操作系統(tǒng)安全-第3章-windows系統(tǒng)安全要素

第三章Windows系統(tǒng)安全要素Windows系統(tǒng)安全要素目的要求1.掌握Windows系統(tǒng)各種安全要素的概念，內涵和原理。2.掌握各種安全要素的管理操作及使用方法。3.1Windows系統(tǒng)安全模型影響Windows系統(tǒng)安全的要素有很多：安全模型，文件系統(tǒng)，域和工作組，注冊表，進程和線程等等，其中Windows系統(tǒng)安全模型是核心。Windows系統(tǒng)安全模型Windows系統(tǒng)的安全性根植于Windows系統(tǒng)的核心（Kernel）層，它為各層次提供一致的安全模型。Windows系統(tǒng)安全模型是Windows系統(tǒng)中密不可分的子系統(tǒng)，控制著Windows系統(tǒng)中對象的訪問（如文件、內存、打印機等）。在Windows系統(tǒng)中，對象實質上是指一系列信息集合體，封裝了數(shù)據(jù)及處理過程，使之成為一個可被廣泛引用的整體。當對象用于網(wǎng)絡環(huán)境時，稱之為資源；當對象在網(wǎng)絡中共享時，稱之為共享資源。Windows安全模型基于安全對象。操作系統(tǒng)的每個組件都必須確保其負責的對象的安全性。Windows安全模型主要基于每個對象的權限，以及少量的系統(tǒng)級特權。安全對象包括（但不限于）進程、線程、事件和其它同步對象，以及文件、目錄和設備。對于每種類型的對象，一般的讀、寫和執(zhí)行權限都映射到詳細的對象特定權限中。例如，對于文件和目錄，可能的權限包括讀或寫文件或目錄的權限、讀或寫擴展的文件屬性的權限、遍歷目錄的權限，以及寫對象的安全描述符的權限。3.1.1Windows系統(tǒng)安全模型組件安全標識符（SID，SecurityIdentifiers）:安全標識符標識一個用戶、組或登錄會話。安全標識符就是一串特殊的字符串，代表著某一安全主體，在OS內部使用。當授予用戶、組、服務或者是其他安全主體訪問對象權限時，操作系統(tǒng)會把安全標識符和權限寫入對象的訪問控制列表每個用戶都有一個唯一的SID，在登錄時由操作系統(tǒng)檢索。當你重新安裝系統(tǒng)后，也會得到一個唯一的SID。SID由計算機名、當前時間、當前用戶態(tài)線程的CPU耗費時間的總和三個參數(shù)決定，以保證它的唯一性。訪問令牌（AccessToken）用戶通過驗證后，登錄進程會給用戶一個訪問令牌，該令牌相當于用戶訪問系統(tǒng)資源的票證，當用戶試圖訪問系統(tǒng)資源時，將訪問令牌提供給Windows系統(tǒng)，然后系統(tǒng)檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象，系統(tǒng)將會分配給用戶適當?shù)脑L問權限。訪問令牌是用戶在通過驗證的時候由登錄進程所提供的，所以改變用戶的權限需要注銷后重新登陸，重新獲取訪問令牌。訪問令牌（AccessToken）每個進程都有一個訪問令牌，訪問令牌描述進程的完整的安全上下文。它包含用戶的SID、用戶所屬組的SID、登錄會話的SID，以及授予用戶的系統(tǒng)級特權列表。默認情況下，當進程的線程與安全對象交互時，系統(tǒng)使用進程的主訪問令牌。但是，一個線程可以模擬一個客戶端帳戶。當一個線程模擬客戶端帳戶時，它除了擁有自己的主令牌之外還有一個模擬令牌。模擬令牌描述線程正在模擬的用戶帳戶的安全上下文。模擬在遠程過程調用（RemoteProcedureCall，RPC）

處理中尤其常見。訪問令牌（AccessToken）描述線程或進程的受限制的安全上下文的訪問令牌被稱為受限令牌。受限令牌中的SID只能設置為拒絕訪問安全對象，而不能設置為允許訪問安全對象。此外，令牌可以描述一組有限的系統(tǒng)級特權。用戶的SID和標識保持不變，但是在進程使用受限令牌時，用戶的訪問權限是有限的。CreateRestrictedToken函數(shù)創(chuàng)建一個受限令牌。訪問令牌（AccessToken）受限令牌對于運行不可信代碼（例如電子郵件附件）很有用。當您右鍵單擊可執(zhí)行文件，選擇“運行方式”并選擇“保護我的計算機和數(shù)據(jù)不受未授權程序的活動影響”時，MicrosoftWindowsXP就會使用受限令牌。安全描述符（SecurityDescriptors）每個命名的Windows對象都有一個安全描述符，一些未命名的對象也有。它保存對象的安全配置。安全描述符描述對象的所有者和組SID，以及對象的ACL。對象的安全描述符通常由創(chuàng)建該對象的函數(shù)創(chuàng)建。譬如當驅動程序調用IoCreateDevice或IoCreateDeviceSecure例程來創(chuàng)建設備對象時，系統(tǒng)將一個安全描述符應用于創(chuàng)建的設備對象并為對象設置ACL。訪問控制列表（AccessControlLists）

訪問控制列表（ACL）

