操作系统安全防范

第9章操作系统安全防范

本章内容网络操作系统

9.1windows2003的安全特性

9.2

windows2003的权限

9.3windows2003各种权限

应用9.4windows2003的加密文件系统

9.5

引导案例:

在现实生活中，经常会遇到这样的问题：当打开电脑进入操作系统桌面办公的过程中，由于中间临时有事需暂时离开，此时既不想关机又不想随身携带电脑，如何保障个人电脑信息不被别人偷窃或偷看呢？有经验的用户可能设置“屏保密码”和设置开机密码来实现，但如果不小心别人知道了你的密码，或者通过技术手段对你的操作系统密码进行暴力破解，又当如何进行防御呢？本章除了对windows2003操作系统常用安全功能进行阐述外，还将提供一种对操作系统用户身份验证，保护电脑不被非授权用户直接操作的新途径。

windows2003的安全模板的定制与分析9.6windwos2003的权限夺取

9.7

windwos操作系统中防御各种木马与恶意程序

9.8网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，控制用户对网络资源的访问，它提供高效的通信服务和网络存储、打印服务，它能运行客户机/服务器应用程序来扩充网络应用。由于网络操作系统扮演着服务提供着的角色，所以我们也把它称为服务器操作系统。计算机网络飞速发展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和服务来满足人们的需要，做好网络的控制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择合适的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。网络操作系统有以下几类：

●Windows系列中的WindowsNT，Windows2000/2003Server操作系统；

●Unix系列中的Solaris和BSD等操作系统；

●Linux系列中的RedHat、红旗等操作系统。网络操作系统9.1Windows2003操作系统

Windows2003是微软公司开发的新一代高性能、高可靠性和高安全性的网络操作系统。它是WindowsNT系列中的一员，在Windows2000操作系统上做了许多重大改进，特别的，为了适应Internet分布式网络环境的需要，Windows2003集成了.Net框架平台，简化了Web应用程序的开发，并提供良好的支持和可缩放的服务端运行环境。同时为了配合.net运行环境，Windows2003中集成了IIS6.0版Web服务器，相比IIS5.0，它在可靠性、安全性和可管理性方面有长足进步，支持ASP.NET和XML技术，使得Windows2003成为一个优秀的Web平台。另外，它的安全性相比Windows2000大大增加，它除了堵完已发现的所有安全漏洞，还重新设计了安全子系统，改进了安全算法。

WindowsServer2003针对不同的应用级别提供了四种版本，它们分别是Web、Standard、Enterprise和Datacenter。目前企业中使用较多的是Enterprise版，它可满足各种规模的企业的一般用途，是各种网络应用程序、Web服务和基础结构的理想平台，具有出色的商业价值。它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB，具有优异的伸缩性。它功能强大，易于配置和管理，界面友好美观，操作方便容易，所以迅速成为主流的网络服务器操作系统之一。

Windows2003的安全性相当复杂，它实现以下目标：实现企业中的单一登录，集成的安全服务，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核服务等等。这些目标由安全子系统来实现，安全子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他安全操作，占据着相当重要的地位。安全子系统主要由登录过程、本地安全认证、安全账号管理器和安全参考监视器等安全子组件组成。windows2003的安全特性

