ch網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全PPT課件.ppt

網(wǎng)絡(luò)管理體系結(jié)構(gòu) 代理進(jìn)程 維護(hù)其所駐留的被管設(shè)備的狀態(tài) 并且通過網(wǎng)絡(luò)管理協(xié)議向NMS提供信息網(wǎng)絡(luò)管理系統(tǒng)收集被管設(shè)備的信息 并相應(yīng)作出反應(yīng)管理代理是代表其他實(shí)體提供管理信息的實(shí)體 1 網(wǎng)絡(luò)管理 功能 五大功能 性能管理 衡量和呈現(xiàn)網(wǎng)絡(luò)特性的各個方面 使網(wǎng)絡(luò)性能維持在一個可以被接受的水平上 收集網(wǎng)絡(luò)管理者感興趣的那些變量的性能數(shù)據(jù) 分析這些數(shù)據(jù) 以判斷是否處于正常 基線 水平并產(chǎn)生相應(yīng)的報(bào)告 為每個重要的變量確定一個合適的性能閾值 超過該閾值就意味著出現(xiàn)了應(yīng)該注意的網(wǎng)絡(luò)故障 配置管理 監(jiān)視網(wǎng)絡(luò)和系統(tǒng)的配置信息 以便跟蹤和管理不同的軟硬件元素對網(wǎng)絡(luò)操作的作用 主要包括 網(wǎng)絡(luò)資源的配置及其活動狀態(tài)的監(jiān)視 網(wǎng)絡(luò)資源之間的關(guān)系的監(jiān)視與控制 新資源的加入 舊資源的刪除 定義新的管理對象 識別管理對象 給每個對象分配名字 初始化對象 啟動 關(guān)閉對象 管理各個對象之間的關(guān)系 改變管理對象的參數(shù) 2 網(wǎng)絡(luò)管理 功能 續(xù) 五大功能 續(xù) 計(jì)費(fèi)管理 測量網(wǎng)絡(luò)的利用率參數(shù) 以恰當(dāng)?shù)乜刂苽€人或團(tuán)體用戶對網(wǎng)絡(luò)的使用 比如網(wǎng)絡(luò)故障降低到最小或者使所有用戶對網(wǎng)絡(luò)的訪問更加公平 建立和維護(hù)一個目標(biāo)機(jī)器地址數(shù)據(jù)庫 能對該數(shù)據(jù)庫中的任意一臺機(jī)器 一個IP地址 進(jìn)行計(jì)費(fèi) 能夠?qū)χ付↖P地址進(jìn)行流量限制 當(dāng)超過使用限額時 即可將其封鎖 禁止其使用 能夠按天 按月 按IP地址或按單位提供網(wǎng)絡(luò)的使用情況 在規(guī)定的時間到來 比如一個月 的時候 根據(jù)本機(jī)數(shù)據(jù)庫中的E mail地址向有關(guān)單位或個人發(fā)送帳單 可以將安裝有網(wǎng)絡(luò)計(jì)費(fèi)軟件的計(jì)算機(jī)配置成Web服務(wù)器 允許使用單位和個人隨時進(jìn)行查詢 3 網(wǎng)絡(luò)管理 功能 續(xù) 五大功能 續(xù) 故障管理 檢測 記錄網(wǎng)絡(luò)故障并通知給用戶 盡可能自動修復(fù)網(wǎng)絡(luò)故障以使網(wǎng)絡(luò)能有效地運(yùn)行 基本步驟判斷故障癥狀 隔離該故障 修復(fù)該故障 對所有重要子系統(tǒng)進(jìn)行故障修復(fù)后測試 記錄故障的檢測及其解決結(jié)果 主要功能 接收差錯報(bào)告并作出反應(yīng) 建立維護(hù)差錯日志 并進(jìn)行分析 對差錯診斷測試 追蹤故障 并確定糾正故障的方法措施 4 網(wǎng)絡(luò)管理 功能 續(xù) 五大功能 續(xù) 安全管理 按照本地的方針來控制對網(wǎng)絡(luò)資源的訪問 以保證網(wǎng)絡(luò)不被有意或無意地侵害 并保證敏感信息不被那些未授權(quán)的用戶訪問標(biāo)識重要的網(wǎng)絡(luò)資源 包括系統(tǒng) 文件和其它實(shí)體 確定重要的網(wǎng)絡(luò)資源和用戶集間的映射關(guān)系 監(jiān)視對重要網(wǎng)絡(luò)資源的訪問 記錄對重要網(wǎng)絡(luò)資源的非法訪問 5 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理技術(shù)的基本要求網(wǎng)絡(luò)管理的跨平臺性網(wǎng)絡(luò)管理的分布性網(wǎng)絡(luò)管理的安全性Internet