允許細粒度地控制對對象的訪問。ACL是每個對象的安全描述符的一部分。每個ACL包含零個或多個訪問控制條目（ACE）。而每個ACE僅包含一個SID，用來標識用戶、組或計算機以及該SID拒絕或允許的權限列表。訪問控制列表有兩種：任意訪問控制列表（DiscretionaryACL）、系統(tǒng)訪問控制列表（SystemACL）。任意訪問控制列表包含了用戶和組的列表，以及相應的權限：允許或拒絕。每一個用戶或組在任意訪問控制列表中都有特殊的權限。而系統(tǒng)訪問控制列表是為審核服務的，包含了對象被訪問的時間。訪問控制項（AccessControlEntries）訪問控制項（ACE）包含了用戶或組的SID以及對象的權限。訪問控制項有兩種：允許訪問和拒絕訪問。拒絕訪問的級別高于允許訪問。3.1.2Windows系統(tǒng)安全模型構成Windows的安全系統(tǒng)提供了對事件的審核及詳細的跟蹤手段來監(jiān)控網(wǎng)絡上資源的訪問和應用。Windows系統(tǒng)安全模型由登錄流程（LogonProcess，LP）、本地安全認證（LocalSecurityAuthority，LSA）、安全賬號管理器（SecurityAccountManager，SAM）和安全引用監(jiān)視器（SecurityReferenceMonitor，SRM）組合而成。1．登錄流程登錄流程接受本地用戶的本地登錄請求或者遠程用戶的遠程登錄請求，使用戶和系統(tǒng)之間建立聯(lián)系。如圖所示。登錄開始，Windows系統(tǒng)的Winlogon進程會顯示一個安全性交互對話框，要求用戶輸入用戶名、口令和用戶希望登錄的服務器／域。如果用戶信息有效，系統(tǒng)將開始確認用戶身份。Windows系統(tǒng)把用戶信息通過安全系統(tǒng)傳輸?shù)桨踩~號管理器，并對用戶身份進行確認。

安全賬號管理器把用戶登錄信息與服務器里的安全賬號管理數(shù)據(jù)進行比較，如果兩者匹配，服務器將通知工作站允許用戶進行訪問。Winlogon進程將調用Win32子系統(tǒng)為用戶產生一個新的進程，同時服務器還將記錄用戶的一些信息，如用戶享用的特權、主目錄所在位置及工作站參數(shù)等。然后本地安全認證開始構造訪問令牌（AccessToken），與用戶進行的所有操作相連接。用戶進行的操作與訪問令牌一起構成一個主體（Subject）。當用戶要求訪問一個對象時，主體的訪問令牌的內容將與對象的存取控制列表通過一個有效性訪問程序進行比較，這個程序將決定允許或拒絕用戶發(fā)出的訪問要求。2．本地安全認證（LSA）本地安全認證是Windows系統(tǒng)的核心，它通過確認安全賬號管理器中的數(shù)據(jù)信息來處理用戶從本地或遠程的登錄。本地安全認證（LSA）負責本地和網(wǎng)絡登錄的用戶認證，和域控制器通信，或者和本地安全賬號管理器（SAM）比較。LSA首先確定是否要在本地進行認證；或提交的憑證是否應和域控制器比較進行確認。如果認證屬于本地系統(tǒng)，LSA把憑證和SAM數(shù)據(jù)庫相比較；否則LSA把認證請求傳送到域控制器以核實證書。認證成功后，本地安全機構產生和提交與用戶憑證關聯(lián)的安全標識符清單，并把這些標識符合并到用戶的安全令牌中。令牌發(fā)出后，大多數(shù)訪問控制決策直接發(fā)生在用戶進程和安全引用監(jiān)視器之間。除了認證工作外，LSA還負責把安全引用監(jiān)視器（SRM）產生的安全事件記入事件日志中。本地安全認證是一個被保護的子系統(tǒng)，它負責以下任務調用所有的認證包，檢查在注冊表下的值，并調用該DLL進行認證。重新找回本地組的SIDs和用戶的權限。創(chuàng)建用戶的訪問令牌。管理本地安裝的服務所使用的服務賬號。儲存和映射用戶權限。管理審核的策略和設置。管理信任關系。

3．安全賬號管理器（SAM）安全賬號管理器維護賬號的安全性管理數(shù)據(jù)庫，即SAM數(shù)據(jù)庫，又稱目錄數(shù)據(jù)庫（DirectoryDatabase）。該數(shù)據(jù)庫包含所有用戶和組的賬號信息，其中包含安全標識（Securityldentifier，SID）。安全標識在賬號新建時被創(chuàng)建，直到賬號被刪除。一旦用戶賬號被刪除，就不能被重建，因為原先的賬號不再存在了。用相同的名字新建的賬號將被賦予不同的安全標識，不會保留原有的權限。安全賬號管理器提供本地安全認證使用的用戶有效身份服務，使用安全賬號管理器數(shù)據(jù)庫來審計用戶登錄時輸人的信息，并給用戶返回一個安全標識及用戶所屬組的安全標識。當用戶登錄入網(wǎng)時，本地安全認證將創(chuàng)建一個訪問令牌，該訪問令牌包含用戶名、用戶所屬的組及安全標識等信息，用戶所有的程序將擁有訪問令牌的拷貝。當用戶要求訪問一個對象時，系統(tǒng)將把訪問令牌中的安全標識與對象的訪問控制列表（AccessControlList，ACL）進行對比，以確認用戶是否具有對對象的訪問權限。根據(jù)網(wǎng)絡的配置，在一個或多個Windows系統(tǒng)中可能存在不同的安全賬號管理數(shù)據(jù)庫。在登錄時存取的安全賬號管理數(shù)據(jù)庫取決于用戶是以工作站上的用戶賬號登錄，還是以網(wǎng)絡賬號登錄。當一個用戶在每一臺工作站上都有獨立賬號時，登錄時存取的安全賬號管理數(shù)據(jù)庫就位于用戶登錄的工作站上。在一個有集中存放的用戶賬號的網(wǎng)絡設置（如單域模式）中，在域控制器上有一個集中的安全賬號管理數(shù)據(jù)庫。如果以工作站上的賬號登錄，存取在工作站上的安全賬號管理數(shù)據(jù)庫；如果以域上的賬號登錄，則存取在域控制器上的安全賬號管理數(shù)據(jù)庫。在另一種有集中存放用戶賬號的網(wǎng)絡設置（如主控域的網(wǎng)絡設置）中，在主域控制器（MasterDomainController）上有一個被同時復制到該域的所有備份域控制器（BackupDomainController）上的安全賬號管理數(shù)據(jù)庫。如果以工作站上的用戶賬號登錄，訪問工作站上的安全賬號管理數(shù)據(jù)庫；如果以域上的用戶賬號登錄，那么訪問在主域控制器或備份域控制器上的安全賬號管理數(shù)據(jù)庫。