《局域網(wǎng)的安全》PPT課件.ppt

第6章 局域網(wǎng)的安全管理,學(xué)習(xí)目標(biāo) 了解影響局域網(wǎng)的安全因素，并理解硬件設(shè)備和線路、系統(tǒng)和軟件、用戶身份認(rèn)證、有缺陷的網(wǎng)絡(luò)服務(wù)等都可能造成安全隱患。 正確理解局域網(wǎng)的安全技術(shù)，重點(diǎn)掌握密碼技術(shù)和入網(wǎng)訪問控制技術(shù)。 學(xué)會Windows 2003 Server的安全與保護(hù)措施。,第6章 局域網(wǎng)的安全管理,內(nèi)容要點(diǎn) 局域網(wǎng)安全的安全因素； 局域網(wǎng)的安全技術(shù)：主動防御技術(shù)，密碼技術(shù)，訪問控制技術(shù)； Windows 2003 Server的安全與保護(hù)措施。,第6章 局域網(wǎng)的安全管理,學(xué)前要求 對計算機(jī)信息安全有一定的了解，或者初略知曉局域網(wǎng)接入Internet帶來的安全缺陷。 已經(jīng)學(xué)習(xí)了Windows 2003 Server網(wǎng)絡(luò)操作系統(tǒng)等基礎(chǔ)知識。 已經(jīng)學(xué)會了局域網(wǎng)硬件設(shè)備的連接與操作平臺的搭建等基本操作，也就是說已經(jīng)具有學(xué)習(xí)局域網(wǎng)安全管理所需要的基礎(chǔ)知識和技能。,6.1 局域網(wǎng)的安全問題 6.2 局域網(wǎng)的安全技術(shù) 6.3 Windows 2003 Server的安全與保護(hù)措施,第6章 局域網(wǎng)的安全管理,6.1 局域網(wǎng)的安全問題,6.1.1 影響局域網(wǎng)安全的因素 6.1.2 Internet接入帶來的安全缺陷,6.1.1 影響局域網(wǎng)安全的因素,1. 硬件設(shè)備和線路的安全問題 2. 系統(tǒng)和軟件的安全問題 3. 網(wǎng)絡(luò)管理人員的安全意識問題 4. 環(huán)境的安全因素,Internet接入帶來的安全缺陷,1. 薄弱的認(rèn)證環(huán)節(jié) 2. 系統(tǒng)的易被監(jiān)視性 3. 系統(tǒng)的易被欺騙性 4. 有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī) 5. 復(fù)雜的設(shè)備和控制 6. 無法估計系統(tǒng)的安全性,6.2 局域網(wǎng)的安全技術(shù),6.2.1網(wǎng)絡(luò)安全技術(shù)的概述 6.2.2 密碼技術(shù) 6.2.3 訪問控制技術(shù),主動防御技術(shù), 數(shù)據(jù)加密 密碼技術(shù)被認(rèn)為是解決網(wǎng)絡(luò)安全問題的最好途徑。目前對數(shù)據(jù)最為有效的保護(hù)手段就是加密。 身份驗(yàn)證 身份驗(yàn)證是一致性驗(yàn)證的一種。身份驗(yàn)證包括驗(yàn)證依據(jù)、驗(yàn)證系統(tǒng)和安全要求。 存取控制 存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、控制類型和風(fēng)險分析等。, 授權(quán) 用戶需要控制哪些用戶訪問網(wǎng)絡(luò)的資源，它們能夠?qū)Y源進(jìn)行何種操作。 虛擬網(wǎng)絡(luò)技術(shù) 使用VPN(虛擬專用網(wǎng))或VLAN(虛擬局域網(wǎng))技術(shù)，通過網(wǎng)絡(luò)的物理或邏輯劃分，控制網(wǎng)絡(luò)數(shù)據(jù)的流向，使其不要流向非法用戶，以達(dá)到安全防范的目的。,主動防御技術(shù),被動防御技術(shù), 防火墻技術(shù) 防火墻是內(nèi)部網(wǎng)與Internet之間實(shí)施安全防范的系統(tǒng)，可被認(rèn)為是一種訪問控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及哪些外部服務(wù)允許內(nèi)部訪問。 