网络安全与防火墙技术4 Windows NT2000XP安全性及防护

4WindowsNT/2000/XP平安性及防护4.1WindowsNT/2000/XP的平安机制

可以从WindowsNT／2000/XP用户的登录机制和WindowsNT／2000/XP的访问控制机制两个方面来理解其平安机制。WindowsNT／2000/XP操作系统是建立在一套完整的平安机制上的，因而任何一个机构，在使用WindowsNT/2000/XP前都必须指定它们的平安策略。这些策略要详细说明该机构对登录机制、访问控制、信息保护及审核的要求。用户可以用WindowsNT/2000/XP来配置网络，使信息能够按需要知道的部门和用户群来分类并控制非法用户的访问。同时，WindowsNT／2000/XP系统还使得用户能够将网络和有组织的资源当作对象组来进行管理，并改善身份确认和访问控制的平安措施。只有将企业的平安策略和WindowsNT／2000/XP操作系统的底层的平安机制有机地结合起来，才能充分发挥WindowsNT/2000/XP的各项平安特性。4.1.1WindowsNT/2000/XP中的对象对象是构成WindowsNT/2000/XP操作系统的根本元素，对象可以是文件、目录、存储器、驱动器、系统程序或Windows桌面等。对象为WindowsNT／2000操作系统提供了较高的平安级。对外来者，它们的数据封装在对象中，并只按对象的功能所定义的方式提供数据。对所有对象的操作都必须事先得到授权并由操作系统来执行。这就建立起一个保护层，可以有效地防止外部程序直接访问网络数据。WindowsNT/2000/XP正是通过阻止程序直接访问对象来获得高的平安保障的。4.1.2WindowsNT/2000/XP网络的工作组模型

在WindowsNT/2000/XP网络中有两种根本的组网模型：工作组模型和域模型。

在工作组模型的网络中，组是指计算机的逻辑组合，它把具有共同使用的设置如打印机、硬盘供组成员共享，组成员管理自己的账号和数据的平安性，如图4.1所示。图4.1工作组的结构4.1.3WindowsNT/2000/XP网络的域模型

1)域

域是指共享公共账号数据库和数据平安策略的计算机的逻辑组合，提供登录验证，并只有惟一的域名。域一般由几个运行WindowsNT／2000工作站版和效劳器版的计算机组成。图4.2域的组成2)域的主要组成局部

组成一个域至少需要一台运行WindowsNT／2000Server的计算机作为主域控制器，用来保存用户账户和组账户信息的数据库的主拷贝，同时负责管理用户和组账户，可选的组成局部有：备份域控制器、成员或独立的效劳器和各种类型的客户机(Windows3.x客户机、Windowsforworkgroup客户机、MS-DOS客户机、WindowsNTworkstation客户机、Windows2000客户机，Windows9x客户机、LANManager2.x客户机、NovellNetware客户机、Macintosh客户机等)。3)域模型

域有4种组织网络模型：单域模型、主域模型、多主域模型以及完全信任模型。

单域模型网络中只有一个域，适用于用户很少的网络中。

主域模型由于某种原因将网络分成几个域，只在一个域(主域)中创立网络中的所有用户和全局组，所有其他的域都信任这个域，可以使用在主域中定义的用户和全局组。多主域模型在网络中有多个主域和多个域(资源域)，其中主域作为账户域，所有的用户账户和组都创立在主域上，每个主域都相互信任，其他的所有资源域都信任每个主域。完全信任模型网络中具有多个主域，每个域中都有自己的用户和全局组，且这些域均两两信任。4)信任关系

信任关系是域之间的链接，允许跨越身份验证。通过信任关系，使用户可以使用其他域中的网络资源(当然还要有使用资源的权限)。有两种类型的信任关系：单向信任关系一个域(信任域)信任其他域(被信任域)中的用户使用其资源，即信任域完全成认来自被信任域的所有用户和全局组账户，而信任域中的用户无法使用被信任域中的资源。在图4.3中，域C信任域A，属于单向信任关系。

