文档介绍:东海大学信息科学硕士学分班
期末报告书
题目:Windows NT系统之安全
指导教授: 林祝兴博士
报告人:简智聪
TEL:04-6562311
E-MAIL:******@ms11.
前言
由于Windows NT 的中文化图形操作界面(GUI)有别于以文字接口为操作方式之企业主机普遍使用之UNIX系统近年来已日渐风行为企业主机所采用,因此Windows NT 的安全问题也日益重要。
NT 安全控管组件
Local Security Authority(LSA)
LSA是NT整个安全架构的中枢组件,称之为安全子系统也不为过。其管理本机安全原则、使用者认证和登录稽核等工作。
Security Account Manager(SAM)
SAM管理使用者和群组的帐号信息,并且提供使用者登录时的认证资料给 LSA组件。
Security Reference Monitor(SRM) SRM为 LSA组件提供存取权限之确认和稽核等工作。当使用者在读取各种不同的档案或目录时,SRM就会检查其帐号是否有权限能进行读写等工作。
User Interface(UI)
UI「使用者接口」是安全管理中相当重要的一部分,因为使用者主要是透过这个接口来工作,其也是大部分管理工作被执行的所在。
Windows NT帐号认证的运作过程
当使用者登录 NT 时,操作系统会产生一个「信号对象」来代表此位使用者,使用者所执行的各项程序都会关联到此,信号对象」(或其复制出来的相同信号对象)。当「信号对象,要存取特定的对象如档案或目录时,Windows NT会检查此「信号对象」和对象的「存取控制列表」(ACL、access control list),决定是否通过或拒绝存取的妥求,或产生稽核的纪录。熟悉 Microsoft 网络的人都知道,每台NT工作站都必须属于某个「工作群组」(Workgroup)或「领域」(Domain)。为了管理上的原因,大多数的工程人员都会将NT设定属于某个Domain。一个 Domain之中可以存在一台或以上的 NT主机,并将其中所有的计算机当成一个系统来看待。这些计算机的操作系统可以为「NT Workstations」「Window forWorkgroups」「LAN Manager」「Windows95」或「Windows98」等等。所有系统中计算机,将都使用相同一套的帐号管理资料值得注意的是Domain之中所有的 NT服务器将共享同一套帐号资料,也可以将其复制至自己的计算机之中但是NT Workstation
则不能将帐号资料复制至自已的计算机之中,只能够连结至NT服务器读取帐号资料。不同的 Domain之间可以利用信任(Trusted Domains)功能连结起来,如此只要使用一个帐号,就能在不同的Domain之间存取不同的资源此外Workgroup只走将不同的工作站归属于相同的群组之下,跟Domain 不大相同,因为其中的帐号系统独立的。而 Domain之中的使用者帐号可分为「本机」和「领域」两个不同的层级本机的使用者帐号只能在自己本身的机器上登录; 「领域」层次的帐号则可以在 Domain之中的任何一台机器上登录整体群组帐号(Gilobal group account)是属于Domain 层次,