第5章-Windows操作系统的安全机制

第5章Windows操作系统的安全机制

Windows操作系统的安全性概述5.1

ActiveDirectory的结构与功能5.2

ActiveDirectory组策略5.3

用户和工作组的安全管理5.4

审核机制5.52/28/202415.1Windows操作系统的安全性概述

5.1.1Windows操作系统概述

Microsoft公司从1983年开始研制Windows系统，最初的研制目标是在MS-DOS的基础上提供一个多任务的图形用户界面。第一个版本的Windows1.0于1985年问世，它是一个具有图形用户界面的系统软件。1987年推出了Windows2.0版，最明显的变化是采用了相互叠盖的多窗口界面形式。1990年推出Windows3.0是一个重要的里程碑,它以压倒性的商业成功确定了Windows系统在PC领域的垄断地位。现今流行的Windows窗口界面的基本形式也是从Windows3.0开始基本确定的。2/28/20242

接下来是Windows9X系列，包括WindowsMe，Windows9X的系统是一种16位/32位混合源代码的准32位操作系统，故不稳定。

Windows2000是发行于1999年12月19日的32位图形商业性质的操作系统。Windowsxp是微软公司发布的一款视窗操作系统。它发行于2001年8月25日。WindowsServer2003是目前微软推出的使用最广泛的服务器操作系统，于2003年3月28日发布。

WindowsVista已在2006年11月30日发布。Windows7是微软的下一代操作系统，正式版已于2009年10月23日发布。据国外媒体报道，日前有消息称Windows8计划的发布将是2012年下半年。

2/28/202435.1.2WindowsXP的安全特性1．适合需要的文件系统WindowsXP支持3种文件系统，即NTFS、FAT16和FAT32。2．保护系统免受病毒侵害系统中的软件限制策略，可以避免计算机感染病毒和其他通过电子邮件和Internet传播的恶意代码。2/28/202443．在连接Internet期间保证系统安全Internet协议安全KerberosV5身份验证协议Internet连接防火墙Cookie管理4．使用智能卡增强安全性使用智能卡可存储证书和私钥并实现公钥操作，比如身份验证、数字签名和密钥交换，Windowsxp允许在安装了相应硬件和软件的计算机上充分利用智能卡的优点。2/28/202455.1.3Windows2000的安全特性1．安全利益2．数据安全性用户登录时的安全性使用VPN保护网络数据存储数据的保护3．企业间通信的安全性在目录服务中创建专门为外部企业开设的用户账号建立域之间的信任关系公用密钥体制2/28/202464．企业和Internet的单点安全登录5．易用的管理性和高扩展性6．其他的安全特性加密应用程序编程接口设备驱动程序签名2/28/20247一个安全模型共享密钥协议WindowsNTLM身份验证

NTLM–WindowsNTLAN管理器用于企业级网络的KerberosV5公钥验证协议安全套接字层(SSL)/传输层安全(TLS)IP的安全性ActiveDirectory身份验证的多种方式5.1.4Windows2000的安全结构2/28/202485.1.5Windows2000的网络模式1．工作组模式：是一种简单的网络模式，各个工作站的用户通过加入一个用户组共享资源。2．域模式：在此模式中，用户账号数据库和计算机策略是以共享方式存储的。3．安全限制：系统在共享级访问控制和用户级访问控制方面是安全的，因为其有严格的登录要求。2/28/202495.1.6Windows2000安全管理工具

1．Microsoft管理控制台（MMC）：是指进行系统维护的各种管理工具工作的地方,通过它用户可以创建、保存和打开用于管理硬件、软件和Windows系统组件的工具。MMC本身不执行管理功能，但可以接纳执行各种系统功能的工具，可在MMC中添加的插件包括管理工具、ActiveX控制、链接到网页、文件夹、控制台任务板和任务。用户使用MMC有两种方法，第一种是在用户模式下使用现有的MMC控制台管理系统，第二种是在作者模式下创建新控制台和修改现有的MMC控制台。

