数据安全整理.docx
《数据安全整理.docx》由会员分享,可在线阅读,更多相关《数据安全整理.docx(61页珍藏版)》请在冰豆网上搜索。
数据安全整理
声明:
本文件由杨晓龙和刘泽霖两人根据老师最后一节课所提的复习题为来源,摘抄的书上与问题相关部分的内容,并非答案,非官方,旨在于方便大家考试时查阅,禁止用作他处。
我二人对由此产生的任何不良影响不负任何责任。
使用此文档即表示你已经同意这则声明。
从操作系统本身而言,WindowsNT系统主要具有哪些特点?
32位操作系统,多重引导功能,可与其他操作系统共存。
实现了“抢先式”多任务和多线程操作。
采用SMP(对称多处理)技术,支持多CPU系统。
支持CISC(如Intel系统)和RISC(如PowerPC、R4400等)多种硬件平台。
可与各种网络操作系统实现互操作,如:
UNIX、NovelNetware、Macintosh等系统;
对客户操作系统提供广泛支持,如MS-DOS、Windows、WindowsNTWorkstation、
UINX、OS/2、Macintosh等;支持多种协议:
TCP/IP、NetBEUI、DLC、AppleTalk、
NWLINK等。
安全性达到美国国防部的C2标准。
1.WindowsNT系统在系统和网络安全性上引入了哪些新的概念?
NTFS(WindowsNTFileSystem):
WindowsNT采用的新型文件系统,可提供安全
存取控制及容错能力,在大容量磁盘上,它的效率比FAT高。
共享权限:
支持对网络资源设置一定的权限许可,没有得到权限许可,就无法访问
网络资源。
用户账户(UserAccount):
要想使用网络资源,就必须有用户账户。
WindowsNT
对用户和服务程序,都要求提供合法账户。
专为应用程序或服务进程创建的账户即
服务账户,在系统启动时,服务进程使用服务账户登录以获得在系统中使用资源的
权利和权限。
普通用户账户由用户登录时提供,用于WindowsNT控制该用户在系
统中的权利和权限,与服务账户本质上没有区别。
域(Domain):
域是WindowsNT中数据安全和集中管理的基本单位。
网络由域组成,域具有惟一的名称。
域可以看作由运行NT的服务器组成的系统,一组电脑共
用相同的账户及安全数据库。
工作组(Workgroup):
工作组是一种资源与系统管理都分散的网络结构。
在工作组
的范围里,每台电脑既可以充当服务器的角色,也可以充当工作站的角色,彼此之
间是平等关系。
权限(Right):
权限是授权某用户可以在系统上执行某些操作。
权限用来保护系统
整体。
许可(Permission):
许可用来保护特定对象。
许可规定可以使用某一对象的用户以
及用什么方法使用。
安全审核:
WindowsNT将记录发生在电脑上各项与安全系统相关的过程。
2.活动目录的概念和作用分别是什么,包括哪些组成部分?
活动目录(ActiveDirectory,AD)服务是Windows2000安全模型灵活性与可扩展性的
核心,它提供了完全集成于Windows2000的一个安全、分布式、可扩展以及重复的分层目
录服务。
活动目录替代了WindowsNT早期版本中域控制器的注册表数据库内的安全账户管理
器(SecurityAccountsManager,SAM),从而成为用户账户、工作组和口令等安全信息的主
要存储区域。
同样地,活动目录形成了本地安全授权(LocalSecurityAuthorization,LSA)的
一个可信任组件。
换句话说,活动目录既为支持验证而存储了用户证书,也为支持授权访问
系统资源而存储了访问控制信息。
活动目录主要包括两方面:
目录和目录相关的服务。
目录是存储各种对象的一个物理容
器,目录管理的基本对象是用户、计算机、文件以及打印机等资源。
而目录服务是使目录中
所有信息和资源发挥作用的服务,如用户和资源管理、基于目录的网络服务、基于网络的应
用管理。
3.请简述Kerberos协议的思想,并描述一次典型的操作过程。
Windows2000使用Internet标准KerberosV5协议(RFC1510)作为验证用户身份的
主要方法。
Kerberos协议提供在客户机和服务器之间的网络连接打开前交互身份验证的机
制。
此方法对包含开放通信(如那些已经在Internet上实现的)的网络来说是非常理想的。
Kerberos验证协议定义了客户、资源和网络验证服务(密钥分配中心、KDC)之间的安
全交互。
在Windows2000中,KDC是作为每个域控制器上的验证服务来实现的。
通过把活
动目录当作用户(主体)和工作组的账户数据库,Windows2000域变成了Kerberos域的一
