第5章-Windows操作系统的安全机制(ppt)课件

1、第5章 Windows操作系统的安全机制 Windows操作系统的安全性概述5.1 Active Directory的结构与功能5.2 Active Directory组策略5.3 用户和工作组的安全管理5.4 审 核 机 制5.57/25/202215.1 Windows操作系统的安全性概述5.1.1 Windows操作系统概述 Microsoft公司从1983年开始研制Windows系统，最初的研制目标是在MS-DOS的基础上提供一个多任务的图形用户界面 。 第一个版本的Windows 1.0于1985年问世，它是一个具有图形用户界面的系统软件。1987年推出了Windows 2.0版，最

2、明显的变化是采用了相互叠盖的多窗口界面形式 。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功确定了Windows系统在PC领域的垄断地位 。现今流行的 Windows 窗口界面的基本形式也是从Windows 3.0开始基本确定的 。7/25/20222 接下来是Windows 9X系列，包括Windows Me，Windows 9X的系统是一种16位/32位混合源代码的准32位操作系统，故不稳定。 Windows 2000是发行于1999年12月19日的32位图形商业性质的操作系统。Windows xp是微软公司发布的一款视窗操作系统。它发行于2001年8月25日

3、。Windows Server 2003是目前微软推出的使用最广泛的服务器操作系统，于2003年3月28日发布。 Windows Vista已在2006年11月30日发布。Windows 7是微软的下一代操作系统，正式版已于2009年10月23日发布。据国外媒体报道，日前有消息称Windows 8计划的发布将是2012年下半年 。 7/25/202235.1.2 Windows XP的安全特性1适合需要的文件系统Windows XP支持3种文件系统，即NTFS、FAT16和FAT32。2保护系统免受病毒侵害系统中的软件限制策略，可以避免计算机感染病毒和其他通过电子邮件和Internet传播的恶

4、意代码。7/25/202243在连接Internet期间保证系统安全Internet协议安全Kerberos V5身份验证协议Internet连接防火墙Cookie管理4使用智能卡增强安全性使用智能卡可存储证书和私钥并实现公钥操作，比如身份验证、数字签名和密钥交换，Windows xp允许在安装了相应硬件和软件的计算机上充分利用智能卡的优点。7/25/202255.1.3 Windows 2000的安全特性1安全利益2数据安全性用户登录时的安全性使用VPN保护网络数据存储数据的保护3企业间通信的安全性在目录服务中创建专门为外部企业开设的用户账号建立域之间的信任关系公用密钥体制7/25/2022

5、64企业和Internet的单点安全登录5易用的管理性和高扩展性6其他的安全特性加密应用程序编程接口设备驱动程序签名7/25/20227一个安全模型共享密钥协议Windows NTLM身份验证 NTLM Windows NT LAN管理器用于企业级网络的Kerberos V5公钥验证协议安全套接字层 (SSL) / 传输层安全 (TLS)IP的安全性Active Directory身份验证的多种方式5.1.4 Windows 2000的安全结构7/25/202285.1.5 Windows 2000的网络模式1工作组模式：是一种简单的网络模式，各个工作站的用户通过加入一个用户组共享资源。2域模

6、式：在此模式中，用户账号数据库和计算机策略是以共享方式存储的。3安全限制：系统在共享级访问控制和用户级访问控制方面是安全的，因为其有严格的登录要求。7/25/202295.1.6 Windows 2000安全管理工具1Microsoft管理控制台（MMC）：是指进行系统维护的各种管理工具工作的地方,通过它用户可以创建、保存和打开用于管理硬件、软件和Windows系统组件的工具。MMC 本身不执行管理功能，但可以接纳执行各种系统功能的工具，可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任务。 用户使用MMC有两种方法，第一种是在用户模式下使用现有的

7、MMC控制台管理系统，第二种是在作者模式下创建新控制台和修改现有的MMC控制台。 7/25/202210 Windows 2000可以创建一个或多个“控制台”，这些控制台内可以包含一个或多个的管理单元。所有这些特性都能被远程计算机使用，并允许管理员从同一网络上的任何其他计算机上修复和配置其中的某台计算机。“管理控制台”和“管理单元”帮助用户更容易地管理本地或远程计算机。 7/25/202211MMC 控制台窗口Windows 2000的MMC控制台窗口由两个窗格组成，左窗格称为控制台目录树，右窗格则称为结果窗格，如下图所示的“组件服务”控制台窗口。 控制台目录树显示给定控制台中可用的项目，结果

8、窗格则包含有关这些项目功能的信息。在控制台目录树中，当用户单击不同项目时，结果窗格中的信息将相应改变，结果窗格可以显示很多类型的信息，包括网页、图形、图表、表格和列表等。 7/25/2022127/25/202213添加/删除管理单元为了便于统一管理和增强控制台的功能，用户可以向控制台添加管理单元。但有时，某一项控制台管理单元的功能可能不再为用户所使用，这时用户可以将它删除。 步骤：A. 启动MMC，在“运行”菜单输入mmc.exe，此时打开一个空白的MMC。B. 选择“控制台”“添加/删除管理单元”,打开对话框，选择独立（或扩展）管理单元类型。7/25/202214C. 打开“管理单元列表”

9、对话框，选定其中一个（例如：事件查看器）管理单元。D. 打开“选择计算机”对话框，选择事件查看器将监视哪一台计算机（可选择远程计算机），此处选择本地计算机。E. 完成后可在“程序”“管理工具”查看到新建的管理单元。7/25/2022155.2 Active Directory的结构与功能 Active Directory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。 7/25/2022165.2.1 Active Director

