数据安全整理.docx

1、数据安全整理声明：本文件由杨晓龙和刘泽霖两人根据老师最后一节课所提的复习题为来源，摘抄的书上与问题相关部分的内容，并非答案，非官方，旨在于方便大家考试时查阅，禁止用作他处。我二人对由此产生的任何不良影响不负任何责任。使用此文档即表示你已经同意这则声明。从操作系统本身而言，Windows NT系统主要具有哪些特点？􀁺 32 位操作系统，多重引导功能，可与其他操作系统共存。􀁺 实现了“抢先式”多任务和多线程操作。􀁺 采用 SMP（对称多处理）技术，支持多CPU 系统。􀁺 支持 CISC（如Intel 系统）和RISC（如Pow

2、er PC、R4400 等）多种硬件平台。􀁺 可与各种网络操作系统实现互操作，如：UNIX、Novel Netware、Macintosh 等系统；对客户操作系统提供广泛支持，如MS-DOS、Windows、Windows NT Workstation、UINX、OS2、Macintosh 等；支持多种协议：TCPIP、NetBEUI、DLC、AppleTalk、NWLINK 等。􀁺 安全性达到美国国防部的 C2 标准。1. Windows NT系统在系统和网络安全性上引入了哪些新的概念？􀁺 NTFS（Windows NT File Sys

3、tem）：Windows NT 采用的新型文件系统，可提供安全存取控制及容错能力，在大容量磁盘上，它的效率比FAT 高。􀁺 共享权限：支持对网络资源设置一定的权限许可，没有得到权限许可，就无法访问网络资源。􀁺 用户账户（User Account）：要想使用网络资源，就必须有用户账户。Windows NT对用户和服务程序，都要求提供合法账户。专为应用程序或服务进程创建的账户即服务账户，在系统启动时，服务进程使用服务账户登录以获得在系统中使用资源的权利和权限。普通用户账户由用户登录时提供，用于Windows NT 控制该用户在系统中的权利和权限，与服务账户本质上

4、没有区别。􀁺 域（Domain）：域是Windows NT 中数据安全和集中管理的基本单位。网络由域组成，域具有惟一的名称。域可以看作由运行NT 的服务器组成的系统，一组电脑共用相同的账户及安全数据库。􀁺 工作组（Workgroup）：工作组是一种资源与系统管理都分散的网络结构。在工作组的范围里，每台电脑既可以充当服务器的角色，也可以充当工作站的角色，彼此之间是平等关系。􀁺 权限（Right）：权限是授权某用户可以在系统上执行某些操作。权限用来保护系统整体。􀁺 许可（Permission）：许可用来保护特定对象。许可规定可

5、以使用某一对象的用户以及用什么方法使用。􀁺 安全审核：Windows NT 将记录发生在电脑上各项与安全系统相关的过程。2. 活动目录的概念和作用分别是什么，包括哪些组成部分？活动目录（Active Directory, AD）服务是Windows 2000 安全模型灵活性与可扩展性的核心，它提供了完全集成于Windows 2000 的一个安全、分布式、可扩展以及重复的分层目录服务。活动目录替代了 Windows NT 早期版本中域控制器的注册表数据库内的安全账户管理器（Security Accounts Manager, SAM），从而成为用户账户、工作组和口令等安全信息的

6、主要存储区域。同样地，活动目录形成了本地安全授权（Local Security Authorization, LSA）的一个可信任组件。换句话说，活动目录既为支持验证而存储了用户证书，也为支持授权访问系统资源而存储了访问控制信息。活动目录主要包括两方面：目录和目录相关的服务。目录是存储各种对象的一个物理容器，目录管理的基本对象是用户、计算机、文件以及打印机等资源。而目录服务是使目录中所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务、基于网络的应用管理。3. 请简述Kerberos协议的思想，并描述一次典型的操作过程。Windows 2000 使用Internet 标准Kerb

7、eros V5 协议（RFC 1510）作为验证用户身份的主要方法。Kerberos 协议提供在客户机和服务器之间的网络连接打开前交互身份验证的机制。此方法对包含开放通信（如那些已经在Internet 上实现的）的网络来说是非常理想的。Kerberos 验证协议定义了客户、资源和网络验证服务（密钥分配中心、KDC）之间的安全交互。在Windows 2000 中，KDC 是作为每个域控制器上的验证服务来实现的。通过把活动目录当作用户（主体）和工作组的账户数据库，Windows 2000 域变成了Kerberos 域的一个等价物。Windows 2000 将Kerberos 协议完全集成到了Win