双向信任关系网络中的每个域都信任对方域中的用户使用其网络资源。通过适当使用双向信任关系，可以使任一域中的用户使用网络中的所有网络资源。所以说双向信任关系相当于两个单向信任关系，即域相互信任。全局用户账号和全局组可被用来从任何一个域中得到授权来访问其中任何一个域中的资源。在图4.3中，域A与域B属于双向信任关系。

5)域的优点单一登录过程集中式管理6)域命名约定

规划域时，需要考虑域的名称，域名应反映其效劳的范围。一旦设计好域名，最好不要更改。7)组命名和分配约定

网络管理员可能为每个资源域创立一个全局组，该组可能包括所有将该域作为主要资源来源的成员。4.1.4用户账户与组1)用户账户任何一个用户想要登录到WindowsNT/2000效劳器上，就必须要拥有一个属于自己的用户账户。用户账户保存了用户的信息(包括姓名、密码以及该用户能使用网络资源的限制)，有了这个用户账户，用户才能登录到网络中，对网络中的资源拥有一定的权利。用户账户也可分为两类：全局用户账户和本地用户账户。全局账户大多数或全部的用户将是全局用户账户。本地账户如果网络中有一台非WindowsNT/2000网络操作系统的效劳器,例如，IBMLANServer,NovellNetWareServer或LANManager2.x，用户可以通过本地用户账户(本地账户)使该系统用户和WindowsNT/2000Server域账户之间的访问更简单一些。2)组将用户账户分成组使得授予多个用户资源的访问更快捷更方便。组分为全局组和本地组。3)内嵌账户当WindowsNT/2000安装后，各个默认的用户和组账户被键入计算机的账户数据库中。内嵌用户账户：两个默认的用户账户初始化在每个WindowsNT/2000计算机上：Administrator和Guest。Administrator在用户创立其他用户账户之前，Administrator是最先能使用的管理新效劳器和工作站的账户。Administrator账户不能删除成使之失效，这保证用户永远不能通过删除或使管理账户无效而锁定自己。Guests是用作Guest登录的账户，它可被那些在计算机或域中没有账户的人用来登录的。在WindowsNT/2000安装时，Guest账户被默认的置为无效，但假设要允许Guest登录，可使之有效。但Guest在域中的权限非常小。4)内嵌全局组在域的主域和备份域控制中，有3个内嵌的全局组:DomainAdmins，DomainUsers和DomainGuests，它们都不能被删除。5)内嵌本地组在任何机器上安装WindowsNT/2000时，都建立几个默认的本地组，所有内嵌本地组将不能被删除。4.1.5WindowsNT／2000的注册表注册表是包括由应用程序、硬件设备、设备驱动程序配置、网络协议和适配卡设置等信息的数据库。4.1.6Windows2000系统的平安概述Windows2000在包括WindowsNT平安机制的根底上增加以下功能:1)平安性系统提供了两种类型的身份验证1)平安设置平安设置反映本地策略和系统上的有效策略。用户可以在一个平安模板中配置以下设置：账户策略密码、账户锁定和Kerberos策略的平安性,这些策略应用于用户账户。密码策略对于域或本地用户账户，决定密码的设置，如强制性和期限。账户锁定策略对于域或本地用户账户，决定系统锁定账户的时间，以及锁定哪些账户。前对其实施保护，而接收端计算机只有在数据被接收和验证之后再解除对数据的保护，从而提供了另一层平安性。3)基于策略的平安⑴存储在ActiveDirectory中的策略⑵网际协议平安策略管理用于通过Microsoft管理控制台(MMC)创立和配置IPSec策略。可以集中管理策略(针对ActiveDirectory客户)、在本地管理策略(正在运行该管理单元的计算机)或远程管理计算机或域策略。⑶公钥策略⑷策略继承4)平安模板Windows2000提供了使用“平安模板〞管理单元方式定义平安性的方法，可以查看、调整所有范围的系统平安性，并将它应用到本地计算机或导入到“组策略〞对象中。5)平安配置工具平安配置工具集是一组MMC管理单元，使用它可以为与平安性相关的管理任务提供一个中心储藏库。有了平安配置工具集，可以使用集成化的工具集在网络上的一个或多个基于Windows2000或WindowsNT的机器上配置并分析平安性。4.2.2WindowsXP的平安策略WindowsXP通过集成Windows2000的强项(基于标准的平安性、可管理性和可靠性)来实现平安管理，可以Windows2000客户机的方式来实施平安策略和平安配置。如对各用户分配管理使用权限等。4.3WindowsNT/2000/XP平安配置4.3.1WindowsNT网络平安配置及应用下面这个简单的步骤可以对所有用户进行根本身份确认。也可以来用复杂的程序以便既允许特定的用户匿名登录，又可要求别的所有用户进行根本身份确认。1)简单的步骤①在Internet效劳管理器中，双击WWW效劳旁边的计算机名。②在“口令〞确认区中选取根本(清晰文本)确认框。③去除询问／响应确认框。④去除允许匿名登录确认框。⑤单击“应用〞按钮，再单击“OK〞按钮。⑥双击网络代理效劳旁边的计算机名。⑦单击“许可权〞选项卡。⑧设置用户的访问控制权限。

