【正文】 Packages值并調(diào)用。 ? 重新找回本地組的 SIDs和用戶的權(quán)限。 ? 創(chuàng)建用戶的訪問令牌。 ? 管理本地安裝的服務(wù)所使用的服務(wù)賬號(hào)。 ? 儲(chǔ)存和映射用戶權(quán)限。 ? 管理審核的策略和設(shè)置。 ? 管理信任關(guān)系。 itsec Windows安全子系統(tǒng) ? 安全支持提供者的接口（ Security Support Provide Interface）： 微軟的 Security Support Provide Interface很簡(jiǎn)單地遵循 RFC 2743和 RFC 2744的定義，提供一些安全服務(wù)的 API，為應(yīng)用程序和服務(wù)提供請(qǐng)求安全的認(rèn)證連接的方法。 ? 認(rèn)證包（ Authentication Package）： 認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。通過 GINA DLL的可信認(rèn)證后，認(rèn)證包返回用戶的 SIDs給LSA，然后將其放在用戶的訪問令牌中。 itsec Windows安全子系統(tǒng) ? 安全支持提供者（ Security Support Provider）： 安全支持提供者是以驅(qū)動(dòng)的形式安裝的，能夠?qū)崿F(xiàn)一些附加的安全機(jī)制，默認(rèn)情況下，Windows NT安裝了以下三種： ? ：微軟網(wǎng)絡(luò)挑戰(zhàn) /反應(yīng)認(rèn)證模塊 ? ：分布式密碼認(rèn)證挑戰(zhàn) /反應(yīng)模塊，該模塊也可以在微軟網(wǎng)絡(luò)中使用 ? ：該認(rèn)證模塊使用某些證書頒發(fā)機(jī)構(gòu)提供的證書來(lái)進(jìn)行驗(yàn)證，常見的證書機(jī)構(gòu)比如Verisign。這種認(rèn)證方式經(jīng)常在使用 SSL（ Secure Sockets Layer）和 PCT（ Private Communication Technology）協(xié)議通信的時(shí)候用到。 itsec Windows安全子系統(tǒng) ? 網(wǎng)絡(luò)登陸（ Netlogon）： 網(wǎng)絡(luò)登陸服務(wù)必須在通過認(rèn)證后建立一個(gè)安全的通道。要實(shí)現(xiàn)這個(gè)目標(biāo)，必須通過安全通道與域中的域控制器建立連接，然后，再通過安全的通道傳遞用戶的口令，在域的域控制器上響應(yīng)請(qǐng)求后，重新取回用戶的 SIDs和用戶權(quán)限。 ? 安全賬號(hào)管理者（ Security Account Manager）： 安全賬號(hào)管理者，也就是我們經(jīng)常所說(shuō)的 SAM，它是用來(lái)保存用戶賬號(hào)和口令的數(shù)據(jù)庫(kù)。保存了注冊(cè)表中 \HKLM\Security\Sam中的一部分內(nèi)容。不同的域有不同的 Sam，在域復(fù)制的過程中， Sam包將會(huì)被拷貝。 itsec Windows 2022 本地登陸過程 當(dāng)從 Windows 2022 Professional or Server登錄時(shí) ,Windows 2022 用兩種過程驗(yàn)證本地登錄 . Windows 2022嘗試使用 Kerberos 作為基本驗(yàn)證方式 . 如果找不道 Key Distribution Center (KDC) 服務(wù) , Windows 會(huì)使用Windows NT LanManager(NTLM) 安全機(jī)制來(lái)驗(yàn)證在本地 SAM 中的用戶 。 ? 本地登錄驗(yàn)證過程如下 : ? 輸入用戶名及密碼然后按回車鍵 . Graphical Identification and Authentication (GINA) 會(huì)收集這些信息 . ? GINA 傳送這些安全信息給 Local Security Authority (LSA) 來(lái)進(jìn)行驗(yàn)證 . ? The LSA 傳送這些信息給 Security Support Provider Interface (SSPI). SSPI 是一個(gè)與 Kerberos 和 NTLM通訊的接口 服務(wù) . ? SSPI 傳送用戶名及密碼給 Kerberos SSP. Kerberos SSP 檢查 目的機(jī)器是本機(jī)還是域名 . 如果是本機(jī) , Kerberos 返回錯(cuò)誤消息給 SSPI. 如果找不到 KDC, 機(jī)器生成一個(gè)用戶不可見的內(nèi)部錯(cuò)誤 . ? 這個(gè)內(nèi)部錯(cuò)誤促發(fā) SSPI 通知 GINA. GINA 再次傳送這些安全信息給 LSA. LSA 再次傳送這些安全信息給 SSPI. ? 這次 , SSPI 傳送用戶名及密碼給 NTLM driver MSV10 SSP. NTLM driver 用 Netlogon 服務(wù)和本地 SAM來(lái)驗(yàn)證用戶 . ? 如果 NTLM和 Kerberos都不能驗(yàn)證你的帳號(hào) , 你會(huì)收到下列錯(cuò)誤消息提示您輸入正確的用戶名和密碼 . itsec Windows的密碼系統(tǒng) ? windows NT及 win2022中對(duì)用戶帳戶的安全管理使用了安全帳號(hào)管理器 (security account manager)的機(jī)制 ,安全帳號(hào)管理器對(duì)帳號(hào)的管理是通過安全標(biāo)識(shí)進(jìn)行的，安全標(biāo)識(shí)在帳號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦帳號(hào)被刪除，安全標(biāo)識(shí)也同時(shí)被刪除。安全標(biāo)識(shí)是唯一的，即使是相同的用戶名，在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的。因此，一旦某個(gè)帳號(hào)被刪除，它的安全標(biāo)識(shí)就不再存在了，即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的安全標(biāo)識(shí)，不會(huì)保留原來(lái)的權(quán)限。 itsec Windows的密碼系統(tǒng) ? 安全賬號(hào)管理器的具體表現(xiàn)就是 %SystemRoot%\system32\config\sam文件。 sam文件是 windows NT的用戶帳戶數(shù)據(jù)庫(kù) ,所有 2K/NT用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中。 sam文件可以認(rèn)為類似于 unix系統(tǒng)中的 passwd文件 ,不過沒有這么直觀明了。 