8、logon 单一登录体系结构之中，提供了身份验证和访问控制功能。Kerberos 协议是基于“票据”的思想。票据是由密钥分发中心（KDC）的可信颁发机构颁发的加密数据包。票据可以证明用户的身份，同时还携带了其他信息。KDC 为其颁发机构范围或“领域”内的所有用户提供票据，它提供身份验证服务和票据授予服务这两项服务。在 Windows 2000 中，每个域控制器就是一个 KDC，而域控制器的领域与其所在的域对应。Kerberos 协议的操作过程其实比较简单，如图1-3 所示。登录时，用户向KDC 验证自己的身份，KDC 为用户提供一个初始票据，称为TGT（Ticket Granting Tick

9、et, 票据授予票据）。此后，当用户需要使用网络资源时，其用户会话将TGT 提交给域控制器，并请求特定的资源票据，即ST（Service Ticket, 服务票据）。然后，用户将ST 提交给资源，由资源授权访问。4. 配置IPSec协议可以完成哪些安全功能？􀁺 根据 Kerberos 身份验证、数字证书或共享机密密钥（密码）来验证IP 数据包发送者身份。􀁺 确保在网络上传送的 IP 数据包的完整性。􀁺 按照绝密等级对所有在网络上传送的数据进行加密。􀁺 在数据传输过程中，隐藏 IP 源地址。第二章：1. 请解释Windows

10、 NT系统安全体系结构中内核模式和用户模式之间的区别。应用程序及其子系统运行在用户模式下。该模式拥有较低特权，不能对硬件直接进行访问。用户模式的应用程序被限定在由操作系统所分配的内存空间内，不能对其他内存地址空间直接进行访问。用户模式只能使用特殊的应用程序编程接口（API）来从内核模式组件中申请系统服务。用户模式中包含有以下一些主要的子系统。􀁺 Win32 子系统：这是主要的应用程序子系统，所有的32 位Windows 应用程序都运行在这个子系统之下。􀁺 本地安全子系统：用来支持 Windows 的登录过程，包括对登录的身份验证和审核工作。安全子系统需要和W

11、in32 子系统进行通信。􀁺 OS/2 子系统：被设计用来运行和OS/2 1.x 相兼容的应用程序。􀁺 POSIX 子系统：被设计用来运行和POSIX 1.x 相兼容的应用程序。而内核模式中的代码则具有极高的特权，可以直接对硬件进行操作以及直接访问所有的内存空间，并不像运行在用户模式下的程序那样被限定在自身特定的地址空间内。组成内核模式的整套服务被称为“执行服务”（有时也被称为Windows NT Executive）。执行服务通过响应用户模式下应用程序发出的请求来提供内核模式服务。Windows NT系统的用户模式中包含哪些安全子系统？ 见上 请说明FAT

12、文件系统和NTFS文件系统的不同点。，Windows NT 4.0 的安全性能在很大程度上依赖于NTFS 文件系统。所谓NTFS，即NT File System（NT 文件系统），它是从Windows NT 所开始采用的独特文件系统结构。NTFS 建立在保护文件和目录数据基础上，同时以节省存储资源、减少磁盘占用率为设计目的。NTFS 较FAT 文件系统而言，功能更强大，适合更大的磁盘和分区，支持安全性，是更为完善和灵活的文件系统。NTFS 文件系统为Windows NT 服务器或工作站提供了必需的安全保障，它的安全特性主要体现在以下几个方面。􀁺 在 NTFS 分区上支持随机访

13、问控制和拥有权，对共享文件夹可以指定权限，以免受到本地访问或远程访问的影响。􀁺 对于在计算机上存储文件夹或单个文件，或者是通过连接到共享文件夹访问的用户，都可以指定权限，以使每个用户只能按照系统赋予的权限进行操作，充分保护了系统和数据的安全。􀁺 NTFS 使用事务日志自动记录所有文件夹和文件更新，当出现系统损坏和电源故障等问题而引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。正是由于具备了这些安全特性，Windows NT 下网络资源的本地安全性是通过NTFS 权限许可来实现的。在一个格式化为NTFS 的分区上，每个文件或者文件夹都可以被单独地分配

