Đang tải... (xem toàn văn)
Nghiên cứu về cơ chế bảo vệ trong windows sever,cơ chế bảo vệ password,bảo vệ tệp tin trong windows sever,NTFS permission,share permission,giúp các bạn hiểu rõ về cơ chế bảo vệ của hệ điều hành windows sever.Từ đó hiểu kĩ hơn các cơ chế bản mật trong windows.
o0o BÁO CÁO BÀI TẬP LỚN MÔN HỌC NGUYÊN LÝ HỆ ĐIỀU HÀNH !"#$%&'"#(')*'+, (".( /01# /02345678489: ;<1# '!=#6 !>?;' !>? @! A'";5*B C,!>?D& EF>GHAIHJ0GHIK !"#$%! &'()*+,) /012&,3',4.+5623'7.+8).9:;<=72=7 ,>?',@/,)3.*,>?ABCD* EF +GH)',@/,)3.* (.+1I.)3D +1JK.G.+(.+ +1JK.0/L1 )M2) ,GC.+9N.* ,;*+1JK.,O.,6) (.P)Q.+(JR',M.+.S?RT ,GU.+*)C)',)312&,3',4.+5623'7.+:).9:;;=72=7V W/')-1/XO5623,3',4.+V O'7L.Y1J&.'71J/LDZ U/,[,\']P.+/XO?O'7L.Y1J&.'71J/LDZ RM/D,GU.+D,MD/()]^'Y1J&.'71J/LD?O'7L.F M/_\)+.'7 :).9:;;=72=7RVT +.*.'=7O/')2=T R+.*=':7ET V+.*..J?1;Z M/,;`9W.+/M/+)O',0/aM/',@/Z b623'LD')./,056.</XOO;;:79c bU/,[D,d.Y1J&.1',7)eO').F ,GU.+V*,)['_LDY1J&.'71J/LD]4)2C)'LD').2(',G?W/R R<U_Gf/2&g<R <,O7=Bg_9=7R [',fD+)hOY1J&.;,O7=2(g<R R Chương 1 : Giới thiệu về hệ thống bảo vệ trong windows server 8 AL(M'NOE,'('#$M0EL(MP6QR /S&;TOLAL(M9A"&;T5'%E#$C# O!U6&6A#FJP9V'QRQD(!>"OP%#Q 6A#AQR0W('#$OSJ;<OE@>C 8 7P9AF0X!YD%&'"##$ZQ$,1(!>@6%=[6Q#F *X!>F\!>LO]^O$;['('#$,_*X !>6`[6"5\!>O]YD#C 8 a&'"##$U6&!=60EbL"LQ;[OS\!&(]"#,_ *X!>F\!>LO]^O$;[O$;['('#$ O;[%&'"#"\!>O]AD'Ac[6(AO$;[>C II. Miền bảo vệ 8 7E#$0A>c%D'd0@6[6AYSe,!%f.g,h"@6[6A 9ASe'%f.g,hCYS%D'd0AL0(M";<,_*XZ 9AS/S'QA!>YD0A>ce;%E5FiOjDF*^ Q#!kh 8 S/S9S0,'AO;[M(N,_*X!>('#$F#O! l'6m6AYS(!>@65A9AS0//\!>,_ *X""'^<OS0ULe!>Qn *3'39'+ho0N LAQRp&>(D*'(D=6!>C 8 7RYS('#$,q'NOE('0E0%&'"#e6('.' *'0Dh'O/C7E0%&'"#,qpAO]A9AS0YS(' 0O/O;[6m6(!>@6"1#AD'AC 8 A9&JD'A0YS/S1#(9ASO;[rQ \!>(!>@6eD.,,(hC7R\!>(!>@6O;[O]jD%T0E %ED6UsO$;[Ft\!>D'AuvC;"@>D/SM*! 0%&'"#Q0E@6[6A\!>(!>@6FpAO]AD'A0Y S/S1#(A9ASCA0%&'"#9AD!/SD' D!0E,$\!>(!>@6C V MIwc*X"0%&'"# 8 7EL(M'NOE"0%&'"/SdND0$Q9L • !"#(',!$<DdNYDL(M('#$FL (Ml'NOE('0E0%&'"#C('(;<[6L(M(& \!DADO'Np_Qn9AD!FT0RDO'N//SD'A( ^@6!>9AD!C;"@>('Q9LjF0%&'"# 6&pAO]D>xOU!A\!>(!>@6'L(M('=&A DO'Np_QnC!>9L'L(M,qO;[*;xD\!>(' 0EDO'Np_Qc'O/""6N0!>Qn *8'89'+CSO&0 %&'O;[!>Qn>U6&/9&J@6@E*!0%&' "#\!DADO'Np_Qn9AD!OSO&0%&'A\!>$S!YD L(M('0%&'"#N0E<OS0C • !"$%bL>'6m6L(M!>SOix0%&'"# >,D0%&'"#9A(',!$<DdN('#$YD /CS!yY!>Qn *3'39'+FD>"M6&,_DOiE*! 0%&'"##$/SN'(DA0%&'"#05"5E*!D> Oi`>.'xDO'Np_QnYDL(M"!>SL(M,D 'NOENA0%&'"#6`[6"5x<OS0C 8 7E0%&'"#/SO;[py>*1' • %&'()*('(;<[6>F@6AO$;[O;[6m6(!> p!=6X!E"'O]*DYD;<,_*XF0%&'"#O;[!