passwd使用的是存文本的格式保存信息，這是一個(gè) linux passwd文件內(nèi)容的例子 root:8L7v6:0:0:root:/root:/bin/bash msql:!!:502:504::/home/msql:/bin/bash unix中的 passwd文件中每一行都代表一個(gè)用戶資料，每一個(gè)賬號(hào)都有七部分資料 ,不同資料中使用 :分割格式如下 賬號(hào)名稱 :密碼 :uid:gid:個(gè)人資料 :用戶目錄 :shell 除了密碼是加密的以外 (這里的密碼部分已經(jīng) shadow了 )其他項(xiàng)目非常清楚明了。 而 Windows中就不是這樣 ,雖然也是用文件保存賬號(hào)信息 ,不過如果我們用編輯器打開這些 NT的 sam文件，除了亂碼什么也看不到。因?yàn)?NT系統(tǒng)中將這些資料全部進(jìn)行了加密處理，一般的編輯器是無(wú)法直接讀取這些信息的。注冊(cè)表中的 ? HKEY_LOCAL_MACHINE\SAM\SAM ? HKEY_LOCAL_MACHINE\SECURITY\SAM 保存的就是 SAM文件的內(nèi)容，在正常設(shè)置下僅對(duì) system是可讀寫的。 itsec 用戶權(quán)利、權(quán)限和共享權(quán)限 網(wǎng)絡(luò)安全性依賴于給用戶或組授予的能力： ? 權(quán)力 :在系統(tǒng)上完成特定動(dòng)作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。 ? 權(quán)限 :可以授予用戶或組的文件系統(tǒng)能力。 ? 共享 :用戶可以通過網(wǎng)絡(luò)使用的文件夾。 itsec Windows系統(tǒng)的用戶權(quán)利 權(quán)利適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作，通常是用來(lái)授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)利的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)利相關(guān)的任務(wù)。 下面列出了用戶的特定權(quán)利： ? Access this puter from work 可使用戶通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。 ? Add workstation to a domain 允許用戶將工作站添加到域中。 ? Backup files and directories 授權(quán)用戶對(duì)計(jì)算機(jī)的文件和目錄進(jìn)行備份。 ? Change the system time 用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。 ? Load and unload device drive 允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動(dòng)程序。 ? Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。 ? Shutdown the system 允許用戶關(guān)閉系統(tǒng)。 itsec Windows系統(tǒng)的用戶權(quán)限 ? 權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于 NTFS卷）的操作， 指定允許哪些用戶可以使用這些對(duì)象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是： Read(R)、 Execute(X)、 Write(W)、Delete(D)、 Set Permission(P)和 Take Ownership(O)。下表顯示了這些任務(wù)是如何與各種權(quán)限級(jí) 別相關(guān)聯(lián)的。 itsec Windows系統(tǒng)的用戶權(quán)限 目錄權(quán)限 權(quán)限級(jí)別 RXWDPO 允許的用戶動(dòng)作 No Access 用戶不能訪問該目錄 List RX 可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄 Read RX 具有 List權(quán)限，用戶可以讀取目錄中的文件和 運(yùn)行目錄中的應(yīng)用程序 Add XW 用戶可以添加文件和子錄 Add and Read RXW 具有 Read和 Add的權(quán)限 Change RXWD 有 Add和 Read的權(quán)限， 另外還可以更改文件的內(nèi)容，刪除文件和子目錄 Full control RXWDPO 有 Change的權(quán)限，另外用戶可以更改權(quán)限和獲取目錄的所有權(quán) 如果對(duì)目錄有 Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目。 itsec Windows系統(tǒng)的用戶權(quán)限 文件權(quán)限 權(quán)限級(jí)別 RXWDPO 允許的用戶動(dòng)作 No Access 用戶不能訪問該文件 Read RX 用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行 Change RXWD 有 Read的權(quán)限，還可用修和刪除文件 Full control RXWDPO 包含 Change的權(quán)限，還可以更改權(quán)限和獲取文件的有權(quán) itsec Windows系統(tǒng)的共享權(quán)限 ? 共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng) 絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器 主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問 在 NT Server服務(wù)器上的文件和目錄，必須首先對(duì)它建立共享。共享權(quán) 限建立了通過網(wǎng)絡(luò)對(duì)共享目錄訪問的最高級(jí)別。 itsec Windows系統(tǒng)的共享權(quán)限 下表列出從最大限制到最小限制的共享權(quán)限。 共享權(quán)限 共享權(quán)限級(jí)別 允許的用戶動(dòng)作 No Access(不能訪問 ) 禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問但允許查看文件名和子目錄名，改變共享 Read(讀 ) 目錄的子目錄，還允許查看文件的數(shù)據(jù) 和運(yùn)行應(yīng)用程序 Change(更改 ) 具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，