网络安全设计标准教程上

1、全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全设计标准教程网络安全设计标准教程全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/第第1章章 网络安全概论网络安全概论 第第2章章 网络攻击的目的、方法和原理网络攻击的目的、方法和原理第第3章章 服务器操作系统基础服务器操作系统基础 第第4章章 用户管理用户管理 第第5章章 数据文件的安全管理数据文件的安全管理 第第6章章 身份验证和证书服务身份验证和证书服务 第第7章章 文件共享与打印服务文件共享与打印服务 第第8章章 In

2、ternet信息服务信息服务 第第9章章 网络监视与调整网络监视与调整 第第10章章 安全审核安全审核 第第11章章 终端服务终端服务 第第12章章 网络传输安全网络传输安全 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/第第1章章 网络安全概论网络安全概论全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/教学重点教学重点n了解互联网发展趋势了解互联网发展趋势 n了解解决网络安全的两大方法了解解决网络安全的两大方法 l防火墙l加密 n对黑客入侵手段做常识性了解对黑客入侵手段做常识

3、性了解 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/互联网发展现状分析互联网发展现状分析表1-1 互联网发展人数对比图统计截至时间上网人数（万）上网计算机数（万）网络国际出口带宽(M)2004.6.3087003630539412003.12.3179503089272162003.6.3068002572185992000.6.30169065012341999.6.304001462411998.6.30117.554.284.641997.10.316229.925.408全国信息化计算机应用技术资格认证管理中心全国信息化计算

4、机应用技术资格认证管理中心http:/ http:/建立安全机制的必要性建立安全机制的必要性n互联网的安全划分互联网的安全划分l网络运行的安全l信息安全n中国互联网的安全现状中国互联网的安全现状 l信息和网络的安全防护能力较差 l基础信息产业严重依靠国外 l信息安全管理机构权威性不够 l全社会的信息安全意识淡薄 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全的基本概念网络安全的基本概念 n从技术角度来说，网络安全的目标可归纳为从技术角度来说，网络安全的目标可归纳为4个方个方面：面：l可用性l机密性l完整性l不可抵赖性 全国信息

5、化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全的基本概念网络安全的基本概念(续续)n可用性可用性l可用性指信息或者信息系统可被合法用户访问，并按其要求运行的特性。n机密性机密性l机密性将对敏感数据的访问权限制在那些经授权的个人，只有他们才能查看数据。n完整性完整性l完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全的基本概念网络安全的基本概念(续续)n不可抵赖性不可抵赖性l不可抵赖性也叫不可否认性，即防止个人

6、否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/防火墙技术防火墙技术全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术加密技术n加密技术加密技术l所谓加密技术，即是对信息进行编码和解码的技术，编码是把原来可读信息（又称明文）译成代码形式（又称密文），其逆过程就是解码（解密）。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术加密技术(续续)n

7、加密算法加密算法 l对称加密l非对称加密l不可逆加密 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术加密技术(续续)n对称加密算法对称加密算法 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术加密技术(续续)n非对称加密算法非对称加密算法 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术（续）加密技术（续）n不可逆加密算法不可逆加密算法l加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法

8、处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/加密技术（续）加密技术（续）n加密技术加密技术 l非否认（Non-repudiation）技术 lPGP（Pretty Good Privacy）技术 l数字签名（Digital Signature）技术 lPKI（Public Key Infrastructure）技术 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认

9、证管理中心http:/ http:/管理黑客活动管理黑客活动n黑客活动分类黑客活动分类 l入侵l攻击l窃听全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/管理黑客活动管理黑客活动n黑客入侵实例分析黑客入侵实例分析l2004年10月，广州某软件公司的服务器遭到入侵，部分数据正被人非法下载。经过入侵检测分析检查发现，此次入侵即是首先监听获得某些敏感数据而进入系统的。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/习题习题1简述中国互联网的发展状况及其存在的安全问题简述中国互联网的发

10、展状况及其存在的安全问题。2什么是信息安全？用以保障信息安全的常见手段什么是信息安全？用以保障信息安全的常见手段有哪些？有哪些？3简单比较对称加密和非对称加密的异同。简单比较对称加密和非对称加密的异同。4列举常见的黑客行为。列举常见的黑客行为。5谈谈对某些青少年热中于做黑客的看法。谈谈对某些青少年热中于做黑客的看法。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/第第2章章 网络攻击的目的、网络攻击的目的、方法和原理方法和原理全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/教学

