第4章操作系统的安全(编辑修改稿)

第4章操作系统的安全(编辑修改稿)内容摘要：

⑥ 登录进程建立用户环境，包括启动Desktop Explorer和显示背景等。 （ 2）网络登录过程（如图 ） 图 网络登录 Windows NT/2020服务器的过程 ① 用户将用户名和口令输入到网络客户机软件的登录窗口。 ② 该客户机软件打开 NetBIOS，连接到服务器的 NetLogon服务上，该客户机软件对口令加密，发送登录证书到服务器的WinLogon进程。 ③ 服务器的 WinLogon进程发送账号名和加密口令到本地安全认证。 ④ 如果用户具有有效的用户名和口令，则本地安全认证产生一个访问令牌，包括用户账号 SID和用户工作组 SID。 访问令牌也得到用户的特权（ LUID），然后该访问令牌传送回WinLogon进程。 ⑤ WinLogon进程将访问令牌传送到Windows NT/2020的 Server服务，它将访问令牌与被客户机打开的 NetBIOS连接联系起来。 在具有访问令牌所建证书的服务器上，可完成任何在 NetBIOS连接时所发送的其他操作（如读文件、打印请求等）。 2．安全标识符（ SID） 3．访问令牌 （ 1） 访问令牌保存全部安全信息，可以加速访问验证过程。 当某个用户进程要访问某个对象时，安全子系统检查进程的访问令牌，判断该用户的访问特权。 （ 2） 每个进程均有一个与之相关联的访问令牌，因此，每个进程都可以在不影响其他代表该用户运行的进程的条件下，在某种可允许的范围内修改进程的安全特征。 Windows NT/2020的访问控制 1． Windows NT/2020访问控制 Windows NT/2020的安全性达到了橘皮书 C2级，实现了用户级自主访问控制，它的访问机制如图。 图 Windows NT的客体访问示意图 图 安全性描述符的构成 对访问控制列表判断的规则如下。 （ 1） 从访问控制列表的头部开始，检查每个访问控制项，看是否显式地拒绝用户或工作组的访问。 （ 2） 继续检查，看进程所要求的访问类型是否显式地授予用户或工作组。 （ 3） 重复步骤（ 1）、（ 2），直到遇到拒绝访问，或是累计到所有请求的权限均被满足为止。 （ 4） 如果对某个请求的访问权限在访问控制表中既没有授权也没有拒绝，则拒绝访问。 2． NTFS文件系统 （ 1）文件和目录的权限 （ 2）文件内容的加密 Windows NT/2020的安全管理 1．用户和用户组 2．域和委托 3．活动目录（ Active Directory） 下面介绍活动目录的结构和活动目录的安全服务。 （ 1）活动目录的结构 提供支持分布式网络环境的多主复制机制。 ① 层次式组织 ② 面向对象存储 ③ 多主复制 （ 2）活动目录的安全性服务 活动目录使用以下方法增强安全性。 ① 通过。