安全掃描器 可自動檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，用于觀察網(wǎng)絡(luò)是否在正常工作，收集主機(jī)的信息。 密碼檢查器 通過口令驗(yàn)證程序檢查薄弱的口令。,被動防御技術(shù), 記賬服務(wù) 在系統(tǒng)中保留一個日志文件，與安全相關(guān)的事件可以記錄在日志文件中，以便事后調(diào)查和分析，追查有關(guān)責(zé)任者，發(fā)現(xiàn)系統(tǒng)安全的弱點(diǎn)和入侵點(diǎn)。 路由過濾 路由器中的過濾器對所接收的每一個數(shù)據(jù)包根據(jù)包過濾規(guī)則做出允許或拒絕的決定。 物理及管理安全 通過制定規(guī)章制度和條例減少人為因素的影響。,傳統(tǒng)加密算法,在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的或者可以由其中一個推知另一個，稱為對稱密鑰算法。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信息，也可以用該密鑰解密信息。 在早期的密鑰密碼體制中，典型的有代替密碼。由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進(jìn)行破譯。,數(shù)據(jù)加密標(biāo)準(zhǔn)DES,DES是對稱加密算法中最具代表性的一種。DES算法原是IBM公司為保護(hù)產(chǎn)品的機(jī)密研制成功的，后被美國國家標(biāo)準(zhǔn)局和國家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)，并于1977年頒布使用。DES可以對任意長度的數(shù)據(jù)加密，實(shí)際可用密鑰長度56比特，加密時首先將數(shù)據(jù)分為64比特的數(shù)據(jù)塊，采用ECB、CBC、CFB等模式之一，每次將輸入的64比特明文變換為64比特密文。最終，將所有輸出數(shù)據(jù)塊合并，實(shí)現(xiàn)數(shù)據(jù)加密。,公開密鑰密碼體制,公開密鑰密碼體制是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰：公開密鑰和秘密密鑰，因此，這種體制又稱為非對稱密鑰密碼體制。在公鑰加密算法下，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者；私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA，是目前使用比較廣泛的加密算法。RSA算法建立在大數(shù)因子分解的復(fù)雜性上。RSA的保密性在于大數(shù)的分解難度上，如果大數(shù)分解成功，則RSA也就無保密性可言了。,數(shù)字簽名,采用兩個密鑰加密即公開密鑰PK和秘密密鑰SK加密：發(fā)送數(shù)據(jù)時，將發(fā)送的數(shù)據(jù)采用傳統(tǒng)的加密方法(如DES算法)得到的密文和用來解碼的密鑰一起發(fā)送；但發(fā)送的密鑰本身必須用公開密鑰密碼算法中的公開密鑰PK加密，到目的地后先令一個密鑰SK來解開傳統(tǒng)加密方法中的密鑰，再用該密鑰解開密文，這種組合加密被稱為數(shù)字簽名。,6.2.3 訪問控制技術(shù),訪問控制是指對網(wǎng)絡(luò)中的某些資源的訪問要進(jìn)行控制，只有被授予特權(quán)的用戶，才有資格并有可能去訪問有關(guān)的數(shù)據(jù)或程序。 訪問控制是防止對任何資源的非法訪問。 所謂非法訪問是指未經(jīng)授權(quán)的使用、泄露、銷毀以及發(fā)布等。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的基礎(chǔ)。 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。,入網(wǎng)訪問控制,入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和登錄入網(wǎng)的工作站。 