如果要将网络代理效劳(FTP，GopherWWW,Secure)的所有权限赋予所有的用户那么去除允许访问控制确认框。如果要限制用户对网络代理效劳的权限，选择允许访问控制确实认框。如果设置了访问控制，就需要为用户的每一项效劳的访问权限指定许可权。⑨单击应用项，再单击“OK〞按钮。2)复杂的步骤①~⑦步与“简单的步骤〞中的①~⑦步相同。⑧选择允许访问控制确认框。⑨在网络代理效劳(FTP，Gopher，Secure)的许可权列表中添加用户。⑩在允许匿名登录的网络代理效劳的许可权列表中添加使用名为USR的匿名用户。单击“应用〞按钮，再单击“OK〞按钮。4.3.2MICROSOFT平安配置工具集这局部描述Microsoft平安配置工具集，它是一组MicrosoftMMC管理单元，使用它可以降低基于WindowsNT和Windows2000操作系统网络平安配置与分析的相关费用。使用平安配置工具集可以配置基于WindowsNT或Windows2000系统的平安性，并对系统行为，它只是为定义实际管理行为的“管理单元〞提供公用环境。管理单元是集成进MMC接口这一公用宿主的管理组件。平安配置工具集的首要目标是为基于WindowsNT和Windows2000系统的平安性提供单点管理。为了到达这个目标，该工具必须允许管理员：①在一个或多个基于WindowsNT或Windows2000的计算机上配置平安性。②在一个或多个基于WindowsNT或Windows2000的计算机上进行平安性分析。③在一个集成且统一的框架内完成这些任务。4.3.3WindowsNT/2000/XP用户登录与账户管理1)登录的平安设置设置登录时间限制设置工作站登录限制设置账户失效日期设置用户登录失败次数2)Windows2000用户账户的管理⑴添加用户账号添加用户账号的步骤如下：①启动ActiveDirectory用户和计算机管理器，单击“User〞选项会看到在安装ActiveDirectry时自动建立的用户账号。②单击“操作〞→“新建〞→“用户〞，在“创立新对象—用户〞对话框中输入用户的姓名、登录名，其中的“下层登录名〞是指当用户从运行WindowsNT／98等以前版本的操作系统的计算机登录网络所使用的用户名，在如图4.4所示的窗体中，单击“下一步〞按钮。图4.4创立新用户③在密码对话框中输入密码或不填写密码并钩选“用户下次登录时须更改密码〞选项，以便让用户在第一次登录时修改密码。④在完成对话框中会显示以上设置的信息，单击“完成〞按钮。这时用户会在管理器中看到新添加的用户，如图4.5所示。⑵管理用户账户

