返回
windows安全原理 考点

windows安全原理 考点

ID:40585992

大小:2.45 MB

页数:19页

时间:2019-08-04

windows安全原理 考点_第1页
windows安全原理 考点_第2页
windows安全原理 考点_第3页
windows安全原理 考点_第4页
windows安全原理 考点_第5页
资源描述:

《windows安全原理 考点》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、“审核登录事件”与“审核帐户登录事件”的区别审核登录事件:审核在此策略应用到的系统中发生的登录事件,无论帐户属于谁。换句话说,在域成员上,为此启用成功审核将在有人登录系统时生成一个事件。如果用于登录的帐户是本地的,并且启用了“审核帐户登录事件”设置,则该登录将生成两个事件。审核帐户登录事件:审核计算机用于验证用户身份的登录事件。换句话说,在域控制器上,这将审核所有的域登录事件,而在域成员上,仅审核使用本地帐户的事件。登录事件是指当用户登录和注销时产生的记录,不仅指本地,也包括登录到域,和远程登录信息。账户登录不仅可以在主机上产生,也会在域服务器上产生。1Windows的API函数–操作系统用

2、户模式下的接口•被若干个DLL文件导出:kernel32.dll、user32.dll、gdi32.dll–逻辑上被分为很多个子类•Administrationandmanagement(系统管理)Taskscheduler,WMI,…•Diagnostics(系统诊断)¸Eventlogging,debugging,…•Graphicsandmultimedia(图形和多媒体)•Networking(网络)¸Winsock,…•Security(安全)•Security•Systemservices(系统服务)¸Processes,threads,registry,filesystemsW

3、indowsUI(Windows图形化界面)进程(Process)访问控制令牌(AccessToken),用以唯一的标识所有者及其所属组以及和该进程相关联的特权(Privilege)信息。内核模式(Kernelmode)和用户模式(Usermode)Windows支持两种处理器模式•内核模式(ring0)•用户模式(ring3)内核模式下的代码可以访问所有的内存空间可以直接操纵硬件用户模式下的代码无权访问系统空间的内存页面;无法直接操纵硬件。用户模式向内核模式的切换是受控制的。重要的系统进程–Smss.exe•会话(Session)管理器,系统启动时第一个运行的进程。–Csrss.exe•W

4、indows子系统进程(客户端-服务器运行进程)。–Winlogon.exe•处理交互式登录。–Services.exe•服务控制管理器,负责启动和停止服务。–Svchost.exe•共享服务的宿主进程。–Lsass.exe•本地安全授权子系统,验证用户登录、授权和审计。–Userinit.exe•初始化用户会话的进程。原始API函数(NativeAPI)–未文档化(Undocumented)的接口,被Ntdll.dll所导出。–被若干操作系统重要的进程所使用(如smss、csrss等)。系统服务派遣(SystemServiceDispatching)服务(Services)–服务程序是后台

5、运行的进程,常用来执行特定的任务,不需要和用户进行交互。•自动更新服务、后台智能传输服务、事件日志服务等。–服务程序受ServiceControlManager(SCM,即services.exe进程)所控制。–服务程序的配置数据位于“HKLMSystemCurrentControlSetServices”–服务程序的种类•内核驱动(Kerneldrivers)服务•独立进程(Separateprocess)服务•共享进程(Sharedprocess)服务Svchost.exe2本地安全授权子系统(LSA)用户身份和权限管理–交互式身份验证–生成安全访问令牌–分配用户特权–确定用户权限

6、安全策略管理–管理本地安全策略–管理审核策略对象管理–建立可信任域列表–确定对象的安全审核策略–内存的配额管理安全参考监视器(SRM)SRM负责所有对对象的访问控制和审核策略(本地安全策略范围之内)。SRM和ObjectManager联合起来,保证用户和进程访问对象的有效性,生成任何所需的审核消息。C2级别的安全性策略—自由控制的访问权限(DiscretionaryAccessControl,DAC)–自由的访问控制–对象的重用–强制的用户标识和认证–可记账性和审核Windows安全模型对基于组成员关系的所有域资源实现一致的访问控制。Windows安全模型的底层原理如下–服务器提供对象访问。

7、–客户只能通过服务器访问对象。–对象管理器和安全引用监视器决定谁对对象拥有哪些权限。–可以使用多个协议验证用户。–管理安全策略的方式既可以是全局的,也可以是本地的。SID的一般格式S-R-X-Y……S:表示该字符串为一个SID。R:表示SID结构的版本号。R:表示SID结构的版本号。X:表示标示符颁发机构。Y1-Yn-1:表示子级颁发机构,标识了各级不同的域。Yn:表示域内特定的帐户和组,也叫相对标识符。wi

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。