清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS ① HKEY LOCAL MACHINE:含有本地系统的部 分信息。这些信息包括硬件设置、操作系统设置、 启动控制数据和驱动器的驱动程序。 ② HKEY CLASS ROOT:含有与对象的连接与嵌 套(OLE)和文件级关联相关的信息。 ③ HKEY CURRENT USER:含有正在登录上网 用户信息。包括用户所属的组、环境变量、桌面设 置、网络连接、打印机和应用程序等。 ④ HKEY USER:含有所有登录入网的用户信息。 包括从本地访问系统的用户和远程登录的用户信息 存储在注册表的远程机器中
① HKEY_LOCAL_MACHINE: 含有本地系统的部 分信息。这些信息包括硬件设置、操作系统设置、 启动控制数据和驱动器的驱动程序。 ② HKEY_CLASS_ROOT: 含有与对象的连接与嵌 套(OLE)和文件级关联相关的信息。 ③ HKEY_CURRENT_USER: 含有正在登录上网 用户信息。包括用户所属的组、环境变量、桌面设 置、网络连接、打印机和应用程序等。 ④ HKEY_USER: 含有所有登录入网的用户信息。 包括从本地访问系统的用户和远程登录的用户信息 存储在注册表的远程机器中
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 5.12 Windows2000系统的安全概述 1.概述 Windows2000安全的主要功能是用户身份验证和访 问控制。 (1)用户身份验证 Windows2000安全模型包括用户身份验证的概念, 这种身份验证赋予用户登录系统访问网络资源的能 力。在这种身份验证模型中,安全性系统提供了两 种类型的身份验证:交互式登录根据用户的本地 计算机或 Active directory账户确认用户的身份)和 网络身份验证(根据此用户试图访问的任何网络服 务确认用户的身份)。为提供这种类型的身份验证, Windows2000安全系统包括了三种不同的身份验
5.1.2 Windows 2000系统的安全概述 1. 概述 Windows 2000 安全的主要功能是用户身份验证和访 问控制。 (1) 用户身份验证 Windows 2000 安全模型包括用户身份验证的概念, 这种身份验证赋予用户登录系统访问网络资源的能 力。在这种身份验证模型中,安全性系统提供了两 种类型的身份验证:交互式登录(根据用户的本地 计算机或Active Directory 账户确认用户的身份)和 网络身份验证(根据此用户试图访问的任何网络服 务确认用户的身份)。为提供这种类型的身份验证, Windows 2000 安全系统包括了三种不同的身份验
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 证机制: Kerberos v5、公钥证书和NTLM(与 WindOws nt4.0系统兼容)。 (2)基于对象的访问控制 通过用户身份验证, Windows200允许管理员控制 对网上资源或对象的访问。 Windows2000通过允 许管理员为存储在 Active Directory中的对象分配 安全描述符实现访问控制。安全描述符列出了允许 访问对象的用户和组,以及分配给这些用户和组的 特殊权限。安全描述符还指定了需要为对象审核的 不同访问事件。文件、打印机和服务都是对象的实 例。通过管理对象的属性,管理员可以设置权限, 分配所有权以及监视用户访问
证机制:Kerberos V5、公钥证书和 NTLM(与 Windows NT 4.0 系统兼容)。 (2) 基于对象的访问控制 通过用户身份验证,Windows 2000 允许管理员控制 对网上资源或对象的访问。Windows 2000 通过允 许管理员为存储在Active Directory 中的对象分配 安全描述符实现访问控制。安全描述符列出了允许 访问对象的用户和组,以及分配给这些用户和组的 特殊权限。安全描述符还指定了需要为对象审核的 不同访问事件。文件、打印机和服务都是对象的实 例。通过管理对象的属性,管理员可以设置权限, 分配所有权以及监视用户访问
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 管理员不仅可以控制对特殊对象的访问,也可以控 制对该对象特定属性的访问。例如,通过适当配置 对象的安全描述符,用户可以被允许访问一部分信 如只访问员工姓名和电话号码而不能访问他 们的家庭住址。 (3) Active Directory和安全性 Active Directory通过使用对象和用户凭据的访间控 制提供了对用户账户和组信息的保护存储。由于 Active Directory不仅存储用户凭据还存储访问控 制信息,因此登录到网络的用户将同时获得访问系 统资源的身份验证和授权。例如,用户登录到网络 时, Windows2000安全系统通过存储在 active Directory上的信息来验证用户。然后,当用户试
管理员不仅可以控制对特殊对象的访问,也可以控 制对该对象特定属性的访问。例如,通过适当配置 对象的安全描述符,用户可以被允许访问一部分信 息。如只访问员工姓名和电话号码,而不能访问他 们的家庭住址。 (3) Active Directory 和安全性 Active Directory 通过使用对象和用户凭据的访问控 制提供了对用户账户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控 制信息,因此登录到网络的用户将同时获得访问系 统资源的身份验证和授权。例如,用户登录到网络 时,Windows 2000 安全系统通过存储在Active Directory 上的信息来验证用户。然后,当用户试
清华大学出版社 000000 TSINGHUA UNIVERSITY PRESS 图访问网络上的服务时,系统检查由任意访问控 制列表为这一服务定义的属性。由于 Active Directory允许管理员创建组账户,因此管理员可 以更有效地管理系统的安全性。例如,通过调节文 件属性,管理员可以允许组中的所有用户读取文件 这样,访问 Active Directory中的对象以组成员为 基础。 2域的体系结构 (1)域和安全性 域中所有的对象都存储在 Active Directo下。 Active Directory可以常驻在某个域中的一个或多 个域控制器下。每个域都是一个安全界限,这意味
图访问网络上的服务时,系统检查由任意访问控 制列表为这一服务定义的属性。由于Active Directory 允许管理员创建组账户,因此管理员可 以更有效地管理系统的安全性。例如,通过调节文 件属性,管理员可以允许组中的所有用户读取文件。 这样,访问Active Directory 中的对象以组成员为 基础。 2 域的体系结构 (1) 域和安全性 域是网络对象的分组,例如,用户、组和计算机。 域中所有的对象都存储在 Active Directory 下。 Active Directory 可以常驻在某个域中的一个或多 个域控制器下。每个域都是一个安全界限,这意味