第6章計算機操作系統(tǒng)安全與配置課件

第6章計算機操作系統(tǒng)的安全與配置本章要點：WindowsXP的安全性

Windows2003的安全基礎Windows2008的安全基礎Unix系統(tǒng)的安全性

Linux系統(tǒng)的安全性1第6章計算機操作系統(tǒng)的安全與配置本章要點：116.1WindowsXP操作系統(tǒng)的安全性6.1.1WindowsXP的登錄機制1．交互式登錄（1）本地用戶賬號（2）域用戶賬號2．網(wǎng)絡登錄3．服務登錄4．批處理登錄

26.1WindowsXP操作系統(tǒng)的安全性6.1.1Wi26.1.2WindowsXP的屏幕保護機制

36.1.2WindowsXP的屏幕保護機制336.1.3WindowsXP的文件保護機制1．WFP的工作原理WFP把某些文件認為是非常重要的系統(tǒng)文件。在WindowsXP剛裝好后，系統(tǒng)會自動備份這些文件到一個專門的叫做dllcache的文件夾，這個dllcache文件夾的位置默認保存在%SYSTEMROOT%\system32\dllcache目錄下。46.1.3WindowsXP的文件保護機制1．WFP的46.1.3WindowsXP的文件保護機制2．WFP(WindowsFileProtection)功能的工作方式WFP功能使用兩種機制為系統(tǒng)文件提供保護。第一種機制在后臺運行。在WFP收到受保護目錄中的文件的目錄更改通知后，就會觸發(fā)這種保護機制。WFP收到這一通知后，就會確定更改了哪個文件。如果此文件是受保護的文件，WFP將在編錄文件中查找文件簽名，以確定新文件的版本是否正確。WFP功能提供的第二種保護機制是系統(tǒng)文件檢查器(Sfc.exe)工具。圖形界面模式安裝結(jié)束時，系統(tǒng)文件檢查器工具對所有受保護的文件進行掃描，確保使用無人參與安裝過程安裝的程序沒有對它們進行修改。56.1.3WindowsXP的文件保護機制2．WFP(56.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（1）用戶反復添加或更新驅(qū)動程序時，多次操作造成失誤，或添加的程序本身存在問題，安裝應用程序的過程中注冊表中添加了不正確的項。（2）驅(qū)動程序不兼容。計算機外設的多樣性使得一些不熟悉設備性能的用戶將不配套的設備安裝在一起，尤其是一些用戶在更新驅(qū)動時一味追求最新、最高端，卻忽略了設備的兼容性。當操作系統(tǒng)中安裝了不能兼容的驅(qū)動程序時，就會出現(xiàn)問題。（3）通過“控制面板”的“添加/刪除程序”添加程序時，由于應用程序自身的反安裝特性，或采用第三方軟件卸載自己無法卸載的系統(tǒng)自帶程序時，都可能會對注冊表造成損壞。另外，刪除程序、輔助文件、數(shù)據(jù)文件和反安裝程序也可能會誤刪注冊表中的參數(shù)項。66.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．66.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（4）當用戶經(jīng)常安裝和刪除字體時，可能會產(chǎn)生字體錯誤?？赡茉斐晌募?nèi)容根本無法顯示。（5）硬件設備改變或者硬件失敗。如計算機受到病毒侵害、自身有問題或用電故障等。（6）用戶手動改變注冊表導致注冊表受損也是一個重要原因。由于注冊表的復雜性，用戶在改動過程中難免出錯，如果簡單地將其它計算機上的注冊表復制過來，可能會造成非常嚴重的后果。76.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．72．WindowsXP系統(tǒng)注冊表的結(jié)構6.1.4利用注冊表提高WindowsXP系統(tǒng)的安全82．WindowsXP系統(tǒng)注冊表的結(jié)構6.1.4利用注冊表86.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構WindowsXP注冊表共有5個根鍵。HKEY_CLASSES_ROOT此處存儲的信息可以確保當使用Windows資源管理器打開文件時，將使用正確的應用程序打開對應的文件類型。HKEY_CURRENT_USER包含當前登錄用戶的配置信息的根目錄。用戶文件夾、屏幕顏色和“控制面板”設置存儲在此處。該信息被稱為用戶配置文件。在用戶登錄WindowsXP時，其信息從HKEY_USERS中相應的項拷貝到HKEY_CURRENT_USER中。96.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．96.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構WindowsXP注冊表共有5個根鍵。HKEY_LOCAL_MACHINE包含針對該計算機（對于任何用戶）的配置信息。HKEY_USERS包含計算機上所有用戶的配置文件的根目錄。HKEY_CURRENT_CONFIG管理當前用戶的系統(tǒng)配置。在這個根鍵中保存著定義當前用戶桌面配置(如顯示器等等)的數(shù)據(jù),該用戶使用過的文檔列表（MRU），應用程序配置和其他有關當用戶的WindowsXP中文版的安裝的信息。106.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．106.1.4利用注冊表提高WindowsXP系統(tǒng)的安全3．通過修改WindowsXP注冊表提高系統(tǒng)的安全性（1）修改注冊表的訪問權限（2）讓文件徹底隱藏（3）禁止使用控制面板

