【正文】 認(rèn)證包（ Authentication Package）： 認(rèn)證包可以為真實(shí)用戶提供認(rèn)證。在 ， Windows NT會尋找\HKLM\SYSTEM\CurrentControlSet\Control\LSA 下所有存在的SecurityPackages值并調(diào)用。而系統(tǒng)訪問控制列表是為審核服務(wù)的，包含了對象被訪問的時間。 例： S1521176323432332126575211234321321500 ? 訪問令牌（ Access tokens） : 用戶通過驗(yàn)證后，登陸進(jìn)程會給用戶一個訪問令牌，該令牌相當(dāng)于用戶訪問系統(tǒng)資源的票證，當(dāng)用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給 Windows 系統(tǒng)，然后 Windows NT檢查用戶試圖訪問對象上的訪問控制列表。Windows系統(tǒng)安全技術(shù) 祝曉光 提綱 ?系統(tǒng)安全模型 ?服務(wù)安全性 ?降低風(fēng)險 Windows系統(tǒng)安全模型 操作系統(tǒng)安全定義 ? 信息安全的五類服務(wù)，作為安全的操作系統(tǒng)時必須提供的 ? 有些操作系統(tǒng)所提供的服務(wù)是不健全的、默認(rèn)關(guān)閉的 信息安全評估標(biāo)準(zhǔn) ?ITSEC和 TCSEC ?TCSEC描述的系統(tǒng)安全級別 ? D?A ?CC(Common Critical)標(biāo)準(zhǔn) ?BS 7799:2022標(biāo)準(zhǔn)體系 ?ISO 17799標(biāo)準(zhǔn) TCSEC定義的內(nèi)容 沒有安全性可言，例如 MS DOS 不區(qū)分用戶，基本的訪問控制 D 級 C1 級 C2 級 B1 級 B2 級 B3 級 A 級 有自主的訪問安全性，區(qū)分用戶 標(biāo)記安全保護(hù)，如 System V等 結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù) 安全域，數(shù)據(jù)隱藏與分層、屏蔽 校驗(yàn)級保護(hù)，提供低級別手段 C2級安全標(biāo)準(zhǔn)的要求 ?自主的訪問控制 ?對象再利用必須由系統(tǒng)控制 ?用戶標(biāo)識和認(rèn)證 ?審計活動 ? 能夠?qū)徲嬎邪踩嚓P(guān)事件和個人活動 ? 只有管理員才有權(quán)限訪問 CC(Common Critical)標(biāo)準(zhǔn) ?CC的基本功能 ? 標(biāo)準(zhǔn)化敘述 ? 技術(shù)實(shí)現(xiàn)基礎(chǔ)敘述 ?CC的概念 ? 維護(hù)文件 ? 安全目標(biāo) ? 評估目標(biāo) Windows系統(tǒng)的安全架構(gòu) Windows NT系統(tǒng)內(nèi)置支持用戶認(rèn)證、訪問 控制、管理、審核。 SID永遠(yuǎn)都是唯一的，由計算機(jī)名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的 CPU耗費(fèi)時間的總和三個參數(shù)決定以保證它的唯一性。每一個用戶或組在任意訪問控制列表中都有特殊的權(quán)限。 Winlogon在注冊表中查找 \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ，如果存在 GinaDLL鍵， Winlogon將使用這個 DLL，如果不存在該鍵， Winlogon將使用默認(rèn)值 Windows安全子系統(tǒng) ? 本地安全認(rèn)證（ Local Security Authority） ： 本地安全認(rèn)證（ LSA）是一個被保護(hù)的子系統(tǒng)，它負(fù)責(zé)以下任務(wù)： ? 調(diào)用所有的認(rèn)證包，檢查在注冊表\HKLM\SYSTEM\CurrentControlSet\Control\LSA下AuthenticationPAckages下的值，并調(diào)用該 DLL進(jìn)行認(rèn)證（ ）。 Windows安全子系統(tǒng) ? 安全支持提供者的接口（ Security Support Provide Interface）： 微軟的 Security Support Provide Interface很簡單地遵循 RFC 2743和 RFC 2744的定義，提供一些安全服務(wù)的 API，為應(yīng)用程序和服務(wù)提供請求安全的認(rèn)證連接的方法。保存了注冊表中\(zhòng)HKLM\Security\Sam中的一部分內(nèi)容。 示例 虛擬目錄 位置 IIS 示例 \IISSamples c :\ipub\iissamples IIS 文檔 \IISHelp c:\winnt\help\iishelp 數(shù)據(jù)訪問 \MSADC c:\program files\mon files\system\msadc IIS服務(wù)安全配置 ? 啟用或刪除不需要的 COM 組件 某些 COM 組件不是多數(shù)應(yīng)用程序所必需的，應(yīng)加以刪除。 IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。 ? 取消選擇 “ 啟用父路徑 ” 復(fù)選框。 ? 注冊表修改HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters ? Name: SMBDeviceEnabled ? Type: REG_DWORD ? Value: 0 禁止 445