10、y的功能和特点1高度的集成性2集成的安全性3自定义的用户环境4Active Directory与域名系统（Domain Name System，DNS）高度集成5Active Directory可直接支持Lightweight Directory Access Protocol (LDAP)及Hypertext Transfer Protocol (HTTP)6Active Directory支持许多常用的标准名称格式7服务配置8支持目录的应用程序和软件安装7/25/2022175.2.2 Active Directory组件1名称空间和命名环境2Active Directory中的对象和对象

11、名称3全局编录4架构5域6域目录树和目录林7组织单位（Organizational Unit, OU）8组策略9站点7/25/202218全局编录 全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。 全局编录担当了以下目录角色：查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息 7/25/202219域：是网络对象的集合，这些对象可以包括组织单元、用户、组和计算机，它们都共享与安全性有关的公用目录数据库。它是Active Directory的基础，是其逻辑体系结构的核心单元。

12、组策略：它提供了将安全性和配置设置组合为模板的能力，可将这种模板应用于单独的系统和域。7/25/202220Active Directory和安全性 安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号，管理员得以更加有效地管理系统的安全性。 7/25/2022215.3 Active Direct

13、ory组策略5.3.1 组策略简介组策略（GP）提供进一步控制和集中管理用户桌面环境的功能。组策略是一组配置设置，组策略管理员应用于活动目录存储中的一个或多个对象，也可以控制域中用户的工作环境。 组策略还授予用户和组权力。 7/25/202222组策略优点 （1）保护用户环境（2）增强用户环境 自动安装应用程序到用户的“开始”菜单。启动应用程序分发，方便用户在网络上找到并安装相应应用程序。安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。重定向文件夹到网络位置增强数据可靠性。7/25/202223安全设置：组策略管理员可以

14、限制用户访问文件和文件夹 。管理模板：包括基于注册表的组策略，可以利用它来强制注册表设置，控制桌面的外观和状态，包括操作系统组件和应用程序。 远程安装服务（RIS）：当运行用户安装向导时，控制显示给用户的RIS安装选项。 文件夹重定向：可以重定向Windows Server 2000指定的文件夹从用户配置文件缺省位置到另一个网络位置，从而对这些文件夹集中管理 。 7/25/2022245.3.2 组策略的创建1组策略配置设置组策略可以设置的策略如下。（1）软件安装（2）管理模板（3）脚本（4）安全性（5）文件夹重定向7/25/2022252组策略对象的构成3创建组策略对象4创建未连接的组策略对

15、象5组策略对象链接7/25/2022265.3.3 管理组策略1默认权限2委派组策略的控制权 3Microsoft 管理控制台的策略4使用安全组筛选组策略5使用组策略控制组策略6添加模板7/25/2022275.3.4 应用组策略1处理组策略2刷新组策略3解决冲突的组策略4组策略的继承关系7/25/202228组策略模板 组策略模板（GRT）是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夹下的文件夹结构。 GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。 7/25/202229组策略包括：计算机配置、用户配置其组策略包含以下内容

16、： 1）管理模板：包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。 2）Windows设置：包括脚本、安全设置（用户策略和本地策略）等相关的策略。 3）软件设置：包括软件安装策略，可以进行应用程序的指派与发布。7/25/202230组策略对象图1“组策略”选项卡7/25/202231更改组策略（1）选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，选择“属性”“组策略”命令。（2）选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。（3）打开如图1所示的“组策略”窗口后，然后双击窗口右侧的“在

17、本地登录”(图2）。7/25/202232图2 组策略窗口7/25/202233（4）出现如图3所示的对话框时，单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。（5）返回“组策略”窗口时，请关闭此窗口。（6）返回“Domain Controllers属性”对话框，单击“确定”。 7/25/202234图 3 有“在本地登录”权限的用户和组 7/25/202235验证更改组策略的有效性（1）在服务器端，以administrator账户登录。（2）依次选择“开始”“程序”“管理工具”“Active Directory

18、用户和计算”选项，从中选择“新建”“用户”命令添加一个一般的用户账户。（3）完成后，注销administrator，然后等待此组策略生效。（4）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。返回本节7/25/202236设置管理模板策略（1）在“Active Directory中，选择“属性”“组策略”“新建”命令，添加一个GPO，命名为“xuexiao Policy”。（2）在如图4所示的对话框中，单击“编辑”。（3）在如图5所示的“组策略”窗口中，选择“用户配置”“管理模板”“任务栏和开始菜单”选项。7/25/202237（4）打开后选择“用户配置”“管理模板”“桌面”。（

19、5）完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。7/25/202238图4 添加新的组策略7/25/202239图5 设置组策略 7/25/2022405.4 用户和工作组的安全管理5.4.1 Windows 2000的用户账户1本机用户账户：在本机中建立的用户账户。2域用户账户：使用网域用户账户注册的用户可以使用网域上的资源，因此域用户账户的权限比本机用户账户来得广。3默认用户账户AdministratorGuest7/25/202241本地用户账号（Local User Account） 本地用户账号只能登录到账号所在计算机并获得对该资源的访问。 当创建本地用户账号

20、后，Windows Server 2000将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。 当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。 7/25/202242域用户账号（Domain User Account） 域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。 当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可

21、以在登录过程中对用户进行身份验证。7/25/202243内置用户账号（Built-in User Account） Windows Server 2000自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Guest。 使用内置Administrator（管理员）账号管理计算机和域配置 。 Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。 7/25/2022445.4.2 用户账户安全设置1密码策略密码策略主要包括以下设置。（1）强制密码历史（2）密码最长存留期（3）密码最短存留期（4）密码必须符合复杂性要求（5）使用可还原的加密存储密码7/25/202245图7 设置密码策略7/25/2022462账户锁定策略账户锁定策略包括以下设置。（1）复位账户锁定计数器（2）账户锁