①输入用户的信息。②用户环境的设置。用户可以设置每一个用户的环境，如用户配置文件、登录脚本、宿主目录等，这些设置根据实际情况而定。图4.5活动目录用户和计算机的管理⑶设置用户登录时间在账户标签中单击“登录时间〞按钮，出现如图4.6所示的对话框，图中横轴每个方块代表一小时，纵轴每个方块代表一天，蓝色方块表示允许用户使用的时间，空白方块表示该时间不允许用户使用，默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一—周五的7：00—19：00之间使用。其设置方法是在用户(MarkLee)的登录时段对话框中，选中“拒绝登录〞单项选择钮。图4.6设置用户登录时间当用户在允许登录的时间段内登录到网络中，并且一直持续到超过允许登录的时间时，用户可以继续连接使用，但不允许作新的连接，如果用户注销后，那么无法再次登录。⑷限制用户由某台客户机登录在账户中单击“登录到〞按钮，出现图4.7所示的对话框，在默认情况下用户可以从所有的客户机登录，也可以设置让用户从某些工作站登录，设置时输入计算机的计算机名称(NetBIOS名)，然后单击“添加〞按钮，这些设置对于非WindowsNT/2000/XP工作站是无效的，如用户可以不受限制的从任何一台DOS，Windows客户机登录。图4.7设置用户登录工作站⑸设置账户的有效期限在“账户〞的下方，用户可以选择账户的使用期限，在默认情况下账户是永久有效的，但对于临时员工来说，设置账户的有效期限就非常有用，在有效期限到期后，该账户被标记为失效，默认为一个月。⑹管理用户账户在创立用户账号后，可以根据需要对账户进行密码重新设置、修改、重命名等操作。①重设密码：选择“账户〞→“操作〞→“重设密码〞，在“密码设置〞对话框中输入新的密码，如果要求用户在下次登录时修改密码，那么选中“用户下次登录时须更改密码〞单项选择钮。②账户的移动：选择“账号〞→“操作〞→“移动〞，在“移动〞对话框中选择相应的内容或组织单位。③重命名：选择“账户〞→“操作〞→“重命名〞，更改用户的名称。对内置的账户也可以更改(如更改系统管理员的账户名称，这样有利于提高系统的平安性)，在更改名称后，由于该账户的平安标识SID并未被修改，所以，其账户的属性、权限等设置均未发生改变。④删除账户：选择“账户〞→“操作〞→“删除〞，用户可以一次删除一个或多个账户。在删除账户后如再添加一个相同名称的账户，由于SID的不同，它无法继承已被删除账户的属性和权限。⑺计算机账户的创立①启动ActiveDirectry用户和计算机管理器，单击“Computer〞→“操作〞→“新建〞→“计算机〞，那么弹出如图4.8所示的对话框。图4.8创立计算机账户②输入计算机名称，单击“确定〞按钮即可完成创立工作。3)组的管理可以利用将用户参加到组中的方式，简化网络的管理工作。当对组设置了权限后，那么组中所有的用户就具有了该权限，这样防止用户对每一个用户设置权限，从而减轻了工作量。⑴添加组①翻开ActiveDirectry用户和计算机。②在控制台树中，双击域节点。③单击要添加组的文件夹，指向“新建〞，然后单击“组〞按钮。④输入新组的名称，在默认情况下，用户输入的名称还将作为新组的Windows2000以前版本的名称，如图4.9所示。⑤选择所需的“组作用域〞下的单项选择钮。⑥选择所需的“组类型〞下的单项选择钮。⑵指定用户隶属的组设置方法是在组属性对话框中，单击“成员属于〞选项卡，如图4.10所示。可以查看指定前用户隶属于哪些组，如要将用户添加到其他的组中那么单击“添加〞按钮，出现如图4.11所示的对话图4.9创立新组名图4.10指定用户属性的窗体框，在上方的窗体中选择需要添加的组(可以按住Shift或Ctrl键，利用鼠标选择多个组)，然后单击“添加〞按钮那么所选的组合出现在下方的窗体中，单击“确定〞按钮。如果需要将用户从他所属的指定组中删除，那么在成员属性窗体中选择该组，单击“删除〞按钮。注意，用户账号至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且它不可删除。⑶管理组将组转换为另一种组类型，其步骤如下：①翻开ActiveDirectory用户和计算机。②在控制台树中，双击域节点。③单击包含该组的文件夹。图4.11指定用户隶属的组

