Files的ACL中有两个ACE，分别是User1，只读；User2，完全控制。当User1访问该目录时，Windows NT/2000安全系统检查用户的存取标识SID和目录D:Files的访问控制列表ACL，进行以下3种情况判断。,(1) 如果目录对象没有访问控制列表ACL，则系统允许所有用户访问该对象。,(2) 若目录对象有访问控制列表ACL，但访问控制条目ACE为空，则系统对所有用户都拒绝访问该对象。,(3) 如果目录对象有访问控制列表ACL，且访问控制条目ACE不为空，那么当安全系统将用户的存取标识SID及资源访问操作与目录的ACL中所有的访问控制条目ACE对照时，若发现用户存取标识SID中的用户名与ACL中访问控制条目ACE有对应关系且所要求的权限合法，则访问获得允许，否则，访问被拒绝。,5.3 Windows NT/2000用户登录与账户管理,5.3.1 Windows NT/2000的登录机制,Windows NT/2000要求每个用户使用惟一的用户名和口令登录到计算机上，这种强制性登录过程不能关闭。强制性登录和使用Ctrl+A1t+Del启动登录过程的优点是如下所示。,强制性登录过程用于确认用户身份是否合法，从而确定用户对系统资源的访问权限。,在强制性登录期间，挂起对用户模式程序的访问，这样可以防止有人创建偷窃用户账号和口令的应用程序。例如，入侵者可能会仿制一个Windows NT/2000的登录界面，然后让用户进行登录，从而获得用户名和相应的密码。使用Ctrl+A1t+Del能使,应用程序终止，而真正的登录程序可以由Ctrl+A1t+Del启动。,强制登录过程允许用户具有单独的配置，包括桌面和网络连接。这些配置在用户登录后自动调出，退出时自动保存。这样，多个用户可以使用同一台机器，并且仍然具有它们自己的专有设置。用户的配置文件可以存放在域控制器上，这样用户在域中任何一台计算机上登录都会具有相同的界面和网络连接设置。,成功的登录过程有以下4个步骤：,Windows NT/2000的Winlogon过程给出一个对话框，要求回答一个用户名和口令。这些被传递给安全性账户管理程序。,安全性账户管理程序查询安全性账户数据库，以确定用户名和口令是否属于授权的系统用户。,如果给访问授权的安全性系统构造一个存取令牌，并将它传回到Windows NT/2000的Winlogon过程。,Winlogon调用Windows NT/2000的子系统，为用户创建一个新的进程，传递存取令牌给子系统，Windows NT/2000各子系统对新创建的过程连接此令牌。,Windows NT/2000的登录上网程序为用户的身份确认提供了必要的信息，因而不能被忽略。在访问系统的任何资源之前，用户首先必须登录，让网络的安全系统验证用户的姓名和口令。,为了防止申请者以后台模式访问系统(如特洛伊木马登录程序)，Windows NT/2000登录时将首先显示一个表示欢迎的信息框，并要求用户在开始真正的登录前同时按下Ctrl+Alt+Del键，以激活登录窗口。当用户企图在没有获得授权的情况下访问系统时，应该显示一条登录标语，也就是所谓的警告标语。,5.3.2 Windows NT的用户账户管理,1. 账户的管理机制,用户账户可以是某一服务器上的本地账户，也可以在域用户账户范围内创建。不管怎么说，只要记住账户的类型是由Windows NT服务器的身份决定的就行了。Windows NT服务器可以是服务器，也可以是域控制器。服务器负责维护它自己的安全账户数据库(SAM)，而域控制器则与其他服务器共享SAM。这意味着服务器拥有本地版的SAM，而主域控制器(PDC)就可能复制到域中的备份域控制器BDC上的SAM版本。以后将进一步解释PDC、BDC以及SAM数据库同步的问题。,不管是什么类型的账户，都可以设置不同的属性。,这些属性决定了用户与网络系统交互操作的方式，大致包括如下内容：,用户可以改变它的口令；,本地账户和全局账户；,指定用户的主目录；,赋值网络登录脚本；,赋值用户强制性配置文件；,把用户分配到默认组。,用户账户的属性可以在用户账户创建时具体规定，而且以后任何时候都可以修改。用户账户可以通过在SAM数据库中添加一个新账户来创建，也可以在SAM数据库中拷贝已经存在的账户的属性来创,建。那些从其他非Windows NT系统转来的用户账户信息，也可以用Windows NT 4.0提供的移植工具来增加。,2. 建立(添加)用户账号,实现添加用户账号的方法有两种。其一，使用“管理工具(公用)”中的“域用户管理器”添加用户账号；其二，利用“管理向导”。下面介绍第一种方法，其操作步骤如下。,选择“开始” “程序(P)” “管理工具(公用)” “域用户管理器”，激活“域用户管理器”窗口。在该窗口中，选择菜单项“用户(U)”，打开“用户(U)”项下拉菜单，选择其中的“新用户(U)”选项，激活“新用户”窗口。在“新用户”窗口中，应该输入用户,的一些基本和必要的信息。建立用户账号时可按规划内容一次输入全部有关信息；也可以只输入用户的一些基本和必要的信息，其他内容则可根据用户的需要，在日后进行补充或修改设置。用户账号的建立过程如图5.5(和)所示。,图5.5,有关的信息包括下面的(1)(7)项，其中基本和必要的信息是(1)和(2)两项。,(1) 基本用户信息： 包括用户账号、全名、账号描述和密码等信息。用户的账号名称不能超过20个字节，另外，诸如“ ： ；= . + ( )”等特殊字符不能在账号名称中使用。用户的密码不能超过14个字节，但没有不能使用上述特殊字符的限制。,(2) 组： 用于设置用户所隶属的组，每一个用户账号可以成为多个组的成员。通过组的设置，可以将性质相同的用户组织到一起，从而方便了系统管理。,(3) 配置文件： 用来设置登录界面、登录启动程序和用户的宿主目录。,(4) 时数： 用来设置允许用户登录网络的时间范围，如图5.5所示。,(5) 登录到： 用来限定该计算机账号所能登录的域中的计算机站点。,(6) 账号： 设置该用户账号的使用期限和账号类型。,(7) 拨入： 设置该用户远程登录时的拨号权限和返回的参数。,在“新用户”窗口中，输入所要输入的信息后，单击“添加”按钮，完成建立账号的工作。如果打算将该用户加入组内，可先不单击“添加”按钮，而单击“组(G)”按钮，激活“组员身份”窗口，从该窗口右部的“不隶属于(N)”中选择打算加入的组名，如“workgroup”，然后单击“添加”按钮，完成加入组的工作。在“组员身份”窗口中，加入选定的组之后，单击“确定”按钮，返回“新用户”窗口，然后单击“添加”按钮，完成建立用户账号和加入组的工作。,3. 管理用户账号,所谓管理用户账号，是指用户账号建立之后，可根据需要对账号进行复制、修改或删除等项工作。,(1) 复制用户账号,如果网络上拥有许多性质相同的账号，可使用复制账号的功能复制和建立这些账号。假设某系有50名教师，他们都隶属于“JSJX”组，如果为每一位教师建立一个账号，并将他们一一加入到组中，显然会耗费很多时间。可以采用复制账号的功能，只需先建立一个账号，如“JSJ”，并将它加入到“JSJX”组中。在“域用户管理器”窗口中选定账号“JSJ”，然后在该窗口的“用户”菜单选项中选择其中的“复制”选项，激活“JSJ的副本”窗口，键入新账号