操作系统安全》第五章Windows系统资源的安全保护PPT演示文稿

1、1,第5章 Windows系统资源的安全保护,2,目的要求,掌握资源共享的实现方法以及共享资源的安全设置。 掌握设置打印机的方法。 了解注册表基础知识，初步掌握通过注册表的设置提高系统安全的方法。 了解安全审核基础知识，初步掌握审核策略的设置和安全日志的分析方法。,3,5.1 文件系统和共享资源的安全设置,5.1.1 Windows中的常用文件系统 5.1.2 EFS加密原理 5.1.3资源共享 5.1.4资源访问权限的控制,4,5.1 文件系统和共享资源的安全设置,文件系统 操作系统用于明确磁盘或分区上存储文件的方法和数据结构，即在磁盘上组织文件的方法。 从系统角度来看，文件系统是对文件存储

2、器空间进行组织和分配，负责文件存储并对存入的文件进行保护和检索的系统。 具体地说，它负责为用户建立、存入、读出、修改文件以及撤销文件等。,5,5.1 文件系统和共享资源的安全设置,文件系统 新的硬盘上并没有文件系统，必须使用分区工具对其进行分区并格式化后才会有管理文件的系统。 一块硬盘就像一个块空地，文件就像不同的物资，我们首先得在空地上建起仓库(分区)，并且指定好(格式化)仓库对材料的管理规范(文件系统)，这样才能将物资运进仓库保管。,6,5.1.1 Windows中的常用文件系统,1. FAT16： DOS、Windows 95都使用FAT16文件系统，现在常用的Windows 98/20

3、00/XP等系统均支持FAT16文件系统。它最大可以管理大到2 GB的分区，但由于采用16位长的文件分配表（File Allocation Table）每个分区最多只能有65525个簇（“簇”是磁盘空间保存信息的基本单位），由于FAT16管理“簇”的能力有限，随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。并且随着计算机硬件和应用的不断提高，FAT16文件系统已不能很好地适应系统的要求。,7,5.1.1 Windows中的常用文件系统,2. FAT32：随着大容量硬盘的出现，从Windows 98开始，FAT32开始流行。它是FAT16的增强版本，采用32位长的文

4、件分配表来管理文件的存储。同FAT16相比，FAT32主要具有以下特点： （1）管理“簇”的能力增强，支持的分区容量增大; （2）“簇”的尺寸变小，FAT32就比FAT16的存储效率要高很多，通常情况下可以提高15%。 （3）FAT32文件系统可以重新定位根目录和使用FAT的备份副本，减少了计算机系统崩溃的可能性。,8,5.1.1 Windows中的常用文件系统,3NTFS：Windows NT/2000/XP及以上系统支持NTFS文件系统。与FAT文件系统相比，NTFS功能更强大，适合更大的磁盘和分区，支持安全性，是更为完善和灵活的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存

5、储资源、减少磁盘占用量的一种先进的文件系统。相较于FAT文件系统，NTFS具有以下这些重要的安全特性： （1）容错性; （2）权限控制; （3）支持EFS（Encrypting File System）加密; （4）支持文件压缩; （5）磁盘配额; （6）审核策略与安全日志,9,5.1.2 EFS加密原理,1. EFS的加密和解密过程 （1）文件被复制到临时文件。若复制过程中发生错误，则利用此文件进行恢复。 （2）文件被一个随机产生的Key加密，这个Key叫作文件加密密钥（FEK），文件使用DESX对称加密算法进行加密。 （3）数据加密区域（DDF）产生，这个区域包含了使用用户的公钥加密的FE

6、K，FEK使用RSA非对称加密算法进行加密。 （4）数据恢复区域（DRF）产生，产生这个区域的目的是为了防止用户在特殊情况下发生无法对加密文件进行解密的情况，从而设置了恢复代理这一特殊用户，恢复代理在加密数据恢复策略（EDRP）中定义。DRF包含使用恢复代理的公钥加密的FEK。如果在EDRP列表中有多个恢复代理，则FEK必须用每个恢复代理的公钥进行加密。 （5）包含加密数据、DDF及所有DRF的加密文件被写入磁盘。 （6）在第（1）步中创建的临时文件被删除。,10,5.1.2 EFS加密原理,1. EFS的加密和解密过程,11,5.1.2 EFS加密原理,当用户解密文件时，EFS将执行以下操作

7、： （1）使用DDF和用户的私钥解密FEK。 （2）使用FEK解密文件。,12,5.1.3资源共享,创建共享 （1）简单文件共享 （2）高级文件共享,13,5.1.3资源共享,简单文件共享 在要共享的文件夹上单击鼠标右键，选中“共享和安全”菜单项，点选“共享”标签项，然后勾选“在网络上共享这个文件夹”项， 如果允许网络上用户修改你的共享文件，还可以勾选“允许网络用户更改我的文件”项。,14,5.1.3资源共享,简单文件共享 共享磁盘驱动器。 在驱动器盘符上单击鼠标右键，选中“共享和安全”菜单项，点选“共享”标签项，出现了一个安全提示，提示你注意驱动器共享后风险。如果你继续要共享的话，点击“共享