用戶的入網(wǎng)訪問控制可分為： 對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證 用戶名和口令驗(yàn)證有效之后，再進(jìn)一步履行用戶賬號的默認(rèn)限制檢查。 只要其中的任何一個步驟未通過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。,訪問權(quán)限控制,訪問權(quán)限控制是針對非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，即控制可以訪問哪些文件夾、子文件夾、文件和其他資源？以及對這些文件、文件夾、設(shè)備能夠執(zhí)行哪些操作？ 受托者指派和繼承權(quán)限屏蔽作為訪問權(quán)限控制的兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的文件夾、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子文件夾從父文件夾那里繼承哪些權(quán)限。 根據(jù)訪問權(quán)限將用戶分為 特殊用戶(如系統(tǒng)管理員)；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。 用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。,6.2.3 訪問控制技術(shù),3. 文件夾級安全控制 4. 屬性安全控制 5. 網(wǎng)絡(luò)服務(wù)器安全控制 6. 網(wǎng)絡(luò)監(jiān)測和鎖定控制 7. 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制 8. 防火墻控制,Windows 2003 Server的安全與保護(hù)措施,6.3.1 Windows 2003 Server的安全概述 6.3.2 Windows 2003 Server用戶賬戶的管理 6.3.3 文件/文件夾的權(quán)限設(shè)置 6.3.4 Windows 2003 Server的安全訪問控制 6.3.5 單元實(shí)訓(xùn)：權(quán)限配置和安全審核,6.3.1 Windows 2003 Server的安全概述,1. 概述 用戶身份驗(yàn)證 基于對象的訪問控制 Active Directory和安全性,6.3.1 Windows 2003 Server的安全概述,2. 域的體系結(jié)構(gòu) 域和安全性 單個域和多個域 可轉(zhuǎn)移的信任關(guān)系 服務(wù)器角色,6.3.1 Windows 2003 Server的安全概述,3. 身份驗(yàn)證 身份驗(yàn)證是系統(tǒng)安全性的一個基本方面。它負(fù)責(zé)確認(rèn)試圖登錄域或訪問網(wǎng)絡(luò)資源的任何用戶的身份。Windows身份驗(yàn)證允許對整個網(wǎng)絡(luò)資源進(jìn)行單獨(dú)登記。采用單獨(dú)登記的方法，用戶可以使用密碼或智能卡一次登錄到域，然后，通過身份驗(yàn)證向域中的所有計算機(jī)表明身份。,6.3.1 Windows 2003 Server的安全概述,Windows支持幾種工業(yè)標(biāo)準(zhǔn)的身份驗(yàn)證類型。驗(yàn)證用戶身份時，Windows依據(jù)多種要素使用不同種類的身份驗(yàn)證。Windows支持的身份驗(yàn)證類型有： Kerberos V5身份驗(yàn)證； 安全套接字層(SSL)和傳輸層安全性(TLS)的身份驗(yàn)證； NTLM身份驗(yàn)證。,6.3.1 Windows 2003 Server的安全概述,4. 授權(quán) 5. 審核 6. 安全策略 7. 數(shù)據(jù)保護(hù) 8. 公鑰基礎(chǔ)結(jié)構(gòu),6.3.2 Windows 2003 Server用戶賬戶的管理,添加用戶賬號 啟動Active Directory用戶和計算機(jī)管理器，單擊User選項(xiàng)會看到在安裝Active Directory時自動建立的用戶賬號。 