14、一个许可，这个许可使得这些资源具备更高级别的安全性。用户无论是在本机还是通过远程网络访问这些设置有NTFS 许可的资源，都必须具备访问这些资源的权限。此外，NTFS 支持对单个文件或者整个文件夹进行压缩。这种压缩不同于FAT 文件系统中对驱动器卷的压缩，其可控性和速度均要好得多。NTFS 文件系统还具备其他一些优点，例如：对于超过4GB 以上的磁盘，使用NTFS 分区可以减少磁盘碎片的数量，大幅度提升磁盘的利用率；NTFS 可支持的磁盘分区大小可达64GB，远大于FAT32 可支持的4GB；支持长文件名等。请说明工作组和域之间的不同之处。工作组（Workgroup）是一个不共享任何用户账户信息

15、和组账户信息的小型Windows NT系统集合。工作组中每个系统之间是彼此独立的，在进行验证时都使用系统自身的SAM 数据库。所以，这种配置仅适用于最小型的环境，否则将是难以管理的，并且根本无法集中进行控制。不同于工作组的独立和松散，Windows NT 4.0 域是具有集中安全授权机构（如主域控制器，PDC）的一批计算机。它至少应该由一台PDC 和若干台工作站和成员服务器所组成。在实际情况中，域中一般还存在备份域控制器（BDC），它用来提供整个域SAM 数据库的多份完全复本，以提高有效性，并可以用来向多台服务器提供分布式的验证服务。Windows NT 域为用户、组和计算机账户定义了安全边界

16、的管理范围。由于集中安全授权机构的存在，一个域就允许在这个域中的所有用户共享普通的用户账户数据库和普通的安全策略，并不再需要每台计算机都各自提供自己的验证服务。一旦某用户通过了PDC 或者BDC 的域验证，那么该用户就可以在具有必要权限的域和主体内的任何地方访问资源了。两个域之间的信任关系有哪两种？Window NT系统的工作组和域之间能否建立起信任关系？两个域之间的信任关系有如下两种。􀁺 单向信任关系：信任只存在于一个方向上，即只是一个域信任另外一个域，反之则不然。信任域信任被信任域中的用户，允许被信任域中的用户访问信任域中的资源。􀁺 双向信任关系：信任建

17、立在两个方向上，两个域之间彼此信任对方，每个域中的用户账户都可以授权访问另一个域中的资源。信任关系只限于域和域之间，Windows NT 域与工作组之间不能建立信任关系。当域之间建立起信任关系之后，被信任域中的全局组可以成为信任域中的本地组成员，信任域可以在域中为该本地组指定资源访问许可和权限。在带信任关系的多域环境中，组策略一般也是把用户加入全局组，再将全局组加入本地组。只不过全局组在被信任域中定义，本地组在信任域中定义。信任关系之间也不具有传递性。如果我们假设域A 信任域B，域B 信任域C，那么将无法推出域A 信任域C 的结论。13. 根据域之间的信任关系，我们可以创建哪些域模型？各种域模

18、型的特点和适用对象是什么？我们可以利用信任这个基本概念创建多个域模型。每个域模型具有不同的管理效果，在特定的环境中都具有其特殊的优势。（1） 单域模型采用单域模型（Single Domain Model）的网络环境中只有一个域，不具有信任关系。单域模型的优势在于可以进行集中的账户管理和资源访问控制，适用于网络规模小，用户数不多的小型组织。（2） 主域模型采用主域模型（Master Domain Model）的网络环境中具有多个域。所有用户账户集中在某个域中（账户域）进行管理，我们称这个域为主域；而其他域则信任这个账户域，我们称之为资源域，如存放文件与打印服务器的域。用户放在主域的全局组内，并且

19、这些组被加入到适当资源域的本地组中。账户域的域管理员负责管理用户账户，而每个资源域的域管理员负责管理资源服务器和对这些资源的访问权限。图2-2 说明了这种模型。主域模型的优势在于对用户账户的集中管理，并对账户和口令有一个通用策略。管理用户账户的管理员并没有对资源的管理控制权，同时也不允许资源管理员创建有权访问本地信息之外任何信息的新用户账户，也不鼓励在资源域中创建用户账户。主域模型为Windows NT的用户提供了可用于资源域中所有Windows NT 服务单一用户账户的单一登录（SingleSign-on），适用于网络规模较大的组织。（3） 多主域模型多主域模型（Multiple Maste

