版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第6章计算机操作系统的安全与配置本章要点:WindowsXP的安全性
Windows2003的安全基础Windows2008的安全基础Unix系统的安全性
Linux系统的安全性1第6章计算机操作系统的安全与配置本章要点:116.1WindowsXP操作系统的安全性6.1.1WindowsXP的登录机制1.交互式登录(1)本地用户账号(2)域用户账号2.网络登录3.服务登录4.批处理登录
26.1WindowsXP操作系统的安全性6.1.1Wi26.1.2WindowsXP的屏幕保护机制
36.1.2WindowsXP的屏幕保护机制336.1.3WindowsXP的文件保护机制1.WFP的工作原理WFP把某些文件认为是非常重要的系统文件。在WindowsXP刚装好后,系统会自动备份这些文件到一个专门的叫做dllcache的文件夹,这个dllcache文件夹的位置默认保存在%SYSTEMROOT%\system32\dllcache目录下。46.1.3WindowsXP的文件保护机制1.WFP的46.1.3WindowsXP的文件保护机制2.WFP(WindowsFileProtection)功能的工作方式WFP功能使用两种机制为系统文件提供保护。第一种机制在后台运行。在WFP收到受保护目录中的文件的目录更改通知后,就会触发这种保护机制。WFP收到这一通知后,就会确定更改了哪个文件。如果此文件是受保护的文件,WFP将在编录文件中查找文件签名,以确定新文件的版本是否正确。WFP功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。图形界面模式安装结束时,系统文件检查器工具对所有受保护的文件进行扫描,确保使用无人参与安装过程安装的程序没有对它们进行修改。56.1.3WindowsXP的文件保护机制2.WFP(56.1.4利用注册表提高WindowsXP系统的安全1.注册表受到损坏的主要原因(1)用户反复添加或更新驱动程序时,多次操作造成失误,或添加的程序本身存在问题,安装应用程序的过程中注册表中添加了不正确的项。(2)驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起,尤其是一些用户在更新驱动时一味追求最新、最高端,却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时,就会出现问题。(3)通过“控制面板”的“添加/删除程序”添加程序时,由于应用程序自身的反安装特性,或采用第三方软件卸载自己无法卸载的系统自带程序时,都可能会对注册表造成损坏。另外,删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。66.1.4利用注册表提高WindowsXP系统的安全1.66.1.4利用注册表提高WindowsXP系统的安全1.注册表受到损坏的主要原因(4)当用户经常安装和删除字体时,可能会产生字体错误。可能造成文件内容根本无法显示。(5)硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。(6)用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性,用户在改动过程中难免出错,如果简单地将其它计算机上的注册表复制过来,可能会造成非常严重的后果。76.1.4利用注册表提高WindowsXP系统的安全1.72.WindowsXP系统注册表的结构6.1.4利用注册表提高WindowsXP系统的安全82.WindowsXP系统注册表的结构6.1.4利用注册表86.1.4利用注册表提高WindowsXP系统的安全2.WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_CLASSES_ROOT此处存储的信息可以确保当使用Windows资源管理器打开文件时,将使用正确的应用程序打开对应的文件类型。HKEY_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录WindowsXP时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。96.1.4利用注册表提高WindowsXP系统的安全2.96.1.4利用注册表提高WindowsXP系统的安全2.WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_LOCAL_MACHINE包含针对该计算机(对于任何用户)的配置信息。HKEY_USERS包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当用户的WindowsXP中文版的安装的信息。106.1.4利用注册表提高WindowsXP系统的安全2.106.1.4利用注册表提高WindowsXP系统的安全3.通过修改WindowsXP注册表提高系统的安全性(1)修改注册表的访问权限(2)让文件彻底隐藏(3)禁止使用控制面板
116.1.4利用注册表提高WindowsXP系统的安全3.116.2Windows2003的安全基础操作系统的安全问题是整个网络安全的一个核心问题,Windows2003在其安全性上远远超过Windows2000操作系统,微软在设计的初期就把网络身份验证、基于对象的授权、安全策略及数据加密和审核等作为Windows2003系统的核心功能之一,因此可以说Windows2003系统是建立在一套完整的安全机制之上的。126.2Windows2003的安全基础12126.2.1Windows2003的安全基础概念1.用户账号用户账号就是在网络中用来表示使用者的一个标识。它能够让用户以授权的身份登录到计算机或域中并访问其资源。有些账号是在安装Windows2003时提供的,它是由系统自动建立的,称为内置用户账号。内置用户账号已经被系统赋予一些权力和权限,不能删除但可以改名。用户也可以创建新的用户账号,这些新的用户账号称为用户自定义的用户账号,可以删除并可以改名。Administrator为系统管理员账号,拥有最高的权限,用户可以利用它来管理Windows2003的资源。Guest为来宾账号,是为那些临时访问网络而又没有用户账号的使用者准备的系统内置账号。136.2.1Windows2003的安全基础概念1.用户账号136.2.1Windows2003的安全基础概念2.组使用组可以简化对用户和计算机访问网络资源的管理。组是可以包括其它账号的特殊账号。组中不仅可以包含用户账号,还可以包含计算机账号、打印机账号等对象。给组分配了资源访问权限后,其成员自动继承组的权限。一个用户可以成为多个组的成员。有两种类型的组:安全组和通讯组。通讯组只有在电子邮件应用程序(如Exchange)中,才能使用通讯组将电子邮件发送给一组用户。安全组用于将用户、计算机和其他组收集到可管理的单位中。安全组除包含了分布组的功能之外,还有安全功能。通过指派权限或权力给安全组而非个别用户可以简化管理员的工作。146.2.1Windows2003的安全基础概念2.组14146.2.1Windows2003的安全基础概念3.域域是网络对象的分组。域中所有的对象都存储在活动目录下。域是Windows2003活动目录的核心单元。域是安全的最小边界。安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限,除非管理者得到其它域的明确授权。域也是复制的单元。