9.2Windows安全子系统Winlogon安全参考监视器(SRM)验证软件包本地安全认证(LSA)安全账号管理器GINA网络客户机/服务器Netlogon

登录过程(Winlogon)：在交互式登录过程中负责登录相关的安全性工作，处理用户的登录与注销、启动用户Shell、更改密码、锁定与解锁工作站等。此外，WinLogon还必须保证其与安全相关的操作对其他进程不可见，防止其他进程获取登录密码。图形标识和身份验证动态链接库(GINA)：GINA在用户登录时被WinLogon进程加载，用来实现用户的身份验证过程，实现Windows登录界面，提供用于标识和验证用户的输出函数，它允许被替换，以使用户定制自己的身份验证操作。身份验证软件包：身份验证软件包位于一个动态链接库之中，它执行用户身份验证工作。它接收由GINA提供的用户证书凭证，经校验后，为用户创建一个LSA登录会话，并返回绑定到用户安全令牌中的安全标识符(SID）本地安全授权(LSA)：LSA是Windows2000/2003系统的核心安全组件，它负责在本地和远程用户登录过程中验证用户身份，产生安全令牌，并维护本地安全策略。它还控制审计方案，并将安全参考监视器产生的审计信息记入日志。Windows安全子系统Windows安全子系统网络登录(Netlogon)：Netlogon服务维护计算机到所在域内的域控制器的安全信道，然后传送用户的证书凭证穿过此安全信道，再为安全主体返回一个带有SID和用户权力的访问权标。安全账号管理器(SAM)：安全账号管理器维护安全账号数据库，即SAM数据库，该数据库包含用户和组的账号信息。在工作组模式下，SAM数据库存放在本地系统中，在域模式下，存放在域控制器中。安全参考监视器(SRM)：安全参考监视器运行在内核模式，它负责访问控制和审核，通过将安全主体的访问令牌与客体的访问控制板(ACL)相比较，确定是否具有访问权限，阻止非授权用户访问对象。同时它还负责实施审计操作，对落入审计范围内的操作产生审计信息。

1.用户账户和用户组账户在Windows2003中，有三种账户类型：本地用户账户、域本地组账户和域全局组账户。当系统刚安装完的时候，系统会默认地创建一批内置的本地用户和本地组账户，存放在本地计算机的SAM数据库中；而当Windows2003系统升级为域控制器的时候，系统则会创建一批域组账号，用于域中的管理和活动。Windows2003系统默认创建两个账户：Administrator和Guest。Administrator是超级管理员账户，具有最高权限，它可以创建、删除其他用户和组，管理安全策略，更改系统设备，格式化硬盘等。Guest是来宾用户，默认是禁止的，它用于临时登录的一次性用户，具有最小权限。这两个默认账户均可以改名，但都不能删除。9.2.2

Windows2003的账户管理

●Administrators：该组的成员为系统管理员，可以控制整个系统，Administrator账号即属于该组。

●Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。

●Guests：来宾组，具有系统最小权限，用于临时登录，Guest账户属于该组。另外还有BackupOperators、PrintOperators、AccountOperators等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员