單擊“操作”“新建”“用戶”，在“創(chuàng)建新對象”對話框中輸入用戶的姓名、登錄名，其中的“用戶登錄名”是指當(dāng)用戶從運(yùn)行Windows早期版本的操作系統(tǒng)的計算機(jī)登錄網(wǎng)絡(luò)所使用的用戶名，在圖示的窗體中，單擊“下一步”按鈕； 在密碼對話框中輸入密碼或不填寫密碼，并選擇“用戶下次登錄時須更改密碼”選項(xiàng)，以便讓用戶在第一次登錄時修改密碼； 在完成對話框中會顯示以上設(shè)置的信息，單擊“完成”按鈕。這時用戶會在管理器中看到新添加的用戶。,管理器中顯示添加的用戶,6.3.2 Windows 2003 Server用戶賬戶的管理,新建對象 |用戶,6.3.2 Windows 2003 Server用戶賬戶的管理,6.3.2 Windows 2003 Server用戶賬戶的管理,2. 管理用戶賬戶 輸入用戶的信息 在用戶屬性對話框中的常規(guī)標(biāo)簽中可以輸入有關(guān)用戶的描述、辦公室、電話、電子郵件地址及個人主頁地址；在地址標(biāo)簽中輸入用戶的所在地區(qū)及通信地址；在電話/備注標(biāo)簽中輸入有關(guān)用戶的家庭電話、尋呼機(jī)、移動電話、傳真、IP電話及相關(guān)備注信息。這樣便于用戶以后在活動文件夾中查找用戶并獲得相關(guān)信息。 用戶環(huán)境的設(shè)置 用戶可以設(shè)置每一個用戶的環(huán)境，例如用戶配置文件、登錄腳本、宿主文件夾等，這些設(shè)置根據(jù)實(shí)際情況而定。,6.3.2 Windows 2003 Server用戶賬戶的管理,設(shè)置用戶登錄時間, 設(shè)置用戶登錄時間 在賬戶標(biāo)簽中單擊“登錄時間”按鈕，出現(xiàn)如下圖所示的對話框，圖中橫軸每個方塊代表一小時，縱軸每個方塊代表一天，藍(lán)色方塊表示允許用戶使用的時間，空白方塊表示該時間不允許用戶使用。,限制用戶由某臺客戶機(jī)登錄,6.3.2 Windows 2003 Server用戶賬戶的管理, 限制用戶由某臺客戶機(jī)登錄 在賬戶中單擊“登錄到”按鈕，出現(xiàn)如右圖所示的對話框，在默認(rèn)情況下用戶可以從所有的客戶機(jī)登錄，也可以設(shè)置讓用戶從某些客戶機(jī)登錄，設(shè)置時輸入計算機(jī)的計算機(jī)名稱，然后單擊“添加”按鈕，這些設(shè)置對于非Windows客戶機(jī)是無效的，例如用戶可以不受限制的從任何一臺Windows客戶機(jī)登錄。,6.3.2 Windows 2003 Server用戶賬戶的管理, 設(shè)置賬戶的有效期限 管理用戶賬戶 在創(chuàng)建用戶賬號后，可以根據(jù)需要對賬戶進(jìn)行密碼重新設(shè)置、修改、重命名等操作。 重設(shè)密碼 賬戶的移動 重命名 刪除賬戶,6.3.2 Windows 2003 Server用戶賬戶的管理,計算機(jī)賬戶的創(chuàng)建, 計算機(jī)賬戶的創(chuàng)建 首選啟動Active Directory用戶和計算機(jī)管理器，單擊Computer“操作”“計算機(jī)”，則出現(xiàn)如右圖所示的對話框。 輸入計算機(jī)名稱，單擊“下一步”“確定”按鈕完成創(chuàng)建工作。,6.3.2 Windows 2003 Server用戶賬戶的管理,3. 組的管理 用戶可以利用將用戶加入到組中的方式，簡化網(wǎng)絡(luò)的管理工作。當(dāng)用戶對組設(shè)置了權(quán)限后，則組中所有的用戶就具有了該權(quán)限，這樣避免用戶對每一個用戶設(shè)置權(quán)限，從而減輕了工作量。 添加組 打開Active Directory用戶和計算機(jī)。 在控制臺樹中，雙擊域節(jié)點(diǎn)。 單擊要添加組的文件夾，指向“新建”，然后單擊“組”按鈕。,6.3.2 Windows 2003 Server用戶賬戶的管理,新建對象-組, 鍵入新組的名稱，在默認(rèn)情況下，用戶輸入的名稱還將作為新組的Windows早期版本的名稱，如右圖所示。 單擊所需的“組作用域”按鈕。注意：如果用戶目前創(chuàng)建的組所屬的域處于混合模式，則只能選擇具有“本地域”或“全局”作用域的安全組。 單擊所需的“組類型”按鈕。,6.3.2 Windows 2003 Server用戶賬戶的管理, 指定用戶隸屬的組 設(shè)置方法是在組屬性對話框中，單擊“成員屬于”標(biāo)簽，如圖7-7所示。