11、重点教学重点n计算机网络安全的成因计算机网络安全的成因 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/什么是网络攻击及网络安全设计的目的什么是网络攻击及网络安全设计的目的 n网络攻击网络攻击l利用网络非法获取他人信息或影响计算机正常运行、通信以及导致计算机有异常动作的行为均称为网络攻击。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络攻击的基本步骤网络攻击的基本步骤 n网络攻击网络攻击l隐藏自已的位置 l寻找并分析目标主机 l获取账户和密码，登录主机 l保持访问 l隐藏踪

12、迹 l窃取网络资源和特权 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络攻击的基本步骤（续）网络攻击的基本步骤（续）n隐藏自已的位置隐藏自已的位置 l攻击者都会利用各种手段隐藏他们真实的IP地址。 n寻找并分析目标主机寻找并分析目标主机 l攻击者首先要寻找目标主机。真正标识主机的是计算机的IP地址。 n获取账户和密码，登录主机获取账户和密码，登录主机 l攻击者会先设法盗窃账户文件，进行破解，从中获取某用户的账户和口令，再以此身份进入主机。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/

13、http:/网络攻击的基本步骤（续）网络攻击的基本步骤（续）n保持访问保持访问 l攻击者进入目标主机获得控制权之后，会尽量试图能够保持对目标主机的访问，会更改某些系统设置，留下后门，或是植入特洛伊木马。 n隐藏踪迹隐藏踪迹 l攻击者会清除日志文件中有关他攻击的记录。 n窃取网络资源和特权窃取网络资源和特权 l攻击者找到攻击目标后，会在恰当的时机继续下一步的攻击。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/常见攻击手法常见攻击手法 n口令入侵口令入侵 l获取合法用户的账户利用目标主机的Finger功能 利用目标主机的X.500服务

14、从电子邮件地址中收集 查看主机是否有习惯性的账户 n植入特洛伊木马程序植入特洛伊木马程序 l特洛伊木马程序可以被直接侵入目标主机。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/常见攻击手法（续）常见攻击手法（续）nWWW的欺骗技术的欺骗技术l攻击者将用户预备浏览的网页的URL，改写为指向攻击者的计算机 n电子邮件攻击电子邮件攻击 l电子邮件轰炸和电子邮件“滚雪球”。 l电子邮件欺骗。 n通过一个节点攻击其他节点通过一个节点攻击其他节点 l攻击者在突破一台目标主机后，以此目标主机作为根据地，攻击其他主机。 全国信息化计算机应用技术资格

15、认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/常见攻击手法（续）常见攻击手法（续）n网络监听网络监听 l网络监听是计算机的一种工作模式。 n黑客软件黑客软件 l利用黑客软件攻击是互联网上比较多的一种攻击手法。n安全漏洞攻击安全漏洞攻击 l任何系统都会存在一定数量的安全漏洞。n端口扫描攻击端口扫描攻击 l端口扫描利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络攻击手法的原理剖析网络攻击手法的原理剖析 n网络攻击手法背后的原理

16、网络攻击手法背后的原理l缓冲区溢出攻击l注入攻击lddos攻击 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/缓冲区溢出攻击的原理和防范措施缓冲区溢出攻击的原理和防范措施n缓冲区溢出的原理缓冲区溢出的原理 l攻击者向一个有限空间的缓冲区中置入过长的字符串，会带来后果：过长的字符串覆盖了邻近的存储单元，结果导致了其他程序运行失败，严重的可能会引起系统崩溃；利用这种漏洞执行任意指令，甚至是取得系统控制权。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/缓冲区溢出攻击的原理和防范措

17、施（续）缓冲区溢出攻击的原理和防范措施（续）n对缓冲区溢出攻击的防范对缓冲区溢出攻击的防范 l针对缓冲区溢出攻击，系统管理员必须做到： 关闭不需要的特权程序 关闭不需要使用的端口和服务 及时给软件漏洞打补丁 尽量不以管理员的身份运行软件 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/拒绝服务攻击的原理和防范措施拒绝服务攻击的原理和防范措施n目标服务器遭受到了拒绝服务攻击或分布式拒绝目标服务器遭受到了拒绝服务攻击或分布式拒绝服务服务l目标主机上有大量等待的TCP连接。 l网络中充斥着大量的无用的数据包，源地址则并不存在。 l存在高流量的