9.2.2Windows2003的账户管理我们可可以通通过用用户管管理器器或者者命令令行工工具来来管理理用户户和账账户和和组账账户。。用户户管理理器在在计算算机管管理中中，依依次打打开““控制制面板板”―>““管理工工具””―>““计算机机管理理”－－>“本地用用户和和组””，就就能管管理用用户账账户了了账户管管理工工具创建组组创建组组的方方法与与创建建用户户相同同，而而且没没有那那么多多选项项。我我们可可以在在组中中添加加成员员，如如图9-3。我们们可以以禁用用用户户，但但不能能禁用用用户户组。。在删删除一一个组组的时时候，，组中中的账账户并并不删删除。。同样样的，，用户户账户户可以以改名名，而而组不不能。。netuser命命令创创建建组在“开开始””－““运行行”中中输入入“cmd”打开命命令提提示符符窗口口，然然后输输入““netuser/addPeter”。Windows2003的权限限大致致分为为两类类：NTFS权限与与共享享权限限。NTFS权限：：是windows2003的操作作系统统在NTFS分区上上权限限；用用于控控制资资源的的安全全性，，可作作用的的范围围包括括本地地用户户访问问与网网络用用户访访问。。共享权权限：：是windwos2003的操作作系统统控制制网络络资源源访问问的一一种权权限，，用于于控制制网络络访问问行为为的安安全性性。只只针对对网络络用户户生效效，不不能作作用于于本地地用户户的资资源访访问行行为。。该权权限方方式可可以在在NTFS分区中中存在在，也也可以以在FAT分区中中存在在。区别NTFS权限与与共享享权限限的关关键是是：NTFS权限只只能是是NTFS分区的的安全全特性性，而而共享享权限限可以以存在在于NTFS分区，，也可可以存存在于于FAT分区。。NTFS权限即即针对对本地地用户户也针针对网网络用用户；；而共共享权权限只只针对对网络络用户户。这这是两两种不不同的的权限限类型型，但但它们们可以以接合合使用用，达达到更更好的的保护护资源源的目目的。。9.3windows2003的权限限NTFS权权限选择处处于NTFS分区的的某项项资源源（文文件或或文件件夹））单击击鼠标标右键键；选选择【属性】，再选选择【安全】选项卡卡：完全控控制：：对文件件与文文件夹夹拥有有不受受限制制的完完全访访问。。选中中了““完全全控制制”，，下面面的五五项属属性将将被自自动被被选中中。该该权限限是所所有NTFS权限中中权力力最高高的选选项。。在使使用时时要小小心。。修改：：除了具具有““写入入”和和“读读取与与继承承”的的权限限外，，还有有删除除、重重命名名子文文件夹夹的权权限，，选中中了““修改改”，，下面面的四四项属属性将将被自自动被被选中中。下下面的的任何何一项项没有有被选选中时时，““修改改”条条件将将不再再成立立。读取和和运行行：允许读读取和和运行行任何何文件件，““列出出文件件夹目目录””和““读取取”是是“读读取和和运行行”的的必要要条件件。列出文文件夹夹目录录：只能浏浏览该该卷或或目录录下的的子目目录，，不能能读取取，也也不能能运行行。读取：：能够读读取分分区或或文件件夹下下的数数据。。写入：：能够往往该分分区或或文件件夹下下写入入数据据。特别的的权限限：对以上上的六六种权权限进进行了了更详详细分分，这这不在在本书书所描描述的的范围围内。。NTFS权限的的““写入入”，，通俗俗的讲讲只能能向某某个文文件夹夹增加加内容容。但但是不不能删删除内内容。。而““修改改”除除了可可以增增加内内容外外，还还可以以删除除内容容。““修改改”的的权限限大于于“写写入””的权权限。。使用NTFS权限的的原则则：用户将将继承承用户户所属属组的的NTFS权限。。NTFS权限是累累加的结结合。文件的权权限超越越文件夹夹的权限限。NTFS权限中的的DENY（拒绝））权限优优先任何何NTFS权限9.3.4共享享权限选择处于于任何分分区的某某项资源源（文件件夹）单单击鼠标标右键；；选择【属性】，再选择择【共享】选项卡：使用共享享权限的的原则：：共享权限限不受系系统分区区格式的的限制，，可以是是NTFS分区也可可以是FAT分区。共享权限限只针对对网络访访问生效效，对本本地用户户访问不不生效。。共享权限限是累加加的这与与NTFS权限类似似。共享权限限的拒绝绝优先于于任何权权限，这这与NTFS权限类似似。windows2003各种权限限的结合合的复合合应用：：9.4windows2003各种权限限的结合合的复合合应用windows2003NTFS权限与与共享权权限的复复合应用用实现第一步：：打开“开开始”－－“程序序”－““管理工工具”－－“计算算机管理理”，展展开“本本地用户户和组””，在用用户列表表中创建建两个新新组，名名称test1和test2，不做其其他设置置。