个等价物。
Windows2000将Kerberos协议完全集成到了Winlogon单一登录体系结构之中,
提供了身份验证和访问控制功能。
Kerberos协议是基于“票据”的思想。
票据是由密钥分发中心(KDC)的可信颁发机
构颁发的加密数据包。
票据可以证明用户的身份,同时还携带了其他信息。
KDC为其颁发
机构范围或“领域”内的所有用户提供票据,它提供身份验证服务和票据授予服务这两项服
务。
在Windows2000中,每个域控制器就是一个KDC,而域控制器的领域与其所在的域
对应。
Kerberos协议的操作过程其实比较简单,如图1-3所示。
登录时,用户向KDC验证自己的身份,KDC为用户提供一个初始票据,称为TGT(TicketGrantingTicket,票据授予票
据)。
此后,当用户需要使用网络资源时,其用户会话将TGT提交给域控制器,并请求特定
的资源票据,即ST(ServiceTicket,服务票据)。
然后,用户将ST提交给资源,由资源授
权访问。
4.配置IPSec协议可以完成哪些安全功能?
根据Kerberos身份验证、数字证书或共享机密密钥(密码)来验证IP数据包发送
者身份。
确保在网络上传送的IP数据包的完整性。
按照绝密等级对所有在网络上传送的数据进行加密。
在数据传输过程中,隐藏IP源地址。
第二章:
1.请解释WindowsNT系统安全体系结构中内核模式和用户模式之间的区别。
应用程序及其子系统运行在用户模式下。
该模式拥有较低特权,不能对硬件直接进行访
问。
用户模式的应用程序被限定在由操作系统所分配的内存空间内,不能对其他内存地址空
间直接进行访问。
用户模式只能使用特殊的应用程序编程接口(API)来从内核模式组件中
申请系统服务。
用户模式中包含有以下一些主要的子系统。
Win32子系统:
这是主要的应用程序子系统,所有的32位Windows应用程序都运行在这个子系统之下。
本地安全子系统:
用来支持Windows的登录过程,包括对登录的身份验证和审核
工作。
安全子系统需要和Win32子系统进行通信。
OS/2子系统:
被设计用来运行和OS/21.x相兼容的应用程序。
POSIX子系统:
被设计用来运行和POSIX1.x相兼容的应用程序。
而内核模式中的代码则具有极高的特权,可以直接对硬件进行操作以及直接访问所有的
内存空间,并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。
组成内核
模式的整套服务被称为“执行服务”(有时也被称为WindowsNTExecutive)。
执行服务通过
响应用户模式下应用程序发出的请求来提供内核模式服务。
WindowsNT系统的用户模式中包含哪些安全子系统?
见上
请说明FAT文件系统和NTFS文件系统的不同点。
,WindowsNT4.0的安全性能在很大程度上依赖于NTFS文件系统。
所谓NTFS,
即NTFileSystem(NT文件系统),它是从WindowsNT所开始采用的独特文件系统结构。
NTFS建立在保护文件和目录数据基础上,同时以节省存储资源、减少磁盘占用率为设计目
的。
NTFS较FAT文件系统而言,功能更强大,适合更大的磁盘和分区,支持安全性,是更
为完善和灵活的文件系统。
NTFS文件系统为WindowsNT服务器或工作站提供了必需的安全保障,它的安全特性
主要体现在以下几个方面。
在NTFS分区上支持随机访问控制和拥有权,对共享文件夹可以指定权限,以免受
到本地访问或远程访问的影响。
对于在计算机上存储文件夹或单个文件,或者是通过连接到共享文件夹访问的用户,都可以指定权限,以使每个用户只能按照系统赋予的权限进行操作,充分保护
了系统和数据的安全。
NTFS使用事务日志自动记录所有文件夹和文件更新,当出现系统损坏和电源故障
等问题而引起操作失败后,系统能利用日志文件重做或恢复未成功的操作。
正是由于具备了这些安全特性,WindowsNT下网络资源的本地安全性是通过NTFS权
限许可来实现的。
在一个格式化为NTFS的分区上,每个文件或者文件夹都可以被单独地分
配一个许可,这个许可使得这些资源具备更高级别的安全性。
用户无论是在本机还是通过远
程网络访问这些设置有NTFS许可的资源,都必须具备访问这些资源的权限。
此外,NTFS支持对单个文件或者整个文件夹进行压缩。
这种压缩不同于FAT文件系统
中对驱动器卷的压缩,其可控性和速度均要好得多。
NTFS文件系统还具备其他一些优点,
例如:
对于超过4GB以上的磁盘,使用NTFS分区可以减少磁盘碎片的数量,大幅度提升
磁盘的利用率;NTFS可支持的磁盘分区大小可达64GB,远大于FAT32可支持的4GB;支
