【正文】 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 網(wǎng)絡(luò)管理與維護(hù) 徐記金 中糧安徽豐原碭山梨業(yè)有限公司 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 第四章 計(jì)算機(jī)網(wǎng)絡(luò)管理 ? 網(wǎng)絡(luò)管理的基本概念 ? 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 SNMP ? VLAN的使用和管理 ? 日常網(wǎng)絡(luò)管理 ? 計(jì)算機(jī)網(wǎng)絡(luò)的測(cè)試與維護(hù) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 日常網(wǎng)絡(luò)管理 ? 以 Windows NT為例 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 安全規(guī)則 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 一、操作系統(tǒng)安全定義 ? 信息安全的五類(lèi)服務(wù)，作為安全的操作系統(tǒng)時(shí)必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 二、信息安全評(píng)估標(biāo)準(zhǔn) ? ITSEC和 TCSEC ? 美國(guó)國(guó)防部 TCSEC描述的系統(tǒng)安全級(jí)別 – D ? A（ 彩虹系列） ? CC(Common Critical)標(biāo)準(zhǔn) ? BS 7799:2022標(biāo)準(zhǔn)體系 ? ISO 17799標(biāo)準(zhǔn) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) TCSEC彩虹系列標(biāo)準(zhǔn) 沒(méi)有安全性可言，例如 MS DOS 不區(qū)分用戶(hù)，基本的訪(fǎng)問(wèn)控制 D 級(jí) C1 級(jí) C2 級(jí) B1 級(jí) B2 級(jí) B3 級(jí) A 級(jí) 有自主的訪(fǎng)問(wèn)安全性，區(qū)分用戶(hù) 標(biāo)記安全保護(hù)，如 System V等 結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù) 安全域，數(shù)據(jù)隱藏與分層、屏蔽 校驗(yàn)級(jí)保護(hù)，提供低級(jí)別手段 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) C2級(jí)安全標(biāo)準(zhǔn)的要求 ? 自主的訪(fǎng)問(wèn)控制 ? 對(duì)象重用必須由系統(tǒng)控制 ? 用戶(hù)標(biāo)識(shí)和認(rèn)證 ? 審計(jì)活動(dòng) – 能夠?qū)徲?jì)所有安全相關(guān)事件和個(gè)人活動(dòng) – 只有管理員才有權(quán)限訪(fǎng)問(wèn) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) C2級(jí)別操作系統(tǒng)應(yīng)包含的安全組件 ? 訪(fǎng)問(wèn)控制的判斷 （ Discretion access control） 允許對(duì)象所有者可以控制誰(shuí)被允許訪(fǎng)問(wèn)該對(duì)象以及訪(fǎng)問(wèn)的方式。 ? 對(duì)象重用 （ Object reuse） 當(dāng)資源（內(nèi)存、磁盤(pán)等）被某應(yīng)用訪(fǎng)問(wèn)時(shí)， Windows 禁止所有的系統(tǒng)應(yīng)用訪(fǎng)問(wèn)該資源，這也就是為什么無(wú)法恢復(fù)已經(jīng)被刪除的文件的原因。 ? 強(qiáng)制登陸 （ Mandatory log on） 要求所有的用戶(hù)必須登陸，通過(guò)認(rèn)證后才可以訪(fǎng)問(wèn)資源 ? 審核 （ Auditing） 在控制用戶(hù)訪(fǎng)問(wèn)資源的同時(shí)，也可以對(duì)這些訪(fǎng)問(wèn)作了相應(yīng)的記錄。 ? 對(duì)象的訪(fǎng)問(wèn)控制 （ Control of access to object） 不允許直接訪(fǎng)問(wèn)系統(tǒng)的某些資源。