为保证数据库的同步,包括安全信息的活动目录会定期复制到域中每个域控制器。一个域的管理员要管理其它的域,需要专用的授权。156.2.1Windows2003的安全基础概念3.域15156.2.1Windows2003的安全基础概念4.身份验证身份验证是保证系统安全的一个基本方面。它负责确认试图登录或访问网络资源的任何用户身份。Windows2003身份验证允许对整个网络资源进行单独登记。采用单独登记的方法,用户可以使用单个密码或智能卡一次登录到域,然后通过身份验证向域中的所有计算机表明身份。Windows2003系统支持的身份验证类型有:KerberosV5身份验证交互验证网络验证166.2.1Windows2003的安全基础概念4.身份验证166.2.1Windows2003的安全基础概念5.授权用户权利可以应用于单个用户账号,但是若在组账号基础上进行管理,可以简化用户账户管理的工作。当组中的用户都需要有相同的用户权利时,这时可以把所有的用户加入到一个组中,然后再对该组指派用户权利。如果用户是多个组的成员,则用户权利是累加的。要删除用户的权利,管理员只需简单地从组中删除用户。这样,用户就不再拥有指派给这个组的权利。在Windows2003的授权中主要添加了有效的权限选项卡,默认活动目录对象安全描述符的改变和活动目录对象配额概念的使用。176.2.1Windows2003的安全基础概念5.授权17176.2.1Windows2003的安全基础概念6.审核安全审核是Windows2003的一项功能,负责监视各种与安全性有关的事件。应该被审核的事件类型包括:访问对象、用户和组账户的管理、用户登录以及从系统注销时。除了审核与安全性有关的事情,Windows2003还建立了日志,用它来报告系统存在哪些隐患。186.2.1Windows2003的安全基础概念6.审核18186.2.2用户账号的管理Windows2003中的用户账号共有两类:本地用户账号和域用户账号。1.本地用户账号(LocalUserAccounts)本地用户账号的适用范围仅限于某台计算机。在每台独立服务器、成员服务器或工作站上都有本地用户账号,并存放在该机的目录数据库(SAM)里。正因为这样,本地账号只能登录到该账号所在计算机上,而且账号的合法性的验证也由该计算机完成。用户登录后,只能访问本台计算机上的资源。要访问其他计算机上的资源,必须使用另一台计算机的用户账号才可以。本地用户账号在工作组的模式下使用。196.2.2用户账号的管理Windows2003中的用户账号196.2.2用户账号的管理Windows2003中的用户账号共有两类:本地用户账号和域用户账号。1.本地用户账号(LocalUserAccounts)创建用户账号的步骤如下:(1)打开“计算机管理”,在控制台树的“本地用户和组”中,单击“用户”;(2)单击“操作”,然后单击“新用户”;(3)在窗口中输入适当的信息;(4)单击“创建”。然后单击“关闭”。要创建其他用户,重复执行第3步和第4步即可。206.2.2用户账号的管理Windows2003中的用户账号206.2.2用户账号的管理216.2.2用户账号的管理21216.2.2用户账号的管理2.域用户账号(DomainUserAccounts)域用户账号的作用范围是整个域。域用户账号都集中保存在域控制器(DC)上的活动目录里,身份验证由域控制器来完成。因此,能够在域中任意一台计算机上登录到域,登录后可以访问域中所有允许访问的资源。在域中,同样存在内置的域用户账号,也可以自定义用户账号。域用户账号的管理要比本地用户账号的管理灵活。创建用户账号的步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)右击“Users”,选择“新建”,单击“用户”。226.2.2用户账号的管理2.域用户账号(DomainUs226.2.2用户账号的管理236.2.2用户账号的管理23236.2.2用户账号的管理3.管理用户账号(1)输入用户的信息在用户属性对话框中的“常规”标签中可以输入有关用户的描述信息,如:办公室、电话、电子邮件、网页等信息。(2)用户环境的设置可以设置每一个用户的环境,如登录时启动相关的程序和有关客户端设备的设置等。(3)限制用户登录时间具体步骤如下:1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选择“属性”;3)单击“帐户”标签,单击“登录时间”按钮;4)设定用户登录时间,单击“允许登录”,单击【确定】按钮。246.2.2用户账号的管理3.管理用户账号24246.2.2用户账号的管理(4)限制用户登录所使用的客户端计算机具体步骤如下:1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选“属性”;3)单击“帐户”标签,单击“登录到”;4)设定用户登录的计算机列表,单击【确定】按钮。(5)设置账户的有效期默认情况下账户是永久有效的,但对于临时用户来说,设置账户的有效期就非常有用,有效期限到期后,该账户自动被标记为失效。1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选“属性”;3)单击“帐户”标签。(6)管理用户账号在创建用户账号后,可以根据需要对账户进行重新设置密码、修改、重命名等操作。256.2.2用户账号的管理(4)限制用户登录所使用的客户端计256.2.3组的管理1.创建组创建组的具体步骤如下:(1)单击任务栏上的“开始”,单击“程序”,单击“管理工具”,然后单击“计算机管理”,展开“本地用户和组”;(2)右击“组”,单击“新建组”;(3)填写组名、组的描述,添加组的成员;(4)单击“添加”,选择加入组的成员后,单击“确定”。266.2.3组的管理1.创建组26266.2.3组的管理2.指定用户隶属的组把某一用户加入到某个组中,具体步骤为:单击鼠标右键选择某一用户名的“属性”一项,选择“隶属于”选项卡。然后点击【添加】,在出现的“选择组”窗口中,输入要将某个用户加入的组名的用户名即可。276.2.3组的管理2.指定用户隶属的组27276.2.3组的管理3.管理组将组转换为另一种组类型的具体步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)在控制台树中,双击域节点;(3)单击包含该组的文件夹;(4)在详细信息栏中,右击组,然后单击“属性”,在“常规”选项卡的“组类型”中,单击“安全组”或“通讯组”。删除组的具体步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)在控制台树中,双击域节点;(3)单击包含该组的文件夹;(4)在详细信息栏中,右击组,然后单击【删除】按钮。286.2.3组的管理3.管理组28286.2.4Windows2003的安全模型Windows2003操作系统的安全模型主要是基于以下两个方面的因素。首先,必须在Windows2003系统中拥有一个账号;其次,要规定该账号在系统中的权力和权限。在Windows2003统中还有一个安全账号数据库SAM(SecurityAccountsManagement),除了包含有域内所有用户的账号信息之外,目录数据库中还有两种其他类型的账号---计算机账号和组账号。其中计算机账号用于实际验证域内及委托关系的计算机成员,而组账号则用来保存有关用户组及其成员的信息。296.2.4Windows2003的安全模型Windows2296.2.4Windows2003的安全模型1.Windows2003的用户登录管理Windows2003系统中有一个登录进程,当用户按下“Ctrl+Alt+Del”三键时,Windows2003系统就会启动这个进程,它是\Windows\system32目录下的Winlogon.exe文件。