Intranet上各種服務(wù)的性能管理遠(yuǎn)程管理不同廠家網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理 6 網(wǎng)絡(luò)管理協(xié)議 ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)公共管理信息服務(wù)CMIS 支持管理進(jìn)程和管理代理之間的通信要求公共管理信息協(xié)議CMIP 提供管理信息傳輸服務(wù)的應(yīng)用層協(xié)議IETF的網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議SNMPv1 v2 v3 7 CMIP協(xié)議 X 710定義了公共管理信息服務(wù)CMIS 目的是通過源語向應(yīng)用進(jìn)程提供交換系統(tǒng)管理的信息和指令的服務(wù) CMIS提供的服務(wù)可以是有連接的 也可以是無連接的 可以是需要證實(shí)的 也可以是不需要證實(shí)的 管理信息以對象方式描述 所有的對象存放在MIB中 在CMIP中 對象的變量被定義成非常復(fù)雜的數(shù)據(jù)結(jié)構(gòu) 有許多屬性 變量屬性 表示變量的特性 如數(shù)據(jù)類型是否可寫等 變量動作 說明可以啟動什么樣的動作 通知 每當(dāng)一個特殊的事件發(fā)生時 就會產(chǎn)生一個事件報(bào)告 8 CMIP協(xié)議 特性 CMIP不是通過輪詢而是通過事件報(bào)告進(jìn)行工作 由網(wǎng)絡(luò)中的各個設(shè)備監(jiān)測設(shè)施在發(fā)現(xiàn)被檢測設(shè)備的狀態(tài)和參數(shù)發(fā)生變化后及時向管理進(jìn)程進(jìn)行事件報(bào)告管理功能強(qiáng)大 它的參數(shù)不僅可以在管理站和管理節(jié)點(diǎn)之間傳遞網(wǎng)管信息 而且可以要求管理節(jié)點(diǎn)執(zhí)行一些動作CMIP需要占用比SNMP多很多的資源 CMIP的程序非常難編寫 CMIP定義的參數(shù)比較復(fù)雜 9 SNMP協(xié)議 SNMP是被設(shè)計(jì)成與協(xié)議無關(guān)的 由一系列協(xié)議組和規(guī)范組成 提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法 輪詢方法網(wǎng)絡(luò)設(shè)施中的代理進(jìn)程不斷收集網(wǎng)絡(luò)的通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù) 并記錄到管理信息庫MIB中 NMS通過向代理的MIB發(fā)出查詢信號可以得到這些信息基于中斷的方法異常事件發(fā)生時代理進(jìn)程通知網(wǎng)絡(luò)管理系統(tǒng)NMS面向自陷的輪詢方法 輪詢和中斷結(jié)合 10 SNMP管理模型 管理節(jié)點(diǎn) 被管理的設(shè)備 SNMP代理在其上運(yùn)行 維護(hù)一個本地?cái)?shù)據(jù)庫 存放其狀態(tài)管理站運(yùn)行一個或多個管理進(jìn)程 通過SNMP協(xié)議與代理通信SNMP極為詳細(xì)地規(guī)定了每種代理應(yīng)該維護(hù)的確切信息以及提供信息的確切格式 即每個設(shè)備都具有一個或多個變量來描述其狀態(tài) 這些變量叫做對象 所有對象都存放在一個叫管理信息庫 MIB 中 11 SNMP協(xié)議 SNMPv1 設(shè)計(jì)簡單 易于擴(kuò)展 但安全性較差SNMPv2 增加了安全機(jī)制 包括數(shù)據(jù)加密 鑒別和訪問控制允許更詳細(xì)的變量描述 使用表數(shù)據(jù)結(jié)構(gòu)以方便數(shù)據(jù)提取SNMPv3 體現(xiàn)了模塊化的設(shè)計(jì)思想 適應(yīng)性強(qiáng) 擴(kuò)充性好 安全性好包括信息處理和控制模塊 本地處理模塊和用戶安全模塊 12 網(wǎng)絡(luò)管理 遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控RMON收集所在網(wǎng)段的狀態(tài)信息 并存儲歷史信息以獲得網(wǎng)絡(luò)運(yùn)行狀況趨勢擴(kuò)展SNMP的MIB II 使SNMP更有效 積極主動地監(jiān)控遠(yuǎn)程設(shè)備基于Web的網(wǎng)絡(luò)管理技術(shù)允許通過Web瀏覽器進(jìn)行網(wǎng)絡(luò)管理兩種實(shí)現(xiàn)方式代理方式 在一個內(nèi)部工作站上運(yùn)行Web服務(wù)器 代理 網(wǎng)絡(luò)管理軟件負(fù)責(zé)將收集到的網(wǎng)絡(luò)信息傳送到瀏覽器 Web服務(wù)器代理 并將傳統(tǒng)管理協(xié)議 如SNMP 轉(zhuǎn)換成Web協(xié)議 如HTTP 嵌入式 將Web功能嵌入到網(wǎng)絡(luò)設(shè)備中 每個設(shè)備有自己的Web地址 管理員可通過瀏覽器直接訪問并管理該設(shè)備 13 網(wǎng)絡(luò)管理軟件 網(wǎng)管系統(tǒng)由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺 網(wǎng)管支撐軟件 網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成 其中網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置 故障 性能及網(wǎng)絡(luò)用戶分布方面的基本管理 是網(wǎng)管系統(tǒng)的核心 體系結(jié)構(gòu) 通用的 開放的 可擴(kuò)展的框架體系核心服務(wù) 網(wǎng)絡(luò)管理軟件應(yīng)具備的基本功能 包括網(wǎng)絡(luò)搜索 查錯和糾錯 支持大量設(shè)備 友好操作界面 報(bào)告工具 警報(bào)通知和處理 配置管理等應(yīng)用程序 實(shí)現(xiàn)特定的事務(wù)處理和結(jié)構(gòu)支持 主要包括高級警報(bào)處理 網(wǎng)絡(luò)仿真 策略管理和故障標(biāo)記等典型的網(wǎng)絡(luò)管理軟件包括 HPOpenView 3ComTranscend SunNetManager等 14 網(wǎng)絡(luò)安全基礎(chǔ) 針對網(wǎng)絡(luò)安全的威脅主要有三種人為的無意失誤 如操作員安全配置不當(dāng)造成的安全漏洞 用戶安全意識不強(qiáng) 用戶口令選擇不慎 用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享人為的惡意攻擊 所面臨的最大威脅主動攻擊 以各種方式有選擇地破壞信息的有效性和完整性被動攻擊 在不影響網(wǎng)絡(luò)正常工作的情況下 進(jìn)行截獲 竊取 破譯以獲得重要機(jī)密信息 網(wǎng)絡(luò)軟件的漏洞和 后門 黑客進(jìn)行攻擊的首選目標(biāo) 15 網(wǎng)絡(luò)安全基礎(chǔ) 安全策略 物理安全策略 保護(hù)計(jì)算機(jī) 網(wǎng)絡(luò)設(shè)備等硬件實(shí)體和通信鏈路免受自然災(zāi)害 人為破壞和搭線攻擊 其中抑制和防止電磁泄漏是物理安全策略的一個主要問題 對傳導(dǎo)發(fā)射的防護(hù) 主要采取對電源線和信號線加裝性能良好的濾波器 減小傳輸阻抗和導(dǎo)線間的交叉耦合對輻射的防護(hù)采用各種電磁屏蔽措施 如對設(shè)備的金屬屏蔽和各種接插件的屏蔽 同時對機(jī)房的下水管 暖氣管和金屬門窗進(jìn)行屏蔽和隔離 干擾防護(hù)措施 即在計(jì)算機(jī)系統(tǒng)工作的同時 利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征 16 網(wǎng)絡(luò)安全基礎(chǔ) 安全策略 訪問控制策略 保證網(wǎng)絡(luò)資源不被非法使用和非法訪問入網(wǎng)訪問控制 控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源 控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)三個步驟 