windows2003NTFS权限与与共享权权限的复复合应用用实现第二步：创建用用户，打打开“开开始”－－>“程序”－－>“管理工具具”－>“计算机管管理”，，展开““本地用用户和组组”，在在用户列列表中创创建一个个新用户户user1。windows2003NTFS权限与与共享权权限的复复合应用用实现第三步：：把user1用户加入入到tset1的用户组组与test2的用户组组。打开开“开始始”－>“程序”－－>“管理工具具”－>“计算机管管理”展展开“本本地用户户和组””，“user1”－>“属性”－－>“隶属于””－>“添加”－－>“高级”－－>“立即查找找”－>“test1”－>“确定”。。如下图图9-11所示，用用同样的的步骤可可以将user1加入到test2的用户组组：windows2003NTFS权限与与共享权权限的复复合应用用实现第四步：：在文件服服务器（（00）的NTFS分区上建建立一个个叫做““test”文件夹。。配置用用户组test1对“test”文件夹的的NTFS权限为““只读””。用户户组test1对“test”文件夹的的共享权权限为““完全控控制”。。windows2003NTFS权限与与共享权权限的复复合应用用实现配置用户户组test2对“test”文件夹的的NTFS权限为““只读””。如图图9-14所示。用用户组test2对“test”文件夹的的共享权权限为““修改””。windows2003NTFS权限与与共享权权限的复复合应用用实现第五步：：用户user1从网络访访问文件件服务器器证实复复合权限限应用的的结果；；用户user1只能读取取文件夹夹，不具具备其它它任何权权限。9.5.1什么是加加密文件件系统（（EFS）加密文件件系统（（EncryptingFileSystem)是Windows2000及以上Windows版本中，，磁盘格格式为NTFS的文件加加密。加加密文件件系统(EFS)允许用户户以加密密格式存存储磁盘盘上的数数据。加加密是是将数据据转换成成不能被被其他用用户读取取的格式式的过程程。一旦旦用户加加密了文文件，只只要文件件存储在在磁盘上上，它就就会自动动保持加加密状态态。解密密是将数数据从加加密格式式转换为为原始格格式的过过程。9.5windows2003的加密文文件系统统(1)当用户启启动EFS加密，EFS的驱动程程序会调调用“微微软的加加密服务务提供程程序（MicrosoftCryptoProvider）”来产产生一个个“文件件加密密密钥（FEK）”也就就是所谓谓的“对对称式密密钥”而而这个密密钥的位位数，由由一个叫叫做“随随机数生生器”来来提供。。一般生生成一个个128位的密钥钥。(2)EFS就利用FEK来加密文文件。注注意只有有文件中中的数据据才会被被加密，，对于文文件名，，属性与与其它摘摘要都不不会被加加密。文文件的各各种权限限也会保保持不变变。(3)现在EFS会将加密密完成的的文件存存储在NTFS分区上，，EFS不会独立立出NTFS分区，它它只是NTFS分区的一一个增强强特性。。(4)EFS再次调用用“微软软的加密密服务提提供程序序（MicrosoftCryptoProvider）”这一一次，它它的目的的是获得得用户的的EFS公钥。然然后使用用一个EFS的公钥加加密FEK的一个副副本，并并将它存存储到一一个数据据的解密密字段（（DDF）中。注注意DDF字段是和和文件一一起保存存的。事事实上能能够解密密这个DDF字段的只只有用户户EFS公钥所对对应的私私钥。私私钥必须须由EFS用户谨慎慎保管。。EFS的加密工工作过程程EFS的的加密工工作过程程注意：在加密过过程执行行到(4)的同时，，windows的系统管管理员的的“文件件恢复（（filerecoveryFR）”公钥钥来加密密FEK的另一个个副本，，并将结结果保存存到一个个“数据据恢复字字段中（（DRF）它出和和文件一一起存储储。用户户于在用用户的EFS私钥不完完整或是是丢失的的情况下下，由数数据恢复复代理（（DRA）帮助用用户恢复复已被EFS加密的文文件。事事实上这这个过程程相当的的复杂。。第一步：：利用系系统管理理员登陆陆操作系系统，建建立两个个用户，，一个叫叫做user1，另一个个叫做user2。注销系系统管理理员。第二步：：利用用用户user1登陆操作作系统。。在NTFS分区上建建立一个个叫做““test”的文件夹夹，然后后在文件件夹里建建立一个个叫“test”的文本文文件，任任意的在在文本文文件中输输入一些些内容。。