文档介绍::网络操作系统屏蔽本地资源与网络资源的差异,提供基本网络服务,完成共享资源管理,提供安全性;控制网络资源存取,身份标识与验证,监督运行安全,保护自身安全和完整。威胁计算机病毒:传染、潜伏、触发、破坏特洛伊木马:全面控制驻留计算机隐蔽通道:共享资源带来的违反安全策略的信息传递天窗:***安全机制硬件安全机制:存储保护、运行保护、IO保护软件安全机制:标识与验证、存取控制、最小特权管理、,运行在PDP/7上的精干分时多用户操作系统类Unix操作系统:Unix(HP-UX、AIX、IRIX、Solaris、SCOUnix)和LinuxUnix安全体系结构策略层用户层主机层包过滤层物理连接层Unix系统的安全机制标识与验证:UID/GID/passwd口令安全:设置(口令强度)和存储(shadow文件)存取控制:所有资源都是文件,对文件分别设置针对所有者、同组用户、其他用户的权限安全审计:可配置(审计规则)、多线程、均衡处理、分布式计算,实现C2级安全支持多种安协议普适安全框架,提出了CryptoAPI,可集成第三方安全协议;支持NTLM(WindowsNTLanManager);支持Kerberos;支持SSL。安全策略设计原则适用性;动态性;简单性;系统性。Windows安全模型本地安全权威(LocalSecurityAuthority,LSA)处理各种用户的本地和远程登录,确认用户对本系统的访问权限,生成已经登录用户的访问令牌,管理本地安全策略,提供用户的有效身份证明,控制审查策略,记录安驱谴内参考器生成的审查信息。安全帐号管理器(ountManager,SAM)管理SAM数据库,验证登录时所输入的信息、返回用户及其所属于组的标识。安全参考监督器(SecurityReferenceMonitor,SRM)以核心模式运行,检查用户是否可以访问对象。交互式登录过程本地登录:本地或域服务器检查登录信息;远程登录:远程计算机检查登录信息。Windows安全机制Windows标识与验证Windows资源访问控制Windows审计WindowsNTFSWindows标识与验证帐户管理用户帐户,以用户SID进行内部表示组帐户,用组SID进行内部表示提供本地用户管理和域用户管理功能验证服务GINAGraphicalIdentificationandAuthentication)SSPI(SecurityServicesProviderInterface)CAPI(CryptographicApplicationProgrammingInterface)Windows标识与验证(1)