这时系统会弹出一个对话框,要求输入用户名和密码,如果要登录域,还要输入域名,才能登录系统。此过程是一个强制性的登录过程。登录进程在收到用户输入的账号和密码后,就会到安全账号数据库SAM中去查找相应的信息。如果内容相符,则能成功登录;否则取消用户的登录请求。如果账户和密码有效,则把安全账号数据库中的有关账号的信息收集在一起,形成一个存取标识SID(SecurityIdentifier)。SID为记录身份的标识,类似于身份证。306.2.4Windows2003的安全模型1.Window306.2.4Windows2003的安全模型2.资源访问管理在Windows2003系统中用惟一名字标识一个注册用户,它也可以用来标识一个用户或一个组。一个SID和数值代表一个用户的SID值在以后永远不会被另外一个用户使用,也就是说没有两个相同的SID值,在一台计算机上可以多次创建相同的用户账号,其实,这些相同用户号的账号并不相同,因为每一个用户名都有一个惟一的SID。存取标识包含的内容并没有访问许可权限,而存取标识又是用户在系统中的通行证,那么Windows2003如何根据存取标识控制用户对资源的访问呢?其实,给资源分配的权限作为该资源的一个属性,与资源一起存放。资源对象的属性在Windows2003内部以访问控制列表ACL(AccessControlList)的形式存放。316.2.4Windows2003的安全模型2.资源访问管理316.2.5Windows2003的安全机制Windows2003的安全机制的建立主要从域、组和文件系统等方面来考虑。Windows2003主要是通过组策略来保证网络的安全。只有升级为域控制器(DomainControl)才有组策略。。账户策略:是由密码策略、账户锁定策略和Kerberos策略组成。本地策略:只对本地计算机起作用。事件日志:主要是对各种事件进行记录。为应用程序日志、系统日志和安全日志等配置最大值、访问方式和保留天数等参数。受限制的组:管理内置组的成员资格。一般内置组都有预定义功能,利用受限制组可以更改这些预定义的功能。系统服务:为运行在计算机上的服务配置安全性和选择启动模式。注册表:在Windows2003中,注册表是一个集中式层次结构数据库,它存储了Windows2003所需要的必要信息。326.2.5Windows2003的安全机制Windows2326.2.5Windows2003的安全机制文件系统:指定文件路径配置安全性。无线网络策略:无线技术使得人们使用品种广泛的设备在世界任何位置访问数据的愿望成为可能。无线网络可以降低甚至省去铺设昂贵的光纤和电缆所需的费用,并为有线网络提供备份功能。公钥策略:配置加密的数据恢复代理、自动证书申请设置、受信任的证书颁发机构和企业信任。证书是软件服务证书可以提供身份鉴定的支持,包括安全的E-mail功能,基于web的身份鉴定和SAM(安全账号数据库)身份鉴定。软件限制策略:提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。IP安全性策略:配置IPSec。IPSec是一个工业标准,用于对TCP/IP网络数据流加密以及保护企业内部网内部通讯和跨越Internet的虚拟专用网络通讯的安全。336.2.5Windows2003的安全机制文件系统:指定文336.2.5Windows2003的安全机制346.2.5Windows2003的安全机制34346.2.6Windows2003的安全性在Windows2003的身份验证模型中,安全系统提供了两种类型的身份验证:交互式访问非交互式访问。356.2.6Windows2003的安全性在Windows2356.2.7Windows2003安全访问控制1.对文件或文件夹的权限设置在Windows2003系统中,可以采用NTFS(NewTechnicalFileSystem)的分区格式。在WindowsNT操作系统里,NTFS分区格式的最大优点就是使文件夹和文件增加了安全性,它可以对文件夹和文件进行权限设置,以限制用户的访问。具体设置步骤为:(1)在文件或文件夹处单击鼠标右键,选择“属性”;(2)选择“安全”选项卡,(3)通过“添加”和“删除”按钮就可以修改用户对文件夹和文件的访问权限了。366.2.7Windows2003安全访问控制1.对文件或文366.2.7Windows2003安全访问控制376.2.7Windows2003安全访问控制37376.2.7Windows2003安全访问控制2.共享文件权限的设置有时为了工作需要,我们常常要和他人共享某一资料,但是为了安全性,还是应该限定共享的权限,具体步骤为:(1)选择某一文件夹,单击鼠标右键,选择“共享和安全”一项;(2)在“共享”选项卡中,选择“共享该文件夹”;(3)再选择共享窗口的“权限”按钮。386.2.7Windows2003安全访问控制2.共享文件权386.2.7Windows2003安全访问控制3.事件的审核(1)在文件或文件夹处单击鼠标右键,选择“属性”;(2)选择“安全”选项卡;(3)单击“高级”,然后选择“审核”一项;(4)点击“添加”按钮,选择要审核的对象。396.2.7Windows2003安全访问控制3.事件的审核396.2.7Windows2003安全访问控制406.2.7Windows2003安全访问控制40406.2.7Windows2003安全访问控制4.NTFS分区的加密属性加密属性是Windows2003系统的属性,通过对NTFS分区上的文件或文件夹进行加密,为用户数据提供更高的安全性。加密文件系统(EFS)提供了一种核心文件加密文件,该技术用于在NTFS分区上存储已加密的文件。加密的文件或文件夹,还可以像使用其他文件和文件夹一样使用。对加密该文件的用户而言,加密是透明的,在使用前不必解密。但是,非用用户试图访问加密的文件和文件夹时将会被拒绝访问。具体操作步骤为:(1)右击鼠标选择要加密的文件或文件夹,再单击“属性”;(2)单击“常规”选择项卡上的【高级】按钮;(3)选中“加密内容以便保护数据”一项。416.2.7Windows2003安全访问控制4.NTFS分416.2.8在Windows2003系统中监视和优化性能1.监视事件日志(1)日志记录方式Windows2003记录的常用事件日志分为三类:系统日志、应用程序日志和安全日志。1)系统日志。该日志包含Windows2003系统组件所记录的事件。系统日志记录在%systemroot%\system32\config\SysEvent.Evt文件中,所有用户都有权限查看系统日志。2)应用程序日志。该日志包含程序所记录的事件。应用程序日志记录在%systemroot%\system32\config\AppEvent.Evt文件中,所有用户都有权限查看系统日志。3)安全日志。该日志包括有效和无效的登录尝试以及与资源使用相关的事件。在默认情况下,安全日志是关闭的,另外只有管理员才有权限访问安全日志。426.2.8在Windows2003系统中监视和优化性能1.426.2.8在Windows2003系统中监视和优化性能1.监视事件日志(2)日志类型事件查看器显示的事件日志分为多种类型:包括错误、警告、信息、成功审核和失败审核五种。1)错误:记录重要的事件,例如在启动过程中某个服务加载失败,则会将这个错误记录下来。2)警告:并不是特别重要,但说明将来可能存在的潜在问题的事件。3)信息:描述了应用程序、驱动程序或服务的成功操作的事件。例如,当U盘驱动程序加载成功时,将会记录一个信息事件。4)成功审核:成功的审核安全访问尝试。