必須是該資源允許被訪(fǎng)問(wèn)，然后是用戶(hù)或應(yīng)用通過(guò)第一次認(rèn)證后再訪(fǎng)問(wèn) 。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 三、 Windows系統(tǒng)的安全架構(gòu) Windows NT系統(tǒng)內(nèi)置支持 用戶(hù)認(rèn)證 、加密、訪(fǎng)問(wèn)控制、管理、審核。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 四、 Windows NT的對(duì)象 ? 為了實(shí)現(xiàn)自身的安全特性， Windows NT 把所有的資源作為系統(tǒng)的特殊的對(duì)象。這些對(duì)象包含資源本身， Windows NT 提供了一種訪(fǎng)問(wèn)機(jī)制去使用它們。由于這些基本的原因，所以我們把 Windows NT 稱(chēng)為基于對(duì)象的操作系統(tǒng)。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) Microsoft的安全就是基于以下的法則： ? 用對(duì)象表現(xiàn)所有的資源 ? 只有 Windows NT才能直接訪(fǎng)問(wèn)這些對(duì)象 ? 對(duì)象能夠包含所有的數(shù)據(jù)和方法 ? 對(duì)象的訪(fǎng)問(wèn)必須通過(guò) Windows NT的安全子系統(tǒng)的第一次驗(yàn)證 ? 存在幾種單獨(dú)的對(duì)象，每一個(gè)對(duì)象的類(lèi)型決定了這些對(duì)象能做些什么 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) Windows 中首要的對(duì)象類(lèi)型 ? 文件 ? 文件夾 ? 打印機(jī) ? I/O 設(shè)備 ? 窗口 ? 線(xiàn)程 ? 進(jìn)程 ? 內(nèi)存 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 五、 Windows安全子系統(tǒng)的組件 ?安全標(biāo)識(shí)符（ Security Identifiers） ?訪(fǎng)問(wèn)令牌（ Access tokens） ?安全描述符（ Security descriptors） ?訪(fǎng)問(wèn)控制列表（ Access control lists） ?訪(fǎng)問(wèn)控制項(xiàng)（ Access control entries） 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 安全標(biāo)識(shí)符（ Security Identifiers） ? 就是我們經(jīng)常說(shuō)的 SID， 每次當(dāng)我們創(chuàng)建一個(gè)用戶(hù)或一個(gè)組的時(shí)候，系統(tǒng)會(huì)分配給改用戶(hù)或組一個(gè)唯一 SID， 當(dāng)你重新安裝系統(tǒng)后，也會(huì)得到一個(gè)唯一的 SID。 ? SID永遠(yuǎn)都是唯一的，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶(hù)態(tài)線(xiàn)程的 CPU耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。例： S152117632343233212657521234321321500 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 訪(fǎng)問(wèn)令牌（ Access tokens） ? 用戶(hù)通過(guò)驗(yàn)證后，登陸進(jìn)程會(huì)給用戶(hù)一個(gè)訪(fǎng)問(wèn)令牌，該令牌相當(dāng)于用戶(hù)訪(fǎng)問(wèn)系統(tǒng)資源的票證，當(dāng)用戶(hù)試圖訪(fǎng)問(wèn)系統(tǒng)資源時(shí)，將訪(fǎng)問(wèn)令牌提供給 Windows 系統(tǒng)，然后 Windows NT檢查用戶(hù)試圖訪(fǎng)問(wèn)對(duì)象上的訪(fǎng)問(wèn)控制列表。如果用戶(hù)被允許訪(fǎng)問(wèn)該對(duì)象，系統(tǒng)將會(huì)分配給用戶(hù)適當(dāng)?shù)脑L(fǎng)問(wèn)權(quán)限。 ? 訪(fǎng)問(wèn)令牌是用戶(hù)在通過(guò)驗(yàn)證的時(shí)候有登陸進(jìn)程所提供的，所以改變用戶(hù)的權(quán)限需要注銷(xiāo)后重新登陸，重新獲取訪(fǎng)問(wèn)令牌。