2/28/202410

Windows2000可以创建一个或多个“控制台”，这些控制台内可以包含一个或多个的管理单元。所有这些特性都能被远程计算机使用，并允许管理员从同一网络上的任何其他计算机上修复和配置其中的某台计算机。“管理控制台”和“管理单元”帮助用户更容易地管理本地或远程计算机。

2/28/202411MMC控制台窗口

Windows2000的MMC控制台窗口由两个窗格组成，左窗格称为控制台目录树，右窗格则称为结果窗格，如下图所示的“组件服务”控制台窗口。控制台目录树显示给定控制台中可用的项目，结果窗格则包含有关这些项目功能的信息。在控制台目录树中，当用户单击不同项目时，结果窗格中的信息将相应改变，结果窗格可以显示很多类型的信息，包括网页、图形、图表、表格和列表等。

2/28/2024122/28/202413添加/删除管理单元为了便于统一管理和增强控制台的功能，用户可以向控制台添加管理单元。但有时，某一项控制台管理单元的功能可能不再为用户所使用，这时用户可以将它删除。步骤：A.启动MMC，在“运行”菜单输入mmc.exe，此时打开一个空白的MMC。B.选择“控制台”—“添加/删除管理单元”,打开对话框，选择独立（或扩展）管理单元类型。2/28/202414C.打开“管理单元列表”对话框，选定其中一个（例如：事件查看器）管理单元。D.打开“选择计算机”对话框，选择事件查看器将监视哪一台计算机（可选择远程计算机），此处选择本地计算机。E.完成后可在“程序”—“管理工具”查看到新建的管理单元。2/28/2024155.2ActiveDirectory的结构与功能

ActiveDirectory是一个与Windows2000集成在一起的目录服务。

ActiveDirectory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。

2/28/2024165.2.1ActiveDirectory的功能和特点1．高度的集成性2．集成的安全性3．自定义的用户环境4．ActiveDirectory与域名系统（DomainNameSystem，DNS）高度集成5．ActiveDirectory可直接支持LightweightDirectoryAccessProtocol(LDAP)及HypertextTransferProtocol(HTTP)6．ActiveDirectory支持许多常用的标准名称格式7．服务配置8．支持目录的应用程序和软件安装2/28/2024175.2.2ActiveDirectory组件

1．名称空间和命名环境2．ActiveDirectory中的对象和对象名称3．全局编录4．架构5．域6．域目录树和目录林7．组织单位（OrganizationalUnit,OU）8．组策略9．站点2/28/202418全局编录

全局编录是一台存储了森林中所有ActiveDirectory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。

全局编录担当了以下目录角色：查找对象

提供了根据用户主名的身份验证

在多域环境下提供通用组的成员身份信息

2/28/202419域：是网络对象的集合，这些对象可以包括组织单元、用户、组和计算机，它们都共享与安全性有关的公用目录数据库。它是ActiveDirectory的基础，是其逻辑体系结构的核心单元。组策略：它提供了将安全性和配置设置组合为模板的能力，可将这种模板应用于单独的系统和域。2/28/202420ActiveDirectory和安全性

安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。ActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。ActiveDirectory允许管理员创建组帐号，管理员得以更加有效地管理系统的安全性。

2/28/2024215.3ActiveDirectory组策略5.3.1组策略简介组策略（GP）提供进一步控制和集中管理用户桌面环境的功能。组策略是一组配置设置，组策略管理员应用于活动目录存储中的一个或多个对象，也可以控制域中用户的工作环境。

组策略还授予用户和组权力。

2/28/202422组策略优点

（1）保护用户环境（2）增强用户环境

自动安装应用程序到用户的“开始”菜单。启动应用程序分发，方便用户在网络上找到并安装相应应用程序。安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。重定向文件夹到网络位置增强数据可靠性。2/28/202423安全设置：组策略管理员可以限制用户访问文件和文件夹。管理模板：包括基于注册表的组策略，可以利用它来强制注册表设置，控制桌面的外观和状态，包括操作系统组件和应用程序。

