滿足C2安全級(jí)的 Windows NT 的活發(fā)布者：本站     時(shí)間：2019-08-28 11:08:16

絡(luò)協(xié)議和適配卡設(shè)置等信息的數(shù)據(jù)庫(kù)。注冊(cè)表包含了許多文件如: Config.SYS， Autoexec
 
 
能 BAT， System.INI，Win.IN1， Prtocol.INI， Lanman.IN， Control.INI以及其他:INI文件的功 ojito sono)s.
 
它是一個(gè)具有容錯(cuò)功能的數(shù)據(jù)庫(kù)，一般是不會(huì)崩潰的。如果系統(tǒng)出現(xiàn)錯(cuò)誤；日志文件使
Windows NT能夠恢復(fù)和修改數(shù)據(jù)庫(kù)，以確保系統(tǒng)能正常地運(yùn)行。
 
 
2.4.1.3滿足C2安全級(jí)的 Windows NT 的活
 
 
在 Windows NT Server上實(shí)現(xiàn)C2級(jí)安全標(biāo)準(zhǔn)僅僅是建立在軟件基礎(chǔ)上的。為了得到
 
 
個(gè)符合C2級(jí)安全標(biāo)準(zhǔn)的系統(tǒng)設(shè)置，必須具備或做到以下幾點(diǎn):A
 
 
(1)擁有對(duì)系統(tǒng)的非網(wǎng)絡(luò)訪問(wèn)；?重香全
(2)去除或禁止使用軟盤驅(qū)動(dòng)器；有R出宣隊(duì)美面お式用全支T
(3)更加嚴(yán)格地控制對(duì)標(biāo)準(zhǔn)文件系統(tǒng)的訪問(wèn)。全 TV eomi1，.S
a在 Windows NT中，最重要的C2級(jí)安全標(biāo)準(zhǔn)特性是澄需全デ的T。 obit
(1)可自由決定的訪問(wèn)控制(DAC):允許管理員或用房定義自己所擁有的對(duì)象的訪問(wèn)控
 
 
制 知公確個(gè)R由好全的T/bm
 
(2)禁止對(duì)象重用:當(dāng)內(nèi)存被一個(gè)程序釋放后，不再允許對(duì)它進(jìn)行讀訪問(wèn)；當(dāng)對(duì)象被刪除
后。即使對(duì)象所在的磁盤空間已經(jīng)重新進(jìn)行了分配，也不再允許用戶對(duì)對(duì)象再÷次進(jìn)行訪同
 
 
(3)身份的確認(rèn)和驗(yàn)證:在對(duì)系統(tǒng)進(jìn)行任何訪問(wèn)之前，用戶必須首先確認(rèn)自己的身份。用
戶可以通過(guò)輸入用戶名、口令和域組合來(lái)完成對(duì)自己身份的確認(rèn)。，壓發(fā)ュて (4)審核:必須創(chuàng)建并維護(hù)用戶對(duì)對(duì)象的訪回記錄，并防止他人對(duì)此記錄進(jìn)行修改。必須
嚴(yán)格地規(guī)定只有指定的管理員才能訪問(wèn)審核信息。個(gè)前さ國(guó) 2.4.2 Window NT安全知判個(gè)整、で2全統(tǒng)
 
 
 
Microsoft Windows NT Server操作系統(tǒng)提供安全管理功能，以及在企業(yè)組網(wǎng)范圍內(nèi)實(shí)現(xiàn)
 
 
戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。和管理這些功能。在企業(yè)這一級(jí) Windows NT的安全體系基于域、用戶和組的概念，限制用 這之后的的詞天登向民?
 
 
 
能對(duì)任一 Windows NT資源訪問(wèn)前，他們必須首先登錄并被 Windows NT所確認(rèn)，且在工作站 安全性在 Windows NT最初的設(shè)計(jì)規(guī)格書中就已包括并滲透在整個(gè)操作系統(tǒng)中。在用戶
接， Windows NT能提供這種本地安全性，是因?yàn)槊恳慌_(tái)機(jī)器都有一個(gè) Windows NT.服務(wù)器的 和服務(wù)器層次都要求有確認(rèn)工作。獲得最初級(jí)的資源保護(hù)并不要求和 Windows NT服務(wù)器連
賬戶和安全策略數(shù)據(jù)庫(kù)的副本。這一安全機(jī)制包括控制誰(shuí)能訪問(wèn)哪些對(duì)象(如文件和共享打
Windows NT Server集體式的領(lǐng)域和安全管理特性，使它成為能為大多數(shù)公司提供客戶 印機(jī))，決定某人針對(duì)某一對(duì)象能做什么和什么事件被審計(jì)。的用Aと工想
服務(wù)器值得推薦的選擇，因?yàn)榘踩院凸ぷ麝P(guān)系的管理會(huì)很快變得不可控制。的 機(jī)服務(wù)器計(jì)算的可取方案。在點(diǎn)到點(diǎn)的體系中使用 Windows NT Workstation并不是客戶機(jī)
 
 
Windows NT操作系統(tǒng)。Windows NT的安全子系統(tǒng)是個(gè)集成手系統(tǒng)，而不是環(huán)境子系統(tǒng)，因?yàn)樗绊懻麄€(gè) 間も店、、
 