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 安全描述符（ Security descriptors） ? Windows 系統(tǒng)中的任何對(duì)象的屬性都有安全描述符這部分。它保存對(duì)象的安全配置。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 訪(fǎng)問(wèn)控制列表（ Access controllists） ? 訪(fǎng)問(wèn)控制列表有兩種： 任意訪(fǎng)問(wèn)控制列表（ Discretionary ACL）、 系統(tǒng)訪(fǎng)問(wèn)控制列表（ System ACL）。 任意訪(fǎng)問(wèn)控制列表包含了用戶(hù)和組的列表，以及相應(yīng)的權(quán)限，允許或拒絕。每一個(gè)用戶(hù)或組在任意訪(fǎng)問(wèn)控制列表中都有特殊的權(quán)限。而系統(tǒng)訪(fǎng)問(wèn)控制列表是為審核服務(wù)的，包含了對(duì)象被訪(fǎng)問(wèn)的時(shí)間。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 訪(fǎng)問(wèn)控制項(xiàng)（ Access control entries） ? 訪(fǎng)問(wèn)控制項(xiàng)（ ACE） 包含了用戶(hù)或組的 SID以及對(duì)象的權(quán)限。 ? 訪(fǎng)問(wèn)控制項(xiàng)有兩種：允許訪(fǎng)問(wèn)和拒絕訪(fǎng)問(wèn)。拒絕訪(fǎng)問(wèn)的級(jí)別高于允許訪(fǎng)問(wèn)。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 六、 Windows安全子系統(tǒng) 安全策略 數(shù)據(jù)庫(kù) 安全賬號(hào) 管理器 用戶(hù)帳號(hào) 數(shù)據(jù)庫(kù) 審計(jì)日志 登錄進(jìn)程 本地安全機(jī)構(gòu) Win32應(yīng)用程序 其他環(huán)境子系統(tǒng) Win32子系統(tǒng) 執(zhí)行體服務(wù) 訪(fǎng)問(wèn)、驗(yàn)證 審計(jì)、檢查 安全、引用 監(jiān)視程序 用戶(hù)模式 核心模式 安全策略 審計(jì)消息 身份驗(yàn)證 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 登錄進(jìn)程（ WinLogon） ? 接受用戶(hù)的登錄申請(qǐng)，包括初次交互登錄（對(duì)用戶(hù)顯示初始登錄對(duì)話(huà)框）和允許遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn) Windows NT服務(wù)器進(jìn)程的遠(yuǎn)程登錄進(jìn)程。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 本地安全機(jī)構(gòu)（ LSA） ? 確保具有權(quán)限的用戶(hù)能夠訪(fǎng)問(wèn)系統(tǒng)。是WindowsNT安全子系統(tǒng)的 核心部分 。 ? LSA提供了許多服務(wù)程序，保障用戶(hù)獲得存取系統(tǒng)的許可權(quán)。它產(chǎn)生令牌、執(zhí)行本地安全管理、提供交互式登錄認(rèn)證服務(wù)、控制安全審查策略和由 SRM產(chǎn)生的審查記錄信息。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 安全賬號(hào)管理器（ SAM） ? 用來(lái)維護(hù)用戶(hù)的賬號(hào)數(shù)據(jù)庫(kù)。 ? 保存 SAM數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)包含所有組和用戶(hù)的信息。 SAM提供 用戶(hù)登錄認(rèn)證 ，負(fù)責(zé)對(duì)用戶(hù)在 Wele對(duì)話(huà)框中輸入的信息與 SAM數(shù)據(jù)庫(kù)中的信息比對(duì)，并為用戶(hù)賦予一個(gè)安全標(biāo)識(shí)符（ SID）。 根據(jù)網(wǎng)絡(luò)配置的不同， SAM數(shù)據(jù)庫(kù)可能存在于一個(gè)或多個(gè) Windows NT系統(tǒng)中。 組網(wǎng)與網(wǎng)絡(luò)管理技術(shù) 安全引用監(jiān)視程序