18、无用数据，网络拥塞，目标主机无法响应正常请求。 l利用目标主机提供的服务或传输协议上的缺陷，反复高速出现特定的服务请求。 l目标主机系统死机。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/拒绝服务攻击的原理和防范措施（续）拒绝服务攻击的原理和防范措施（续）n分布式拒绝服务的原理分布式拒绝服务的原理 l一个比较完善的DDoS攻击体系通常由四部分构成。攻击者中间傀儡机攻击傀儡机目标主机 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/拒绝服务攻击的原理和防范措施（续）拒绝服务攻击

19、的原理和防范措施（续）n分布式拒绝服务的防范分布式拒绝服务的防范 l主机系统关闭不必要的服务。 及时更新系统补丁。 l防火墙 关闭不必要的服务。 限制特定IP地址的访问。 启用防火墙的防DDoS的属性。 严格限制对外开放的服务器的向外访问。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全设计的原则网络安全设计的原则n标识并加强最弱的环节标识并加强最弱的环节n提供彻底防御提供彻底防御 n安全故障的管理安全故障的管理 n最小特权最小特权 n划分划分 n使安全策略保持简单使安全策略保持简单n隐私隐私 n不要试图隐藏所有的秘密不要试图

20、隐藏所有的秘密n不要轻易扩展信任不要轻易扩展信任全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全设计的原则（续）网络安全设计的原则（续）n原则一：保护最薄弱的环节原则一：保护最薄弱的环节 l攻击者倾向于设法攻击最易攻击的环节，也就是系统最薄弱的环节。n原则二：纵深防御原则二：纵深防御 l纵深防御的思想是：使用多级防御策略来管理风险，以便在一层防御不够时，还有第二、第三层防御将会阻止完全的破坏。n原则三：保护故障原则三：保护故障 l任何足够精巧复杂的系统都难免会有故障方式。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应

21、用技术资格认证管理中心http:/ http:/网络安全设计的原则（续）网络安全设计的原则（续）n原则四：最小特权原则四：最小特权 l最小特权原则：最小特权原则指只授予执行操作所必需的最少访问权，并且对于该访问权只准许使用所需的最少时间。n原则五：分隔原则五：分隔 l分隔的基本思想是指将系统分成尽可能多的独立单元，那么，系统遭到攻击后的损失可以降至最低。n原则六：简单性原则六：简单性 l保持简单性意味着，不应该添加看上去花哨的功能。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全设计的原则（续）网络安全设计的原则（续）n原则七：

22、提升隐私原则七：提升隐私 l常见的解决方案在客户端显示部分信用卡号，而隐藏某些数字，同时总是对信用卡号加锁。在服务器端，应该加密信用卡号，然后将它输入数据库。在另一台机器上保存信用卡号的密钥。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/网络安全设计的原则（续）（续）网络安全设计的原则（续）（续）n原则八：不要试图隐藏所有的秘密原则八：不要试图隐藏所有的秘密 l安全性通常是有关保守秘密的。用户不想让其个人数据泄漏出去，然而事实上很难满足这些所有的保密需求。 n原则九：不要轻易扩展信任原则九：不要轻易扩展信任 l不要轻易扩展信任指不要

23、轻易认为信任可传递。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/习题习题1什么是网络攻击以及网络安全设计的目的是什么什么是网络攻击以及网络安全设计的目的是什么？2简述网络攻击的基本步骤。简述网络攻击的基本步骤。3试编写程序实现缓冲区溢出攻击。试编写程序实现缓冲区溢出攻击。4简述分布式拒绝服务的原理。简述分布式拒绝服务的原理。5简述安全基本原则并举出生活中实际案例来说明简述安全基本原则并举出生活中实际案例来说明这些原则的有效性。这些原则的有效性。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心htt