第三步：：开始利利用EFS加密test文件选择择“test”文件夹，，单击鼠鼠标右键键，选择择“属性性”在““常规””选项卡卡中的““高级””中的““加密内内容以便便保护数数据”如如图9-16所示9.5.3EFS加密文件件的配置置9.5.3EFS加密文件件的配置置第四步：：查看并并导出加加密test文件的密密钥。开开始—>运行—>在“打开开”中输输入：MMC。在控制制台中，，选择““文件””—>添加/删除管理理单元—>添加—>证书；显显示如下下图9-17所示。选择user1的用户证证书单击击鼠标右右键，选选择“属属性”出出现如图图9-18所示，选选择“所所有任务务”；选选择“导导出”。。出现如如图19-19所示，选选择“下下一步””。选择“是是，导出出私钥””后，出出现如图图9-21所示的对对话框，，请选择择“如果果导出成成功，删删除密钥钥”。此时会弹弹出如图图9-22所示的对对话框，，要求输输入保护护用户EFS私钥的密密码，这这里需要要注意的的是，该该密码并并不保护护文件的的密码而而是保护护私钥的的密码。。完成对私私钥的密密码保护护后，就就需要指指定用户户EFS私钥的导导出路径径，如下下图9-23所示，这这里建议议把EFS的私钥导导出到移移动存储储设备F盘上。如图9-23所示，提提示私钥钥导出向向导的配配置已完完成，可可单击““完成””结束EFS的私钥导导出过程程。第五步：：在盘动存存储设备备F盘上，查查看已导导出的私私钥如下下图9-24所示第六步：：开始检测测user1利用EFS加密文件件后的效效果，注注销用户户user1，以用户户user2登陆操作作系统。。并试图图打开已已被用户户user1利用EFS加密的““test”文件。结结果会出出现如图图9-25所示的结结果，无无法访问问。注意：事实上本本地计算算机的管管理员（（administrator）在没有有被授权权成为““恢复代代理”前前也不无无法打开开被EFS加密的文文件。如如果需要要打开被被user1利用EFS加密的文文件，就就必须获获得图9-24所示的EFS的私钥。。而往往往私钥是是需要用用户保密密的，一一般不可可公开。。在上一小小节9.5.3中完成了了利用EFS来加密文文件；解解密文件件只需要要user1的EFS私钥导入入到计算算机机；；选中需需要解密密的文件件，单击击鼠标右右键，选选择“属属性”打打开“高高级”选选项卡。。然后在在如下图图9-26所示的对对话框中中，去掉掉“加密密内容以以便保护护数据””就可以以解密利利用EFS加密的文文件。9.5.4EFS解密文件件与“恢恢复代理理”问题：如果利用用EFS加密文件件后的私私钥丢失失，损坏坏。或者者是原始始的加密密者辞职职，拒绝绝解密文文件，怎怎么办？？此时能解解决如上上问题的的办法：：只能依依赖于EFS的“恢复复代理（（DRA）”来解解决该问问题。但但是默认认的情况况下，在在独立的的计算机机上（非非域的计计算机））没有恢恢复代理理。需要要手工创创建。步骤如下下：第一步：：以本地地系统管管理员（（administrator）登陆到到本地计计算机。。第二步：：启动““开始””->“运行”->输入：“cmd”在命令提示示符下输入入：cipher.exe/r:dra具体操作如如下图9-27所示。此时时会在C盘的根目录录下创建两两个文件，，一个是dra.cer文件；另一一个是dra.pfx文件。第三步：在在启动“开始始”->“运行”->输入：“gpedit.msc”找“本地组组策略的编编辑对话框框如下图9-28所示。在““安全设置置”中展开开“公钥策策略”下的的“加密文文件系统””；击鼠标标右键，选选择“添加加数据恢复复代理程序序”；此时时会弹出““添加故障障恢复代理理向导”对对话框。可可直接点““下一步””。在下图对话话框中选择择“浏览文文件夹”导导航到C盘根目录下下的“dra.cer”文件。则添添加了故障障恢复代理理。第四步：将将恢复代理理的证书C盘下的dra.pfx如图9-30所示的位置置,进行导入。。完成“故故障恢复代代理”证书书的安装。。第五步：检查“故障恢恢复代理”证证书安装的结结果。如图9-31所示，如果操操作过程没有有出问题，可可以在“证书书”管理的控控制台下看到到administraor已经成为合法法的“文件故故障恢复代理理”。如果EFS用户的私钥故故障就可以利利用该证书进进行恢复工作作。9.6windows2003的的安全模板的的定制与分析析安全模板是windows2003上管理操作系系统安全的一一系列策略设设置集合。它它可以创建计计算机或网络络的安全策略略。它是考虑虑整个系统范范围内安全的的单点入口点点。安全模板板不引入新的的安全参数，，它简单地将将所有现有的的安全属性组组织到一个位位置以简化安安全性管理。。这些策略包包括：帐户策略：：密码策略、账账户锁定策略略以及Kerberos策略。本地策略：：审计策略、、用户权限分分配和安全选选项。