清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 控制的安全措施。只有将企业的安全策略和 NT/2000操作系统的底层的安全机制有机地结合起 来,才能充分发挥 Windows nt/200各项安全特 性。 尽管 Windows nt/2000安全机制比较全面,但是那种 认为安装上 Windows nt/200操作系统后就万事大 吉的想法是很天真的。这是因为操作系统安全漏洞 很多,也面临威胁和攻击,自身并不能解决安全问 题。只有在制订精细的安全策略并进行正确配置和 对象访问控制后,用户才能用NT/2000来构建一个 高度安全的系统。 由于 Windows nt2000服务器和 Windows nt2000工 作站的安全机制是相同的,因此,这里只介绍 WindOws nt2000服务器的安全机理
控制的安全措施。只有将企业的安全策略和 NT/2000操作系统的底层的安全机制有机地结合起 来,才能充分发挥Windows NT/2000的各项安全特 性。 尽管Windows NT/2000安全机制比较全面,但是那种 认为安装上Windows NT/2000操作系统后就万事大 吉的想法是很天真的。这是因为操作系统安全漏洞 很多,也面临威胁和攻击,自身并不能解决安全问 题。只有在制订精细的安全策略并进行正确配置和 对象访问控制后,用户才能用NT/2000来构建一个 高度安全的系统。 由于Windows NT/2000服务器和Windows NT/2000工 作站的安全机制是相同的,因此,这里只介绍 Windows NT/2000服务器的安全机理
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 511 Windows nt系统的安全基础概念 Windows nt的安全机制是建立在对象的基础之上, 因而对象的概念在整个与安全相关的主题中,都占 有相当重要的地位。本节将介绍一些 Windows nt 环境里对象的概念,将对 Windows NT服务器和 WindOws nt工作站之间,以及域与工作组之间的 差别进行讨论。还将讨论与 Windows nt注册表和 C2级安全相关概念的一些术语。 1. Windows nt中的对象 对象是构成 Windows nt操作系统的基本元素,对象 可以是文件、目录、存储器、驱动器、系统程序或 Windows桌面等
5.1.1 Windows NT系统的安全基础概念 Windows NT的安全机制是建立在对象的基础之上, 因而对象的概念在整个与安全相关的主题中,都占 有相当重要的地位。本节将介绍一些Windows NT 环境里对象的概念,将对Windows NT服务器和 Windows NT工作站之间,以及域与工作组之间的 差别进行讨论。还将讨论与Windows NT注册表和 C2级安全相关概念的一些术语。 1. Windows NT中的对象 对象是构成Windows NT操作系统的基本元素,对象 可以是文件、目录、存储器、驱动器、系统程序或 Windows桌面等
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 对象为 WindOws nt操作系统提供了较高的安全级。 对外来者,它们的数据封装在对象中,并只按对象 的功能所定义的方式提供数据。对所有对象的操作 都必须事先得到授权并由操作系统来执行。这就建 立起一个保护层,可以有效地防止外部程序直接访 问网络数据。 WindOws nt正是通过阻止程序直接 访问对象来获得高的安全级的。在 Windows nt中, 对象的属性可以用安全描述器和存储标识来设定和 保护。可被设定的属性包括以下几个方面 (1)指明谁是对象的所有者和使用者的安全身份号 (SID) (2)只能被可移植操作系统界面POSⅨ)子系统使用 的组安全身份号SID)
对象为Windows NT操作系统提供了较高的安全级。 对外来者,它们的数据封装在对象中,并只按对象 的功能所定义的方式提供数据。对所有对象的操作 都必须事先得到授权并由操作系统来执行。这就建 立起一个保护层,可以有效地防止外部程序直接访 问网络数据。Windows NT正是通过阻止程序直接 访问对象来获得高的安全级的。在Windows NT中, 对象的属性可以用安全描述器和存储标识来设定和 保护。可被设定的属性包括以下几个方面: (1) 指明谁是对象的所有者和使用者的安全身份号 (SID)。 (2) 只能被可移植操作系统界面(POSIX)子系统使用 的组安全身份号(SID)
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS (3)包含用户和组访问许可权限的可自由决定的访问 控制列表,此列表由对象所有者控制。 (4)控制审核信息生成的系统访问控制列表(ACL。 共有两种形式的对象,即集装箱式的对象和非集装 箱式的对象。集装箱式的对象可以容纳别的对象, 而非集装箱式的对象则不能容纳别的对象。例如, 目录是集装箱式的对象,而文件则是非集装箱式的 对象。在父集装箱式对象中所生成的子对象,可以 拥有父集装箱式对象所有的许可权限。 2. WindOws nt网络的工作组模型 在 WindOws nt网络中有两种基本的组网模型:工作 组模型和域模型
(3) 包含用户和组访问许可权限的可自由决定的访问 控制列表,此列表由对象所有者控制。 (4) 控制审核信息生成的系统访问控制列表(ACL)。 共有两种形式的对象,即集装箱式的对象和非集装 箱式的对象。集装箱式的对象可以容纳别的对象, 而非集装箱式的对象则不能容纳别的对象。例如, 目录是集装箱式的对象,而文件则是非集装箱式的 对象。在父集装箱式对象中所生成的子对象,可以 拥有父集装箱式对象所有的许可权限。 2. Windows NT网络的工作组模型 在Windows NT网络中有两种基本的组网模型: 工作 组模型和域模型
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 在工作组模型的网络中,组是指计算机的逻辑组合, 它把具有共同目的的设置如打印机、硬盘供组成员 共享,组成员管理自己的账号和数据的安全性,如 图51所示
在工作组模型的网络中,组是指计算机的逻辑组合, 它把具有共同目的的设置如打印机、硬盘供组成员 共享,组成员管理自己的账号和数据的安全性,如 图5.1所示