備份域控制器分擔主域控制器上用戶請求的有效性確認工作。4．安全引用監(jiān)視器（SRM）安全引用監(jiān)視器是Windows系統(tǒng)的一個組成部分，它以內核模式（KernelMode）運行，負責檢查Windows系統(tǒng)的存取合法性，以保護資源，使其免受非法存取和修改。安全引用監(jiān)視器為對象的有效訪問提供服務并為用戶提供訪問權限，同時還能夠阻止非授權用戶訪問對象。為了確保所有類型對象都得到保護，安全引用監(jiān)視器在系統(tǒng)中只維護一個有效性的復制訪問代碼。用戶在要求訪問對象時，必須通過安全引用監(jiān)視器的有效驗證，而不能直接訪問對象。安全引用監(jiān)視器還負責實施審計生成策略，它在驗證對象的存取和合法性和檢查主體權限的同時，生成必要的審計信息。安全引用監(jiān)視器對用戶是透明的，它是系統(tǒng)維護合法性檢驗的唯一組件，并能保護所有的對象。安全引用監(jiān)視器還產生由本地安全權威記載的日志信息。3.1.3WindowsVista的安全模型WindowsVista為用戶帳戶引進了一種新的安全模型。

此模型也在Windows7和WindowsServer2008中使用，提供了一種更安全可信的環(huán)境。與WindowsXP相似，新的安全模型包括標準用戶帳戶和管理員帳戶。新的安全模型不會在所有時間都授予管理特權。甚至當管理員執(zhí)行不需要更高特權的非管理任務時，也是在標準特權下運行。這樣做更加安全，因為用戶不再使用可能被惡意利用的不必要的特權來運行。此功能稱為“用戶訪問控制”，或簡稱為UAC。默認情況下，操作系統(tǒng)以“管理員批準模式”運行。在管理員批準模式下，無論您是作為標準用戶還是管理員運行，每當您嘗試執(zhí)行需要管理員特權的操作時，都會出現(xiàn)UAC對話框。如果您是作為標準用戶運行，則UAC對話框會提示您輸入繼續(xù)運行所需的管理員帳戶名和密碼。如果是作為管理員運行，UAC對話框會要求您確認您想要使用當前管理員憑據(jù)來執(zhí)行過程。該對話框還提供了一個輸入新管理員帳戶名和密碼來繼續(xù)執(zhí)行操作的選項。3.2.1對象對象（Objects）是Windows系統(tǒng)安全環(huán)境中基本的操作單元。Windows系統(tǒng)的各種資源以對象的形式來組織。對象包括文件、目錄、存儲器、驅動器、系統(tǒng)程序、進程、線程及Windows桌面等。但實際上這些所謂的“對象”在系統(tǒng)的對象管理器（ObjectManager）看來只是完整對象的一個部分——對象實體（ObjectBody）。對象為Windows系統(tǒng)提供了較高的安全級。從外部來看，它們把數(shù)據(jù)隱藏起來并只按對象的功能所定義的方式提供信息，建立起一個保護層，可以有效地防止外部程序對網(wǎng)絡數(shù)據(jù)的直接訪問。Windows系統(tǒng)正是通過阻止程序直接訪問對象來獲得較高的安全級的，所有對對象的操作都必須事先得到授權并由Windows系統(tǒng)來執(zhí)行在Windows系統(tǒng)中，可以用安全描述器（SecurityDescriptor）或訪問令牌來設定對象的屬性，從而使對象得到保護。對象有兩種類型：復合對象和原子對象。復合對象：包含其它對象作為其組成成分的對象，復合對象更增強了抽象數(shù)據(jù)類型的能力；原子對象：則不能容納別的對象。例如，目錄是復合對象，而文件則是原子對象。在父對象中生成的子對象可以擁有父對象所擁有的許可權限。3.2.2共享資源共享資源：是指提供出來以便通過網(wǎng)絡進行應用的任何對象。最常用的共享資源包括：文件、目錄和打印機等，Windows系統(tǒng)也會建立一些特殊的共享對象。對象的所有者：建立共享對象的用戶或進程。共享共享資源的所有者能夠進一步決定共享對象的權限。當用戶需要共享某一個對象時，用戶必須為共享資源選擇一個唯一的名字，然后賦予其他的用戶和組以不同的訪問權限。在該系列過程設定以后，通常Windows系統(tǒng)會為共享資源創(chuàng)建安全描述符（SecurityDescriptor），安全描述符包含一組安全屬性，以確保共享資源阻止非授權訪問。安全描述符組成部分：所有者安全標識：用以指明對象的屬主組安全標識自由訪問控制列表：由共享對象的所有者所控制，它反映了用戶或組對象擁有訪問權限系統(tǒng)訪問控制列表：由系統(tǒng)安全管理員所控制，定義了操作系統(tǒng)將產生何種類型的審計信息共享資源的訪問權限共有以下幾種。完全控制（FullControl）：用戶可以讀取、修改、添加新文件，修改目錄及修改該文件的許可權。用戶還可擁有該目錄及其文件的所有權。拒絕訪問（NoAccess）：用戶被拒絕訪問。讀?。≧ead）：用戶可以讀取文件，但不能修改現(xiàn)有文件的內容。更改（Change）：用戶可以讀取文件，將文件添加給目錄，并可以修改現(xiàn)有文件的內容。3.3.1FAT文件系統(tǒng)1．FAT16文件系統(tǒng)FAT16文件系統(tǒng)是最早用于小型磁盤和簡單文件結構的簡單文件系統(tǒng)。FAT16文件系統(tǒng)得名于它的組織方法：采用FAT16文件系統(tǒng)格式化的卷以簇的形式進行分配。默認簇的大小由卷的大小決定。對于FAT16文件系統(tǒng)，簇數(shù)目必須可以用16位的二進制數(shù)字表示（最多有65536個），并且是2的乘方。FAT16文件系統(tǒng)最好用在較小的卷上，因為在不考慮簇大小的情況下，使用FAT16文件系統(tǒng)，卷不能大于2GB。較之FATl6，F(xiàn)AT32最大的優(yōu)勢是它支持分區(qū)的能力遠遠大于FATl6。FATl6最大只能支持4GB，而FAT32卻可達到2047GB（其中4GB用于分區(qū)容量的擴充），但在Windows2000中的FAT32最大只能使用32GB。FAT32比FAT16支持更小的簇和更大的卷，這就使得FAT32卷的空間分配更有效率。3.3.2NTFS