时间日志：应应用程序、系系统和安全““事件日志””设置。受限制的组：：与安全性相相关的组的成成员关系。系统服务：系系统服务的启启动和权限。。注册表：注册册项权限。文件系统：文文件和文件夹夹权限安全模板能创创建一个安全全基线(securitybaseline)。安全基线是是文档和公认认安全设置的的清单。在大大多数情况下下，你的基线线会随着服务务器角色的不不同而产生区区别。因此你你最好创建几几个不同的基基线，以便将将它们应用到到不同类型的的服务器上。。事实上windwos2003的服务器已经经预定义的了了部分用于不不同环境的““安全模板””Compatws模板：放松用用户组的默认认文件和注册册表权限，使使之与多数没没有验证的应应用程序的要要求一致。PowerUsers组通常用于运运行没有验证证的应用程序序。hisecdc模板：较securedc模板有更严格格的要求。对对LanManager身份验证以及及安全频道和和SMB数据的加密和和签字的进一一步要求提供供进一步的限限制。为了将将hisecdc用于DC，在所有信任任和受信域中中的DC必须运行Windows2000或更新版本。。Hisecsw模板：较securews的超集。对LanManager身份验证以及及安全频道和和SMB数据的加密和和签字的进一一步要求提供供进一步的限限制。为了将将hisecws用于一个成员员，包含登录录到此客户所所有用户的账账户的所有DC必须运行NT4SP4或更高。9.6.2windows2003安全模板板与应用自定义一个基基于操作系统统自身的安全全模板，模板板的名称名叫叫做“system_sec””。要求：（1）交互式登录录：试图登录录的用户的消消息标题为““警告”；交交互式登录：：试图登录的的用户的消息息文本“校园园网络禁止非非授权访问””。（2）密码必须符符合复杂性要要求。最短密密码长度。（3）防止未签名名驱动程序的的安装行为。。（4）对安全模板板进行分析并并应用到操作作系统上。步骤：第一步：启动动“开始”->“运行”->“打开”输入““MMC”打开控制台，，“文件”-“添加/删除管理单元元”->“添加”->“安全模板”与与“安全配置置与分析”得得到如下图9-33所示的对话框框。第二步：选择择操作系统安安全模板存放放的位置，单单击鼠标右键键出现如图9-34所示的界面，，选择“新加加模板”。会会弹出如图9-35所示对新加安安全模板的对对话框。然后后在“模板名名”中输入：：“system_sec””，并输入相应应的描述性语语言。第三步：此时时可以看到自自定义的安全全模板“system_sec””如图9-36所示。事实上上这个模板是是从系统默认认的“预定义义模板”复制制而得到。只只是该模板暂暂时没有做任任何的安全选选项设置。第四步：现在在开始在自定定的安全模板板中设置各项项具体的安全全要求。首先先在“帐户策策略”里面选选择如下图9-37所示的“密码码必须符合复复杂性要求””选择“已启启用”；然后后在“密码长长度最小值””策略中输入入“8”表示以后所有有的密码的长长度至少要满满足8个字符串的需需求如下图9-38所示。图9-37图9-38在自定义的安安全模板“system_sec””中选择“本地地策略”下面面的“安全选选项”可得到到如下图9-39所示的对话框框，设置用户户登陆系统前前的一个公告告消息的“标标题”。在如如下图9-40的对话框中可可设置，用户户登陆系统前前的一个公告告消息的文字字内容。图9-39图9-40在“安全选项项”中可以找找到“防止用用户用户安装装打印机驱动动程序”选项项，选择“已已启用”。如如图9-41所示。然后在在“安全选项项”中找到““未签名驱动动程序的安装装文件”选择择“禁止安装装”。如下图图9-42所示。图9-41图9-42第五步：在完完成需求中的的安全选项设设置后，将自自定义的安全全模板“system_sec””进行保存。第六步：需要要对已保存的的安全模板进进行分析。确确保现有的安安全设置与操操作系统的各各项应用服务务与程序没有有冲突。首先先在如图9-43示的“安全配配置和分析””上单击鼠标标右件，选择择“打开数据据库”。会弹弹出图9-44所示的对话框框，要求输入入打开数据库库的名称，请请在文件名中中输入“system_sec””。注意，这里里您只能直接接输入你要打打开的数据库库名称。图9-44输入打开数据据库的名称，，请在文件名名中输入“system_sec””。注意，这里里您只能直接接输入你要打打开的数据库库名称然后在如图所所示的对话框框中选择“立立即分析计算算机”开始分分析即将应用用于计算机的的安全设置。。以防止即将将应的安全设设置与服务器器上的应用服服务发生冲突突。分析日志志被保存在如如图9-47所示的位置。。