例如,用户登录系统成功会被当作成功审核事件记录下来。5)失败审核:失败的审核安全访问尝试。例如,用户试图登录系统失败了,则会将它作为失败审核事件记录下来。436.2.8在Windows2003系统中监视和优化性能1.436.2.8在Windows2003系统中监视和优化性能1.监视事件日志(3)查看事件的详细信息可以通过以下步骤了解事件的详细内容:1)单击任务栏上的“开始”→“程序”→“管理工具”→“事件查看器”;2)在事件查看器控制台树中,单击要查看的事件日志;3)在详细信息窗口中,单击要查看的事件;4)在“操作”菜单上,单击“属性”可以看到该事件的具体信息。446.2.8在Windows2003系统中监视和优化性能1.446.2.8在Windows2003系统中监视和优化性能2.使用任务管理器去监视系统资源在Windows2003操作系统中,任务管理器的功能更加强大了。它提供了有关计算机性能、计算机上运行的程序和进程的信息。使用Windows任务管理器,可以结束程序或进程、启动程序、查看计算机性能的动态信息。(1)监视应用程序Windows2003系统是一个多任务的操作系统,同时可以执行多个应用程序。在任务管理器的“应用程序”选项卡,可以查看、切换、结束或启用应用程序。“应用程序”的正常状态为“正在运行”,当状态为“未响应”时,可以单击【结束任务】按钮,将异常的程序结束。当需要运行新的应用程序时,可以单击新任务。在对框中输入具体命令去执行新的任务。456.2.8在Windows2003系统中监视和优化性能2.456.2.8在Windows2003系统中监视和优化性能2.使用任务管理器去监视系统资源(2)监视进程Windows2003的任务管理器提供了对进程控制的能力。进程是指执行中的程序,是一个动态的概念,而程序是指保存在媒介上的可执行的文件,是一个静态的概念。要运行程序,操作系统必须对每个程序至少创建一个进程。“进程”选项卡中显示了关于计算机上正在运行的进程的信息。例如,关于CPU和内存的使用情况等。任务管理器可以查看、结束进程,以及调整进程的优先级。系统提供了多种级别。(3)监视CPU和内存的性能在任务管理器的“性能”选项卡中,显示计算机性能的动态概况,其中包括CPU和内存的使用情况;计算机上正在运行的句柄、线程和进程的总数;物理、核心和认可的内存总数。466.2.8在Windows2003系统中监视和优化性能2.466.2.8在Windows2003系统中监视和优化性能3.性能监视器使用任务管理器只能监视内存和CPU使用的简单情况,要了解系统中其它组件的详细性能,就需要使用“性能”这个工具。监视系统最常用的默认对象有:缓存、内存、页面文件、物理磁盘、进程、处理器等。476.2.8在Windows2003系统中监视和优化性能3.476.2.9Windows2003的安全措施为了加强Window2003操作系统的安全管理,我们从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全等方面制定安全的防范措施。1.加强物理安全管理去掉或封锁软盘驱动器;禁止其他操作系统访问NTFS分区;在BIOS中设置口令,禁止使用软盘或光盘引导系统;保证机房的物理安全,检查门、窗、锁是否牢固;486.2.9Windows2003的安全措施为了加强Wind486.2.9Windows2003的安全措施2.对用户名的管理和设置对于试图猜测口令的非法用户,Windows2003可以通过设置账号锁定限制来防止它的发生,建议3次口令输入错误后就锁定该账号,在适当的锁定时间后被锁定的账号自动打开,或者只有管理员才能打开,用户才可恢复正常。问题在于Administrator这个账号却用不上这项防范措施,因为Administrator这个账号不能删除或禁用,因此非法用户仍然可以对Administrator账号进行攻击。首先,将系统管理员的用户名由原来的”Administrator”改为一个无意义的字符组合。这样试图攻击系统的非法用户不但要猜出密码,还要先猜出用户名。另外,还有一个Guest账号,它是为那些临时访问网络而又没有用户账号的使用者准备的系统内置账号。从安全方面考虑,Guest账号默认情况下是被禁用的。496.2.9Windows2003的安全措施2.对用户名的管496.2.9Windows2003的安全措施3.设置用户的访问权限用过Windows2003的用户都清楚,有些默认的设置并没有给出相应安全的功能。例如:对于一个文件夹给了Everyone这个工作组授予了“完全控制”的权限,没有实施口令策略等等,这些都会给网络的安全留下漏洞。为了服务器安全,必须重新设置这些功能。应始终设置用户所能允许的最小的文件夹和文件的访问权限。506.2.9Windows2003的安全措施3.设置用户的访506.2.9Windows2003的安全措施4.文件系统系统用NTFS,不用FATNTFS可以对文件夹和文件使用ACL(AccessControlList),ACL可以管理共享目录的合理使用,而FAT却只能管理共享级的安全。NTFS的好处在于,如果它授权用户对某分区具有全部存取权限,但共享权限为“只读”,则最终的有效权限为“只读”。Windows2003取NTFS和共享权限的交集。出于安全方面的考虑,我们必须把与Internet相连的计算机的分区格式变为NTFS格式。例:将D盘由FAT分区转为NTFS分区的操作步骤如下:1)以管理员的身份登录2)在命令行中执行下列命令:convertd:/fs:ntfs注意:如果将NTFS分区转化为FAT分区时,只能使用格式化的方式,并且分区上所有数据将丢失。516.2.9Windows2003的安全措施4.文件系统系统516.2.9Windows2003的安全措施5.确保注册表安全前面,我们已经多次提出注册表对于系统的重要性,概括来说,要取消或限制对regedit.exe的访问,并且只有管理员才有权限修改注册表等。6.打开审核系统首先,打开UserManager中的Policies→Audit菜单,这时可以激发控制审核事件的屏幕。审核的事件包括成功的事件和失败的事件,失败的情况通常比成功的情况少得多,但从安全角度考虑,失败的事情更应值得关注,还有不常用的操作也需注意。另外,每设置对一个事件的审核都需要大量的存储空间,而且对跟踪所得的数据进行分析也不是一件容易的事情,所以在设置审核的事件时,应注意不是审核的事件越多越好。526.2.9Windows2003的安全措施5.确保注册表安526.3Windows2008操作系统的安全性在2008年初,微软推出了Windows2008。Windows2008是一款面向高级专业用户的操作系统。与早期几个版本相比,它的安全性有了大大的改善。主要表现在安全防护、安全配置向导、可信平台模块管理和BitLocker驱动器加密等几个方面。536.3Windows2008操作系统的安全性在2008年初536.3.1windows安全Windows安全提供了许多安全基础,包括windows防火墙、windowsupdate和Internet选项。1.windows防火墙在Windows防火墙设置对话框中,包含“常规”、“例外”和“高级”3个选项卡。在“常规”选项卡中,包括“启用”、“阻止所有传入连接”和“关闭”3个选项。“启用”是指启用windows防火墙,默认情况下已选中该项。当windows防火墙处于开启状态时,没有被允许执行的程序都将被windows防火墙阻止。“阻止所有传入连接”就是指将传输到计算机的数据连接阻止住,也就是相当于该计算机只允许向外访问其他资源,而不允许其他资源访问本计算机,即许出不许进。“关闭”就是指关闭windows防火墙。一般情况下不使用该设置。