116.1.4利用注冊表提高WindowsXP系統(tǒng)的安全3．116.2Windows2003的安全基礎操作系統(tǒng)的安全問題是整個網(wǎng)絡安全的一個核心問題，Windows2003在其安全性上遠遠超過Windows2000操作系統(tǒng)，微軟在設計的初期就把網(wǎng)絡身份驗證、基于對象的授權、安全策略及數(shù)據(jù)加密和審核等作為Windows2003系統(tǒng)的核心功能之一，因此可以說Windows2003系統(tǒng)是建立在一套完整的安全機制之上的。126.2Windows2003的安全基礎12126.2.1Windows2003的安全基礎概念１．用戶賬號用戶賬號就是在網(wǎng)絡中用來表示使用者的一個標識。它能夠讓用戶以授權的身份登錄到計算機或域中并訪問其資源。有些賬號是在安裝Windows2003時提供的，它是由系統(tǒng)自動建立的，稱為內(nèi)置用戶賬號。內(nèi)置用戶賬號已經(jīng)被系統(tǒng)賦予一些權力和權限，不能刪除但可以改名。用戶也可以創(chuàng)建新的用戶賬號，這些新的用戶賬號稱為用戶自定義的用戶賬號，可以刪除并可以改名。Administrator為系統(tǒng)管理員賬號，擁有最高的權限，用戶可以利用它來管理Windows2003的資源。Guest為來賓賬號，是為那些臨時訪問網(wǎng)絡而又沒有用戶賬號的使用者準備的系統(tǒng)內(nèi)置賬號。136.2.1Windows2003的安全基礎概念１．用戶賬號136.2.1Windows2003的安全基礎概念２．組使用組可以簡化對用戶和計算機訪問網(wǎng)絡資源的管理。組是可以包括其它賬號的特殊賬號。組中不僅可以包含用戶賬號，還可以包含計算機賬號、打印機賬號等對象。給組分配了資源訪問權限后，其成員自動繼承組的權限。一個用戶可以成為多個組的成員。有兩種類型的組：安全組和通訊組。通訊組只有在電子郵件應用程序（如Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。安全組用于將用戶、計算機和其他組收集到可管理的單位中。安全組除包含了分布組的功能之外，還有安全功能。通過指派權限或權力給安全組而非個別用戶可以簡化管理員的工作。146.2.1Windows2003的安全基礎概念２．組14146.2.1Windows2003的安全基礎概念３．域域是網(wǎng)絡對象的分組。域中所有的對象都存儲在活動目錄下。域是Windows2003活動目錄的核心單元。域是安全的最小邊界。安全邊界的作用就是保證域的管理者只能在該域內(nèi)有必要的管理權限，除非管理者得到其它域的明確授權。域也是復制的單元。為保證數(shù)據(jù)庫的同步，包括安全信息的活動目錄會定期復制到域中每個域控制器。一個域的管理員要管理其它的域，需要專用的授權。156.2.1Windows2003的安全基礎概念３．域15156.2.1Windows2003的安全基礎概念４．身份驗證身份驗證是保證系統(tǒng)安全的一個基本方面。它負責確認試圖登錄或訪問網(wǎng)絡資源的任何用戶身份。Windows2003身份驗證允許對整個網(wǎng)絡資源進行單獨登記。采用單獨登記的方法，用戶可以使用單個密碼或智能卡一次登錄到域，然后通過身份驗證向域中的所有計算機表明身份。Windows2003系統(tǒng)支持的身份驗證類型有：KerberosV5身份驗證交互驗證網(wǎng)絡驗證166.2.1Windows2003的安全基礎概念４．身份驗證166.2.1Windows2003的安全基礎概念５．授權用戶權利可以應用于單個用戶賬號，但是若在組賬號基礎上進行管理，可以簡化用戶賬戶管理的工作。當組中的用戶都需要有相同的用戶權利時，這時可以把所有的用戶加入到一個組中，然后再對該組指派用戶權利。如果用戶是多個組的成員，則用戶權利是累加的。要刪除用戶的權利，管理員只需簡單地從組中刪除用戶。這樣，用戶就不再擁有指派給這個組的權利。在Windows2003的授權中主要添加了有效的權限選項卡，默認活動目錄對象安全描述符的改變和活動目錄對象配額概念的使用。176.2.1Windows2003的安全基礎概念５．授權17176.2.1Windows2003的安全基礎概念６．審核安全審核是Windows2003的一項功能，負責監(jiān)視各種與安全性有關的事件。應該被審核的事件類型包括：訪問對象、用戶和組賬戶的管理、用戶登錄以及從系統(tǒng)注銷時。除了審核與安全性有關的事情，Windows2003還建立了日志，用它來報告系統(tǒng)存在哪些隱患。186.2.1Windows2003的安全基礎概念６．審核18186.2.2用戶賬號的管理Ｗindows2003中的用戶賬號共有兩類：本地用戶賬號和域用戶賬號。1．本地用戶賬號(LocalUserAccounts)本地用戶賬號的適用范圍僅限于某臺計算機。在每臺獨立服務器、成員服務器或工作站上都有本地用戶賬號，并存放在該機的目錄數(shù)據(jù)庫（SAM）里。正因為這樣，本地賬號只能登錄到該賬號所在計算機上，而且賬號的合法性的驗證也由該計算機完成。用戶登錄后，只能訪問本臺計算機上的資源。要訪問其他計算機上的資源，必須使用另一臺計算機的用戶賬號才可以。本地用戶賬號在工作組的模式下使用。196.2.2用戶賬號的管理Ｗindows2003中的用戶賬號196.2.2用戶賬號的管理Ｗindows2003中的用戶賬號共有兩類：本地用戶賬號和域用戶賬號。1．本地用戶賬號(LocalUserAccounts)創(chuàng)建用戶賬號的步驟如下：（1）打開“計算機管理”，在控制臺樹的“本地用戶和組”中，單擊“用戶”；（2）單擊“操作”，然后單擊“新用戶”；（3）在窗口中輸入適當?shù)男畔?（4）單擊“創(chuàng)建”。然后單擊“關閉”。要創(chuàng)建其他用戶，重復執(zhí)行第3步和第4步即可。206.2.2用戶賬號的管理Ｗindows2003中的用戶賬號206.2.2用戶賬號的管理216.2.2用戶賬號的管理21216.2.2用戶賬號的管理2.域用戶賬號（DomainUserAccounts）域用戶賬號的作用范圍是整個域。域用戶賬號都集中保存在域控制器（DC）上的活動目錄里，身份驗證由域控制器來完成。