NTFS（NewTechnologyFileSystem）是一個日志系統(tǒng)，這意味著除了向磁盤中寫入信息，該文件系統(tǒng)還會為所發(fā)生的所有改變保留一份日志。這一功能讓NTFS文件系統(tǒng)在發(fā)生錯誤的時候（比如系統(tǒng)崩潰或電源供應中斷）更容易恢復，也讓這一系統(tǒng)更加強壯。在這些情況下，NTFS能夠很快恢復正常，而且不會丟失任何數(shù)據(jù)。

NTFS特點：NTFS可以支持的分區(qū)大小可以達到2TB。NTFS是一個可恢復的文件系統(tǒng)。發(fā)生系統(tǒng)失敗事件時，NTFS使用日志文件和檢查點信息自動恢復文件系統(tǒng)的一致性。NTFS支持對分區(qū)、文件夾和文件的壓縮。NTFS采用了更小的簇,可以更有效率地管理磁盤空間。在NTFS分區(qū)上，可以為共享資源、文件夾以及文件設置訪問許可權限。NTFS主文件列表（MasterFileTable，MFT）中包含了一個NTFS分區(qū)中所有文件的記錄。每個MFT入口都有一個特殊的metadata標簽，叫做SD（securitydescriptor，安全描述符），這個標簽中包含了誰可以訪問這個文件或文件夾的所有控制信息。每個SD標簽都包含了一個用戶列表（ACL訪問控制列表），只有包含在這個列表里的用戶才被允許訪問該對象。NTFS是一個元數(shù)據(jù)驅動的系統(tǒng)。事實上，當你第一次創(chuàng)建NTFS分區(qū)的時候，很多元數(shù)據(jù)文件就被創(chuàng)建了，每個元數(shù)據(jù)文件都幫助跟蹤文件系統(tǒng)中某個特定的對象。每個NTFS分區(qū)都會有一個MFT，這個關聯(lián)文件被命名為$MFT。事實上，NTFS創(chuàng)建了兩個MFT文件。第一個是$MFT，被存放在NTFS分區(qū)的開頭。為了增強可靠性，NTFS分區(qū)還有一個名為$MFTMirr的MTF文件。在WindowsNT4.0及其后的版本中，這個文件都被存放在NTFS分區(qū)的末尾。在WindowsNT3.51及以前的版本中，這個MFT鏡像文件被存放在分區(qū)的中間。NTFS系統(tǒng)優(yōu)點：更安全的文件保障，提供文件加密，能夠大大提高信息的安全性。更好的磁盤壓縮功能。支持最大達2TB的大硬盤，并且隨著磁盤容量的增大，NTFS的性能不像FAT那樣隨之降低?？梢再x予單個文件和文件夾權限。對同一個文件或者文件夾為不同用戶可以指定不同的權限。在NTFS文件系統(tǒng)中，可以為單個用戶設置權限。NTFS文件系統(tǒng)中設計的恢復能力無需用戶在NTFS卷中運行磁盤修復程序。在系統(tǒng)崩潰事件中，NTFS文件系統(tǒng)使用日志文件和復查點信息自動恢復文件系統(tǒng)的一致性。NTFS文件夾的B-Tree結構使得用戶在訪問較大文件夾中的文件時，速度甚至比訪問卷中較小的文件夾中的文件還快?？梢栽贜TFS卷中壓縮單個文件和文件夾。NTFS系統(tǒng)的壓縮機制可以讓用戶直接讀寫壓縮文件，而不需要使用解壓軟件將這些文件展開。支持活動目錄和域。此特性可以幫助用戶方便靈活地查看和控制網(wǎng)絡資源。支持稀疏文件。稀疏文件是應用程序生成的一種特殊文件，文件尺寸非常大，但實際上只需要很少的磁盤空間，也就是說，NTFS只需要為這種文件實際寫入的數(shù)據(jù)分配磁盤存儲空間。支持磁盤配額。磁盤配額可以管理和控制每個用戶所能使用的最大磁盤空間。3.3.3其他常用文件系統(tǒng)1．CIFS通用Internet文件系統(tǒng)（CommonInternetFileSystem，CIFS）是計算機用戶在企業(yè)內部網(wǎng)和因特網(wǎng)上共享文件的標準方法。CIFS作為一種協(xié)議為Internet網(wǎng)絡間文件、對象的共享操作提供了無縫聯(lián)結。CIFS是一種開放、跨平臺的技術，它基于MicrosoftWindows和其他PC操作系統(tǒng)內嵌的本地文件共享協(xié)議服務器消息塊（ServerMessageBlock，SMB），并進行了增強，而且獲得了廣泛的平臺支持，包括UNIX，VMS和Macintosh。

CIFS關鍵特點：文件訪問的完整性：支持一套通用的文件操作，打開、關閉、讀、寫以及搜索。為慢速鏈接優(yōu)化：能夠在慢速比好線路上良好運行。安全性：CIFS服務器既支持匿名傳輸，也支持對于特定文件的安全的、需要驗證的訪問。也易于管理文件和目錄的安全策略。高性能和可擴展性：CIFS服務器和操作系統(tǒng)高度集成，為最大化系統(tǒng)性能而優(yōu)化。使用統(tǒng)一碼（Unicode）文件名：文件名可以使用任何字符集。全局文件名：用戶不必掛載遠程文件系統(tǒng)也能直接查閱到全局有效名稱。2．EFSEFS（EncryptingFileSystem，加密文件系統(tǒng)）是NTFS5的一個新屬性，可為文件或目錄進行加密。它提供了在磁盤上存儲NTFS文件的核心文件加密技術。EFS加密技術是基于公開密鑰并以整體的系統(tǒng)服務形式運行，加密和解密都是在文件操作過程中進行的。任何不知曉密文的用戶，試圖去訪問加密文件的行為都是徒勞的，系統(tǒng)將會產生“訪問拒絕”的信息框來拒絕該用戶的訪問。這樣就能使它易于管理而難于被攻擊，并且對文件所有者是透明的。