24、p:/ http:/第第3章章 服务器操作服务器操作系统基础系统基础 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/教学重点教学重点n操作系统发展趋势操作系统发展趋势 n操作系统基本原理操作系统基本原理 nWindows 2003的安全模块的安全模块 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/操作系统基本原理操作系统基本原理 计算机系统的组成 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/操作系统基本原理（续）操

25、作系统基本原理（续）n操作系统四个基本特征操作系统四个基本特征l并发性（Concurrence） l共享性（Sharing） 互斥共享 同时共享 l虚拟性（Virtual） l异步性（Asynchronism）（不确定性）程序执行的结果是不确定的 进程是以异步方式运行的。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/常见的操作系统分类及其典型代表常见的操作系统分类及其典型代表 n微机操作系统微机操作系统 n多用户多任务操作系统多用户多任务操作系统lUNIX主要特点短小精悍简洁有效易移植可扩充开放性 n多处理机操作系统多处理机操作系统

26、 l主-从式（Master-Slave Mode）多处理机操作系统 l对称式多处理操作系统 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/常见的操作系统分类及其典型代表（续）常见的操作系统分类及其典型代表（续）n网络操作系统网络操作系统 l可把计算机网络广域网（Wide Area Network，WAN）局域网（Local Area Network，LAN） n分布式操作系统分布式操作系统l分布式操作一种多处理机（或多计算机）系统。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http

27、:/Windows Server 2003的安装和配置的安装和配置 nWindows Server 2003概述概述 lWindows Server 2003 Web Edition lWindows Server 2003 Standard Edition lWindows Server 2003 Enterprise Edition lWindows Server 2003 DataCenter Edition 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003的安装和配置（续）的安装和配置（续）

28、nWindows Server 2003的安装的安装 l硬件配置CPU要求 内存要求 硬盘 l系统规划 服务器用做什么用途，网站是什么定位分区 格式化驱动器全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述安全特性概述n活动目录活动目录l域可以做的事情集中存储用户和密码列表提供一组服务器作为“身份验证服务器”或“登录服务器” 对域中的资源维护一个可供搜索的索引 创建带有不同级别权限的用户将域分解为子域，然后将针对这些组织单位的各种级别的控制和权限，分配给指定的个体 全国信息化计算机应用技术

29、资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续） n活动目录（续）活动目录（续）l域作为“安全的边界”而存在，活动目录的信任传递关系就简化了对多域的管理全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n公钥密码系统公钥密码系统l公钥系统所能做到的典型应用 证书服务 可伸缩的CA层次模型 安全的Web通信 安全通信标准 认证码 全国信息化计算机应用技术资格认证

30、管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n加密文件系统加密文件系统l右击需要加密的文件或文件夹，在菜单中选择“属性”命令。l在属性对话框中单击“高级”按钮。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n加密文件系统（续）加密文件系统（续）l在高级对话框中选中“加密内容以便保护数据”复选框，单击“确定”按钮。l在属性对话框中单击“确定”按钮后。l单击“确

31、定”按钮。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n使用使用Windwos的安全配置工具集的安全配置工具集lWindows的安全配置工具为管理员提供了单独的管理点 在基于Windows 2003的一台或多台计算机上配置安全设置。在基于Windows 2003的一台或多台计算机上配置安全分析。把安全配置当作组策略的一部分使用。l命令行模式的Secedit.exe单击 “开始”菜单，单击“运行”命令全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用

32、技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n使用使用Windwos的安全配置工具集（续）的安全配置工具集（续）l命令行模式的Secedit.exe （续）在“打开”文本框中输入“cmd”，单击“确定”按钮此时会运行命令提示符，输入“secedit” 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n使用使用Windwos的安全配置工具集（续）的安全配置工具集（续）l窗口模式的安全配置与分

33、析工具启动管理控制台使用快捷键Win+R输入“mmc”，单击“确定”按钮运行管理控制台如果管理控制台还没有添加过“安全配置与分析”工具，则在控制台界面中，选择“文件”菜单中的“添加/删除管理单元”。在弹出的“添加/删除管理单元”对话框中，单击“添加”按钮。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n使用使用Windwos的安全配置工具集（续）的安全配置工具集（续）l窗口模式的安全配置与分析工具（续）如果管理控制台还没有添加过“安全配置与分析”工具，则（续）在