8、驱动器根”链接，以下操作与文件夹共享操作一样。,15,5.1.3资源共享,简单文件共享 开启GUEST帐户 依次展开“控制面板管理工具计算机管理本地用户和组用户”选项，在右边的GUEST账号上单击鼠标右键，选中“属性”菜单项，然后祛除“账号已停用”选项即可。,16,5.1.3资源共享,简单文件共享 更改设置本地安全策略 在启用了GUEST用户或本地相应账号的前提下，依次展开“控制面板管理工具本地安全策略用户权利指派”项，在“拒绝从网络访问这台计算机”的用户列表中，直接删除其中的GUEST账号即可，这样用户访问共享则不需任何密码，访问更加简捷明了，但是安全保障就比较差了,17,5.1.3资源共享

9、,简单文件共享 更改设置本地安全策略,18,5.1.3资源共享,高级文件共享 禁止简单文件共享 任意打开一个文件夹，点击菜单栏的“工具文件夹选项”，选中“查看”标签项，在高级设置里，去掉“使用简单文件共享(推荐)”,19,5.1.3资源共享,高级文件共享 设置帐户 为不同权限的用户设置不同的帐户。添加新帐户的方法：依次展开“控制面板管理工具计算机管理系统工具本地用户和组用户”项，在右边的窗口中，单击鼠标右键选中“新用户“菜单项。,20,5.1.3资源共享,高级文件共享 设置帐户 如果希望网络用户可以通过该帐户访问系统而不必要输入密码，也可以随时更改xp系统的安全策略：打开“控制面板管理工具本地

10、安全策略本地策略安全选项”，双击“账户: 使用空白密码的本地账户只允许进行控制台登录”选项，点选“已停用”项，最后确定完成。,21,5.1.3资源共享,高级文件共享 设置共享及共享权限 文件夹上单击鼠标左键，选中“共享和安全”项，此时，可以看到和“简单文件共享”相比，下面多了个“权限”按钮。,22,5.1.3资源共享,高级文件共享 设置共享及共享权限 点击权限按钮，默认权限设置是网络上每个用户（EVERYONE）都拥有完全控制的权限。这样设置是不安全的，应把EVERYONE权限删除，添加指定账户的权限（如“JJ”），按“添加”，查找帐户名“JJ”，并确定，之后根据实际情况设置访问用户的权限：

11、读取权限，允许用户浏览或执行文件夹中的文件； 更改权限，允许用户改变文件内容或删除文件； 完全控制权限，允许用户完全访问共享文件夹。,23,5.1.3资源共享,管理共享 查看本地机器上已创建的共享文件夹 依次展开“控制面板管理工具计算机管理共享文件夹共享”项可以看到本机上开放了哪些共享。,24,5.1.3资源共享,管理共享 查看局域网上已创建的共享文件夹 通过“网上邻居”来查看多台电脑的共享文件效率不高，可以尝试使用“LanDiscovery”软件来查看局域网上已创建的共享文件夹,25,5.1.3资源共享,管理共享 查看局域网上已创建的共享文件夹 除此之外，还可以在“开始运行”窗口中输入“cm

12、d”命令，在弹出的运行对话框中输入“net share”命令查看共享资源。,26,5.1.3资源共享,管理共享 查看连接本机的用户 依次展开“控制面板管理工具计算机管理共享文件夹会话”项可以看到连接本机的用户，在用户名上单击鼠标右键，选中“关闭会话”项，即可断开该用户连接。,27,5.1.3资源共享,管理共享 查看连接本机的用户 还可以使用一款小巧软件“ShareWatch”查看局域网上的哪些用户正在访问本机开放的共享文档。安装该软件后，运行ShareWatch.exe就可以看到如图显示的本机共享目录，还可以看到访问该目录的局域网用户WJJ-ER。,28,5.1.4资源访问权限的控制,系统默认

13、的组和用户的权限 默认情况下，系统为用户分了6个组，并给每个组赋予不同的操作权限，依次为： 管理员组（Administrators）：对计算机/域有不受限制的完全访问权； 高权限用户组（Power Users）：拥有大部分管理权限，但也有限制； 普通用户组（Users）：用户无法对系统进行有意或无意的改动； 来宾用户组（Guests）：来宾组和用户组有同等访问权，但来宾账户的限制更多； 备份操作组（Backup Operators）：允许备份或还原系统文件； 文件复制组（Replicator）：允许域中的文件复制,29,5.1.4资源访问权限的控制,2NTFS权限 读取（Read） 写入（Write） 读取及运行（Read+MSIE+6.0;+Windows+XP;+DigExt) 20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Window