用戶名的識別與驗(yàn)證 用戶口令的識別與驗(yàn)證 用戶帳號的缺省限制檢查網(wǎng)絡(luò)的權(quán)限控制 針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施 用戶和用戶組被賦予一定的權(quán)限 網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄 子目錄 文件和其他資源 目錄級的權(quán)限控制 網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄 文件 設(shè)備的訪問 用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效 用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限 17 網(wǎng)絡(luò)安全基礎(chǔ) 安全策略 訪問控制策略 續(xù) 屬性安全控制將給定的屬性與服務(wù)器的文件 目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來 屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性 網(wǎng)絡(luò)服務(wù)器的安全控制控制在服務(wù)器控制臺上執(zhí)行的操作比如設(shè)置口令鎖定服務(wù)器控制臺 以防止非法用戶修改 刪除重要信息或破壞數(shù)據(jù) 可以設(shè)定服務(wù)器登錄時間限制 非法訪問者檢測和關(guān)閉的時間間隔 網(wǎng)絡(luò)監(jiān)測和鎖定控制 網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實(shí)施監(jiān)控 服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問 對非法的網(wǎng)絡(luò)訪問 服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警 如果非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值 那么該帳戶將被自動鎖定 18 網(wǎng)絡(luò)安全基礎(chǔ) 安全策略 訪問控制策略 續(xù) 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備 靜默調(diào)制解調(diào)器加以保護(hù) 并以加密的形式來識別節(jié)點(diǎn)的身份 防火墻控制 防火墻是確?；A(chǔ)設(shè)施完整性的一種常用方法 它通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò) 控制進(jìn) 出兩個方向的通信流 信息加密策略 保護(hù)網(wǎng)內(nèi)的數(shù)據(jù) 文件 口令和控制信息 保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù) 包括鏈路加密 端點(diǎn)加密和節(jié)點(diǎn)加密三種方式 19 網(wǎng)絡(luò)安全基礎(chǔ) 安全策略 非技術(shù)性安全管理策略加強(qiáng)網(wǎng)絡(luò)的安全管理 制定有關(guān)規(guī)章制度 確定安全管理等級和安全管理范圍所有添加到網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的新設(shè)備都應(yīng)該符合特定的安全需求 每個站點(diǎn)必須指明支持其安全策略需要哪些安全部件和功能制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員管理制度制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施對員工進(jìn)行足夠的安全意識培訓(xùn)等 20 Windows98安全策略 設(shè)置用戶權(quán)限 首先設(shè)置為每個用戶采用不同的使用權(quán)限 