④在详细信息窗体中，右键选择“组〞按钮，然后选择“属性〞按钮单项选择钮。⑤在“常规〞选项卡的“组类型〞中，选择“分布式〞或“平安式〞选择钮。更改组作用域，其步骤如下：①~④步同将组转换为另一种组类型的步骤。⑤在“常规〞选项卡的“组作用域〞下，选择“本地域〞、“全局〞或“通用〞单项选择钮。删除组，其步骤如下：①~③步同将组转换为另一种组类型的步骤。④在详细信息窗体中，右键选择“组〞按钮，然后单击“删除〞按钮。4)域和域控制器的管理⑴更改域模式(如图4.12所示)其步骤如下：图4.12更改域模式①翻开ActiveDirectory域和信任关系。②右键单击用户想要管理的域的域节点，然后单击“属性〞按钮。③在“常规〞选项卡上，单击“更改模式〞按钮，然后单击“是〞按钮。注意：如果已经有或即将有WindowsNT4.0域控制器，不要更改域模式。只能将模式从混合模式更改为本机模式。一旦域以本机模式运行后，就不能再改回到混合模式了。⑵创立明确域信任其步骤如下：①翻开ActiveDirectory域和信任关系。②在控制台树中，右控单击要管理的城的域节点，然后单击“属性〞按钮。③单击“信任〞选项卡。根据用户的需要，单击“受此域信任的域〞或“信任此域的域〞按钮，然后单击“添加〞按钮。④如果要添加的域是Windows2000域，那么键入域的DNS全名。注意：密码必须是信任域和被信任域双方都接受的。⑶验证信任关系其步骤如下：①翻开ActiveDirectory域和信任关系。②在按制台树中，用右键单击要验证的信任关系所涉及的一个域，然后单击“属性〞按钮。③单击“信任〞选项卡。④在“受此域信任的域〞或“信任此域的域〞中，单击要验证的信任关系，然后单击“编辑〞按钮，如图4.13所示。⑤单击“验证〞按钮。⑷撤销信任关系其步骤如下：①翻开ActiveDirectory域和信任关系。图4.13验证信任关系②在控制台树中，用右键单击要验证的信任关系所涉及的一个域节点，然后单击“属性〞按钮。③单击“信任〞选项卡。在“受此域信任的城〞或“信任此域的域〞中，单击要撤销的信任关系然后单击“删除〞按钮。④对于此信任关系中涉及的其他域，重复该过程。注意：用户不可能撤销不同域之间的默认双向可传递信任关系，但可删除明确创立的快捷信任关系。4.3.4WindowsNT/2000/XP系统的访问控制与权限Windows2000由于引进了活动目录的概念，其平安性中控制对象的访问比WindowsNT更完善。1)Windows2000控制对象的访问⑴设置、查看、更改或删除文件和文件夹权限其步骤如下：①翻开“Windows资源管理器〞，然后定位到用户要设置权限的文件和文件夹。右键单击该文件或文件夹，弹出“DDL属性〞对话框，然后单击“平安〞选项卡，如图4.14所示。图4.14设置用户权限②执行以下任一项操作：要设置新组或用户的权限，可单击“添加〞按钮。按照域名＼名称的格式输入要设置权限的组或用户的名称，然后单击“确定〞按钮即可关闭对话框。设置用户文件和文件夹要更改或删除现有的组或用户的权限，可单击该组或用户的名称。③如果必要，可在“权限〞中单击每个要允许或拒绝的权限，从权限列表中删除组或用户，可单击“删除〞按钮。注意：只能在格式化为NTFS的驱动器上设置文件和文件夹权限。要更改访问权限，用户必须是所有者或已经由所有者授权执行该操作。无论保护文件和子文件夹的权限如何，被允许对文件夹进行完全控制的组或用户都可以删除该文件夹内的任何文件和子文件夹。如果“权限〞下的复选框为灰色或者没有“删除〞按钮，那么文件或文件夹已经继承了父文件夹的权限。⑵设置、查看或删除共享文件夹或驱动器的权限其步骤如下：①翻开“Windows资源管理器〞，然后定位到要设置权限的共享文件夹或驱动器。②右键单击共享文件夹或驱动器，然后单击“共享〞选项。③在“共享〞选项卡上，单击“权限〞选项。④要设置共享文件夹权限，单击“添加〞按钮。输入要设置权限的组或用户的名称，然后单击“确定〞按钮并关闭对话框。要删除权限，可在“名称〞中选择组或用户，然后单击“删除〞按钮。⑤在“权限〞中，如果需要，对每个权限单击“允许〞或“拒绝〞选项，如图4.15所示。⑶取得文件或文件夹的所有权其步骤如下：①翻开“Windows资源管理器〞，然后定位到要取得其所有权的文件或文件夹。②右键单击该文件或文件夹，弹出“SourccCode属性〞对话框，然后单击“平安〞选项卡。图4.15设置用户共享文件③单击“高级〞按钮，然后单击“所有者〞选项卡，如图4.16所示。图4.16取得文件或文件夹的所有权④单击新的所有者，然后单击“确定〞按钮。注意：钩选“替换子容器和对象的所有者〞复选框，可以修改目录树中所有子容器和对象的所有者。可以两种方式转让所有权，当前所有者可以授予其他人“取得所有权〞权限，允许这些用户在任何时候取得所有权。管理员可以获得计算机中任何文件的所有权。但是，管理员不能将所有权转让给其他人。该限制可以保持管理员的责任。⑷对于域或组织单位委派控制其步骤如下：①翻开ActiveDirectory用户和计算机。②在控制台树中，展开域对象以显示子域或组织单位。③右键单击要委派管理的子域或组织单位，然后单击“委派控制〞。