持长文件名等。
请说明工作组和域之间的不同之处。
工作组(Workgroup)是一个不共享任何用户账户信息和组账户信息的小型WindowsNT
系统集合。
工作组中每个系统之间是彼此独立的,在进行验证时都使用系统自身的SAM数
据库。
所以,这种配置仅适用于最小型的环境,否则将是难以管理的,并且根本无法集中进
行控制。
不同于工作组的独立和松散,WindowsNT4.0域是具有集中安全授权机构(如主域控
制器,PDC)的一批计算机。
它至少应该由一台PDC和若干台工作站和成员服务器所组成。
在实际情况中,域中一般还存在备份域控制器(BDC),它用来提供整个域SAM数据库的
多份完全复本,以提高有效性,并可以用来向多台服务器提供分布式的验证服务。
WindowsNT域为用户、组和计算机账户定义了安全边界的管理范围。
由于集中安全授
权机构的存在,一个域就允许在这个域中的所有用户共享普通的用户账户数据库和普通的安
全策略,并不再需要每台计算机都各自提供自己的验证服务。
一旦某用户通过了PDC或者
BDC的域验证,那么该用户就可以在具有必要权限的域和主体内的任何地方访问资源了。
两个域之间的信任关系有哪两种?
WindowNT系统的工作组和域之间能否建立起信任关系?
两个域之间的信任关系有如下两种。
单向信任关系:
信任只存在于一个方向上,即只是一个域信任另外一个域,反之则
不然。
信任域信任被信任域中的用户,允许被信任域中的用户访问信任域中的资源。
双向信任关系:
信任建立在两个方向上,两个域之间彼此信任对方,每个域中的用
户账户都可以授权访问另一个域中的资源。
信任关系只限于域和域之间,WindowsNT域与工作组之间不能建立信任关系。
当域之
间建立起信任关系之后,被信任域中的全局组可以成为信任域中的本地组成员,信任域可以
在域中为该本地组指定资源访问许可和权限。
在带信任关系的多域环境中,组策略一般也是
把用户加入全局组,再将全局组加入本地组。
只不过全局组在被信任域中定义,本地组在信
任域中定义。
信任关系之间也不具有传递性。
如果我们假设域A信任域B,域B信任域C,
那么将无法推出域A信任域C的结论。
13.根据域之间的信任关系,我们可以创建哪些域模型?
各种域模型的特点和适用对象是什么?
我们可以利用信任这个基本概念创建多个域模型。
每个域模型具有不同的管理效果,在
特定的环境中都具有其特殊的优势。
(1)单域模型
采用单域模型(SingleDomainModel)的网络环境中只有一个域,不具有信任关系。
单
域模型的优势在于可以进行集中的账户管理和资源访问控制,适用于网络规模小,用户数不
多的小型组织。
(2)主域模型
采用主域模型(MasterDomainModel)的网络环境中具有多个域。
所有用户账户集中
在某个域中(账户域)进行管理,我们称这个域为主域;而其他域则信任这个账户域,我们
称之为资源域,如存放文件与打印服务器的域。
用户放在主域的全局组内,并且这些组被加
入到适当资源域的本地组中。
账户域的域管理员负责管理用户账户,而每个资源域的域管理
员负责管理资源服务器和对这些资源的访问权限。
图2-2说明了这种模型。
主域模型的优势在于对用户账户的集中管理,并对账户和口令有一个通用策略。
管理用
户账户的管理员并没有对资源的管理控制权,同时也不允许资源管理员创建有权访问本地信
息之外任何信息的新用户账户,也不鼓励在资源域中创建用户账户。
主域模型为WindowsNT
的用户提供了可用于资源域中所有WindowsNT服务单一用户账户的单一登录(SingleSign-on),适用于网络规模较大的组织。
(3)多主域模型
多主域模型(MultipleMasterDomainModel)则用多个主域控制账户,资源域信任所有
的账户域,账户域彼此之间为双向信任。
因此,用户账户就可以在任何一个主域中创建,并
可以使用任何信任资源域中的资源。
这一模型的其他方面与单主域模型相似,但却提供了更
大的灵活性和可扩展性。
图2-3说明了多主域模型。
多主域模型的优势在于,大型组织的不同分公司、分支单位(若地理位置相距很远)都
可以独立管理自己的用户账户数据库,同时任何主账户域中的用户照样可以访问任何信任资
源域中的共享资源。
同时,多主域模型也适用于账户数量庞大,超过一个域所能承受极限的
网络环境。
(4)完全信任模型
完全信任模型(CompleteTrustModel)中的所有域之间均是双向的信任关系。
这个模
型提供了分散式的用户账户、安全管理以及分散式的资源管理。
每个部门维护自己的域,按
照自己的需要管理用户账户和资源。
完全信任模型的优势在于,它建立在一个组织不同部门之间的松散结构关系之上,并允