20、r Domain Model）则用多个主域控制账户，资源域信任所有的账户域，账户域彼此之间为双向信任。因此，用户账户就可以在任何一个主域中创建，并可以使用任何信任资源域中的资源。这一模型的其他方面与单主域模型相似，但却提供了更大的灵活性和可扩展性。图2-3 说明了多主域模型。多主域模型的优势在于，大型组织的不同分公司、分支单位（若地理位置相距很远）都可以独立管理自己的用户账户数据库，同时任何主账户域中的用户照样可以访问任何信任资源域中的共享资源。同时，多主域模型也适用于账户数量庞大，超过一个域所能承受极限的网络环境。（4） 完全信任模型完全信任模型（Complete Trust Model）中

21、的所有域之间均是双向的信任关系。这个模型提供了分散式的用户账户、安全管理以及分散式的资源管理。每个部门维护自己的域，按照自己的需要管理用户账户和资源。完全信任模型的优势在于，它建立在一个组织不同部门之间的松散结构关系之上，并允许来自任何部门的用户都可以访问任何有效的资源。但只有当负责各域的管理员之间能够完全合作时才能够达到足够的安全等级。第三章1. Windows 2000 系统的核心是处于体系结构中核心模式下的软件，它们可以分成哪些组，各组完成的功能是什么？􀁺 执行体（Executive）：包含为环境子系统和其他执行体组件提供系统服务的系统组件。它们执行的系统任务包括输入/

22、输出、文件管理、虚拟内存管理、资源管理以及进程内部通信等。􀁺 设备驱动程序（Device drivers）：将组件的调用（例如打印机请求）翻译为硬件操作。􀁺 硬件抽象层（Hardware abstraction layer, HAL）：将Windows 2000 执行体的其他部分与特定的硬件分离开来，使操作系统与多处理器平台相兼容。􀁺 微内核（Microkernel）：管理微处理器。它执行一些重要的功能，例如调度、中断以及多处理器同步等。2. 请简述Windows 2000 系统试图达到的安全性目标。􀁺 企业中的单一登录&

23、#1048698; 集成的安全服务􀁺 管理的委派和可扩展性􀁺 强大的身份验证􀁺 用于实现互操作能力的基于标准的协议􀁺 审核服务3. 请简述Windows 2000 系统安全模型的底层原理。为了实现这些安全性目标，Windows 2000 使用了安全模型这一概念。这个模型定义了Windows 2000 操作系统的不同部分配合工作的方式。这种结构中的一些底层原理包括：􀁺 服务器提供对象访问􀁺 客户只能通过服务器（服务）访问对象􀁺 对象管理器和安全引用监视器（Security

24、 Reference Monitor, SRM）决定谁对对象拥有哪些权限􀁺 可以使用多个协议验证用户􀁺 管理安全策略的方式可以是全局的，也可以是本地的4. 5. 本地安全授权机构为基于Windows 2000 系统的计算机维护所有本地的安全信息，它提供了哪些功能？􀁺 Netlogon 服务（Netlogon.dll） Netlogon 服务维护计算机到其所在域内的域控制器的安全信道。Netlogon 服务通过一个安全信道将证书交给域控制器，再为安全主体返回一个带有安全标识符和用户权力的访问权标。􀁺 NTLM 身份验证协议（

25、MSV1_0.dll） NTLM 被用于验证不能使用Kerberos 身份验证的客户，包括装有Windows 9x 和Windows NT 的计算机。􀁺 安全套接字层（Schannel.dll） 安全套接字层(Secure Sockets Layers, SLL）在应用层提供传输数据的加密服务。所有经过加密信道的数据在网络上都受到保护。为了使用SSL，必须将应用程序编码以识别和执行SSL。􀁺 Kerberos v5 身份验证协议（Kerberos.dll） Kerberos v5 是Windows 2000 使用的默认验证协议。Kerberos 身份验证以票

26、据授予票据( Ticket-granting tickets, TGT）和票据授予服务（Ticket-granting service, TGS）为基础。􀁺 Kerberos 密钥分发中心（Kdcsvc.dll） 在客户端接受网络身份验证的初期，Kerberos密钥分发中心（Kerberos Distribution Center, KDC）服务负责向它颁发TGT，然后该TGT 被用于后续的对服务票据的一系列请求，获得的票据最后被用于对发出请求的客户端进行身份验证。􀁺 本地安全授权（lsasrv.dll） 本地安全授权（Local Security Auth