34、“添加独立的管理单元”对话框中，在“可用的独立的管理单元”列表中选择“安全配置和分析”单击“添加”按钮，依次单击“确定”按钮 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003安全特性概述（续）安全特性概述（续）n使用使用Windwos的安全配置工具集（续）的安全配置工具集（续）l安全模板 账户策略目录对象事务日志本地文件系统系统服务全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/习题习题1试述计算机系统的组成以及操作系统在其间的位试述计算机系

35、统的组成以及操作系统在其间的位置和作用。置和作用。2简述操作系统的基本特性。简述操作系统的基本特性。3当前的操作系统一般分为几类？当前的操作系统一般分为几类？4Windows Server 2003系列有几个版本？各有什么系列有几个版本？各有什么优势？优势？5试安装试安装Windows Server 2003。6简述简述Windows Server 2003的安全特性和主要安全的安全特性和主要安全模块。模块。7试配置试配置Windows Server 2003的安全特性。的安全特性。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/第第

36、4章章 用用 户户 管管 理理 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/就教学重点就教学重点n创建及管理本地用户账户创建及管理本地用户账户 n创建及管理域用户账户创建及管理域用户账户 n创建及管理计算机账户创建及管理计算机账户n组的创建和管理组的创建和管理 n组策略的创建及应用组策略的创建及应用 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/用户账户和组账户的概念和基本类型用户账户和组账户的概念和基本类型n账户可以用于：账户可以用于：l验证计算机或用户的身份。 l授权或

37、拒绝访问计算机和域中的资源。 l审核用户或计算机账号的活动。l管理其他安全主体 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/用户账户和组账户的概念和基本类型（续）用户账户和组账户的概念和基本类型（续） nWindows Server 2003用户账户用户账户 l内置账户 l本地用户账户 l域账户 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/用户账户和组账户的概念和基本类型（续）用户账户和组账户的概念和基本类型（续）nWindows Server 2003组账户组账户 l组

38、的类型安全组通信组 l组的作用域域本地组 全局组 通用组 n计算机账户计算机账户 l计算机账户也是一个安全主体。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/用户账户的管理用户账户的管理 n在在Windows Server 2003中，根据本地计算机是否作中，根据本地计算机是否作为为“域控制器域控制器”而拥有不同的用户管理工具。而拥有不同的用户管理工具。l如果本地计算机是独立服务器或者成员服务器（即非“域控制器”），可以通过“开始”菜单“管理工具”“计算机管理”“本地用户和组”管理工具来管理本地计算机用户账户和用户组。l如果本地计算

39、机是域控制器，则可以使用“开始”菜单“管理工具”“Active Directory用户和计算机”管理工具来管理本地计算机用户账户和用户组。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建新用户账户创建新用户账户n设置用户账户登录名和用户基本信息设置用户账户登录名和用户基本信息l打开“Active Directory用户和计算机”管理工具，选择Users组织单元。在菜单栏中依次选择“操作”“新建”“用户”命令。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建新用户账户（续

40、）创建新用户账户（续）n设置用户账户登录名和用户基本信息设置用户账户登录名和用户基本信息 （续）（续）全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建新用户账户（续）创建新用户账户（续）n设置用户账户登录密码设置用户账户登录密码l强密码的要求长度至少有七个字符。 不包含用户名、真实姓名或公司名称。 不包含完整的字典词汇。 与先前的密码大不相同。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建新用户账户（续）创建新用户账户（续）n设置密码的过程设置密码的过程l单击“新建对

41、象用户”对话框中的“下一步”按钮l设置用户账户密码l在“密码”对话框中输入用户账户的密码l在“新建对象用户”密码设置对话框有四个复选框用户下次登录时须修改密码用户不能更改密码密码永不过期 账户已经禁用 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建新用户账户（续）创建新用户账户（续）n完成用户账户创建完成用户账户创建l在“新建对象用户”密码设置对话框中单击“下一步”按钮l如果输入的密码不满足组策略的强密码要求，在单击“完成”按钮时会弹出对话框，提示用户密码不符合强密码策略。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机