许来自任何部门的用户都可以访问任何有效的资源。
但只有当负责各域的管理员之间能够完
全合作时才能够达到足够的安全等级。
第三章
1.Windows2000系统的核心是处于体系结构中核心模式下的软件,它们可以分成哪些组,各组完成的功能是什么?
执行体(Executive):
包含为环境子系统和其他执行体组件提供系统服务的系统组
件。
它们执行的系统任务包括输入/输出、文件管理、虚拟内存管理、资源管理以
及进程内部通信等。
设备驱动程序(Devicedrivers):
将组件的调用(例如打印机请求)翻译为硬件操
作。
硬件抽象层(Hardwareabstractionlayer,HAL):
将Windows2000执行体的其他部
分与特定的硬件分离开来,使操作系统与多处理器平台相兼容。
微内核(Microkernel):
管理微处理器。
它执行一些重要的功能,例如调度、中断
以及多处理器同步等。
2.请简述Windows2000系统试图达到的安全性目标。
企业中的单一登录
集成的安全服务
管理的委派和可扩展性
强大的身份验证
用于实现互操作能力的基于标准的协议
审核服务
3.请简述Windows2000系统安全模型的底层原理。
为了实现这些安全性目标,Windows2000使用了安全模型这一概念。
这个模型定义了
Windows2000操作系统的不同部分配合工作的方式。
这种结构中的一些底层原理包括:
服务器提供对象访问
客户只能通过服务器(服务)访问对象
对象管理器和安全引用监视器(SecurityReferenceMonitor,SRM)决定谁对对象拥
有哪些权限
可以使用多个协议验证用户
管理安全策略的方式可以是全局的,也可以是本地的
4.5.本地安全授权机构为基于Windows2000系统的计算机维护所有本地的安全信息,它提供了哪些功能?
Netlogon服务(Netlogon.dll)Netlogon服务维护计算机到其所在域内的域控制器
的安全信道。
Netlogon服务通过一个安全信道将证书交给域控制器,再为安全主体
返回一个带有安全标识符和用户权力的访问权标。
NTLM身份验证协议(MSV1_0.dll)NTLM被用于验证不能使用Kerberos身份
验证的客户,包括装有Windows9x和WindowsNT的计算机。
安全套接字层(Schannel.dll)安全套接字层(SecureSocketsLayers,SLL)在应用
层提供传输数据的加密服务。
所有经过加密信道的数据在网络上都受到保护。
为了
使用SSL,必须将应用程序编码以识别和执行SSL。
Kerberosv5身份验证协议(Kerberos.dll)Kerberosv5是Windows2000使用的默
认验证协议。
Kerberos身份验证以票据授予票据(Ticket-grantingtickets,TGT)和票
据授予服务(Ticket-grantingservice,TGS)为基础。
Kerberos密钥分发中心(Kdcsvc.dll)在客户端接受网络身份验证的初期,Kerberos
密钥分发中心(KerberosDistributionCenter,KDC)服务负责向它颁发TGT,然后
该TGT被用于后续的对服务票据的一系列请求,获得的票据最后被用于对发出请
求的客户端进行身份验证。
本地安全授权(lsasrv.dll)本地安全授权(LocalSecurityAuthority,LSA)是安全
子系统的核心组件,在ActiveDirectory下执行所有定义的安全策略。
安全账户管理(Samsrv.dll)安全账户管理(SecurityAccountsManager,SAM)程
序被用于在一个非域控制器上存储本地安全账户。
SAM同时也执行所有本地的存
储策略。
目录服务模块(ntdsa.dll):
目录服务模块支持Windows2000域控制器之间的复制,
以及所有基于轻量级目录访问协议的、对ActiveDirectory和保存在ActiveDirectory
下的命名上下文管理的访问。
命名上下文包括域命名上下文、配置命名上下文和框
架命名上下文。
多重身份验证提供程序(Secur32.dll):
多重身份验证提供程序(Multiple
AuthenticationProvider,MAP)支持所有系统当中可用的安全包。
安全包包括
Kerberos、WindowsNT局域网管理程序(NTLANManager,NTLM)、Secure信道
和分布式密码身份验证(DistributedPasswordAuthentication,DPA)包。
6.Windows2000系统允许哪几种网络安全协议来提供身份验证服务?