可以查看用戶隸屬于哪些組，如果要將用戶添加到其他的組中則單擊“添加”按鈕，出現(xiàn)如圖7-8所示的對話框，在上方的窗體中選擇需要添加的組(可以按住Shift鍵或Ctrl鍵，利用鼠標(biāo)選擇多個組)，然后單擊“添加”按鈕則所選的組會出現(xiàn)在下方的窗體中，單擊“確定”按鈕。 如果需要將用戶從他所屬的指定組中刪除，則在成員屬于窗體中選擇該組，單擊“刪除”按鈕。注意，用戶賬號至少隸屬于一個組，該組被稱為主要組，這個主要組必須是一個全局組且它不可刪除。,6.3.2 Windows 2003 Server用戶賬戶的管理,組屬性-“成員屬于”標(biāo)簽頁,成員屬于添加選擇組,6.3.2 Windows 2003 Server用戶賬戶的管理,3. 組的管理 管理組 將組轉(zhuǎn)換為另一種組類型，其步驟如下： 打開Active Directory用戶和計算機(jī)； 在控制臺樹中，雙擊域節(jié)點(diǎn)； 單擊包含該組的文件夾； 在詳細(xì)信息窗格中，右鍵單擊組，然后單擊“屬性”； 在“常規(guī)”標(biāo)簽頁的“組類型”中，單擊“分布式”或“安全式”。,6.3.2 Windows 2003 Server用戶賬戶的管理, 管理組 更改組作用域，其步驟如下： 打開Active Directory用戶和計算機(jī)在控制臺樹中，雙擊域節(jié)點(diǎn)單擊包含組的文件夾在詳細(xì)信息窗格中，右擊“組”按鈕，然后單擊“屬性”按鈕在“常規(guī)”標(biāo)簽頁的“組作用域”下，單擊“本地域”、“全局”或“通用”按鈕。 刪除組，其步驟如下： 打開Active Directory用戶和計算機(jī)在控制臺樹中，雙擊域節(jié)點(diǎn)單擊包含組的文件夾在詳細(xì)信息窗格中，右擊“組”按鈕，然后單擊“刪除”按鈕。,6.3.2 Windows 2003 Server用戶賬戶的管理,4. 域和域控制器的管理 更改域模式 打開Active Directory域和信任關(guān)系右擊用戶想要管理的域的域節(jié)點(diǎn)，然后單擊“屬性”在“常規(guī)”標(biāo)簽頁上，單擊“更改模式”，然后單擊“是” 。,更改域模式,6.3.2 Windows 2003 Server用戶賬戶的管理, 創(chuàng)建明確域信任，其步驟如下： 打開Active Directory域和信任關(guān)系； 在控制臺樹中，右鍵單擊要管理的域的域節(jié)點(diǎn)，然后單擊“屬性”； 單擊“信任”標(biāo)簽頁； 根據(jù)用戶的需要，單擊“受此域信任的域”或“信任此域的域”按鈕，然后單擊“添加”按鈕； 如果要添加的域是Windows 2003域，則鍵入域的DNS全名。 注意：密碼必須是信任域和被信任域雙方都接受的。,6.3.2 Windows 2003 Server用戶賬戶的管理, 驗(yàn)證信任關(guān)系，其步驟如下： 打開Active Directory域和信任關(guān)系； 在控制臺樹中，用右鍵單擊要驗(yàn)證的信任關(guān)系所涉及的一個域，然后單擊“屬性”按鈕； 單擊“信任”標(biāo)簽頁； 在“受此域信任的域”或“信任此域的域”中，單擊要驗(yàn)證的信任關(guān)系，然后單擊“編輯”； 單擊“驗(yàn)證”按鈕。,6.3.2 Windows 2003 Server用戶賬戶的管理, 撤消信任關(guān)系，其步驟是： 打開Active Directory域和信任關(guān)系； 在控制臺樹中，用右鍵單擊要驗(yàn)證的信任關(guān)系所涉及的一個域節(jié)點(diǎn)，然后單擊“屬性”按鈕； 單擊“信任”標(biāo)簽頁； 在“受此域信任的域”或“信任此域的域”中，單擊要撤消的信任關(guān)系，然后單擊“刪除”按鈕； 對于此信任關(guān)系中涉及的其他域，重復(fù)該過程。 注意：用戶不可能撤消樹林中不同域之間的默認(rèn)雙向可傳遞信任關(guān)系，但可刪除明確創(chuàng)建的快捷信任關(guān)系。,6.3.3 文件/文件夾的權(quán)限設(shè)置,1. 通過Windows資源管理器設(shè)置權(quán)限 選擇：開始程序Windows資源管理器。 