因此，能夠在域中任意一臺計算機上登錄到域，登錄后可以訪問域中所有允許訪問的資源。在域中，同樣存在內(nèi)置的域用戶賬號，也可以自定義用戶賬號。域用戶賬號的管理要比本地用戶賬號的管理靈活。創(chuàng)建用戶賬號的步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）右擊“Users”，選擇“新建”，單擊“用戶”。226.2.2用戶賬號的管理2.域用戶賬號（DomainUs226.2.2用戶賬號的管理236.2.2用戶賬號的管理23236.2.2用戶賬號的管理3.管理用戶賬號(1)輸入用戶的信息在用戶屬性對話框中的“常規(guī)”標簽中可以輸入有關用戶的描述信息，如：辦公室、電話、電子郵件、網(wǎng)頁等信息。(2)用戶環(huán)境的設置可以設置每一個用戶的環(huán)境，如登錄時啟動相關的程序和有關客戶端設備的設置等。(3)限制用戶登錄時間具體步驟如下：1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選擇“屬性”；3）單擊“帳戶”標簽，單擊“登錄時間”按鈕；4）設定用戶登錄時間，單擊“允許登錄”，單擊【確定】按鈕。246.2.2用戶賬號的管理3.管理用戶賬號24246.2.2用戶賬號的管理(4)限制用戶登錄所使用的客戶端計算機具體步驟如下：1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選“屬性”；3）單擊“帳戶”標簽，單擊“登錄到”；4）設定用戶登錄的計算機列表，單擊【確定】按鈕。(5)設置賬戶的有效期默認情況下賬戶是永久有效的，但對于臨時用戶來說，設置賬戶的有效期就非常有用，有效期限到期后，該賬戶自動被標記為失效。1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選“屬性”；3）單擊“帳戶”標簽。(6)管理用戶賬號在創(chuàng)建用戶賬號后，可以根據(jù)需要對賬戶進行重新設置密碼、修改、重命名等操作。256.2.2用戶賬號的管理(4)限制用戶登錄所使用的客戶端計256.2.3組的管理１．創(chuàng)建組創(chuàng)建組的具體步驟如下：（1）單擊任務欄上的“開始”，單擊“程序”，單擊“管理工具”，然后單擊“計算機管理”，展開“本地用戶和組”；（2）右擊“組”，單擊“新建組”;（3）填寫組名、組的描述，添加組的成員;（4）單擊“添加”，選擇加入組的成員后，單擊“確定”。266.2.3組的管理１．創(chuàng)建組26266.2.3組的管理2．指定用戶隸屬的組把某一用戶加入到某個組中，具體步驟為：單擊鼠標右鍵選擇某一用戶名的“屬性”一項，選擇“隸屬于”選項卡。然后點擊【添加】，在出現(xiàn)的“選擇組”窗口中，輸入要將某個用戶加入的組名的用戶名即可。276.2.3組的管理2．指定用戶隸屬的組27276.2.3組的管理3．管理組將組轉(zhuǎn)換為另一種組類型的具體步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）在控制臺樹中，雙擊域節(jié)點；（3）單擊包含該組的文件夾；（4）在詳細信息欄中，右擊組，然后單擊“屬性”，在“常規(guī)”選項卡的“組類型”中，單擊“安全組”或“通訊組”。刪除組的具體步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）在控制臺樹中，雙擊域節(jié)點；（3）單擊包含該組的文件夾；（4）在詳細信息欄中，右擊組，然后單擊【刪除】按鈕。286.2.3組的管理3．管理組28286.2.4Windows2003的安全模型Windows2003操作系統(tǒng)的安全模型主要是基于以下兩個方面的因素。首先，必須在Windows2003系統(tǒng)中擁有一個賬號；其次，要規(guī)定該賬號在系統(tǒng)中的權力和權限。在Windows2003統(tǒng)中還有一個安全賬號數(shù)據(jù)庫SAM（SecurityAccountsManagement），除了包含有域內(nèi)所有用戶的賬號信息之外，目錄數(shù)據(jù)庫中還有兩種其他類型的賬號---計算機賬號和組賬號。其中計算機賬號用于實際驗證域內(nèi)及委托關系的計算機成員，而組賬號則用來保存有關用戶組及其成員的信息。296.2.4Windows2003的安全模型Windows2296.2.4Windows2003的安全模型1．Windows2003的用戶登錄管理Windows2003系統(tǒng)中有一個登錄進程，當用戶按下“Ctrl+Alt+Del”三鍵時，Windows2003系統(tǒng)就會啟動這個進程，它是\Windows\system32目錄下的Winlogon.exe文件。這時系統(tǒng)會彈出一個對話框，要求輸入用戶名和密碼，如果要登錄域，還要輸入域名，才能登錄系統(tǒng)。此過程是一個強制性的登錄過程。登錄進程在收到用戶輸入的賬號和密碼后，就會到安全賬號數(shù)據(jù)庫SAM中去查找相應的信息。如果內(nèi)容相符，則能成功登錄；否則取消用戶的登錄請求。如果賬戶和密碼有效，則把安全賬號數(shù)據(jù)庫中的有關賬號的信息收集在一起，形成一個存取標識SID（SecurityIdentifier）。SID為記錄身份的標識，類似于身份證。306.2.4Windows2003的安全模型1．Window306.2.4Windows2003的安全模型2．資源訪問管理在Windows2003系統(tǒng)中用惟一名字標識一個注冊用戶，它也可以用來標識一個用戶或一個組。一個SID和數(shù)值代表一個用戶的SID值在以后永遠不會被另外一個用戶使用，也就是說沒有兩個相同的SID值，在一臺計算機上可以多次創(chuàng)建相同的用戶賬號，其實，這些相同用戶號的賬號并不相同，因為每一個用戶名都有一個惟一的SID。