NTLM(WindowsNTLANManager)。
由WindowsNT、Windows95和Windows98
客户端使用,这些系统上装有目录服务的客户端程序。
NTLM被用于通过在
Windows2000Professional和Windows2000成员服务器上的网络身份验证和本地
账号身份验证以及到Microsoft早期操作系统的访问。
NTLM安全服务器使用
MCS1_0验证服务和Netlogon服务来提供客户端身份验证和授权。
Kerberosv5。
基于Windows2000计算机的默认安全协议。
Kerberos提供客户端和
服务器的相互认证、更好的性能并提供委派支持。
Kerberos安全提供程序使用域控
制器活动目录上的密钥分发中心(KDC)服务来获取TGT和服务票据。
分布式密码身份验证(DistributedPasswordAuthentication)。
由Internet会员组织如
MSN所使用的共享的秘密身份验证协议。
DPA隶属于MicrosoftCommercialSystem
(MCIS),它允许只使用一个账号和密码来连接所有在Internet会员组织内的会员
站点。
DPA使用MCIS安全服务(通常称为“成员资格服务”)来验证会员资格和
不同服务器所特有的访问信息。
安全信道(SecureChannel)服务。
该服务提供基于公钥的协议,如SSL和传输层
安全(TLS)协议进行身份验证的能力。
如果使用一个公钥基础机构(PKI),这些
协议能在分布式网络上同时提供客户端和服务器的身份验证。
在Windows2000中,
可以使用证书服务来部署公钥基础机构,以创建证书颁发机构(CA)。
这些CA负
责颁发数字证书以用于身份验证。
7.Windows2000系统默认的身份验证协议是什么?
Kerberosv5身份验证协议(Kerberos.dll)Kerberosv5是Windows2000使用的默
认验证协议。
Kerberos身份验证以票据授予票据(Ticket-grantingtickets,TGT)和票
据授予服务(Ticket-grantingservice,TGS)为基础。
8.:
2.活动目录包含哪两方面的内容?
它们各自的定义是什么?
两者之间的区别在哪里?
活动目录包括两个方面的内容:
目录和与目录服务。
目录(又称数据存储区)是存储网络对象信息的分层结构。
活动目录使用“对象”这个
名词来表示如用户、组、计算机、硬件设备、应用和打印机等网络资源。
而目录则是存储各
种“对象”的一个物理上的容器,从静态的角度来理解与我们以前所认识的“目录”和“文
件夹”没有本质区别,这里也仅仅是一个对象,是一个实体。
活动目录把信息组织成由这些
对象和容器所组成的一个树型结构,这就类似于Windows系统在计算机上用文件夹和文件
来组织文件信息一样。
例如,一般情况下,目录会存储用户账户的用户名、密码、电子邮件
地址和电话号码等信息。
目录服务与目录的不同之处在于它既是目录信息源,又是使信息对管理员、用户、网络
服务和应用程序有效并可用的服务。
理想情况下,目录服务会使物理拓扑和协议(两个服务
间传输数据所用的格式)透明化。
这样,即使用户不知道资源的物理位置和连接方法,也能
够访问该资源。
我们继续上一个例子,正是目录服务使得同一网络中的其他授权用户能够访
问针对用户对象所保存的目录信息,如电子邮件地址和电话号码等。
目录服务可支持多种不
同的功能:
有些目录服务与操作
升级会员 