EFS是WindowsXP/VISTA/7等所特有的一個實用功能，對于NTFS卷上的文件和數(shù)據(jù)，都可以直接被操作系統(tǒng)加密保存。如果硬盤上的文件已經使用EFS進行了加密，即使一個攻擊者能訪問到硬盤上，由于沒有解密的密鑰，文件也是不可用的，在很大程度上提高了數(shù)據(jù)的安全性。EFS可以被認為是除NTFS外的第二層防護，為訪問一個被加密的文件，用戶必須有訪問到文件的NTFS權限。有相關NTFS權限的用戶能看到文件夾中的文件，但不能打開文件，除非有相應的解密密鑰。一個用戶有相應的密鑰但沒有相應的NTFS權限也不能訪問到文件。所以一個用戶要能打開加密的文件，同時需要NTFS權限和解密密鑰。3.DFS分布式文件系統(tǒng)（DistributedFileSystem，DFS）是Windows2000以后版本中的一個功能強大的工具。利用分布式文件系統(tǒng)，系統(tǒng)管理員可以使用戶更加方便地訪問和管理那些在物理上跨網(wǎng)絡分布的文件，而用戶則無需知道文件的確切物理位置。它允許從不同的物理系統(tǒng)創(chuàng)建一個單一邏輯目錄樹，使已有的數(shù)據(jù)更具合理化結構，從而便于用戶訪問網(wǎng)絡文件資源、加強容錯能力和網(wǎng)絡負載均衡。用戶查找資源不用去登錄多個服務器，管理員也只要在單一地點就可以管理多個共享文件夾，使用非常方便。通過DFS可以有效地組織共享文件夾．并簡化對共享文件夾的訪問。只要用戶擁有對共享文件夾的訪問權限，他就可以進入DFS樹的子目錄，就像他正在原來的某個子目錄下，而且還可通過該網(wǎng)絡而進入其他某個服務器的共享區(qū)中。這主要是因為DFS為可能在網(wǎng)絡上任何位置的文件系統(tǒng)資源創(chuàng)建了一個有層次、有邏輯、可查詢的目錄樹，使用戶能從一個單一位置管理多個共享文件夾。作為一個訪問點，用戶能簡便地訪問網(wǎng)絡資源而不用考慮資源的實際位置。因此在Windows2000中，通過DFS，網(wǎng)絡和文件系統(tǒng)結構對用戶變得非常清晰，用戶能夠集中和優(yōu)化對以一個單一樹結構為基礎的資源的訪問。3.4域和工作組在Windows系統(tǒng)中，有兩種類型的網(wǎng)絡配置：域和工作組，它們分別適宜于不同的網(wǎng)絡和用戶規(guī)模。3.4.1域域在活動目錄AD（ActiveDirectory）中定義安全邊界。它所代表的是一個廣義的局域網(wǎng)系統(tǒng)，因為它可以將一個計算機組擴展到一定區(qū)域。域的定義是：由許多網(wǎng)絡服務器計算機與工作站計算機所連接而成的群組，這個群組內的所有成員均使用相同的軟硬件系統(tǒng)設置、賬戶系統(tǒng)和其他共享資源。用戶不需要一臺一臺地登錄到域的某服務器計算機上，只要登錄該域，就可以共享該域的各項資源。域是共享公共安全策略和用戶賬戶數(shù)據(jù)庫的計算機集合。域為該域中所有的計算機提供了一種公共的安全性邊界。如果用戶在登錄Windows域時輸入一個域名，那么用戶的帳戶必須在該域中。有關用戶帳戶的所有安全性信息都存儲在域中稱做域控制器的計算機上，而且用戶可以登錄到域中任何一臺計算機上。域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來資源。域是網(wǎng)絡服務器和其他計算機的邏輯分組。在域中用戶每次登錄的是整個網(wǎng)域，而不是登錄到網(wǎng)域中的某個服務器。安全數(shù)據(jù)庫中存儲域中所有的安全機制信息和用戶帳戶信息，并且也存儲在服務器中，并復制到備份的服務器，通過有規(guī)律的同步處理來保證數(shù)據(jù)庫的安全。用戶賬戶和安全策略可以看作一個公共的，集中式的數(shù)據(jù)庫。在Windows2003Server以前的網(wǎng)絡中，域數(shù)據(jù)庫是SAM數(shù)據(jù)庫。從Windows2003Server開始，域數(shù)據(jù)庫變成了活動目錄ActiveDirectory。

3.4.2域控制器一臺服務器之所以稱為域控制器，是因為在域控制器上存放著包含域的所有信息的域數(shù)據(jù)庫以數(shù)據(jù)庫為基礎對域進行管理的組件稱為活動目錄，（ActiveDirectory，AD），它是域的安全管理數(shù)據(jù)庫。活動目錄是高度伸縮的、分布式的、采用Internet標準技術建立并在操作系統(tǒng)級完全集成的企業(yè)級目錄服務。它為運行在Windows上的應用程序提供全面的目錄服務，同時它還被設計成一個統(tǒng)一的合并點，用于隔離、遷移和集中管理企業(yè)擁有的目錄并減少目錄的數(shù)目。這使得活動目錄能在任何系統(tǒng)中正常工作，支持從只有幾百個對象、一臺服務器的小系統(tǒng)到擁有數(shù)百萬個對象、上千臺服務器的龐大系統(tǒng)，使其成為企業(yè)信息共享和網(wǎng)絡資源通用管理的理想平臺。AD在作為域控制器的服務器上運行。通過AD的操作界面，管理員可以對網(wǎng)絡實施有效的組織與管理。在域模型中有3種不同的服務器類型：主域控制器后備域控制器服務器在Windows2000域中，運行Windows2000Server并安裝了AD（活動目錄）的計算機就是一個域控制器。域控制器存儲目錄數(shù)據(jù)，管理用戶和域之間的交互（包括用戶登錄、驗證和目錄搜索）。域控制器的多少可以根據(jù)網(wǎng)絡的規(guī)模決定，但是使用多個域控制器可以提高域的可用性和容錯性。1．