文档介绍:第九章操作系统安全性
操作系统安全性
Windows NT/2000
UNIX
其他操作系统
操作系统漏洞
操作系统入侵检测
系统安全扫描软件
Windows NT/2000
四种安全协议
Windows NT LAN Manager(NTLM)验证协议
KerberosV5验证协议
DPA分布式密码验证协议
基于公共密钥的协议
Windows NT/2000
Win NT登录
NT文件系统(NTFS)
NT安全漏洞及其解决建议
Windows2000的分布式安全协议
Win NT登录
Ctrl,Alt,Del三个键不能被屏蔽的
安全帐号管理器(Security Account Manager)机制
针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议
NT文件系统(NTFS)
最适合处理大磁盘的文件系统
支持保证文件和文件夹安全性的访问控制列表(ACL)
NT安全漏洞及其解决建议
Windows NT系统上的重大安全漏洞,主要包括两大部分:
NT服务器和工作站的安全漏洞
关于浏览器和NT机器的两个严重安全漏洞。
更佳的解决方案是:
建设一个强壮的防火墙,精心地配置它,只授权给可信赖的主机能通过防火墙。正象以上针对大多数安全漏洞的解决建议一样,在防火墙上,截止所有从端口137到139的TCP和UDP连接,这样做有助于对远程连接的控制。另外,在内部路由器上,设置ACL,在各个独立子网之间,截止从端口137到139的连接。这是一种辅助措施,以限制该安全漏洞。值得注意的是,有些黑客程序可以具有选择端口号的能力,它可能成功地攻击其它端口。
Windows2000的分布式安全协议
在WindowsNT4。0中,主要的分布式安全协议是NTLM(Windows NT LAN Manager)。
Windows2000里,微软采用了一个新的安全系统。在这个新的安全系统中,Kerberos是缺省的分布式安全协议。当然,Windows2000仍然支持NTLM以及SSL协议。
Kerberos
kerberos是以SSP(Security Service Provider)的方式通过SSPI(Security Service Provider Interface)来实现的。应用程序可以直接通过SSPI来获得Kerberos的服务
KerberosSSP能够提供三种安全性服务
认证:进行身份验证;
数据完整性:保证数据在传送过程中不被篡改;
数据保密性:保证数据在传送过程中不被获取