n进程里的一个用户模式dll,Winlogon使用GINA获取用户名和密码,以及智能卡PIN等。logon):一个Windows服务,负责创建到域控制器的安区通道。内核安全设备驱动器(KSecDD):本地过程调用接口的内核模式方法库,其他组件(如:EFS)用来和Lsass进行通信。这些组件之间的关系如下图所示:三、Windowsxp系统安全分析3.1Windowsxp系统的组策略和域基础结构3.1.1组策略组策略是ActiveDirectory®目录服务的一个功能,它便于管理Microsoft®WindowsServer™2003和MicrosoftWindows®2000Server域中的更改和配置。组策略设置存储在ActiveDirectory数据库的组策略对象(GPO)中。GPO链接到容器,这些容器包括ActiveDirectory站点、域和组织单位(OU)。组策略是确保WindowsXP安全的重要工具。3.1.2支持安全管理的OU设计OU是ActiveDirectory域中的容器,可以包含用户、组、计算机和其他组织单位,它们都称为子OU。可以将GPO链接到OU,GPO设置将应用于该OU及其子OU中包含的用户和计算机。为便于管理,可以向每个OU委派管理权限。OU不仅提供了一种分组用户、计算机和其他安全主体的简单方法,而且还提供了一种分割管理边界的有效方式。由于某些设置仅适用于用户,而其他设置仅适用于计算机,Microsoft建议组织将用户和计算机分配给单独的OU。任何环境设计OU结构的一个主要目标是,为应用于ActiveDirectory中所有工作站的无缝组策略实施提供基础,同时确保它们符合组织的安全标准。设计OU结构的另一个目标是,为组织中特定类型的用户提供适当的安全设置。便携式计算机用户与桌面计算机用户相比,安全要求也可以略有不同。下图是一个组策略的简单OU结构。
全文预览