主域控制器（PDC，PrimaryDomainController）每個域都需要有一個主域控制器，并且只能有一個主域控制器，它是整個域的控制中心，它為域保存主賬戶數(shù)據(jù)庫和安全性政策，賬戶庫中的所有改動都必須在主域控制器上進行，同時它負責一個域中用戶的合法性檢驗。2．后備域控制器（BDC，BackupDomainController）后備域控制器是用于保持PDC目錄數(shù)據(jù)庫副本的服務器，該BDC周期性地、自動地與PDC保持同步。BDC也可以協(xié)助PDC對用戶登錄操作進行身份驗證，分擔PDC的工作，減輕網(wǎng)絡流量。同時，當PDC關機或出了故障時，BDC可以升級為PDC，但如果一個BDC升級為PDC，則在最后一次從原來的PDC拷貝目錄數(shù)據(jù)庫之后，用戶對目錄數(shù)據(jù)庫所進行的更改都將會丟失。一個域可以有多個BDC。主域控制器、后備域控制器都可作為文件、打印和應用程序的服務器。3．獨立的服務器（StandAloneServer）在域中不作為主域控制器和后備域控制器的域服務器稱為獨立的服務器，它可以用做專用文件、打印和應用程序的服務器。服務器保存自身的數(shù)據(jù)庫，域中的賬戶可被授權訪問服務器上的資源。在Windows2000Server以上版本中，已經沒有主域控制器和備份域控制器的區(qū)別，在活動目錄中只有域控制器，所有的域控制器都是平等的，管理員對任何一個域控制器的更改都會復制給別的域控制器。這其中的主要原因是活動目錄（ActiveDictionary）是基于多主復制（MultimasterReplication），所有的域控制器都是平等的，ActiveDictionary的復制中已去掉了主域控制器和備份域控制器之間的差別，這就是說，所有對象都可以在域中的任意一臺域控制器上創(chuàng)建和修改，并且在創(chuàng)建或修改之后又可復制到其他的域控制器上。3.4.3域和委托Windows系統(tǒng)的域之間可以建立委托（Trust）關系，當域的委托關系建立起來之后，一個域就可以識別其他的域中的全局用戶（GlobalUserAccounts）和全局組（GlobalGroups），這樣，用戶只需要一個登錄標識便可以訪問其他域中的資源。例如域A委托域B，那么所有域B中的賬號可以用來從本地或遠程登錄域A，除非有其他設置來阻止這種訪問。在所有的委托關系中，一個域為受托域，另外一個域就是委托域。受托域：又稱賬戶域，賬戶被放在受托域中。受托域的用戶和組允許在委托域中擁有用戶權力、資源權限和本地組員身份。委托域：委托資源通?？偡旁谖杏蛑校杏蛟试S其他域（受托域）的用戶訪問其資源。委托域（TrustingDomain）又稱信任域，含有可用的資源，也稱為資源域。委托與受托的概念差別可以從資源的角度考慮。通過建立恰當?shù)奈嘘P系和授予訪問的權限，資源所在域可委托另外一個域的用戶，并允許他們使用這些資源。域之間的委托關系可以有單向和雙向兩種。1．單向委托關系一個域委托其他域中的用戶使用其資源。更準確地說，一個域委托其他域中的域控制器來確認用戶賬戶，以使用戶能使用其資源。這樣，可用的資源被保存在委托域中，而利用這些資源的賬戶卻在受托域中。如果委托域中的用戶賬戶需要使用受托域中的資源，則需要雙向委托關系。2．雙向委托關系相當于兩個單向委托關系，每個域都委托對方域中的用戶賬戶，用戶可從任一個域的計算機登錄到他們的域賬戶中，每個域都有自己的賬戶和資源。全局用戶賬戶和全局組可用來從任何一個域中得到授權來訪問其中任何一個域中的資源。3.4.4工作組工作組（Workgroup）的概念是從Windows3.0開始引入的，并在Windows3.1lforWorkgroup中得到增強。工作組網(wǎng)絡共享雖然不如Windows系統(tǒng)域模型安全，但它對于小規(guī)模的網(wǎng)絡環(huán)境還是頗具吸引力的。它是資源和管理都分布在整個網(wǎng)絡上的一種網(wǎng)絡模式。這種網(wǎng)絡被稱為“對等網(wǎng)”，即在工作組模型中，每臺計算機的地位都是平等的，每臺計算機既可用做服務器，也可用做工作站，每臺計算機都有自己的賬戶和對象。工作組是單獨的系統(tǒng)或不屬于一個域中的多系統(tǒng)的有組織的單元。在工作組中，系統(tǒng)各自獨立管理自己的用戶賬號和組賬號的信息及它們的安全賬號管理數(shù)據(jù)庫，它們不與別的系統(tǒng)共享這些信息。如果一個系統(tǒng)不是一個域的組成部分，那么它就自動地成為了工作組的一部分。加入工作組的所有用戶稱為全局用戶（GlobalUser）。工作組模型適宜于管理要求不太復雜的環(huán)境。3.5用戶賬號1．賬號的概念由于Windows系統(tǒng)的安全模型是基于用戶級的（User-Level）而不是共享式的，因此每個要訪問Windows系統(tǒng)控制的資源的用戶必須由系統(tǒng)管理員建立一個賬號。Windows為每一個用戶分配了一個唯一的安全識別碼（SecurityID，簡稱SID），SID由用戶的帳戶、密碼、所屬群組以及網(wǎng)絡資源的訪問權限等數(shù)據(jù)構成。在用戶登錄系統(tǒng)時，系統(tǒng)會檢查用戶的帳戶和密碼．在確定無誤后，系統(tǒng)會產生一個包含帳戶及密碼等信息的安全存取令牌（SecurityAccessToken，簡稱SAT）。無論用戶進行任何操作都會得到安全訪問標記的一個拷貝，在啟動應用程序或讀取文件之前，系統(tǒng)會用SAT與程序或文件的存取清單上的訪問控制清單（AccessControlList，簡稱ACL）進行比較，如果用戶的SID在ACL的清單中，用戶就可以執(zhí)行這個操作。SID是不會被重復使用的，當把帳戶刪除之后，其SID仍然會被保留。