WINDOWS2000的运行模式 用户模式 登录过程 D0客户 Win16客户 Win32客户 其他客户 (Winlogon) 1. Intel xi86处理器支持4种运行模式,或称计算环ring) a. Ring0:最高优先级 b. Ring 1: C. Ring 2: 4GB) 安全子系统 d.Ring3:最低优先级n2 其他子系统 (LSA 2.WinK仅使用两种运行模式统 0)s1y a.Ring0:内核模式 ①所有内核模式进程共享一个地址空间 b.Ring3:用户模式 核 对象安全引用本地过 费0管理器监调用程序①每个用户模式进程拥有自己私有的虚拟内存 管理器 空间 0 内核 硬件抽象层(HAL) 2GB) 硬件
27 硬件 硬件抽象层(HAL) I/O 管理器 微 内 核 对象 管理器 安全引用 监视器 本地过程 调用程序 进程 管理器 虚拟内存 管理器 图形设备 管理器 即插即用 管理器 电源 管理器 配置 管理器 缓存 管理器 安全子系统 (LSA) Win32 子系统 其他子系统 (Posix,RAS) 登录过程 (Winlogon) DOS 客户 Win32 客户 其他客户 (Posix,RAS) Win16 客户 WOW VDM 内 核 模 式 ( 0 G B | 2 G B ) 用 户 模 式 ( 2 G B | 4 G B ) 1. Intel x86处理器支持4种运行模式,或称计算环(ring) a. Ring 0:最高优先级 b. Ring 1: c. Ring 2: d. Ring 3:最低优先级 2. Win2K仅使用两种运行模式 a. Ring 0:内核模式 ① 所有内核模式进程共享一个地址空间 b. Ring 3:用户模式 ① 每个用户模式进程拥有自己私有的虚拟内存 空间 WINDOWS 2000 的运行模式
提纲 原理篇 实践篇 WINDOWS系统概述 啼WIND0WS系统安全配置 ■系统体系结构 ■安全安装 系统服务与进程 安全审核 系统启动过程 访问控制 ■系统的安全级别 ■账号安全策略 WIND0Ws系统安全原理 ■管理员权限 系统安全架构 ■网络服务安全设置 ■安全子系统 ■文件系统的安全 账户管理 ■安全日志 身份认证 ■其他安全设置 ■验证授权 WIN0Ws常见应用服务器安全配置 ■安全审计 WIN0WS系统常见安全问题解答 ■安全策略 WINDOWS NT系统标准配置 ■其他 WIND0Ws2000系统标准配置
28 WINDOWS 系统概述 系统体系结构 系统服务与进程 系统启动过程 系统的安全级别 WINDOWS 系统安全原理 系统安全架构 安全子系统 账户管理 身份认证 验证授权 安全审计 安全策略 其他 提 纲 WINDOWS 系统安全配置 安全安装 安全审核 访问控制 账号安全策略 管理员权限 网络服务安全设置 文件系统的安全 安全日志 其他安全设置 WINDOWS 常见应用服务器安全配置 WINDOWS 系统常见安全问题解答 WINDOWS NT系统标准配置 WINDOWS 2000系统标准配置 原 理 篇 实 践 篇
Windows的系统服务介绍 单击“开始”——指向“设置”一然后单击“控制面板”—双击“管理工具” 然后双击“服务”:在列表框中显示的是系统可以使用的服务 Windows2k下可以在命令行中输入 services. msc打开服务列表。 文件¢)操作)查看qQ帮助0 民 服务体本地)『名称 描述 ‖状态 通知所选用户和计算机有关系统管理级警报。如果服务停止,使用管理警报的程序将不会 本地服务 嘞 Application Lay,,为 Internet连接共享和 Internet连接防火墙提供第三方协议插件的支持 已启动 本地服务 yApplication圊an.提供软件安装服务,诸如分派,发行以及删除 本地系统 Automatic Updates从" ndows Update启用重要的 Windows更新的下载和安装如果禁用该服务,操作系,已启动 Background Inte.,使用空闲的网络带宽传输数据 本地系统 启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器 本地系统 Event System支持系统事件通知服务),此服务为订阅组件对象模型(m)组件事件提供自动分布 已启动 本地系统 CH+ System知管理基于CM组件的配置和跟踪。如果服务停止,大多数基于cM+组件将不能正常工 本地系统 omputer Browser维护网络上计算机的更新列表,并将列表提供绐计算机指定浏。如果服务停止,列表不..已启动 Cryptographic s,提供三种管理服务:編录数据库服务,它确定" indows文件的签字;受保护的根服务 已启动 Yu DHCP Client 通过注册和更改IP地址以及⑩S名称来管理网络配置 已启动 本地系统 Distributed lin.在计算机内mTFs文件之间保持链接或在网络域中的计算机之间保持链接 已启动 地系统 diStributed Tra,,协调踣多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会 网络服务 nsαient为此计算机解析和缓冲域名系统⑩κ)名称。如果此服务被停止,计算机将不能解析I..已启动 网络服务 tError Reporting,服务和应用程序在非标准环境下运行时允许错误报告 已启动 本地系统 哪tL用在事件查着器查着基于的程序和组件发的事日志消息,无表止此务,已动 本地系统 EFast User Switc..