存取標識包含的內(nèi)容并沒有訪問許可權限，而存取標識又是用戶在系統(tǒng)中的通行證，那么Windows2003如何根據(jù)存取標識控制用戶對資源的訪問呢？其實，給資源分配的權限作為該資源的一個屬性，與資源一起存放。資源對象的屬性在Windows2003內(nèi)部以訪問控制列表ACL（AccessControlList）的形式存放。316.2.4Windows2003的安全模型2．資源訪問管理316.2.5Windows2003的安全機制Windows2003的安全機制的建立主要從域、組和文件系統(tǒng)等方面來考慮。Windows2003主要是通過組策略來保證網(wǎng)絡的安全。只有升級為域控制器(DomainControl)才有組策略。。賬戶策略：是由密碼策略、賬戶鎖定策略和Kerberos策略組成。本地策略：只對本地計算機起作用。事件日志：主要是對各種事件進行記錄。為應用程序日志、系統(tǒng)日志和安全日志等配置最大值、訪問方式和保留天數(shù)等參數(shù)。受限制的組：管理內(nèi)置組的成員資格。一般內(nèi)置組都有預定義功能，利用受限制組可以更改這些預定義的功能。系統(tǒng)服務：為運行在計算機上的服務配置安全性和選擇啟動模式。注冊表：在Windows2003中，注冊表是一個集中式層次結(jié)構數(shù)據(jù)庫，它存儲了Windows2003所需要的必要信息。326.2.5Windows2003的安全機制Windows2326.2.5Windows2003的安全機制文件系統(tǒng)：指定文件路徑配置安全性。無線網(wǎng)絡策略：無線技術使得人們使用品種廣泛的設備在世界任何位置訪問數(shù)據(jù)的愿望成為可能。無線網(wǎng)絡可以降低甚至省去鋪設昂貴的光纖和電纜所需的費用，并為有線網(wǎng)絡提供備份功能。公鑰策略：配置加密的數(shù)據(jù)恢復代理、自動證書申請設置、受信任的證書頒發(fā)機構和企業(yè)信任。證書是軟件服務證書可以提供身份鑒定的支持，包括安全的E-mail功能，基于web的身份鑒定和SAM(安全賬號數(shù)據(jù)庫)身份鑒定。軟件限制策略：提供了一套策略驅(qū)動機制，用于指定允許執(zhí)行哪些程序以及不允許執(zhí)行哪些程序。IP安全性策略：配置IPSec。IPSec是一個工業(yè)標準，用于對TCP/IP網(wǎng)絡數(shù)據(jù)流加密以及保護企業(yè)內(nèi)部網(wǎng)內(nèi)部通訊和跨越Internet的虛擬專用網(wǎng)絡通訊的安全。336.2.5Windows2003的安全機制文件系統(tǒng)：指定文336.2.5Windows2003的安全機制346.2.5Windows2003的安全機制34346.2.6Windows2003的安全性在Windows2003的身份驗證模型中，安全系統(tǒng)提供了兩種類型的身份驗證：交互式訪問非交互式訪問。356.2.6Windows2003的安全性在Windows2356.2.7Windows2003安全訪問控制1．對文件或文件夾的權限設置在Windows2003系統(tǒng)中，可以采用NTFS（NewTechnicalFileSystem）的分區(qū)格式。在WindowsNT操作系統(tǒng)里，NTFS分區(qū)格式的最大優(yōu)點就是使文件夾和文件增加了安全性，它可以對文件夾和文件進行權限設置，以限制用戶的訪問。具體設置步驟為：（1）在文件或文件夾處單擊鼠標右鍵，選擇“屬性”；（2）選擇“安全”選項卡，（3）通過“添加”和“刪除”按鈕就可以修改用戶對文件夾和文件的訪問權限了。366.2.7Windows2003安全訪問控制1．對文件或文366.2.7Windows2003安全訪問控制376.2.7Windows2003安全訪問控制37376.2.7Windows2003安全訪問控制2．共享文件權限的設置有時為了工作需要，我們常常要和他人共享某一資料，但是為了安全性，還是應該限定共享的權限，具體步驟為：（1）選擇某一文件夾，單擊鼠標右鍵，選擇“共享和安全”一項；（2）在“共享”選項卡中，選擇“共享該文件夾”；（3）再選擇共享窗口的“權限”按鈕。386.2.7Windows2003安全訪問控制2．共享文件權386.2.7Windows2003安全訪問控制3．事件的審核（1）在文件或文件夾處單擊鼠標右鍵，選擇“屬性”；（2）選擇“安全”選項卡；（3）單擊“高級”，然后選擇“審核”一項；（4）點擊“添加”按鈕，選擇要審核的對象。396.2.7Windows2003安全訪問控制3．事件的審核396.2.7Windows2003安全訪問控制406.2.7Windows2003安全訪問控制40406.2.7Windows2003安全訪問控制4．NTFS分區(qū)的加密屬性加密屬性是Windows2003系統(tǒng)的屬性，通過對NTFS分區(qū)上的文件或文件夾進行加密，為用戶數(shù)據(jù)提供更高的安全性。加密文件系統(tǒng)(EFS)提供了一種核心文件加密文件，該技術用于在NTFS分區(qū)上存儲已加密的文件。加密的文件或文件夾，還可以像使用其他文件和文件夾一樣使用。對加密該文件的用戶而言，加密是透明的，在使用前不必解密。但是，非用用戶試圖訪問加密的文件和文件夾時將會被拒絕訪問。具體操作步驟為：（1）右擊鼠標選擇要加密的文件或文件夾，再單擊“屬性”；（2）單擊“常規(guī)”選擇項卡上的【高級】按鈕；（3）選中“加密內(nèi)容以便保護數(shù)據(jù)”一項。416.2.7Windows2003安全訪問控制4．NTFS分416.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（1）日志記錄方式Windows2003記錄的常用事件日志分為三類：系統(tǒng)日志、應用程序日志和安全日志。1）系統(tǒng)日志。該日志包含Windows2003系統(tǒng)組件所記錄的事件。系統(tǒng)日志記錄在%systemroot%\system32\config\SysEvent.Evt文件中，所有用戶都有權限查看系統(tǒng)日志。