因此在刪除一個帳戶后，即使再添加一個與其相同名稱的帳戶，它也不會擁有原來該帳戶的權限設置，因為它們的SID不同，必須對新產生帳戶的權限等有關信息進行重新定義。根據(jù)網(wǎng)絡所采用的域模型，一個用戶可以擁有一個或幾個賬號，以不同的訪問等級和訪問權限共享工作組或域中的資源。如果用戶的賬號屬于工作組，那么用戶的賬號信息存儲在用戶自己的機器上；如果屬于域，則存儲在域控制器或服務器上，賬號的運行方式要比儲存方式重要。用戶的賬號決定著對資源的訪問權限。系統(tǒng)管理員通過授予特定用戶的資源訪問權限建立起授權機制。只有當用戶擁有適當?shù)氖跈鄷r，他才有可能進行資源訪問。Windows系統(tǒng)也利用用戶賬號產生審核及日志跟蹤信息。2．賬號類型在WindowsServer2003中有三種類型的用戶賬號：內置賬戶內置賬戶是在安裝windowsserver2003時由系統(tǒng)預先設置的，系統(tǒng)默認的兩個內置賬戶是Administrator和Guest。Administrator賬戶可以重新命名，但不可以刪除；該賬戶是系統(tǒng)預設的系統(tǒng)管理員，具有對整個域和計算機進行設置的超級權限。Guest賬戶可以更名和禁用，但不能刪除，該用戶可作為匿名帳戶來臨時訪問計算機。本地用戶賬戶本地用戶賬戶只具有登錄到創(chuàng)建該本地用戶賬戶的計算機上且只訪問這臺計算機資源的權限。創(chuàng)建本地用戶賬戶的同時也會在本地計算機安全數(shù)據(jù)庫中創(chuàng)建本地用戶。當本地用戶賬戶創(chuàng)建后，創(chuàng)建此用戶的計算機就會通過本地安全數(shù)據(jù)庫來驗證本地用戶。因為本地用戶賬戶不能被域識別，所以不能在作為域成員的計算機創(chuàng)建本地用戶。當WindowsServer2003工作在“工作組”模式下或者作為域中的成員服務器時，在計算機操作系統(tǒng)中存在的是本地用戶和本地組。本地用戶賬戶的作用范圍僅限于在創(chuàng)建該賬戶的計算機上，以控制用戶對該計算機上的資源的訪問。所以當需要訪問在“工作組”模式下的計算機時，必須在每一個需要訪問的計算機上都有其本地賬戶。其中本地賬戶都存儲在%SystemRoot%\system32\config\Sam數(shù)據(jù)庫中。域用戶賬戶域用戶賬戶具有使用域內資源的權限。域用戶賬戶的信息被存放在域控制器的活動目錄數(shù)據(jù)庫中，活動目錄服務器利用這些信息來鑒別用戶身份。管理員可以設置域用戶帳戶在限定的計算機上登錄，或在域網(wǎng)絡中任一計算機上登錄。登錄時，活動目錄服務為具有登錄權限的用戶創(chuàng)建具有用戶屬性的安全設置信息的訪問令牌。訪問令牌用于確認用戶是否可以登錄到運行windowsserver2003域控制器的計算機上。域用戶賬戶是用戶訪問域的唯一憑證，因此在域中必須是唯一的。域用戶賬戶保存在AD（活動目錄）數(shù)據(jù)庫中，該數(shù)據(jù)庫位于在DC（域控制器）上的\%systemroot%\NTDS文件夾下。注意：當一臺服務器一旦安裝AD成為域控制器后，其本地組和本地賬戶是被禁用的。3.5.2用戶管理Windows系統(tǒng)的用戶管理可以運行用戶管理器或域用戶管理器。域用戶管理器是Windows系統(tǒng)域服務器中的管理工具；用戶管理器則出現(xiàn)在工作站或獨立服務器的管理工具中。通過這些圖形界面的管理工具，系統(tǒng)管理人員可以方便地進行用戶和組的更改和審核。3.6用戶組自Windows2000開始引入了組的概念，通過組來對網(wǎng)絡中的眾多用戶進行管理。例如：公司的財務部門可以具有訪問存儲在計算機上所有財務信息的權限，因此應該在域用戶管理器中創(chuàng)建一個稱為“財務”的用戶組，并且使財務部門的每個人都成為該組的一名成員。財務組的每個成員都將具有所有財務數(shù)據(jù)的訪問權限。組是指一種目錄對象，也可以包含其他目錄對象。如用戶、計算機、聯(lián)絡地址以及其他組。它是活動目錄（ActiveDirectory）中特別重要的對象。合理地創(chuàng)建組結構，就可以在用戶眾多和權限較復雜的網(wǎng)絡環(huán)境中簡化網(wǎng)絡的維護和管理。1．組的種類組在WindowsServer2003中分為安全組和通信組。（1）

安全組安全組列在定義資源和對象權限的隨機訪問控制表（DACL）中，它將用戶、計算機和其他組對象作為一個可管理的單位。管理員為資源指派權限時，可以只對組作為一個單位來定義權利和權限，而不用對組中的每個用戶進行操作。安全組可用作電子郵件實體，當給這種組發(fā)送電子郵件時也會將該郵件發(fā)給組中的所有成員。（2）

通信組通信組是只用于發(fā)送電子郵件并且沒有啟用安全性的組。不能將通信組列在用于定義資源和對象權限的隨機訪問控制列表（DACL）中。通信組只能和電子郵件程序一起使用，以便將電子郵件發(fā)送到用戶集合。如果需要組來控制對共享資源的訪問，則創(chuàng)建安全組。2．組的作用域組在域樹或域林中的應用范圍稱為組的作用域，它有三種類型：（1）通用組有通用作用域的組稱為通用組。通用組的成員是域樹或域林中任何域，且都可獲得權限的賬戶。（2）全局組有全局作用域的組稱為全局組。全局組的成員可包括只在其中定義該組的域中的其他組和賬戶，而且可在林中的任何域中指派權限。（3）本地組有本地作用域的組稱為本地組，本地組的成員是本地域的賬戶。本地組主要用來指定其所屬域內的存取權限。3.7.1注冊表概述注冊表（Registry）是MicrosoftWindows中的一個重要的數(shù)據(jù)庫，用于存儲系統(tǒng)和應用程序的設置信息。3.7.2注冊表的功能及結構1．