42、应用技术资格认证管理中心http:/ http:/用户账户密码策略用户账户密码策略 n修改用户账户密码修改用户账户密码l在菜单栏中依次选择“操作”“重设密码”l在“新密码”文本框中输入新的用户账户密码，在“确认密码”对话框中再输入一次新密码全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/用户账户密码策略（续）用户账户密码策略（续）n鼓励用户遵循最佳密码保护策略鼓励用户遵循最佳密码保护策略l最佳密码保护策略：始终使用强密码。如果不得不将密码写在纸上，请将纸张保存在安全位置，并在不再需要时销毁。 永远不要与任何人共享密码。 对所有用户账户都

43、分别使用不同的密码。 密码一旦泄露，应立即更改密码。 谨慎选择密码在计算机上保存的位置。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性设置用户账户属性n修改、设置用户账户的属性修改、设置用户账户的属性l双击“Active Directory用户和计算机”中的用户账户，或者右击用户账户，并在上下文菜单中选择“属性”选项。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续） n“常规常规”选项卡选项卡l在选项卡中输入用户的基

44、本信息。n“地址地址”选项卡选项卡 l选择“地址”选项卡，输入用户的详细通信地址信息 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“账户账户”选项卡选项卡l在创建用户账户时设置的用户账户基本信息，如登录名、所在域等信息可以在此窗口更改 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“账户账户”选项卡（续）选项卡（续）l登录时间 单击“账户”窗口中的“登录时间”按钮单击日期和钟点构

45、成的二维表中的方块，并在右侧选择“允许登录”或“拒绝登录” 。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“账户账户”选项卡（续）选项卡（续）l登录到计算机 在“账户”选项卡中可以设置用户可以登录的计算机，默认设置为用户可以登录所有计算机 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“账户账户”选项卡（续）选项卡（续）l账户选项 使用可逆的加密保存密码 交互式登录必须使用智能卡

46、 账户可以委派其他账户 敏感账户，不能被委派 此账户需要使用DES加密类型不要求Kerberos预身份验证l账户过期 在“账户”选项卡上“账户过期”区域内可以决定用户账户是否会过期。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“配置文件配置文件”选项卡选项卡l“配置文件”选项卡，包括“用户配置文件”和“主文件夹”两个区域。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“电话电话”

47、选项卡选项卡 l电话”选项卡中可以保存与用户相关的联系电话及一些备注信息 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“单位单位”选项卡选项卡l在“单位”选项卡中可以输入用户所在公司、该用户的职务、部门、部门经理等信息 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“隶属于隶属于”选项卡选项卡 l允许把用户添加到当前所在域的组中，或者添加到树林里其他域的组中 。l要将用户添加到某

48、个组中单击 “添加”按钮全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/n“隶属于隶属于”选项卡选项卡 （续）（续）l要将用户添加到某个组中（续）在“输入对象名称来选择”文本框中输入用户所属的组的名称。单击“检查名称”按钮以确认组的名称是否输入正确 。单击“高级”按钮 。 设置用户账户属性（续）设置用户账户属性（续）全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“拨入拨入”选项卡选项卡l设置用户账户的一组拨入属性，控制用户如何从远程

49、位置连接到网络。n“环境环境”选项卡选项卡 l启动程序 l客户端设备 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“会话会话”选项卡选项卡l“会话”选项卡主要包括内容结束已断开的会话活动会话限制 空闲会话限制 当达到会话极限或者连接被中断时 允许重新连接 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“远程控制远程控制”选项卡选项卡 l选择“启用远程控制”复选框来设置是否要远程控制或

50、者观察用户的会话。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置用户账户属性（续）设置用户账户属性（续）n“终端服务配置文件终端服务配置文件”选选项卡项卡l终端服务配置文件 l终端服务主文件夹 l允许登录到终端服务器 n“COM+”选项卡选项卡l“COM+”选项卡可以用来将用户指派为某COM+ 分区集的成员 。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/管理用户账户管理用户账户 n用户账户用户账户l用户账户在不再使用的时候可以删除。l用户账户管理的建议禁用和启用用户

51、账户 重命名用户账户 删除用户账户 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建和修改计算机账户创建和修改计算机账户 n创建计算机账户创建计算机账户l在“Active Directory用户和计算机”中选择要放置计算机的组织单元 ，然后在菜单栏中依次选择“操作”“新建”“计算机” 。l输入计算机的名称。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建和修改计算机账户（续）创建和修改计算机账户（续）n修改计算机账户属性修改计算机账户属性l右击需要设置属性的计算机账户，