2）應用程序日志。該日志包含程序所記錄的事件。應用程序日志記錄在%systemroot%\system32\config\AppEvent.Evt文件中，所有用戶都有權限查看系統(tǒng)日志。3）安全日志。該日志包括有效和無效的登錄嘗試以及與資源使用相關的事件。在默認情況下，安全日志是關閉的，另外只有管理員才有權限訪問安全日志。426.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．426.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（2）日志類型事件查看器顯示的事件日志分為多種類型：包括錯誤、警告、信息、成功審核和失敗審核五種。1）錯誤：記錄重要的事件，例如在啟動過程中某個服務加載失敗，則會將這個錯誤記錄下來。2）警告：并不是特別重要，但說明將來可能存在的潛在問題的事件。3）信息：描述了應用程序、驅(qū)動程序或服務的成功操作的事件。例如，當U盤驅(qū)動程序加載成功時，將會記錄一個信息事件。4）成功審核：成功的審核安全訪問嘗試。例如，用戶登錄系統(tǒng)成功會被當作成功審核事件記錄下來。5）失敗審核：失敗的審核安全訪問嘗試。例如，用戶試圖登錄系統(tǒng)失敗了，則會將它作為失敗審核事件記錄下來。436.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．436.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（3）查看事件的詳細信息可以通過以下步驟了解事件的詳細內(nèi)容：1）單擊任務欄上的“開始”→“程序”→“管理工具”→“事件查看器”；2）在事件查看器控制臺樹中，單擊要查看的事件日志；3）在詳細信息窗口中，單擊要查看的事件；4）在“操作”菜單上，單擊“屬性”可以看到該事件的具體信息。446.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．446.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能2．使用任務管理器去監(jiān)視系統(tǒng)資源在Windows2003操作系統(tǒng)中，任務管理器的功能更加強大了。它提供了有關計算機性能、計算機上運行的程序和進程的信息。使用Windows任務管理器，可以結(jié)束程序或進程、啟動程序、查看計算機性能的動態(tài)信息。（1）監(jiān)視應用程序Windows2003系統(tǒng)是一個多任務的操作系統(tǒng)，同時可以執(zhí)行多個應用程序。在任務管理器的“應用程序”選項卡，可以查看、切換、結(jié)束或啟用應用程序?！皯贸绦颉钡恼顟B(tài)為“正在運行”，當狀態(tài)為“未響應”時，可以單擊【結(jié)束任務】按鈕，將異常的程序結(jié)束。當需要運行新的應用程序時，可以單擊新任務。在對框中輸入具體命令去執(zhí)行新的任務。456.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能2．456.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能2．使用任務管理器去監(jiān)視系統(tǒng)資源（2）監(jiān)視進程Windows2003的任務管理器提供了對進程控制的能力。進程是指執(zhí)行中的程序，是一個動態(tài)的概念，而程序是指保存在媒介上的可執(zhí)行的文件，是一個靜態(tài)的概念。要運行程序，操作系統(tǒng)必須對每個程序至少創(chuàng)建一個進程。“進程”選項卡中顯示了關于計算機上正在運行的進程的信息。例如，關于CPU和內(nèi)存的使用情況等。任務管理器可以查看、結(jié)束進程，以及調(diào)整進程的優(yōu)先級。系統(tǒng)提供了多種級別。(3)監(jiān)視CPU和內(nèi)存的性能在任務管理器的“性能”選項卡中，顯示計算機性能的動態(tài)概況，其中包括CPU和內(nèi)存的使用情況；計算機上正在運行的句柄、線程和進程的總數(shù)；物理、核心和認可的內(nèi)存總數(shù)。466.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能2．466.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能3．性能監(jiān)視器使用任務管理器只能監(jiān)視內(nèi)存和CPU使用的簡單情況，要了解系統(tǒng)中其它組件的詳細性能，就需要使用“性能”這個工具。監(jiān)視系統(tǒng)最常用的默認對象有：緩存、內(nèi)存、頁面文件、物理磁盤、進程、處理器等。476.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能3．476.2.9Windows2003的安全措施為了加強Window2003操作系統(tǒng)的安全管理，我們從物理安全、登錄安全、用戶安全、文件系統(tǒng)和打印機安全、注冊表安全等方面制定安全的防范措施。1．加強物理安全管理去掉或封鎖軟盤驅(qū)動器；禁止其他操作系統(tǒng)訪問NTFS分區(qū)；在BIOS中設置口令，禁止使用軟盤或光盤引導系統(tǒng)；保證機房的物理安全，檢查門、窗、鎖是否牢固；486.2.9Windows2003的安全措施為了加強Wind486.2.9Windows2003的安全措施2．對用戶名的管理和設置對于試圖猜測口令的非法用戶，Windows2003可以通過設置賬號鎖定限制來防止它的發(fā)生，建議3次口令輸入錯誤后就鎖定該賬號，在適當?shù)逆i定時間后被鎖定的賬號自動打開，或者只有管理員才能打開，用戶才可恢復正常。