项目二 操作系统安全管理.ppt

上海农林职业技术学院
SHANGHAI VOCATIONAL COLLEDGE OF ELECTRONIC OF AGRICULTURE AND FORESTORY
项目二操作系统安全管理
项目引入
蝴蝶设备公司的工作站和服务器均安装windows操作系统,强胜网络公司员工小李将首先对操作系统安全性方面进行加固,系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及实施加密等内容,从而使得操作系统变得更加安全可靠,为以后的工作提供一个良好的环境平台。
项目任务



设置系统安全访问权限
知识目标
操作系统安全的重要性
Windows操作系统的安全机制
Windows用户权利和权限
技能目标
能够安全配置帐户,配置密码安全策略
能够利用NTFS权限实现文件和文件夹的访问安全
相关知识
操作系统安全的重要性
操作系统的安全是整个计算机系统安全的基础,作为用户使用计算机和网络资源的操作界面,操作系统发挥着十分重要的作用。因此,操作系统本身的安全就成了安全防护的头等大事
Windows操作系统的安全机制
Windows操作系统采用金字塔型的安全架构,包括6个主要安全要素:
(1)Audit(审计)
(2)Administrator(管理)
(3)Encryption(加密)
(4)Access Control(访问控制)
(5)User Authentication(用户认证)
(6)Corporate Security Policy(公共安全策略)
Windows 安全模型
审计
管理
加密
访问控制
用户认证
安全策略
Windows安全子系统
为了保证系统的安全访问,windows系统在安全设计上有专门的安全子系统,主要由本地安全授权(LSA)、安全账户管理(SAM)和安全参考监视器(SRM)等组成
LSA提供许多服务程序,保障用户获得存取系统的许可权,它产生令牌,执行本地安全管理,提供交互式登录认证服务,控制安全审查策略和由SRM产生的审查记录信息
安全账户管理保存在SAM数据库中,包含所有组合用户的信息,提供用户登录认证,将用户输入信息与SAM数据库中信息进行比较,并赋予用户一个安全访问令牌(SAT)
安全参考监视器(SRM)负责访问控制和审查策略,由LSA支持,SRM提供客体(文件、目录等)的存取权限,检查主体(用户账户等)的权限,客体的安全属性由安全控制项(ACE)来描述,所有客体的ACE组成访问控制列表(ACL),SRM检查ACL中每一项ACE,决定主体的访问是否被允许
Windows安全子系统
WinLogon
事件日志
LSA
SAM
SRM
审计日志
本地安全策略数据库
SAM数据库
用户模式
核心模式
审计记录
SAM数据库:Security Account Manger又称安全账户管理器,位于%Systemroot% \system32\config 目录下SAM 文件,所有账户和密码信息保存于此
SID:Security Identifier,用于标识用户、组和计算机账户的唯一编号,SID永远唯一,当首次创建用户或组时,根据计算机名、当前时间、CPU占用率三个参数保证其唯一性
用户和组:windows中不同的用户和组代表不同的windows操作角色,通过“本地用户和组”可以为用户和组指派权利和权限,权利是指可授权用户执行哪些操作,权限是指和对象(如文件、文件夹)相关联的一些规则,它规定哪些用户以何种方式访问该对象