在左側(cè)窗口中選中要設(shè)置權(quán)限的文件夾，右擊，選擇“共享”選項(xiàng)，在“共享”標(biāo)簽頁中，選中“共享為”選項(xiàng)，輸入共享名、用戶個數(shù)設(shè)置。 單擊“權(quán)限”按鈕，進(jìn)入用戶權(quán)限分配窗口，在該窗口中，可以“添加”和“刪除”一個或多個用戶及用戶組對所選文件夾的權(quán)限，設(shè)定權(quán)限為：讀取、寫入、完全控制、拒絕訪問等。,6.3.3 文件/文件夾的權(quán)限設(shè)置,通過Windows資源管理器設(shè)置權(quán)限,6.3.3 文件/文件夾的權(quán)限設(shè)置,2. 通過計算機(jī)管理來管理共享文件夾 選擇“開始”“程序(P)”“管理工具(公用)”，從中單擊“計算機(jī)管理”選項(xiàng)，可激活“計算機(jī)管理”窗口。 要斷開某一用戶與所有共享資源的連接，可在“共享資源”窗口中，選定“已連接的用戶”框中的用戶名，然后單擊“斷開”按鈕。要斷開所有用戶與所有共享資源的連接，在該窗口中，單擊“全部斷開”按鈕。管理員應(yīng)當(dāng)在斷開連接之前警告已連接的用戶，然后再實(shí)施操作。斷開連接之后，每一被斷開連接的用戶，將斷開與計算機(jī)上所有共享資源的連接。,6.3.3 文件/文件夾的權(quán)限設(shè)置,2. 通過計算機(jī)管理來管理共享資源 添加共享文件夾；修改共享文件夾；設(shè)置已存在共享文件夾的權(quán)限；停止已存在共享文件夾。 在“計算機(jī)管理”窗口中，選定計算機(jī)名。在該窗口的“計算機(jī)”下拉式菜單中，選擇“共享文件夾(D)”選項(xiàng)，彈出“共享文件夾”窗口。在“共享文件夾”窗口中列出了計算機(jī)的共享文件夾并顯示每個共享文件夾的路徑。使用“新建共享(N)”按鈕添加共享資源；“屬性(P)”按鈕修改共享資源的屬性；“停止共享(S)”按鈕停止資源的共享；使用完畢要退出時，單擊“關(guān)閉”。,6.3.3 文件/文件夾的權(quán)限設(shè)置,3. 用戶的最終有效權(quán) 由于可以給每個用戶賬戶與組賬戶指派不同的權(quán)限，因此針對某個資源，可能某個用戶同時被指派了多個權(quán)限。例如，若用戶A與這些組都分別被指派了不同的NTFS權(quán)限，用戶A的最后的有效權(quán)限是什么呢？ 權(quán)限是有累加性的 “拒絕”權(quán)限會覆蓋其他所有的權(quán)限 文件權(quán)限會覆蓋文件夾的權(quán)限 從父文件夾繼承的權(quán)限不能修改 文件和文件夾的所有權(quán) 復(fù)制后的新文件或文件夾權(quán)限有可能改變,6.3.4 Windows 2003 Server的安全訪問控制,1. Windows 2003控制對象的訪問 設(shè)置、查看、更改或刪除文件和文件夾權(quán)限 打開“Windows資源管理器”，然后定位到用戶要設(shè)置權(quán)限的文件和文件夾。 右擊該文件或文件夾，彈出屬性對話框，然后單擊“安全”標(biāo)簽頁，如圖7-11所示。 執(zhí)行以下任一項(xiàng)操作：要設(shè)置新組或用戶的權(quán)限，可單擊“添加”按鈕。按照域名名稱的格式鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊“確定”按鈕關(guān)閉對話框。要更改或刪除現(xiàn)有的組或用戶的權(quán)限，可單擊該組或用戶的名稱。 如果必要，請在“權(quán)限”中單擊每個要允許或拒絕的權(quán)限的“允許”或“拒絕”。若要從權(quán)限列表中刪除組或用戶，可單擊“刪除”按鈕。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-11 “Source Code屬性”對話框,6.3.4 Windows 2003 Server的安全訪問控制,1. Windows 2003控制對象的訪問 設(shè)置、查看或刪除共享文件夾或驅(qū)動器的權(quán)限 打開“Windows資源管理器”，然后定位到要設(shè)置權(quán)限的共享文件夾或驅(qū)動器； 右擊共享文件夾或驅(qū)動器，然后單擊“共享”； 在“共享”標(biāo)簽頁上，單擊“權(quán)限”選項(xiàng)； 要設(shè)置共享文件夾權(quán)限，單擊“添加”按鈕。鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊“確定”按鈕關(guān)閉對話框。要刪除權(quán)限，可在“名稱”中選擇組或用戶，然后單擊“刪除”按鈕； 在“權(quán)限”中，如果需要，對每個權(quán)限單擊“允許”或“拒絕”選項(xiàng)，如圖7-12所示。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-12 設(shè)置共享文件夾權(quán)限,6.3.4 Windows 2003 Server的安全訪問控制,1. Windows 2003控制對象的訪問 取得文件或文件夾的所有權(quán) 打開“Windows資源管理器”，然后定位到要取得其所有權(quán)的文件或文件夾； 右擊該文件或文件夾，彈出屬性對話框，然后單擊“安全”標(biāo)簽頁； 單擊“高級”，然后單擊“所有者”標(biāo)簽頁，如圖7-13所示； 單擊新的所有者，然后單擊“確定”按鈕。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-13 SourceCode的訪問控制設(shè)置,圖7-13 SourceCode的訪問控制設(shè)置,6.3.4 Windows 2003 Server的安全訪問控制, 對子域或組織單位委派控制，其步驟如下。 打開Active Directory用戶和計算機(jī)。 在控制臺樹中，展開域?qū)ο笠燥@示子域或組織單位。 右擊要委派管理的子域或組織單位，然后單擊“委派控制”。 完成委派控制向?qū)е械牟襟E。 2. 事件的審核 設(shè)置、查看、更改或刪除文件或文件夾的審核，其步驟如下： 打開“Windows資源管理器”，然后定位到想要審核的文件和文件夾； 右擊該文件或文件夾，彈出“Sourcecode屬性”對話框，然后單擊“安全”標(biāo)簽頁； 單擊“高級”，然后單擊“審核”標(biāo)簽頁；,6.3.4 Windows 2003 Server的安全訪問控制, 執(zhí)行以下任一項(xiàng)操作： 要設(shè)置新組或用戶的審核，可單擊“添加”按鈕。在“名稱”中，鍵入新的用戶名，然后單擊“確定”按鈕，自動打開“審核項(xiàng)”對話框。 要查看或更改現(xiàn)有組或用戶的審核，請單擊相應(yīng)的名稱，然后單擊“查看/編輯”；要刪除現(xiàn)有組或用戶的審核，可單擊相應(yīng)的名稱，然后單擊“刪除”按鈕。跳過步驟、。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-14 SourceCode的權(quán)限項(xiàng)目, 如果有必要，可在“審核項(xiàng)目”對話框中的“應(yīng)用到”列表中，選擇要進(jìn)行審核的位置“應(yīng)用到”列表只能用于文件夾，如圖7-14所示。 在“訪問”下，單擊要審核的訪問的“成功”或“失敗”或這兩項(xiàng)。 如果要阻止目錄樹中的文件和子文件夾繼承這些審核項(xiàng)，可選中“僅對此容器內(nèi)的對象和/或容器應(yīng)用這些審核項(xiàng)”復(fù)選框。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-15 事件查看器,3. 查看安全日志 打開“事件查看器”對話框； 雙擊“安全日志”選項(xiàng)，如圖7-15所示； 在詳細(xì)信息窗格中，檢查審核事件列表。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-16 “高級屬性”對話框,4. 管理磁盤上的數(shù)據(jù)加密 指定用于文件加密的遠(yuǎn)程服務(wù)器 加密文件或文件夾 將加密的文件或文件夾移動或還原到另一臺計算機(jī)上,6.3.4 Windows 2003 Server的安全訪問控制,5. 管理安全模板 啟動安全模板，其設(shè)置步驟如下： 決定是否將安全模板添加到現(xiàn)有的控制臺或創(chuàng)建新控制臺。要創(chuàng)建控制臺，單擊“開始”“運(yùn)行”，然后鍵入“mmc”，然后單擊“確定”按鈕。要將安全模板添加到現(xiàn)有的控制臺中，打開控制臺，然后進(jìn)行下一步。 