为在多用户下需要协助的应用程序提供管理 已启动 本地系统 EaHelp and Support启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果已启动 Human Interface.启用对智能界面设备0的通用输入访问,它激活并保存键盘、远程控制和其它多媒体 本地系统 YIMAPI CD-Burnin,用 Image Mastering Applications Programming Interface (MAPI)管理CD录制。如 手动 本地系统 INdexing Service本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。 InTernet Conn 为家庭或小型办公网络提供网络地址转换,定址以及名称解析和或防止入侵服务 已启动 本地系统 Y IPSEC Services管理IP安全策略以及启动IsAM/0 alley a)和IP安全驱动程序 已启动 自动 本地系统
29 单击“开始”------ 指向“设置” ------- 然后单击“控制面板” ------- 双击“管理工具”- ------ 然后双击“服务”:在列表框中显示的是系统可以使用的服务 Windows 2k下可以在命令行中输入services.msc打开服务列表。 Windows 的系统服务介绍
Windows系统服务的启动类型 服务包括三种启动类型:自动、手动、已禁用。 自动- Windows2000启动的时候自动加载服务 手动 Windows2000启动的时候不自动加载服务,在需要的时候手动开启 已禁用- Windows2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服 务,并重新启动电脑完成服务的配置 双击需要进行配置的服务,出现下图所示的属性对话框: Fax service的屈性(本计算机 常规登录1故障恢复|依存关系1 服务名称 F 显示名称) ax Service 描述①) 助您发送和接收传真 可执行文件的路径Q W工NT\ system32 faxes 启动类型匪) 服务状态 启动〕 停止 暂继续a 当从此处启动服务时,您可指定所适用的启动参数 启动参数 确定取消应用6
30 服务包括三种启动类型:自动、手动、已禁用。 自动 -Windows 2000启动的时候自动加载服务 手动 -Windows 2000启动的时候不自动加载服务,在需要的时候手动开启 已禁用-Windows 2000启动的时候不自动加载服务,在需要的时候选择手动或者自动方式开启服 务,并重新启动电脑完成服务的配置 双击需要进行配置的服务,出现下图所示的属性对话框: Windows 系统服务的启动类型
Windows系统服务的加载模式 1.在 HKEY LOCAL MACHINEISYSTEMICurrentControlsetlservice底下每一笔服务项目子项都有 个 Start数值,这个数值的内容依照每一个服务项目的状况而又有不同。 Start数值内容所记录的就 是服务项目驱动程式该在何时被加载。 2.目前微软对 Start内容的定义有0、1、2、3、4等五种状态0、1、2分别代表Boot(由启动加载 程序加载设备驱动程序)、 System(内核初始化过程中启动设备驱动程序)、 Auto load等叁种意 义。而 Start数值内容为3的服务项目代表让使用者以手动的方式载入 Loadon demand24则是代 表停用的状态,也就是禁用。 盛注册表编辑器 注册表(R)编辑()查看y收藏帮助出 +l-a ds1 [名称 类型 数据 的默认 REG SZ 数值未设置) a Event Dependon Group REG_MULTI_SZ a Eventsyste ab]DependOn Service REG_MULTI_SZ TapiSrv RpcSs PlugPl +a Fastfat ab Description REG SZ 帮助您发送和接收 ab]pisplayName REG SZ Fax service Fd16700 ErrorControl t国Fdc REG DWORD 0x0000011 t囗FTND ab)ImagePath REG EXPAND SZ %systemroot%\syst fireport ReG s7 ⊥ ncalsyst t囗 flashpnt REG DWORD 0×00000(3 +a Flpydisk REG DWORD UXUUUUUTIU[Z72)
31 1. 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔服务项目子项都有 一个 Start 数值, 这个数值的内容依照每一个服务项目的状况而又有不同。Start 数值内容所记录的就 是服务项目驱动程式该在何时被加载。 2. 目前微软对 Start 内容的定义有0、1、2、3、4 等五种状态, 0、1、2 分别代表Boot(由启动加载 程序加载设备驱动程序)、 System(内核初始化过程中启动设备驱动程序 )、Auto Load 等叁种意 义。而Start 数值内容为3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代 表停用的状态, 也就是禁用。 Windows 系统服务的加载模式