546.3.1windows安全Windows安全提供了许多安546.3.1windows安全556.3.1windows安全55556.3.1windows安全2.WindowsUpdate由于使用Window操作系统的用户非常多,因此很容易受到攻击。不法分子可以利用这些漏洞进行破坏、窃取等活动,使用户的重要信息受到严重威胁。为此,在Windowsserver2008安全中心中也集成了WindowsUpdate。使用WindowsUpdate功能,就可以检查适用于用户计算机的更新,并自动检查这些更新。默认情况下,WindowsUpdate已经启用。如果已关闭更新,则安全中心将显示一个通知,并且在通知区域中放置一个安全中心图标,可以单击该提示来打开自动更新。用户可以设置自动更新方式。3.Internet选项“Internet选项”。这里主要显示Internet选项中的安全设置、删除历史纪录和cookies,以及管理浏览器加载项等影响浏览器安全的功能链接。566.3.1windows安全2.WindowsUpdat566.3.1windows安全576.3.1windows安全57576.3.2安全配置向导安全配置向导(SecurityConfigurationWizard,SCW)可以确定服务器角色所需要的最少功能,并禁用不需要的功能。安全配置向导可以以单独的方式运行,也可以在服务器管理器中运行。使用安全配置向导,可以方便地创建、编辑、应用或回滚安全策略。使用安全配置向导创建的安全策略是一个.xml文件。这些策略包括配置服务、网络安全、特定注册表值和审核策略。1.创建新的安全策略2.编辑现有安全策略3.应用现有安全策略4.回滚上一次应用的安全策略586.3.2安全配置向导安全配置向导(SecurityCo586.3.2安全配置向导596.3.2安全配置向导59596.3.3可信平台模块管理可信平台模块(TPM),是一种植于计算机内部为计算机提供可信根的芯片,用于存储加密信息。TPM通常安装在台式计算机或便携式计算机的主板上,通过硬件总线与系统其余部分通信。可信平台模块管理服务是WindowsVista和WindowsServer2008中的一个全新功能集,用于管理计算机中的TPM安全硬件。通过提供对TPM的访问并保证应用程序级别的TPM共享,TPM服务体系结构可提供基于硬件的安全基础结构。TPM管理控制台是一个MMC管理单元,管理员可借助它与TPM服务进行交互。管理员可以在WindowsServer2008的管理控制器MMC中打开TPM管理器。606.3.3可信平台模块管理可信平台模块(TPM),是一种植于606.3.4BitLocker驱动器加密在Windows2008中,提供了BitLocker驱动器加密的功能。BitLocker可确保存储在运行Windows2008的计算机上的数据始终处于加密状态,即使计算机在未运行操作系统时被篡改也是如此。BitLocker驱动器加密将加密整个系统驱动器,包括启动和登录所需要的Windows系统文件。BitLocker使用TPM为数据提供增强保护,并确保这些数据在没有正确的解密密钥时不被篡改。使用TPM芯片加密后,只能通过使用TPM中存储的解密密钥来解密计算机硬盘上的数据,因此将该加密硬盘连到其他计算机上也无法获取这些加密数据。因此存储在TPM芯片上的信息会更安全。BitLocker驱动器加密可能会使用户的计算机无法正常启动,因此需要清楚的知道什么是WindowsBitLocker驱动器加密后再设置该功能。此外,在第一次使用BitLocker时,一定要创建好恢复密码并妥善保存。616.3.4BitLocker驱动器加密在Windows2616.4Unix系统的安全性Unix操作系统简介Unix操作系统是目前网络系统中主要的服务器操作系统Unix操作系统是于1969年由KenThompson、Dennis
Ritchie和其他一些人在AT&T贝尔实验室开发成功的Unix操作系统是一个分时多用户多任务的通用操作系统-分时系统,是指允许多个联机用户同时使用同一台计算机进行处理的操作系统-用户可以请求系统同时执行多个任务-在运行一个作业的时候,可以同时运行其他作业626.4Unix系统的安全性6262Unix系统的安全性口令安全root帐号文件许可和目录许可设置用户ID和同组用户ID许可文件加密其他安全问题
6.4Unix系统的安全性636.4Unix系统的安全性63636.5Linux系统的安全性Linux系统的常用命令ls命令-功能:列出当前目录下的文件-格式:ls[参数][目标路径]-常用参数:-l:使用详细格式显示文件-a:显示所有文件,包含以.开始的隐含文件-d:仅显示目标名,不显示目录内容-F:在目录下,可执行文件-R:递归处理646.5Linux系统的安全性Linux系统的常用命令664Linux系统的常用命令rm命令-功能:删除文件-格式:rm[参数][目标文件]-常用参数:-i:删除前进行提示-f:删除前不进行提示,强行删除-r:递归删除cp命令-功能:拷贝文件-格式:cp[参数][源地址][目标地址]-常用参数:-b:删除、覆盖先前的备份-i:覆盖前进行提示-f:覆盖前不进行提示,强行覆盖-v:使用详细模式-h:列出简洁帮助65Linux系统的常用命令rm命令cp命令6565Linux系统的常用命令cd命令-功能:改变目录-格式:cd[目标路径]su命令-功能:用于临时切换身份-格式:su[参数][用户名]-常用参数:-c:执行完指定的命令后,即恢复原来身份-m:变更身份时,不更改环境变量clear命令-功能:清除屏幕66Linux系统的常用命令cd命令clear命令6666Linux系统的网络安全取消不必要的服务允许/拒绝服务器口令安全保持最新的系统核心检查登录密码设定用户账号的安全级别监视程序和运行日志消除黑客犯罪的温床root账号的使用定期对服务器进行备份67Linux系统的网络安全6767
End686868第6章计算机操作系统的安全与配置本章要点:WindowsXP的安全性
Windows2003的安全基础Windows2008的安全基础Unix系统的安全性
Linux系统的安全性69第6章计算机操作系统的安全与配置本章要点:1696.1WindowsXP操作系统的安全性6.1.1WindowsXP的登录机制1.交互式登录(1)本地用户账号(2)域用户账号2.网络登录3.服务登录4.批处理登录
706.1WindowsXP操作系统的安全性6.1.1Wi706.1.2WindowsXP的屏幕保护机制
716.1.2WindowsXP的屏幕保护机制3716.1.3WindowsXP的文件保护机制1.WFP的工作原理WFP把某些文件认为是非常重要的系统文件。在WindowsXP刚装好后,系统会自动备份这些文件到一个专门的叫做dllcache的文件夹,这个dllcache文件夹的位置默认保存在%SYSTEMROOT%\system32\dllcache目录下。726.1.3WindowsXP的文件保护机制1.WFP的726.1.3WindowsXP的文件保护机制2.WFP(WindowsFileProtection)功能的工作方式WFP功能使用两种机制为系统文件提供保护。第一种机制在后台运行。在WFP收到受保护目录中的文件的目录更改通知后,就会触发这种保护机制。WFP收到这一通知后,就会确定更改了哪个文件。如果此文件是受保护的文件,WFP将在编录文件中查找文件签名,以确定新文件的版本是否正确。WFP功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。图形界面模式安装结束时,系统文件检查器工具对所有受保护的文件进行扫描,确保使用无人参与安装过程安装的程序没有对它们进行修改。