問題在于Administrator這個賬號卻用不上這項防范措施，因為Administrator這個賬號不能刪除或禁用，因此非法用戶仍然可以對Administrator賬號進行攻擊。首先，將系統(tǒng)管理員的用戶名由原來的”Administrator”改為一個無意義的字符組合。這樣試圖攻擊系統(tǒng)的非法用戶不但要猜出密碼，還要先猜出用戶名。另外，還有一個Guest賬號，它是為那些臨時訪問網(wǎng)絡而又沒有用戶賬號的使用者準備的系統(tǒng)內(nèi)置賬號。從安全方面考慮，Guest賬號默認情況下是被禁用的。496.2.9Windows2003的安全措施2．對用戶名的管496.2.9Windows2003的安全措施3．設置用戶的訪問權限用過Windows2003的用戶都清楚，有些默認的設置并沒有給出相應安全的功能。例如：對于一個文件夾給了Everyone這個工作組授予了“完全控制”的權限，沒有實施口令策略等等，這些都會給網(wǎng)絡的安全留下漏洞。為了服務器安全，必須重新設置這些功能。應始終設置用戶所能允許的最小的文件夾和文件的訪問權限。506.2.9Windows2003的安全措施3．設置用戶的訪506.2.9Windows2003的安全措施4．文件系統(tǒng)系統(tǒng)用NTFS，不用FATNTFS可以對文件夾和文件使用ACL(AccessControlList)，ACL可以管理共享目錄的合理使用，而FAT卻只能管理共享級的安全。NTFS的好處在于，如果它授權用戶對某分區(qū)具有全部存取權限，但共享權限為“只讀”，則最終的有效權限為“只讀”。Windows2003取NTFS和共享權限的交集。出于安全方面的考慮，我們必須把與Internet相連的計算機的分區(qū)格式變?yōu)镹TFS格式。例：將Ｄ盤由FAT分區(qū)轉(zhuǎn)為NTFS分區(qū)的操作步驟如下：1）以管理員的身份登錄2）在命令行中執(zhí)行下列命令：convertd:/fs:ntfs注意：如果將NTFS分區(qū)轉(zhuǎn)化為FAT分區(qū)時，只能使用格式化的方式，并且分區(qū)上所有數(shù)據(jù)將丟失。516.2.9Windows2003的安全措施4．文件系統(tǒng)系統(tǒng)516.2.9Windows2003的安全措施5．確保注冊表安全前面，我們已經(jīng)多次提出注冊表對于系統(tǒng)的重要性，概括來說，要取消或限制對regedit.exe的訪問，并且只有管理員才有權限修改注冊表等。6．打開審核系統(tǒng)首先，打開UserManager中的Policies→Audit菜單，這時可以激發(fā)控制審核事件的屏幕。審核的事件包括成功的事件和失敗的事件，失敗的情況通常比成功的情況少得多，但從安全角度考慮，失敗的事情更應值得關注，還有不常用的操作也需注意。另外，每設置對一個事件的審核都需要大量的存儲空間，而且對跟蹤所得的數(shù)據(jù)進行分析也不是一件容易的事情，所以在設置審核的事件時，應注意不是審核的事件越多越好。526.2.9Windows2003的安全措施5．確保注冊表安526.3Windows2008操作系統(tǒng)的安全性在2008年初，微軟推出了Windows2008。Windows2008是一款面向高級專業(yè)用戶的操作系統(tǒng)。與早期幾個版本相比，它的安全性有了大大的改善。主要表現(xiàn)在安全防護、安全配置向?qū)?、可信平臺模塊管理和BitLocker驅(qū)動器加密等幾個方面。536.3Windows2008操作系統(tǒng)的安全性在2008年初536.3.1windows安全Windows安全提供了許多安全基礎，包括windows防火墻、windowsupdate和Internet選項。1．windows防火墻在Windows防火墻設置對話框中，包含“常規(guī)”、“例外”和“高級”3個選項卡。在“常規(guī)”選項卡中，包括“啟用”、“阻止所有傳入連接”和“關閉”3個選項?！皢⒂谩笔侵竼⒂脀indows防火墻，默認情況下已選中該項。當windows防火墻處于開啟狀態(tài)時，沒有被允許執(zhí)行的程序都將被windows防火墻阻止?！白柚顾袀魅脒B接”就是指將傳輸?shù)接嬎銠C的數(shù)據(jù)連接阻止住，也就是相當于該計算機只允許向外訪問其他資源，而不允許其他資源訪問本計算機，即許出不許進?！瓣P閉”就是指關閉windows防火墻。一般情況下不使用該設置。546.3.1windows安全Windows安全提供了許多安546.3.1windows安全556.3.1windows安全55556.3.1windows安全2．WindowsUpdate由于使用Window操作系統(tǒng)的用戶非常多，因此很容易受到攻擊。不法分子可以利用這些漏洞進行破壞、竊取等活動，使用戶的重要信息受到嚴重威脅。為此，在Windowsserver2008安全中心中也集成了WindowsUpdate。使用WindowsUpdate功能，就可以檢查適用于用戶計算機的更新，并自動檢查這些更新。默認情況下，WindowsUpdate已經(jīng)啟用。如果已關閉更新，則安全中心將顯示一個通知，并且在通知區(qū)域中放置一個安全中心圖標，可以單擊該提示來打開自動更新。用戶可以設置自動更新方式。3．Internet選項“Internet選項”。這里主要顯示Internet選項中的安全設置、刪除歷史紀錄和cookies，以及管理瀏覽器加載項等影響瀏覽器安全的功能鏈接。566.3.1windows安全2．WindowsUpdat566.3.1windows安全576.3.1windows安全57576.3.2安全配置向?qū)О踩渲孟驅(qū)В⊿ecurityConfigurationWizard，SCW）可以確定服務器角色所需要的最少功能，并禁用不需要的功能。安全配置向?qū)Э梢砸詥为毜姆绞竭\行，也可以在服務器管理器中運行。使用安全配置向?qū)В梢苑奖愕貏?chuàng)建、編輯、應用或回滾安全策略。