④完成委派控制向导中的步骤。4.3.5WindowsNT/2000/XP系统数据保护措施①管理员利用ActiveDirectory、组策略及Kerberos验证等工具，建立一整套完善的平安策略，保证系统的平安可靠性，将人为造成破坏的可能性降到最低。②利用系统备份、配置容错能力(如磁盘镜像、RAID)、病毒检查、磁盘碎片整理等工具保证将由硬件问题引起的系统故障降低到最低。③在实施以上步骤后，管理员还要利用事件查看器、网络监视器、系统信息实时监视系统，从而实现及时发现问题解决问题，保证系统的平安稳定。4.4WindowsNT/2000/XP平安漏洞及防护4.4.1WindowsNT系统的缺陷①WindowsNT对较大的ICMP包是很脆弱的。②由于WindowsNT机器允许在安装时输入空白口令,这是一个潜在的平安问题。③在每次紧急修复盘(ERD，EmergeneyRepairDisk)后更新时，整个SAM数据库被复制到％system％＼repair＼sam._。在默认的权限设置下，每个人对该文件都有“读〞(Read)的访问权。Administrator和系统本身具有“完全控制〞(FullControl)的权利，Poweruser有“改变〞(Change)的权限。SAM数据库的一个备份拷贝能够被某些工具用来破解口令。能解码SAM数据库并能破解口令的工具有PWDump和NTCrack。④SAM数据库和其他NT效劳器文件可能被NT的SMB所读取。SMB(ServerMessageBlock)是指效劳器信息块，为Microsoft早期LAN产品的一种继承协议。SMB有很多尚未公开的“后门〞，能不用授权就可以存取SAM和NT效劳