736.1.3WindowsXP的文件保护机制2.WFP(736.1.4利用注册表提高WindowsXP系统的安全1.注册表受到损坏的主要原因(1)用户反复添加或更新驱动程序时,多次操作造成失误,或添加的程序本身存在问题,安装应用程序的过程中注册表中添加了不正确的项。(2)驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起,尤其是一些用户在更新驱动时一味追求最新、最高端,却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时,就会出现问题。(3)通过“控制面板”的“添加/删除程序”添加程序时,由于应用程序自身的反安装特性,或采用第三方软件卸载自己无法卸载的系统自带程序时,都可能会对注册表造成损坏。另外,删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。746.1.4利用注册表提高WindowsXP系统的安全1.746.1.4利用注册表提高WindowsXP系统的安全1.注册表受到损坏的主要原因(4)当用户经常安装和删除字体时,可能会产生字体错误。可能造成文件内容根本无法显示。(5)硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。(6)用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性,用户在改动过程中难免出错,如果简单地将其它计算机上的注册表复制过来,可能会造成非常严重的后果。756.1.4利用注册表提高WindowsXP系统的安全1.752.WindowsXP系统注册表的结构6.1.4利用注册表提高WindowsXP系统的安全762.WindowsXP系统注册表的结构6.1.4利用注册表766.1.4利用注册表提高WindowsXP系统的安全2.WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_CLASSES_ROOT此处存储的信息可以确保当使用Windows资源管理器打开文件时,将使用正确的应用程序打开对应的文件类型。HKEY_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录WindowsXP时,其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。776.1.4利用注册表提高WindowsXP系统的安全2.776.1.4利用注册表提高WindowsXP系统的安全2.WindowsXP系统注册表的结构WindowsXP注册表共有5个根键。HKEY_LOCAL_MACHINE包含针对该计算机(对于任何用户)的配置信息。HKEY_USERS包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表(MRU),应用程序配置和其他有关当用户的WindowsXP中文版的安装的信息。786.1.4利用注册表提高WindowsXP系统的安全2.786.1.4利用注册表提高WindowsXP系统的安全3.通过修改WindowsXP注册表提高系统的安全性(1)修改注册表的访问权限(2)让文件彻底隐藏(3)禁止使用控制面板
796.1.4利用注册表提高WindowsXP系统的安全3.796.2Windows2003的安全基础操作系统的安全问题是整个网络安全的一个核心问题,Windows2003在其安全性上远远超过Windows2000操作系统,微软在设计的初期就把网络身份验证、基于对象的授权、安全策略及数据加密和审核等作为Windows2003系统的核心功能之一,因此可以说Windows2003系统是建立在一套完整的安全机制之上的。806.2Windows2003的安全基础12806.2.1Windows2003的安全基础概念1.用户账号用户账号就是在网络中用来表示使用者的一个标识。它能够让用户以授权的身份登录到计算机或域中并访问其资源。有些账号是在安装Windows2003时提供的,它是由系统自动建立的,称为内置用户账号。内置用户账号已经被系统赋予一些权力和权限,不能删除但可以改名。用户也可以创建新的用户账号,这些新的用户账号称为用户自定义的用户账号,可以删除并可以改名。Administrator为系统管理员账号,拥有最高的权限,用户可以利用它来管理Windows2003的资源。Guest为来宾账号,是为那些临时访问网络而又没有用户账号的使用者准备的系统内置账号。816.2.1Windows2003的安全基础概念1.用户账号816.2.1Windows2003的安全基础概念2.组使用组可以简化对用户和计算机访问网络资源的管理。组是可以包括其它账号的特殊账号。组中不仅可以包含用户账号,还可以包含计算机账号、打印机账号等对象。给组分配了资源访问权限后,其成员自动继承组的权限。一个用户可以成为多个组的成员。有两种类型的组:安全组和通讯组。通讯组只有在电子邮件应用程序(如Exchange)中,才能使用通讯组将电子邮件发送给一组用户。安全组用于将用户、计算机和其他组收集到可管理的单位中。安全组除包含了分布组的功能之外,还有安全功能。通过指派权限或权力给安全组而非个别用户可以简化管理员的工作。826.2.1Windows2003的安全基础概念2.组14826.2.1Windows2003的安全基础概念3.域域是网络对象的分组。域中所有的对象都存储在活动目录下。域是Windows2003活动目录的核心单元。域是安全的最小边界。安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限,除非管理者得到其它域的明确授权。域也是复制的单元。为保证数据库的同步,包括安全信息的活动目录会定期复制到域中每个域控制器。一个域的管理员要管理其它的域,需要专用的授权。836.2.1Windows2003的安全基础概念3.域15836.2.1Windows2003的安全基础概念4.身份验证身份验证是保证系统安全的一个基本方面。它负责确认试图登录或访问网络资源的任何用户身份。Windows2003身份验证允许对整个网络资源进行单独登记。采用单独登记的方法,用户可以使用单个密码或智能卡一次登录到域,然后通过身份验证向域中的所有计算机表明身份。Windows2003系统支持的身份验证类型有:KerberosV5身份验证交互验证网络验证846.2.1Windows2003的安全基础概念4.身份验证846.2.1Windows2003的安全基础概念5.授权用户权利可以应用于单个用户账号,但是若在组账号基础上进行管理,可以简化用户账户管理的工作。当组中的用户都需要有相同的用户权利时,这时可以把所有的用户加入到一个组中,然后再对该组指派用户权利。如果用户是多个组的成员,则用户权利是累加的。要删除用户的权利,管理员只需简单地从组中删除用户。这样,用户就不再拥有指派给这个组的权利。在Windows2003的授权中主要添加了有效的权限选项卡,默认活动目录对象安全描述符的改变和活动目录对象配额概念的使用。856.2.1Windows2003的安全基础概念5.授权17856.2.1Windows2003的安全基础概念6.审核安全审核是Windows2003的一项功能,负责监视各种与安全性有关的事件。应该被审核的事件类型包括:访问对象、用户和组账户的管理、用户登录以及从系统注销时。除了审核与安全性有关的事情,Windows2003还建立了日志,用它来报告系统存在哪些隐患。866.2.1Windows2003的安全基础概念6.