然后逐步增加新用戶并進(jìn)行設(shè)置 21 Windows98安全策略 防止非法用戶進(jìn)入Regedit打開注冊表 HKEY USER DEFAULT Software Microsoft Windows CurrentVersion Runonce 在其下創(chuàng)建 字符串值 名為 非法用戶 退出 字符串為 Rundll exeUser exe Exitwindows 為防止非法用戶按F8鍵調(diào)出Windows98的啟動菜單以安全方式進(jìn)入系統(tǒng) 編輯MSDOS sys文件 在該文件的 option 小節(jié)加入 BootMulti 0 設(shè)置系統(tǒng)不能進(jìn)行多重引導(dǎo) BootGUI 1 在啟動時直接進(jìn)入Windows98圖形用戶界面 BootDelay 設(shè)置在啟動時 StartingWindows98 信息停留的時間為0秒 BootKeys 設(shè)置在啟動過程中F4 F5 F6 F8功能鍵失效 22 Windows98安全策略 限制用戶級別隱藏 開始 菜單的部分內(nèi)容 在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下建立一個DWORD值 NoSetFolders 鍵值為 1 用戶不能使用 控制面板 且不能使用 開始 設(shè)置 中的 打印機(jī) 新建一個DWORD值 NoFind 鍵值為 1 則 查找 功能被禁止新建一個二進(jìn)制值 NoRun 鍵值為 0 x00000001 則 運(yùn)行 菜單項(xiàng)被關(guān)閉 23 Windows98安全策略 隱藏桌面上所有圖標(biāo)在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下建立一個DWORD值 NoDesktop 鍵值為 1 禁用注冊表編輯器在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System 該分支下建立一個DWORD值 DisableRegistryTools 鍵值為 1 24 Windows98安全策略 隱藏驅(qū)動器在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下新建一個二進(jìn)制值 NoDrive 其缺省值為 00000000 表示不隱藏任何驅(qū)動器 該值由四個字節(jié)組成 每個字節(jié)的第一位對應(yīng)從A 到Z 的一個盤 即01為A 02為B 04為C 如隱藏D盤 鍵值為 0800000 隱藏所有驅(qū)動器為 ffffffff 禁用MS DOS方式在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies 新建一個 WinOldApp 主鍵 在其下新建一個DWORD值 Disable 鍵值為 1 25 Windows98安全策略 禁止光盤的自動運(yùn)行在注冊表 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer 該分支下新建一個DWORD值 NoDriveTypeAutoRun 鍵值為 1 禁止用軟盤或光盤啟動在CMOS設(shè)置中將啟動順序改為 CONLY 并為其設(shè)置必要的密碼 26 WindowsNT安全策略 用戶帳號 每個用戶必須擁有一個帳號NT規(guī)定該帳號在系統(tǒng)中的權(quán)力和權(quán)限權(quán)力專指用戶對整個系統(tǒng)能夠做的事情 如關(guān)掉系統(tǒng) 往系統(tǒng)中添加設(shè)備 更改系統(tǒng)時間等 權(quán)力存放在安全帳號數(shù)據(jù)庫中 權(quán)限專指用戶對系統(tǒng)資源所能做的事情 如對某文件的讀寫控制 對打印機(jī)隊(duì)列的管理 用戶對系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放 27 WindowsNT安全模型 用戶登錄 按下Ctrl Alt Del鍵 NT系統(tǒng)啟動登錄進(jìn)程帳戶及口令有效后形成一個存取標(biāo)識 包括用戶名以及SID 用戶所屬的組及組SID 用戶對系統(tǒng)所具有的權(quán)力 