>S 9D>Oi;<,_*XC • %"+('(;<[6>F@6AO$;[O;[6m6(!>p!= 6X!E"'O]*DYDL(MF0%&'"#O;[!>S9\!> O!9SO;[!>S,DL(M9AC • %('(;<[6>F@6AO$;[O;[6m6(!>p!=Q A%LX%EO;[O]jD%('YXF0%&'"#O;[!>S 9YXO;[rC T ,-..,/ 0"1$%,-..,/ 8 S%S!*?0%&'"#FA#O!,qOPA0D(@\!>(!> @6('O/AYD0D(@%S!*?A0%&'"#FAE%S!*? 9ASCU_eFfhYD0D(@pAO]\!>(!>@6YDYS0 %&'"#z F/SD'AO$"59AS fC 8 7EA(x!;[F/S%S!*?0VM%&'"#(Oy>;0E0D(@ \!>(!>p!=eD.,,0D(phCA*ZYD0D(@%?!*?A0%&' "#"AE;b "5AO$;[('#$CU_D.,,{Ff|YD 0D(@pAO]A\!>(!>p!=00EL(M'NOE('0 %&'"#z /SD'A(O$;[ f C 8 bL%&'"#O;[!=690D(@\!>(!>p!=O;[OPe"5OU> OYA!Ec^jDO}0V&(Qn!>LhFQ~>;<,_*X/ SA6*XALQ;[%&'"#%oAOP&E*!A6U_;b ('0D(@pAO]A\!>(!>p!= "5x0%&'"#F" !$`F#O!,q\!>LO]'6m6L(M'NOE('0 %&'"#c[6C 8 7D(@\!>(!>p!=•!=60EbLc[6OSO]jD" 1#0E,19S0,'A0P'&6;b Q9Lj" OEAL(M"5A0%&'"#C 8 /S9S0,'A"#!>SOi^DA0%&'"#L!\!D#00 %&'"#•Q0EO$;[('#$F"%i,!AE0V&'/ ('0D(@\!>(!>p!=C 8 O/L(MO;[6m6!>Sx0%&'"# ,D0%&'"#z f L! 6U_D.,,eFfh DO1\!>T!>S f e,+hC Z 8 /S9S0,'A"#,_DOiE*!0D(@eD>OiA\!>(!>p!= ('0E0%&'"#hL!\!D#0%&y0D(@•Q0EO$;[C 8 AD'A,_DOiE*!0D(@O;[6m61#%D'd0,D'm6 \!>e'6>hF!>S\!>e(D,€.(hF\!>,T^!e'+.(hF"\!>9S0 ,'Ae'('QhC • /.L!0E\!>(!>p!=('D.,,{Ff|O;[OA*=!Q•M /S,D'm6/,D0E6U_D.,,{9Ff|9Ae0T(E\!>(!> p!=(`O$;[ ;('0%&'"# ). • 2(34L!0E\!>(!>p!=('D.,,{Ff|O;[OA*=!Q‚ M/S!>S/,D0E6U_D.,,{9Ff|9Ae!>S\!>(!> p!=‚(O$;[ ,D0%&'"# h c • 564L!D.,,{Ff| D\!>(!>p!='+.(ML(M'NOE ('0%&'"#z/S0'Pp/DA\!>(!>p!=('%=9ƒ 6U_'(Efe/\!>0D>%5A\!>(!>p!=(O$ ;[ f ('^0%&'"#9AhC A • 7L!D.,,{Ff| D\!>(!>p!='('QML(M'NOE ('0%&'"# /Sp/D%=9ƒ\!>(!>p!='('A6U_ (*Zfe/\!>%„%5A\!>(!>p!=('0%&'"#z f hC /&0//8$9-..,/, 8 :8;<77274=>;b6A6>Ob&=FOSOP0D (@\!>(!>@6F#$,_*XI%&'X%D'd0A%E%D 6Us0%&'"#F9ASF\!>(!>@6ves*'0DF'%f.F(,vhC7R 91#\!>D'A7(9AS f ('0%&'"#z F UM0 ('%&'X0E%E%Dsz F f F 9 v07!E 9 e(!>@6A\!> (!>@6hCL!M0=>D'A7O;[6m6VF;[QN,qp&> (DQRC!>6;b6A6%&'XeQ'%DQD%Q.h/9c;5(=Q5 9VS^('%E5C 8 ?(-..,/;@4((7 (35A4(B@ =/S OP0RE('0D(@\!>(!>p!=;0E*D,A\!>(!> p!=O$"50EO$;[C7RO$;[('#$,q/0E*D,A %D'd0A6U_QA%ED 1s0%&'"#FA\!>(!>p!=vF *D,A>,qpAO]A\!>(!>p!=O;[\!O]('x0 %&'"#/SAOE(O$;[C7R91#D'A7(O$ ;[ f ('0%&'"#z FUM0('*D,A\!>(!>p!=YDO$ ;[ f 0E%EDsz F 9 v07T 9 CL!M0=>FD'A7O;[6m6 FL!9VFp&>(DQR(!>p!=C • Ví dụ :7E0%&'"#('#$…†O;[pAO];b "5 0E;<,_*Xe!*h('0E/0e*h'O/C&,_/K;< F *`FaFFz!EA/0;b Q,>,.0F,D€€F,!*.F,!*.C O/A@6('#$/S/A4;,D! ‡Q.HeF•F)†h ‡Q.IeF,>,.0F)†h ‡Q.GeF•F)8hFeaF,D€€F88hFezF•F)8h ‡Q.ˆe•F,!*.F88h ‡Q.KeF•F888hFe•F,!*.F88h 1LF#$@6('…†O;[%&'"#%oA0R@6O;[ A;b ‰%%&'"#Fxˆ%,q0V&\!>(!>p!=eOrhF)eh D>†ep_QnhYDAL(M(@6>.' 1L(M,Š^!A L(M`/0"5L(M,Š^!FAL(M9ACy>Q0E*N 4;O;[m‰%C 8 ?(!C;/7. (3?=>7R*Z('0D(@ \!