审核18866.2.2用户账号的管理Windows2003中的用户账号共有两类:本地用户账号和域用户账号。1.本地用户账号(LocalUserAccounts)本地用户账号的适用范围仅限于某台计算机。在每台独立服务器、成员服务器或工作站上都有本地用户账号,并存放在该机的目录数据库(SAM)里。正因为这样,本地账号只能登录到该账号所在计算机上,而且账号的合法性的验证也由该计算机完成。用户登录后,只能访问本台计算机上的资源。要访问其他计算机上的资源,必须使用另一台计算机的用户账号才可以。本地用户账号在工作组的模式下使用。876.2.2用户账号的管理Windows2003中的用户账号876.2.2用户账号的管理Windows2003中的用户账号共有两类:本地用户账号和域用户账号。1.本地用户账号(LocalUserAccounts)创建用户账号的步骤如下:(1)打开“计算机管理”,在控制台树的“本地用户和组”中,单击“用户”;(2)单击“操作”,然后单击“新用户”;(3)在窗口中输入适当的信息;(4)单击“创建”。然后单击“关闭”。要创建其他用户,重复执行第3步和第4步即可。886.2.2用户账号的管理Windows2003中的用户账号886.2.2用户账号的管理896.2.2用户账号的管理21896.2.2用户账号的管理2.域用户账号(DomainUserAccounts)域用户账号的作用范围是整个域。域用户账号都集中保存在域控制器(DC)上的活动目录里,身份验证由域控制器来完成。因此,能够在域中任意一台计算机上登录到域,登录后可以访问域中所有允许访问的资源。在域中,同样存在内置的域用户账号,也可以自定义用户账号。域用户账号的管理要比本地用户账号的管理灵活。创建用户账号的步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)右击“Users”,选择“新建”,单击“用户”。906.2.2用户账号的管理2.域用户账号(DomainUs906.2.2用户账号的管理916.2.2用户账号的管理23916.2.2用户账号的管理3.管理用户账号(1)输入用户的信息在用户属性对话框中的“常规”标签中可以输入有关用户的描述信息,如:办公室、电话、电子邮件、网页等信息。(2)用户环境的设置可以设置每一个用户的环境,如登录时启动相关的程序和有关客户端设备的设置等。(3)限制用户登录时间具体步骤如下:1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选择“属性”;3)单击“帐户”标签,单击“登录时间”按钮;4)设定用户登录时间,单击“允许登录”,单击【确定】按钮。926.2.2用户账号的管理3.管理用户账号24926.2.2用户账号的管理(4)限制用户登录所使用的客户端计算机具体步骤如下:1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选“属性”;3)单击“帐户”标签,单击“登录到”;4)设定用户登录的计算机列表,单击【确定】按钮。(5)设置账户的有效期默认情况下账户是永久有效的,但对于临时用户来说,设置账户的有效期就非常有用,有效期限到期后,该账户自动被标记为失效。1)以域管理员的身份打开“ActiveDirectory用户和计算机”工具;2)单击“Users”,右击zed账号,选“属性”;3)单击“帐户”标签。(6)管理用户账号在创建用户账号后,可以根据需要对账户进行重新设置密码、修改、重命名等操作。936.2.2用户账号的管理(4)限制用户登录所使用的客户端计936.2.3组的管理1.创建组创建组的具体步骤如下:(1)单击任务栏上的“开始”,单击“程序”,单击“管理工具”,然后单击“计算机管理”,展开“本地用户和组”;(2)右击“组”,单击“新建组”;(3)填写组名、组的描述,添加组的成员;(4)单击“添加”,选择加入组的成员后,单击“确定”。946.2.3组的管理1.创建组26946.2.3组的管理2.指定用户隶属的组把某一用户加入到某个组中,具体步骤为:单击鼠标右键选择某一用户名的“属性”一项,选择“隶属于”选项卡。然后点击【添加】,在出现的“选择组”窗口中,输入要将某个用户加入的组名的用户名即可。956.2.3组的管理2.指定用户隶属的组27956.2.3组的管理3.管理组将组转换为另一种组类型的具体步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)在控制台树中,双击域节点;(3)单击包含该组的文件夹;(4)在详细信息栏中,右击组,然后单击“属性”,在“常规”选项卡的“组类型”中,单击“安全组”或“通讯组”。删除组的具体步骤如下:(1)打开“ActiveDirectory用户和计算机”工具;(2)在控制台树中,双击域节点;(3)单击包含该组的文件夹;(4)在详细信息栏中,右击组,然后单击【删除】按钮。966.2.3组的管理3.管理组28966.2.4Windows2003的安全模型Windows2003操作系统的安全模型主要是基于以下两个方面的因素。首先,必须在Windows2003系统中拥有一个账号;其次,要规定该账号在系统中的权力和权限。在Windows2003统中还有一个安全账号数据库SAM(SecurityAccountsManagement),除了包含有域内所有用户的账号信息之外,目录数据库中还有两种其他类型的账号---计算机账号和组账号。其中计算机账号用于实际验证域内及委托关系的计算机成员,而组账号则用来保存有关用户组及其成员的信息。976.2.4Windows2003的安全模型Windows2976.2.4Windows2003的安全模型1.Windows2003的用户登录管理Windows2003系统中有一个登录进程,当用户按下“Ctrl+Alt+Del”三键时,Windows2003系统就会启动这个进程,它是\Windows\system32目录下的Winlogon.exe文件。这时系统会弹出一个对话框,要求输入用户名和密码,如果要登录域,还要输入域名,才能登录系统。此过程是一个强制性的登录过程。登录进程在收到用户输入的账号和密码后,就会到安全账号数据库SAM中去查找相应的信息。如果内容相符,则能成功登录;否则取消用户的登录请求。如果账户和密码有效,则把安全账号数据库中的有关账号的信息收集在一起,形成一个存取标识SID(SecurityIdentifier)。SID为记录身份的标识,类似于身份证。986.2.4Windows2003的安全模型1.Window986.2.4Windows2003的安全模型2.资源访问管理在Windows2003系统中用惟一名字标识一个注册用户,它也可以用来标识一个用户或一个组。一个SID和数值代表一个用户的SID值在以后永远不会被另外一个用户使用,也就是说没有两个相同的SID值,在一台计算机上可以多次创建相同的用户账号,其实,这些相同用户号的账号并不相同,因为每一个用户名都有一个惟一的SID。存取标识包含的内容并没有访问许可权限,而存取标识又是用户在系统中的通行证,那么Windows2003如何根据存取标识控制用户对资源的访问呢?其实,给资源分配的权限作为该资源的一个属性,与资源一起存放。资源对象的属性在Windows2003内部以访问控制列表ACL(AccessControlList)的形式存放。996.2.4Windows2003的安全模型2.资源访问管理996.2.5Windows2003的安全机制Windows2003的安全机制的建立主要从域、组和文件系统等方面来考虑。Windows2003主要是通过组策略来保证网络的安全。只有升级为域控制器(DomainControl)才有组策略。。