 
 
安全子系統(tǒng)的組成部分有:同的田點(diǎn)00支

或多個(gè) Windows NT系統(tǒng)中。網(wǎng)絡(luò)配置的類型包括 ?當(dāng)一個(gè)系統(tǒng)里有不同的用戶賬戶時(shí)，本地的SAM數(shù)據(jù)庫(kù)就會(huì)被訪間；
 
當(dāng)系統(tǒng)配置為有集中用戶賬戶信息的單一的域時(shí)，SAM數(shù)據(jù)庫(kù)處于域控制器中
 
?在主坡配置中，用戶賬戶也是集中放置的，SAM數(shù)據(jù)庫(kù)位于主域控制器(PDC)中，并將
其備份復(fù)制到備份域控制器(BDC)中。
 
3.安全參考監(jiān)視器(SRM)。如圖2-4所示，作為 Windows NT的一個(gè)組成部分，SRM以
種核心模式運(yùn)行。它負(fù)責(zé)完善LSA所要求的有效性訪問(wèn)和階段審查策略。ISRM為對(duì)象的
有效性訪問(wèn)提供服務(wù)并為用戶賬戶提供訪問(wèn)特權(quán)。同時(shí)它還負(fù)責(zé)阻止沒有獲得授權(quán)的用戶對(duì)
對(duì)象的訪問(wèn)。為了確保所有類型的對(duì)象都得到保護(hù)，SRM在系統(tǒng)中只維持一個(gè)有效性訪問(wèn)代
嗎的持貝。用戶在要求訪間對(duì)象時(shí)必須具有SRM有效性訪間，而不能直接對(duì)對(duì)象進(jìn)行訪問(wèn)。
 
 
の、し同今回
 
 
SRM
 
 
文件對(duì)象ACL 程個(gè)出
 
 
授權(quán)訪回」圖速圖
 
 
圖24SRM訪問(wèn)確認(rèn)過(guò)程完さ一外司全
 
當(dāng)用戶要求訪問(wèn)一個(gè)對(duì)象時(shí)，系統(tǒng)就會(huì)將文件的安全描述器里的信息與儲(chǔ)存在用戶訪問(wèn)
標(biāo)記里的SID信息進(jìn)行比較，如果具有足夠的權(quán)利，用戶就可以對(duì)對(duì)象進(jìn)行訪間。安全描述
 
 
器由對(duì)象的訪問(wèn)控制列表(ACL)中所有的訪問(wèn)控制條目(ACE)組成。如果對(duì)象有訪問(wèn)控制列
表(ACL)，SRM將核查ACL中所有的訪問(wèn)控制條目(ACE)，以判定對(duì)對(duì)象的訪問(wèn)是否合法。如果對(duì)象沒有訪問(wèn)控制列表(ACL)，則SRM將自動(dòng)允許所有用戶都能訪問(wèn)該對(duì)象。如果對(duì)
象有訪問(wèn)控制列表(ACL)卻沒有訪問(wèn)控制條目(ACE)，則對(duì)所有的訪問(wèn)請(qǐng)求都將被拒絕。當(dāng)
SRM允許對(duì)對(duì)象進(jìn)行訪問(wèn)后，就沒有必要再對(duì)用戶訪問(wèn)某一特定的對(duì)象進(jìn)行有效性檢查。在
用戶被確認(rèn)為合法用戶時(shí)將生成一個(gè)句柄。這之后的所有對(duì)對(duì)象的訪問(wèn)都可以通過(guò)句柄來(lái)完
 
海只縣，國(guó)群路氣民的メ兩驗(yàn)，で的溫個(gè)
2.4.2.2 Windows NT的登錄機(jī)制 11最氣阻有
 
 
 
Windows NT要求每一個(gè)用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上；這種強(qiáng)制性登
 
 
錄過(guò)程不能關(guān)閉。與自型，動(dòng)的大存具3taW出要 強(qiáng)制性登錄和使用Crl+Alt+Del啟動(dòng)登錄過(guò)程的好處是:氣m的
 
 
個(gè)?強(qiáng)制性登錄過(guò)程用以確定用戶身份是否合法；從而確定用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。
?在強(qiáng)制性登錄期間，掛起對(duì)用戶模式程序的訪問(wèn)，這便可以防止有人創(chuàng)建或偷奇用戶賬
號(hào)和口令的應(yīng)用程序。例如入侵者可能會(huì)模仿個(gè) Windows NT的登錄介面，然后讓用戶進(jìn)
行登錄從而獲得用戶登錄名和相應(yīng)的密碼。使用Ctrl+Alt+Del會(huì)造成用戶程序被終止，而
真正的登錄程序可以由Curl+Al+Del啟動(dòng)，這就是為什么阻止這種欺騙行為的發(fā)生
強(qiáng)制登錄過(guò)程允許用戶具有單獨(dú)的配置，包括桌面和網(wǎng)絡(luò)連接，這些配置在用戶登錄后
自動(dòng)調(diào)出，退出時(shí)自動(dòng)保存。