27、ority, LSA）是安全子系统的核心组件，在Active Directory 下执行所有定义的安全策略。􀁺 安全账户管理（Samsrv.dll） 安全账户管理（Security Accounts Manager, SAM）程序被用于在一个非域控制器上存储本地安全账户。SAM 同时也执行所有本地的存储策略。􀁺 目录服务模块（ntdsa.dll）：目录服务模块支持Windows 2000 域控制器之间的复制，以及所有基于轻量级目录访问协议的、对Active Directory 和保存在Active Directory下的命名上下文管理的访问。命名上下文包括域

28、命名上下文、配置命名上下文和框架命名上下文。􀁺 多 重 身 份 验 证提供程序（ Secur32.dll ）： 多重身份验证提供程序（MultipleAuthentication Provider, MAP）支持所有系统当中可用的安全包。安全包包括Kerberos、Windows NT 局域网管理程序（NT LAN Manager, NTLM）、Secure 信道和分布式密码身份验证（Distributed Password Authentication, DPA）包。6. Windows 2000 系统允许哪几种网络安全协议来提供身份验证服务？􀁺 NTLM

29、（Windows NT LAN Manager）。由Windows NT、Windows 95 和Windows 98客户端使用，这些系统上装有目录服务的客户端程序。NTLM 被用于通过在Windows 2000 Professional 和Windows 2000 成员服务器上的网络身份验证和本地账号身份验证以及到Microsoft 早期操作系统的访问。NTLM 安全服务器使用MCS1_0 验证服务和Netlogon 服务来提供客户端身份验证和授权。􀁺 Kerberos v5。基于Windows 2000 计算机的默认安全协议。Kerberos 提供客户端和服务器的相互认证

30、、更好的性能并提供委派支持。Kerberos 安全提供程序使用域控制器活动目录上的密钥分发中心（KDC）服务来获取TGT 和服务票据。􀁺 分布式密码身份验证（Distributed Password Authentication）。由Internet 会员组织如MSN 所使用的共享的秘密身份验证协议。DPA 隶属于Microsoft Commercial System（MCIS），它允许只使用一个账号和密码来连接所有在Internet 会员组织内的会员站点。DPA 使用MCIS 安全服务（通常称为“成员资格服务”）来验证会员资格和不同服务器所特有的访问信息。􀁺

31、; 安全信道（Secure Channel）服务。该服务提供基于公钥的协议，如SSL 和传输层安全（TLS）协议进行身份验证的能力。如果使用一个公钥基础机构（PKI），这些协议能在分布式网络上同时提供客户端和服务器的身份验证。在Windows 2000 中，可以使用证书服务来部署公钥基础机构，以创建证书颁发机构（CA）。这些CA 负责颁发数字证书以用于身份验证。7. Windows 2000 系统默认的身份验证协议是什么？􀁺 Kerberos v5 身份验证协议（Kerberos.dll） Kerberos v5 是Windows 2000 使用的默认验证协议。Kerbero

32、s 身份验证以票据授予票据( Ticket-granting tickets, TGT）和票据授予服务（Ticket-granting service, TGS）为基础。8. :2. 活动目录包含哪两方面的内容？它们各自的定义是什么？两者之间的区别在哪里？活动目录包括两个方面的内容：目录和与目录服务。目录（又称数据存储区）是存储网络对象信息的分层结构。活动目录使用“对象”这个名词来表示如用户、组、计算机、硬件设备、应用和打印机等网络资源。而目录则是存储各种“对象”的一个物理上的容器，从静态的角度来理解与我们以前所认识的“目录”和“文件夹”没有本质区别，这里也仅仅是一个对象，是一个实体。活动目录

33、把信息组织成由这些对象和容器所组成的一个树型结构，这就类似于Windows 系统在计算机上用文件夹和文件来组织文件信息一样。例如，一般情况下，目录会存储用户账户的用户名、密码、电子邮件地址和电话号码等信息。目录服务与目录的不同之处在于它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化。这样，即使用户不知道资源的物理位置和连接方法，也能够访问该资源。我们继续上一个例子，正是目录服务使得同一网络中的其他授权用户能够访问针对用户对象所保存的目录信息，如电子邮件地址和电话号码等。目录服务可支持多种不同的功能：有些目录服务与操作