账户策略:是由密码策略、账户锁定策略和Kerberos策略组成。本地策略:只对本地计算机起作用。事件日志:主要是对各种事件进行记录。为应用程序日志、系统日志和安全日志等配置最大值、访问方式和保留天数等参数。受限制的组:管理内置组的成员资格。一般内置组都有预定义功能,利用受限制组可以更改这些预定义的功能。系统服务:为运行在计算机上的服务配置安全性和选择启动模式。注册表:在Windows2003中,注册表是一个集中式层次结构数据库,它存储了Windows2003所需要的必要信息。1006.2.5Windows2003的安全机制Windows21006.2.5Windows2003的安全机制文件系统:指定文件路径配置安全性。无线网络策略:无线技术使得人们使用品种广泛的设备在世界任何位置访问数据的愿望成为可能。无线网络可以降低甚至省去铺设昂贵的光纤和电缆所需的费用,并为有线网络提供备份功能。公钥策略:配置加密的数据恢复代理、自动证书申请设置、受信任的证书颁发机构和企业信任。证书是软件服务证书可以提供身份鉴定的支持,包括安全的E-mail功能,基于web的身份鉴定和SAM(安全账号数据库)身份鉴定。软件限制策略:提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。IP安全性策略:配置IPSec。IPSec是一个工业标准,用于对TCP/IP网络数据流加密以及保护企业内部网内部通讯和跨越Internet的虚拟专用网络通讯的安全。1016.2.5Windows2003的安全机制文件系统:指定文1016.2.5Windows2003的安全机制1026.2.5Windows2003的安全机制341026.2.6Windows2003的安全性在Windows2003的身份验证模型中,安全系统提供了两种类型的身份验证:交互式访问非交互式访问。1036.2.6Windows2003的安全性在Windows21036.2.7Windows2003安全访问控制1.对文件或文件夹的权限设置在Windows2003系统中,可以采用NTFS(NewTechnicalFileSystem)的分区格式。在WindowsNT操作系统里,NTFS分区格式的最大优点就是使文件夹和文件增加了安全性,它可以对文件夹和文件进行权限设置,以限制用户的访问。具体设置步骤为:(1)在文件或文件夹处单击鼠标右键,选择“属性”;(2)选择“安全”选项卡,(3)通过“添加”和“删除”按钮就可以修改用户对文件夹和文件的访问权限了。1046.2.7Windows2003安全访问控制1.对文件或文1046.2.7Windows2003安全访问控制1056.2.7Windows2003安全访问控制371056.2.7Windows2003安全访问控制2.共享文件权限的设置有时为了工作需要,我们常常要和他人共享某一资料,但是为了安全性,还是应该限定共享的权限,具体步骤为:(1)选择某一文件夹,单击鼠标右键,选择“共享和安全”一项;(2)在“共享”选项卡中,选择“共享该文件夹”;(3)再选择共享窗口的“权限”按钮。1066.2.7Windows2003安全访问控制2.共享文件权1066.2.7Windows2003安全访问控制3.事件的审核(1)在文件或文件夹处单击鼠标右键,选择“属性”;(2)选择“安全”选项卡;(3)单击“高级”,然后选择“审核”一项;(4)点击“添加”按钮,选择要审核的对象。1076.2.7Windows2003安全访问控制3.事件的审核1076.2.7Windows2003安全访问控制1086.2.7Windows2003安全访问控制401086.2.7Windows2003安全访问控制4.NTFS分区的加密属性加密属性是Windows2003系统的属性,通过对NTFS分区上的文件或文件夹进行加密,为用户数据提供更高的安全性。加密文件系统(EFS)提供了一种核心文件加密文件,该技术用于在NTFS分区上存储已加密的文件。加密的文件或文件夹,还可以像使用其他文件和文件夹一样使用。对加密该文件的用户而言,加密是透明的,在使用前不必解密。但是,非用用户试图访问加密的文件和文件夹时将会被拒绝访问。具体操作步骤为:(1)右击鼠标选择要加密的文件或文件夹,再单击“属性”;(2)单击“常规”选择项卡上的【高级】按钮;(3)选中“加密内容以便保护数据”一项。1096.2.7Windows2003安全访问控制4.NTFS分1096.2.8在Windows2003系统中监视和优化性能1.监视事件日志(1)日志记录方式Windows2003记录的常用事件日志分为三类:系统日志、应用程序日志和安全日志。1)系统日志。该日志包含Windows2003系统组件所记录的事件。系统日志记录在%systemroot%\system32\config\SysEvent.Evt文件中,所有用户都有权限查看系统日志。2)应用程序日志。该日志包含程序所记录的事件。应用程序日志记录在%systemroot%\system32\config\AppEvent.Evt文件中,所有用户都有权限查看系统日志。3)安全日志。该日志包括有效和无效的登录尝试以及与资源使用相关的事件。在默认情况下,安全日志是关闭的,另外只有管理员才有权限访问安全日志。1106.2.8在Windows2003系统中监视和优化性能1.1106.2.8在Windows2003系统中监视和优化性能1.监视事件日志(2)日志类型事件查看器显示的事件日志分为多种类型:包括错误、警告、信息、成功审核和失败审核五种。1)错误:记录重要的事件,例如在启动过程中某个服务加载失败,则会将这个错误记录下来。2)警告:并不是特别重要,但说明将来可能存在的潜在问题的事件。3)信息:描述了应用程序、驱动程序或服务的成功操作的事件。例如,当U盘驱动程序加载成功时,将会记录一个信息事件。4)成功审核:成功的审核安全访问尝试。例如,用户登录系统成功会被当作成功审核事件记录下来。5)失败审核:失败的审核安全访问尝试。例如,用户试图登录系统失败了,则会将它作为失败审核事件记录下来。1116.2.8在Windows2003系统中监视和优化性能1.1116.2.8在Windows2003系统中监视和优化性能1.监视事件日志(3)查看事件的详细信息可以通过以下步骤了解事件的详细内容:1)单击任务栏上的“开始”→“程序”→“管理工具”→“事件查看器”;2)在事件查看器控制台树中,单击要查看的事件日志;3)在详细信息窗口中,单击要查看的事件;4)在“操作”菜单上,单击“属性”可以看到该事件的具体信息。1126.2.8在Windows2003系统中监视和优化性能1.1126.2.8在
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 学生实习期间家长保证书
- 版汽运运输合同
- 生鲜食品采购合同
- 煤炭购销合同范本模板
- 政府采购合同履行
- 招标谈判文件的编辑技巧
- 商场店铺接盘合同模板
- 房屋买卖合同补充协议范例
- 简单易懂的投资理财合同
- 业绩分享合同样本
- 灾难事故避险自救-终结性考核-国开(SC)-参考资料
- 科研设计及研究生论文撰写智慧树知到期末考试答案2024年
- 大学《思想道德与法治》期末考试复习题库(含答案)
- 大数据与法律检索-湖南师范大学中国大学mooc课后章节答案期末考试题库2023年
- 简单娱乐yy频道设计模板
- 防止机组非计划停运措施(锅炉专业)
- 素材的获取与处理方法
- 如何同步同时接收老公老婆微信的实用教程
- 场调查报告封面
- 甲苯甲醇烷基化法年产30万吨对二甲苯车间设计
- 2020届徐汇区初三一模数学卷(含答案)
评论
0/150
提交评论