使用安全配置向?qū)?chuàng)建的安全策略是一個.xml文件。這些策略包括配置服務、網(wǎng)絡安全、特定注冊表值和審核策略。1．創(chuàng)建新的安全策略2．編輯現(xiàn)有安全策略3．應用現(xiàn)有安全策略4．回滾上一次應用的安全策略586.3.2安全配置向?qū)О踩渲孟驅(qū)В⊿ecurityCo586.3.2安全配置向?qū)?96.3.2安全配置向?qū)?9596.3.3可信平臺模塊管理可信平臺模塊（TPM），是一種植于計算機內(nèi)部為計算機提供可信根的芯片，用于存儲加密信息。TPM通常安裝在臺式計算機或便攜式計算機的主板上，通過硬件總線與系統(tǒng)其余部分通信?？尚牌脚_模塊管理服務是WindowsVista和WindowsServer2008中的一個全新功能集，用于管理計算機中的TPM安全硬件。通過提供對TPM的訪問并保證應用程序級別的TPM共享，TPM服務體系結(jié)構可提供基于硬件的安全基礎結(jié)構。TPM管理控制臺是一個MMC管理單元，管理員可借助它與TPM服務進行交互。管理員可以在WindowsServer2008的管理控制器MMC中打開TPM管理器。606.3.3可信平臺模塊管理可信平臺模塊（TPM），是一種植于606.3.4BitLocker驅(qū)動器加密在Windows2008中，提供了BitLocker驅(qū)動器加密的功能。BitLocker可確保存儲在運行Windows2008的計算機上的數(shù)據(jù)始終處于加密狀態(tài)，即使計算機在未運行操作系統(tǒng)時被篡改也是如此。BitLocker驅(qū)動器加密將加密整個系統(tǒng)驅(qū)動器，包括啟動和登錄所需要的Windows系統(tǒng)文件。BitLocker使用TPM為數(shù)據(jù)提供增強保護，并確保這些數(shù)據(jù)在沒有正確的解密密鑰時不被篡改。使用TPM芯片加密后，只能通過使用TPM中存儲的解密密鑰來解密計算機硬盤上的數(shù)據(jù)，因此將該加密硬盤連到其他計算機上也無法獲取這些加密數(shù)據(jù)。因此存儲在TPM芯片上的信息會更安全。BitLocker驅(qū)動器加密可能會使用戶的計算機無法正常啟動，因此需要清楚的知道什么是WindowsBitLocker驅(qū)動器加密后再設置該功能。此外，在第一次使用BitLocker時，一定要創(chuàng)建好恢復密碼并妥善保存。616.3.4BitLocker驅(qū)動器加密在Windows2616.4Unix系統(tǒng)的安全性Unix操作系統(tǒng)簡介Unix操作系統(tǒng)是目前網(wǎng)絡系統(tǒng)中主要的服務器操作系統(tǒng)Unix操作系統(tǒng)是于1969年由KenThompson、Dennis

Ritchie和其他一些人在AT&T貝爾實驗室開發(fā)成功的Unix操作系統(tǒng)是一個分時多用戶多任務的通用操作系統(tǒng)－分時系統(tǒng)，是指允許多個聯(lián)機用戶同時使用同一臺計算機進行處理的操作系統(tǒng)－用戶可以請求系統(tǒng)同時執(zhí)行多個任務－在運行一個作業(yè)的時候，可以同時運行其他作業(yè)626.4Unix系統(tǒng)的安全性6262Unix系統(tǒng)的安全性口令安全root帳號文件許可和目錄許可設置用戶ID和同組用戶ID許可文件加密其他安全問題

6.4Unix系統(tǒng)的安全性636.4Unix系統(tǒng)的安全性63636.5Linux系統(tǒng)的安全性Linux系統(tǒng)的常用命令ls命令－功能：列出當前目錄下的文件－格式：ls[參數(shù)][目標路徑]－常用參數(shù)：-l：使用詳細格式顯示文件-a：顯示所有文件，包含以．開始的隱含文件-d：僅顯示目標名，不顯示目錄內(nèi)容-F：在目錄下，可執(zhí)行文件-R：遞歸處理646.5Linux系統(tǒng)的安全性Linux系統(tǒng)的常用命令664Linux系統(tǒng)的常用命令rm命令－功能：刪除文件－格式：rm[參數(shù)][目標文件]－常用參數(shù)：-i：刪除前進行提示-f：刪除前不進行提示，強行刪除-r：遞歸刪除cp命令－功能：拷貝文件－格式：cp[參數(shù)][源地址][目標地址]－常用參數(shù)：-b：刪除、覆蓋先前的備份-i：覆蓋前進行提示-f：覆蓋前不進行提示，強行覆蓋-v：使用詳細模式-h：列出簡潔幫助65Linux系統(tǒng)的常用命令rm命令cp命令6565Linux系統(tǒng)的常用命令cd命令－功能：改變目錄－格式：cd[目標路徑]su命令－功能：用于臨時切換身份－格式：su[參數(shù)][用戶名]－常用參數(shù)：-c：執(zhí)行完指定的命令后，即恢復原來身份-m：變更身份時，不更改環(huán)境變量clear命令－功能：清除屏幕66Linux系統(tǒng)的常用命令cd命令clear命令6666Linux系統(tǒng)的網(wǎng)絡安全取消不必要的服務允許/拒絕服務器口令安全保持最新的系統(tǒng)核心檢查登錄密碼設定用戶賬號的安全級別監(jiān)視程序和運行日志消除黑客犯罪的溫床root賬號的使用定期對服務器進行備份67Linux系統(tǒng)的網(wǎng)絡安全6767

End686868第6章計算機操作系統(tǒng)的安全與配置本章要點：WindowsXP的安全性

Windows2003的安全基礎Windows2008的安全基礎Unix系統(tǒng)的安全性

Linux系統(tǒng)的安全性69第6章計算機操作系統(tǒng)的安全與配置本章要點：1696.1WindowsXP操作系統(tǒng)的安全性6.1.1WindowsXP的登錄機制1．交互式登錄（1）本地用戶賬號（2）域用戶賬號2．網(wǎng)絡登錄3．服務登錄4．批處理登錄