>(!>p!=;b "50E0%&'"#,qO;[i 0E *D,A0JeD6D%Q.,Q,h • 7E*D,A0JYD0E0%&'"#Q0E*D,AAO$ ;["AD'AO;[\!>1#(O$;[9L(M 'NOE('0%&'"#>C • 7E6U_YD84,O;[rQ0E0JeD6D%Q>hQ0EM %?!*S O;[O]jD0EA/=!(~'0EO$;[('#$"A\!>(!> p!=[6Q#(O$;[>C • Ví dụ: L(Ml/S1#D'A7(O$;[ f ('0%&' "#z FL!('‹4,YDz / D0J;b YD f C zD,A0JO;[A;b "5x0%&'"#F1= /•Q0EO$;[O;[%&'"#%T#$F"L(MYD;< ,_*Xl/S(!>p!=OL/0EAAL6OS(AQ0,DQN ‹4,C #O!!=6AYX'6m6N'Q@6FY>%„",_DOiA 0JYD0EO$;[F"lAL(MO/"D(Z,.(".( e;<QL(M#O!h05/S,_DOiE*!‹4,C 8 0"!DB+;@ !B4.4(=> • ;b6A6>1@Q,19L[6^D*D,A\!>(!>@6" *D,A9&JC7R9AS,T;!0E*D,AA0}]6y i rQMDe9.>hC7EYS'NOE('0%&'"#,T^!0EMD ;b "50E9/D('*D,AYD9ASC • •;6;b6A6*D,A9&JF6;b6A69/D"MDO;[ \!&Qn%T#O!F;<,_*X9VS(!>@6(1L6OS=> O;[E*!YD/C IV. Kiểm soát quyền truy cập (Access Control) 8 .,,'('Q/S,_*X(A€Q."50E@6#$C7R@6 ";0XO;[lO]0EY,T^!(F0E/0'P0E*D ,AA;<*`F"'A*b"]F9S0,'A(!>@6VO;[D'C 7E J;b1/SO;[0"'A9cDN9AYD0E# $0A>cC • Ví dụ:^cJ9S0,'A(!>@6O;[c[6,Œ('-'QD(,IH S#\!DAOP\!>('\!>O]"\!>'!,.(IC Thu hồi quyền truy cập(Revocation of Accsess Rights) [...]... windows NT 4.0 joint vào một windows server 2003 domain, mặc định dùng NTLM Basic, Windows Integrated, Digest, Advanced Digest, Anonymous Web Access, Net Passport Xác thực trong Web server, SQL server, và những ứng dụng cần sử dụng Secure Sockets Layer/Transport Layer Security (SSL/TLS) Xác thực trong Web server, SQL server, và những ứng dụng cần sử dụng cơ chế xác thực này qua mạng 15 IV Bảo vệ. .. windows server 2003 đã joint tới một windows server 2003 domain - Xác thực việc truy cập tài nguyên từ những user, computer đã join vào windows server 2003 domain, nếu kiểu truy cập là dùng tên của server để định danh LM, NTLM, NTLMv2 Xác thực user trong windows server 2003 (có thể là domain) nhưng không join vào một domain nào, mặc định dùng NTLM Xác thực việc truy cập tài nguyên tới windows server. .. cục được quản lý bởi hệ điều hành Khi cần thu hồi quyền truy nhập chỉ cần xóa phần tử tương ứng trong bảng này Trong các hệ thông sử dụng cơ chế khóa và chìa, khi cần thu hồi quyền chỉ cần thay đổi khóa và bắt buộc chủ thể thay đổi chìa khóa mới 11 Chương 2 :Các cơ chế bảo mật Password trên windows I Cơ chế xác thực 1 Khái niệm - Là quá trình xác thực đối tượng có đúng với định danh mà hệ thống đã... miêu tả cơ chế hoạt động của LM HASH Nhược điểm : - Password là một tập kí tự chuẩn với chiều dài chỉ là 14 kí tự - Thuật toán mã hóa DES chứa nhiều điểm yếu có thể bị crack - Thuật toán mã hóa DES chỉ đảm bảo tính bảo mật chứ không có tính toàn vẹn dữ liệu