在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”按鈕。,6.3.4 Windows 2003 Server的安全訪問控制,圖7-17 安全模板,接上頁 選擇“安全模板”，單擊“添加”按鈕，單擊“關(guān)閉”按鈕，然后單擊“確定”按鈕，如圖7-17所示。,6.3.4 Windows 2003 Server的安全訪問控制, 在“控制臺”菜單上，單擊“保存”。 輸入指派給此控制臺的名稱，然后單擊“保存”。 在啟動安全模板后，用戶可以執(zhí)行以下操作：要自定義預(yù)定義安全模板、定義安全模板、刪除安全模板、刷新安全模板列表、設(shè)置安全模板說明、將安全模板應(yīng)用到本地計算機(jī)、將安全模板導(dǎo)入到“組策略”對象和查看有效的安全設(shè)置。 6. 安全配置和分析 安全配置和分析的準(zhǔn)備 設(shè)置工作的安全數(shù)據(jù)庫 分析系統(tǒng)的安全性,6.3.4 Windows 2003 Server的安全訪問控制,圖7-18 “打開數(shù)據(jù)庫”對話框,6.3.4 Windows 2003 Server的安全訪問控制,圖7-19 分析系統(tǒng)安全,6.3.4 Windows 2003 Server的安全訪問控制,圖7-20 檢查日志文件或復(fù)查結(jié)果,6.3.5 單元實(shí)訓(xùn)：權(quán)限配置和安全審核,1. 實(shí)訓(xùn)目標(biāo) 學(xué)習(xí)使用域用戶管理器為用戶授權(quán)和修改用戶屬性，同時可以設(shè)置其他帳號的安全屬性。學(xué)習(xí)利用存取控制列表來控制用戶對對象的訪問權(quán)限。 2. 實(shí)訓(xùn)條件 運(yùn)行Windows 2003 Server和Windows XP或Windows 2000 professional計算機(jī)組成的局域網(wǎng)，在Windows 2003 Server服務(wù)器上安裝活動目錄(Active Directory)，建立一主域服務(wù)器，以域方式工作。 必須有NTFS磁盤分區(qū)或卷用于保存SYSVOL文件夾；必須運(yùn)行TCP/IP協(xié)議和DNS服務(wù)(可在安裝活動目錄的同時安裝DNS)，Windows 2003 Server服務(wù)器上必須安裝網(wǎng)卡。,6.3.5 單元實(shí)訓(xùn)：權(quán)限配置和安全審核,3. 實(shí)訓(xùn)內(nèi)容與步驟 安裝活動目錄 使用dcpromo命令，將出現(xiàn)“AD安裝向?qū)А睂υ捒?，若在網(wǎng)絡(luò)中第一次安裝活動目錄時，所創(chuàng)建的是森林的根域，此時選擇“新域的域控制器”單選鈕。 選擇“創(chuàng)建一個新的目錄樹”和“創(chuàng)建新的域目錄樹”單選鈕，輸入新域的DNS全名，例如，。 指定權(quán)限和密碼等，此時開始安裝AD并創(chuàng)建一個域。 活動目錄安裝后，將在“程序/管理”下產(chǎn)生三項(xiàng)：Active Directory用戶和計算機(jī)、Active Directory域和信任關(guān)系、Active Directory站點(diǎn)和服務(wù)。,6.3.5 單元實(shí)訓(xùn)：權(quán)限配置和安全審核, 設(shè)置活動目錄權(quán)限 設(shè)置標(biāo)準(zhǔn)權(quán)限 設(shè)置特殊權(quán)限 委派管理控制 使用域用戶管理器為用戶建立和修改帳戶及屬性。同時設(shè)置其他帳號屬性。 通過工作站以合法的用戶帳號登陸到服務(wù)器上，查看用戶權(quán)限。 安全處理,本章小結(jié),本章主要討論局域網(wǎng)的安全管理，首先分析了影響局域網(wǎng)的安全因素，例如硬件設(shè)備和線路、系統(tǒng)軟件、身份認(rèn)證環(huán)節(jié)、系統(tǒng)的被監(jiān)視性和被欺騙性，以及有缺陷的服務(wù)和相互信任的主機(jī)都有可能引起局域網(wǎng)的安全隱患；然后介紹了局域網(wǎng)的安全技術(shù)，重點(diǎn)是密碼技術(shù)和入網(wǎng)訪問控制技術(shù)，例