NT啟動一個用戶進(jìn)程 將該存取標(biāo)識與之連在一起 這個存取標(biāo)識就成了用戶進(jìn)程在NT系統(tǒng)中的通行證存取標(biāo)識緩存的是用戶安全信息 如果管理員對用戶的權(quán)限進(jìn)行修改 只有在該用戶再次登錄時才發(fā)生作用如何根據(jù)存取標(biāo)識控制用戶對資源的訪問 給資源分配的權(quán)限作為該資源的一個屬性 以訪問控制列表ACL的形式與資源一起存放 ACL包含了用戶名以及該用戶的權(quán)限用戶訪問該目錄時 NT安全系統(tǒng)檢查用戶的存取標(biāo)識 與目錄的ACL對照 發(fā)現(xiàn)用戶存取標(biāo)識中的用戶名與ACL中有對應(yīng)關(guān)系且所要求的權(quán)限合法 則訪問獲得允許 28 NT系統(tǒng)的安全管理 加強(qiáng)物理安全管理彌補(bǔ)系統(tǒng)軟件的安全漏洞 經(jīng)常升級微軟發(fā)布的安全補(bǔ)丁程序掌握并使用微軟提供但未設(shè)置的安全功能 比如禁用Guest帳號等使用NTFS文件系統(tǒng) 支持ACL控制授權(quán)用戶的訪問 配置NTFS的訪問控制機(jī)制 限制用戶對目錄 文件等資源的訪問避免給用戶定義特定的訪問控制實(shí)施帳號及口令策略 如要求用戶不要使用太簡單的密碼 定期更改密碼等設(shè)置帳號鎖定 非法嘗試一定次數(shù)后鎖定帳號控制遠(yuǎn)程訪問服務(wù) 采用加密和認(rèn)證機(jī)制啟用登錄工作站和登錄時間限制 只允許在特定的環(huán)境下登錄 29 NT系統(tǒng)的安全管理 啟動審計(jì)功能 查看審計(jì)日志 發(fā)現(xiàn)問題確保注冊表安全應(yīng)用系統(tǒng)的安全 保證各種應(yīng)用系統(tǒng)的安全性 常打補(bǔ)丁不可輕易發(fā)布信息 不要發(fā)布關(guān)于自身系統(tǒng)的信息 防止黑客利用 30 Windows2000安全策略 簡單的身份驗(yàn)證和授權(quán)模型 身份驗(yàn)證在用戶登錄時識別用戶并將網(wǎng)絡(luò)連接到服務(wù) 經(jīng)過識別后 用戶就會有權(quán)按照權(quán)限對一組特定的網(wǎng)絡(luò)資源進(jìn)行訪問 授權(quán)是通過訪問控制機(jī)制來進(jìn)行的 使用存儲在ActiveDirectory中的數(shù)據(jù)項(xiàng)以及訪問控制列表 ACL 后者定義對象 包括打印機(jī) 文件 網(wǎng)絡(luò)文件 及打印共享 的權(quán)限 Windows2000分布式安全模型基于信任域控制器身份驗(yàn)證 服務(wù)之間的信任委派以及基于對象的訪問控制 域中每臺客戶機(jī)通過安全地對域控制器驗(yàn)證身份創(chuàng)建直接信任路徑 客戶端不可能直接訪問網(wǎng)絡(luò)資源 相反網(wǎng)絡(luò)服務(wù)創(chuàng)建客戶端訪問令牌并使用客戶端的憑據(jù)來執(zhí)行請求的操作以模擬客戶端 Windows操作系統(tǒng)核心在訪問令牌中使用安全性標(biāo)識符來驗(yàn)證用戶是否被授予所需的對目標(biāo)對象的訪問權(quán)限 31 Windows2000安全策略 ActiveDirectory 提供一個中央位置來存儲關(guān)于用戶 硬件 應(yīng)用程序和網(wǎng)絡(luò)上數(shù)據(jù)的信息 同時保存了必要的授權(quán)及身份驗(yàn)證信息以確保只有適當(dāng)?shù)挠脩舨趴稍L問每一網(wǎng)絡(luò)資源 域間的信任關(guān)系信任關(guān)系在域之間建立 用來支持直接傳遞身份驗(yàn)證 讓用戶和計(jì)算機(jī)可以在目錄林的任何域中接受身份驗(yàn)證 用戶或計(jì)算機(jī)僅需登錄網(wǎng)絡(luò)一次就可以對任何他們有適當(dāng)權(quán)限的資源進(jìn)行訪問 組策略設(shè)置控制ActiveDirectory中對象的各種行為 通過相同的方式將所有類型的策略應(yīng)用到眾多計(jì)算機(jī)上 本地計(jì)算機(jī)安全性設(shè)置控制您想要授予特定用戶或計(jì)算機(jī)的權(quán)限和特權(quán) 32 Win