Tuy nhiên LM AUTHENTICATION vẫn được sử dụng trên windows server 2003 để dễ dàng tương thích với các phiên bản windows trước windows server 2003... Password được lưu trữ trong tập tin SAM, WINDOWS đưa ra cách bảo vệ tập tin SAM - sử dụng SYSKEY: SYSKEY sử dụng thuật toán được mã hóa đối xứng với khóa bí mật dài 128 bit - Cấu hình SYSKEY • Start/Run • Gõ lệnh Syskey, sẽ hiện ra hộp thoại như sau: • OK: Key được lưu chỗ nào đó trong ổ đĩa • Update: Có thể chọn lựa kiểu lưu trữ Key 16 • Password Startup: Tạo Key và lưu vào chỗ nào đó trong Registry User... Authorization - Kiểm soát quyên hạn của đối tượng khi truy nhập vào hệ thống Cái nhìn tổng quát về các thực thể tham gia trong Authorization 18 - Quy trình windows kiểm tra truy cập đến tài nguyên • Đối tượng yêu cầu truy cập tài nguyên • So sánh SID Token của đối tượng với các SID có trong ACL • Tìm trong các ACE có trong ACL,nếu có ACE cho phép thì đối tượng được phép,ngược lại thì bị loại bỏ • Không tìm... Trong nội dung bảo vệ hệ thống,đôi khi việc thu hồi một số quyền thao tác trên các khách thể của các chủ thể cũng được xem là một biện pháp bảo vệ Khi thu hồi quyền truy nhập cần chú ý tới một số vấn đề sau : - Thu hồi tức khắc hay trì hoãn và nếu trì hoãn thì tới bao giờ... hiện một cách dễ dàng bằng cách tìm và hủy trong ACL Như vậy việc thu hồi sẽ có hiệu lực tức thời và có thể áp dụng cho tất cả các chủ thể hoặc một nhóm các chủ thể: thu hồi một cách vĩnh viễn hay tạm thời đều được Tuy nhiên, trong các hệ thống sử dụng danh sách khả năng, vấn đề thu hồi sẽ gặp nhiều khó khăn vì các khả năng được phát tán trên các miền bảo vệ trong hệ thống, do đó cần phải tìm ra đúng... đăng nhập đúng thì windows mới tìm khóa để giải mã • Store Startup Key on Floppy Disk: Tạo Key và lưu vào ổ đĩa mềm • Store Startup key Locally: Tạo Key và lưu vào chỗ nào đó trong Registry Khi hệ thống khởi động, Windows sẽ tự tìm chỗ lưu Key đã lưu • Thiết lập thêm policy: Do not allow anonymous enumeration of SAM accounts (không cho phép lấy tập tin SAM từ kết nối Anonymous) 17 V Cơ chế phân quyền -... các khả năng ra khỏi miền bảo vệ sau mỗi chu kì Nếu miền bảo vệ vẫn còn khả năng nào thì nó sẽ tái yêu cầu khả năng đó • Sử dụng con trỏ ngược: Với mỗi khách thể sẽ tồn tại các con trỏ, trỏ đến các khả năng tương ứng của khách thể Khi cần thu hồi quyền truy nhập nào trên khách thể hệ thống sẽ dựa vào các con trỏ để tìm kiếm các khả năng tương ứng • Sử dụng con trỏ gián tiếp: trong phương pháp này con