远程安装服务（RIS）：当运行用户安装向导时，控制显示给用户的RIS安装选项。

文件夹重定向：可以重定向WindowsServer2000指定的文件夹从用户配置文件缺省位置到另一个网络位置，从而对这些文件夹集中管理

。

2/28/2024245.3.2组策略的创建1．组策略配置设置组策略可以设置的策略如下。（1）软件安装（2）管理模板（3）脚本（4）安全性（5）文件夹重定向2/28/2024252．组策略对象的构成

3．创建组策略对象

4．创建未连接的组策略对象5．组策略对象链接2/28/2024265.3.3管理组策略

1．默认权限2．委派组策略的控制权3．Microsoft管理控制台的策略4．使用安全组筛选组策略5．使用组策略控制组策略6．添加模板2/28/2024275.3.4应用组策略

1．处理组策略

2．刷新组策略3．解决冲突的组策略4．组策略的继承关系2/28/202428组策略模板

组策略模板（GRT）是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夹下的文件夹结构。

GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。2/28/202429组策略包括：计算机配置、用户配置其组策略包含以下内容：

1）管理模板：包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。

2）Windows设置：包括脚本、安全设置（用户策略和本地策略）等相关的策略。

3）软件设置：包括软件安装策略，可以进行应用程序的指派与发布。2/28/202430组策略对象图1“组策略”选项卡2/28/202431更改组策略（1）选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算机”选项，选择“属性”→“组策略”命令。（2）选定“DefaultDomainControllersPolicy”，然后单击“编辑”按钮。（3）打开如图1所示的“组策略”窗口后，然后双击窗口右侧的“在本地登录”(图2）。2/28/202432图2组策略窗口2/28/202433（4）出现如图3所示的对话框时，单击“添加”按钮，选择DomainUsers组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。（5）返回“组策略”窗口时，请关闭此窗口。（6）返回“DomainControllers属性”对话框，单击“确定”。

2/28/202434图3有“在本地登录”权限的用户和组2/28/202435验证更改组策略的有效性（1）在服务器端，以administrator账户登录。（2）依次选择“开始”→“程序”→“管理工具”→“ActiveDirectory用户和计算”选项，从中选择“新建”→“用户”命令添加一个一般的用户账户。（3）完成后，注销administrator，然后等待此组策略生效。（4）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。返回本节2/28/202436设置管理模板策略（1）在“ActiveDirectory中，选择“属性”→“组策略”→“新建”命令，添加一个GPO，命名为“xuexiaoPolicy”。（2）在如图4所示的对话框中，单击“编辑”。（3）在如图5所示的“组策略”窗口中，选择“用户配置”→“管理模板”→“任务栏和‘开始’菜单”选项。2/28/202437（4）打开后选择“用户配置”→“管理模板”→“桌面”。（5）完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。2/28/202438图4添加新的组策略2/28/202439图5设置组策略2/28/2024405.4用户和工作组的安全管理

5.4.1Windows2000的用户账户1．本机用户账户：在本机中建立的用户账户。2．域用户账户：使用网域用户账户注册的用户可以使用网域上的资源，因此域用户账户的权限比本机用户账户来得广。3．默认用户账户AdministratorGuest2/28/202441本地用户账号（LocalUserAccount）

本地用户账号只能登录到账号所在计算机并获得对该资源的访问。当创建本地用户账号后，WindowsServer2000将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。

2/28/202442域用户账号（DomainUserAccount）

域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。2/28/202443内置用户账号（Built-inUserAccount）

WindowsServer2000自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。

最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。

Guest（来客）账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。

2/28/2024445.4.2用户账户安全设置

1．密码策略密码策略主要包括以下设置。（1）强制密码历史（2）密码最长存留期（3）密码最短存留期（4）密码必须符合复杂性要求（5）使用可还原的加密存储密码2/28/202445图7设置密码策略2/28/2024462．账户锁定策略

账户锁定策略包括以下设置。（1）复位账户锁定计数器（2）账户锁定时间（3）