如果分析结结果没有异常常，则可选择择“立即配置置计算机”将将安全设置应应用于计算机机。9.7windwos2003的的权限夺取9.7.1文件或文件夹夹的最高权限限拥有文件或文件夹夹的最高权限限拥有者可以以对该对象做做任意的操作作，包括各种种权限的控制制与管理。默默认文件或文文件夹的最高高权限的拥有有者是建立该该文件或文件件夹的创造者者。而不是系系统管理员。。换而言之，，如果一个用用户建立了一一个文件或文文件夹，然后后将其它所有有用户包括系系统管理员（（administrator）都排除在对对资源的访问问以外，那么么只有该用户户可以访问这这个文件或文文件夹。系统统管理员也无无法访问该文文件或文件夹夹。资源控制的意意外事件发生生：在财务部门有有一个用户名名叫“account”一直以来都由由他处理和汇汇总单位重要要的财务报表表。为了保证证财务报表的的机密性。该该用户只允许许他自已可以以访问“财务务文件”其它它的用户都不不可以访问该该文件夹。该该文件夹是由由用户自已建建立。权限控控制如下图9-48所示：突然有一天，，系统管理员员无意将“account”误删除。此时时没有任何用用户可以打开开该文件夹。。也无法再访访问文件夹的的重要内容。。包括系统管管理员也无法法访问。然后后查看“财务务文件夹”的的属性如下图图：9-49所示，在权限限控窗口中没没有任何用户户显示。此时时administrator也无法访问““财务文件夹夹”文件夹或文件件的最高权限限用户是创建建对象的用户户本身，这个个事实无法改改变。但是系系统管理员(administrator)拥有对操作系系统维护与管管理的最高权权限，可以利利用系统管理理员用户强制制夺取“account”用户对“财务务文件夹”的的拥有权来达达到进一步来来修改文件夹夹权限的目的的，让其它用用户可以访问问该文件夹。。9.7.2windwos2003的权限夺夺取利用操作系统统管理员(administrator)的身份登陆计计算机。选择择“财务文件件夹”单击鼠鼠标右键。选选择“属性””->“安全”会弹出出如下图9-50所示的提示：：“管理无权权查看或编辑辑目前的文件件夹”。但您您可以取得该该对象的所有有权。点击““确定”选择“高级安安全”设置中中的“所有者者”可以看见见目前该项目目的所有者为为“无法显示示当前所有者者”。因为““account”用户已被删除除。所以无法法显示当前所所有者。但是是可以选择““将所有者更更改为”administrator或者是administrators组。如图9-51所示。这样系系统管理员或或者系统管理理员小组就成成为了文件夹夹的所有者，，拥有了对财财务文件夹的的最高权限9.8windwos操作系统中中防御各种木木马与恶意程程序9.8.1木马与恶意程程序是如何感感染到windwos操作系统多数恶意程序序，比如病毒毒，木马，等等都会在windows启动时自动加加载到内存。。可很容易地地通过一个简简单的注册表表项对程序的的自动运行进进行配置。因因此，一个很很好的解决办办法就是系统统管理员通过过windows禁用应用程序序的自动启动动。9.8.2防防御现今最为为流行AUTO病毒防御步骤：第一步：观察Auto病毒中招后的的现象:该病毒被植入入到计算机的的主要症状:双击鼠标左键键打不开本地地磁盘,右键单击打开开菜单会出现现一个AUTO的选项。每个个盘都有两个个这样的文件件:autorun.inf和*.exe.如下图9-52所示:第二步：现解传播途径径：U盘、MP3、移动硬盘可可见，一般的的杀毒软件基基本只能查出出来,但是都杀不了了。或者杀毒毒后计算机重重启又会被感感染。第三步：防御Auto病毒的方式：：(1)在组策略中如如下图9-53和图9-54所示的位置禁禁用windows的自动播放功功能：9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Monday,December12,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。03:28:5403:28:5403:2812/12/20223:28:54AM11、以我独沈沈久，愧君君相见频。。。12月-2203:28:5403:28Dec-2212-Dec-2212、故人江海别别，几度隔山山川。。03:28:5403:28:5403:28Monday,December12,202213、乍见翻疑梦梦，相悲各问问年。。12月-2212月-2203:28:5403:28:54December12,202214、他乡生生白发，，旧国见见青山。。。12十十二月20223:28:54上午午03:28:5412月-2215、比不不了得得就不不比，，得不不到