52、在弹出的菜单中选择“属性”。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003默认组默认组n本地域组本地域组lAccount Operators（账户操作员） lAdministrators（管理员） lBackup Operators（备份操作员） lGuests（来宾） lIncoming Forest Trust Builders（仅出现在林根域中） lNetwork Configuration Operators（网络配置操作员） 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用

53、技术资格认证管理中心http:/ http:/Windows Server 2003默认组（续）默认组（续）n本地域组（续）本地域组（续）lPerformance Monitor Users（性能监视用户） lPerformance Log Users（性能日志用户） lPrint Operators（打印操作员） lRemote Desktop Users（远程桌面用户） lReplicator（复制器） lServer Operators（服务器操作员） lUsers（用户）全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windo

54、ws Server 2003默认组（续）默认组（续）n全局组全局组lDomain Admins（域管理员） lDomain Computers（域计算机） lDomain Controllers（域控制器） lDomain Guests（域来宾） lDomain Users（域用户） lEnterprise Admins（仅出现在林根域中） lSchema Admins（仅出现在林根域中） 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/Windows Server 2003默认组（续）默认组（续）n系统组系统组 lEveryone（每

55、一个） lInteractive（交互）lNetwork（网络）lNetwork Service（网络服务） lSystem（系统）lCreator Owner（创建者所有者） lAuthenticated Users（已授权组） 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组创建组n创建组创建组l在“Active Directory用户和计算机”中选择需要建立新组的组织单元。l选择“操作”“新建”“组”命令。l在“组名”文本框内输入组的名称，然后分别在“组作用域”和“组类型”区域内选择合适的组作用域和组类型。 全国信息化计算机

56、应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置组属性设置组属性n“常规常规”选项卡选项卡 l组的作用域可以做如下改变。改变全局组为通用组。改变域本地组到通用组。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置组属性（续）设置组属性（续）n“成员成员”选项卡选项卡 l在“成员”选项卡中可以为组添加成员账户。组中的成员可以包含用户账户、联系人、计算机和其他组。在对话框中单击“添加”按钮 。全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ htt

57、p:/设置组属性（续）设置组属性（续）n“隶属于隶属于”选项卡选项卡 l在组属性的“隶属于”选项卡中可以将本组添加到其他组中，使其成为其他组的成员 。l在“选择组”对话框中单击“高级”按钮，在弹出的 “选择组”对话框中单击“立即查找”按钮。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/设置组属性（续）设置组属性（续）n“管理者管理者”选项卡选项卡l单击 “更改”按钮，在弹出的“选择用户或联系人”对话框中输入这个组的管理者的名称。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:

58、/删除组删除组 n删除组删除组l在删除组上单击鼠标右键，然后在弹出的上下文菜单中选择“删除”命令。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/组策略概述组策略概述 n组策略的优势组策略的优势 l保护用户环境 l增强用户环境n组策略的应用顺序组策略的应用顺序 l惟一的本地组策略对象。 l站点组策略对象l域组策略对象l组织单位组策略对象 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略创建组策略 n创建组策略对象（创建组策略对象（GPO）l在“Active Direc

59、tory用户和计算机”中打开站点或者域的的属性对话框，选择“组策略”选项卡，单击对话框中的“新建”按钮。 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略（续）创建组策略（续）n组策略对象权限组策略对象权限 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略（续）创建组策略（续）n使用组策略编辑器编辑组策略使用组策略编辑器编辑组策略 l选择要编辑的组策略对象，单击“编辑”按钮。l右击“关闭自动播放”，在弹出的菜单中选择“属性”，弹出属性设置窗口。 全国信息化计算

60、机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略（续）创建组策略（续）n设置组策略对象属性设置组策略对象属性l组策略对象的“属性”对话框共有四个选项卡 “常规”选项卡 “连接”选项卡 “安全”选项卡 “WMI筛选器”选项卡 全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略（续）创建组策略（续）n设置组策略对象属性设置组策略对象属性 （续）（续）全国信息化计算机应用技术资格认证管理中心全国信息化计算机应用技术资格认证管理中心http:/ http:/创建组策略（续）创建组策略