注冊表的功能（1）注冊表是系統(tǒng)參數(shù)的數(shù)據(jù)庫。一般來說注冊表控制所有應用程序和驅動，控制的方法可以是基于用戶或基于計算機的，而不依賴于應用程序或驅動，每個注冊表的參數(shù)項控制了一個用戶的功能或者計算機功能。（2）注冊表是連接操作系統(tǒng)、硬件設置和驅動程序的數(shù)據(jù)庫。在Windows系統(tǒng)中，注冊表是作為保存驅動程序所有設置及位置的數(shù)據(jù)庫來使用的。這個數(shù)據(jù)庫的內容包括了很多東西，像驅動程序的位置、存放地址、版本號以及硬件的常設設置等信息。（3）注冊表也是操作系統(tǒng)與應用程序關聯(lián)的數(shù)據(jù)庫。注冊表保存了與應用程序相關的缺省數(shù)據(jù)和輔助文件的位置信息、菜單、按鈕條、窗口狀態(tài)和其他可選項。它同樣也保存了應用程序的安裝信息（比如說日期），安裝軟件的用戶，軟件版本號和日期、序列號等。根據(jù)安裝軟件的不同，它包括的信息也不同。2．注冊表的數(shù)據(jù)結構注冊表的數(shù)據(jù)結構由以下五個子樹組成：HKEY_LOCAL_MACHINE：含有本地系統(tǒng)的部分信息。這些信息包括硬件設備、操作系統(tǒng)設置、啟動控制數(shù)據(jù)和驅動器的驅動程序。HKEY_CLASSES_ROOT：含有與對象的鏈接與嵌套和文件級關聯(lián)的相關信息。HKEY_CURRENT_USERS：含有正在登錄上網(wǎng)的用戶的信息，包括用戶所屬的組、環(huán)境變量、桌面設置、網(wǎng)絡鏈接、打印機和應用程序等。HKEY_USERS：含有所有登錄入網(wǎng)用戶的信息，包括從本地訪問系統(tǒng)的用戶。HKEY_CURRENT_USER是HKEY_USERS的一部分。HKEY_CURRENT_CONFIG：是在HKEY_LOCAL_MACHINE中當前硬件配置信息的映射3．注冊表中的關鍵字注冊表中的所有數(shù)據(jù)均作為“值”來存儲。這些值經過組織后寫入了標題和子標題，這些標題及子標題共同稱為關鍵字。4．注冊表中的值注冊表雖然是通過各個根鍵和子鍵來分類管理各種信息，但具體數(shù)據(jù)信息還是依靠鍵值項和鍵值來實現(xiàn)。在注冊表中絕大多數(shù)分支或子項中還包含了一個或若干個“值項”，每個值項又對應于一定數(shù)據(jù)類型的一組數(shù)據(jù)，這就是鍵值項和鍵值，打開注冊表編輯器后，選擇一個分支或子項，在注冊表編輯器的右側窗口中顯示的就是鍵值項和鍵值。在鍵值項窗口空白處單擊右鍵，選擇“新建”菜單項，可以看到這些鍵值被細分為：字符串值、二進制值、DWORD值、多字符串值、可擴充字符串值五種類型。3.8.1作業(yè)對象作業(yè)對象是在Windows2000中新出現(xiàn)的，在WindowsNT以前的版本中作業(yè)對象并不存在。作業(yè)是一組進程，引入作業(yè)對象的基本原因是允許多個進程（及其相關線程）能夠作為一個單一的、方便的實體被管理、監(jiān)視和操作。每一個進程可以與0個或1個作業(yè)相關聯(lián)，但不能與多個作業(yè)相關聯(lián)。一個作業(yè)對象可以對與其相關的進程施加限制。如果某個進程與某個試圖違背這些限制的作業(yè)對象相關聯(lián)，請求將不能完成，并且函數(shù)調用將被忽略。作業(yè)對象也可以對其進程加以限制，如果違背了這些限制，將導致進程被強制終止。（1）一個作業(yè)級的用戶模式CPU時間限制。該時限指明了與某個作業(yè)相關的所有線程在用戶模式下執(zhí)行代碼所花費時間的總數(shù)，但系統(tǒng)用于應用程序執(zhí)行指令（在內核模式）所花費的時間不計算在內。這一指標包括了已經完成的進程和已退出的進程。這個時限可以由某個具有足夠特權的進程在任何時間設置和復位。不過如果達到該時限，則與作業(yè)相關的所有進程都被終止，并且在該作業(yè)內不能再創(chuàng)建新的進程。（2）針對每個進程的用戶模式CPU時間限制。該時間限制和上面的限制是相似的，只是它是在逐個進程的基礎上施加的。如果該時間限制達到，進程將立即被終止。（3）可以創(chuàng)建的并發(fā)運行進程的最多個數(shù)。在達到該限制之后，Windows操作系統(tǒng)的調度程序將不再調度額外的進程，直到現(xiàn)有的某些進程退出。作業(yè)提供了一種對一組進程施加安全性設置的便捷方法作業(yè)對象可以對進程所允許具有的安全性權限設置過濾器在一個作業(yè)中的進程還可以具有用戶界面限制作業(yè)對象還可以記錄一組關于與它相關的所有進程的記賬信息3.8.2進程進程是能和其他程序并行執(zhí)行的程序段在某數(shù)據(jù)集合上的一次運行過程，它是系統(tǒng)資源分配和調度的一個獨立單位。在理解進程的概念時應注意以下問題：能構成進程的程序段可以和別的程序并行執(zhí)行，不能并行執(zhí)行的程序段在執(zhí)行中不能成為進程。這恰恰反映了進程特征之一，即進程具有并發(fā)性。進程的基礎是一個程序段，而不是整個程序。進程是程序段在一些數(shù)據(jù)上的一次運行，即在“某數(shù)據(jù)集合”上的運行。進程是一個動態(tài)的概念，它實質上是程序的一次執(zhí)行過程，也就是說，進程具有動態(tài)性。進程是一個能獨立運行的基本單位，具有獨立性，是資源分配和調度的單位。3.8.3線程在操作系統(tǒng)中引入進程的目的是為了使多個程序并發(fā)執(zhí)行，以提高資源的利用率和系統(tǒng)的吞吐量，而在操作系統(tǒng)中引入線程則是為了減少程序并發(fā)執(zhí)行時所付出的時空開銷，