706.1WindowsXP操作系統(tǒng)的安全性6.1.1Wi706.1.2WindowsXP的屏幕保護機制

716.1.2WindowsXP的屏幕保護機制3716.1.3WindowsXP的文件保護機制1．WFP的工作原理WFP把某些文件認為是非常重要的系統(tǒng)文件。在WindowsXP剛裝好后，系統(tǒng)會自動備份這些文件到一個專門的叫做dllcache的文件夾，這個dllcache文件夾的位置默認保存在%SYSTEMROOT%\system32\dllcache目錄下。726.1.3WindowsXP的文件保護機制1．WFP的726.1.3WindowsXP的文件保護機制2．WFP(WindowsFileProtection)功能的工作方式WFP功能使用兩種機制為系統(tǒng)文件提供保護。第一種機制在后臺運行。在WFP收到受保護目錄中的文件的目錄更改通知后，就會觸發(fā)這種保護機制。WFP收到這一通知后，就會確定更改了哪個文件。如果此文件是受保護的文件，WFP將在編錄文件中查找文件簽名，以確定新文件的版本是否正確。WFP功能提供的第二種保護機制是系統(tǒng)文件檢查器(Sfc.exe)工具。圖形界面模式安裝結(jié)束時，系統(tǒng)文件檢查器工具對所有受保護的文件進行掃描，確保使用無人參與安裝過程安裝的程序沒有對它們進行修改。736.1.3WindowsXP的文件保護機制2．WFP(736.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（1）用戶反復添加或更新驅(qū)動程序時，多次操作造成失誤，或添加的程序本身存在問題，安裝應用程序的過程中注冊表中添加了不正確的項。（2）驅(qū)動程序不兼容。計算機外設的多樣性使得一些不熟悉設備性能的用戶將不配套的設備安裝在一起，尤其是一些用戶在更新驅(qū)動時一味追求最新、最高端，卻忽略了設備的兼容性。當操作系統(tǒng)中安裝了不能兼容的驅(qū)動程序時，就會出現(xiàn)問題。（3）通過“控制面板”的“添加/刪除程序”添加程序時，由于應用程序自身的反安裝特性，或采用第三方軟件卸載自己無法卸載的系統(tǒng)自帶程序時，都可能會對注冊表造成損壞。另外，刪除程序、輔助文件、數(shù)據(jù)文件和反安裝程序也可能會誤刪注冊表中的參數(shù)項。746.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．746.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．注冊表受到損壞的主要原因（4）當用戶經(jīng)常安裝和刪除字體時，可能會產(chǎn)生字體錯誤?？赡茉斐晌募?nèi)容根本無法顯示。（5）硬件設備改變或者硬件失敗。如計算機受到病毒侵害、自身有問題或用電故障等。（6）用戶手動改變注冊表導致注冊表受損也是一個重要原因。由于注冊表的復雜性，用戶在改動過程中難免出錯，如果簡單地將其它計算機上的注冊表復制過來，可能會造成非常嚴重的后果。756.1.4利用注冊表提高WindowsXP系統(tǒng)的安全1．752．WindowsXP系統(tǒng)注冊表的結(jié)構6.1.4利用注冊表提高WindowsXP系統(tǒng)的安全762．WindowsXP系統(tǒng)注冊表的結(jié)構6.1.4利用注冊表766.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構WindowsXP注冊表共有5個根鍵。HKEY_CLASSES_ROOT此處存儲的信息可以確保當使用Windows資源管理器打開文件時，將使用正確的應用程序打開對應的文件類型。HKEY_CURRENT_USER包含當前登錄用戶的配置信息的根目錄。用戶文件夾、屏幕顏色和“控制面板”設置存儲在此處。該信息被稱為用戶配置文件。在用戶登錄WindowsXP時，其信息從HKEY_USERS中相應的項拷貝到HKEY_CURRENT_USER中。776.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．776.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．WindowsXP系統(tǒng)注冊表的結(jié)構WindowsXP注冊表共有5個根鍵。HKEY_LOCAL_MACHINE包含針對該計算機（對于任何用戶）的配置信息。HKEY_USERS包含計算機上所有用戶的配置文件的根目錄。HKEY_CURRENT_CONFIG管理當前用戶的系統(tǒng)配置。在這個根鍵中保存著定義當前用戶桌面配置(如顯示器等等)的數(shù)據(jù),該用戶使用過的文檔列表（MRU），應用程序配置和其他有關當用戶的WindowsXP中文版的安裝的信息。786.1.4利用注冊表提高WindowsXP系統(tǒng)的安全2．786.1.4利用注冊表提高WindowsXP系統(tǒng)的安全3．通過修改WindowsXP注冊表提高系統(tǒng)的安全性（1）修改注冊表的訪問權限（2）讓文件徹底隱藏（3）禁止使用控制面板

796.1.4利用注冊表提高WindowsXP系統(tǒng)的安全3．796.2Windows2003的安全基礎操作系統(tǒng)的安全問題是整個網(wǎng)絡安全的一個核心問題，Windows2003在其安全性上遠遠超過Windows2000操作系統(tǒng)，微軟在設計的初期就把網(wǎng)絡身份驗證、基于對象的授權、安全策略及數(shù)據(jù)加密和審核等作為Windows2003系統(tǒng)的核心功能之一，因此可以說Windows2003系統(tǒng)是建立在一套完整的安全機制之上的。806.2Windows2003的安全基礎12806.2.1Windows2003的安全基礎概念１．用戶賬號用戶賬號就是在網(wǎng)絡中用來表示使用者的一個標識。它能夠讓用戶以授權的身份登錄到計算機或域中并訪問其資源。有些賬號是在安裝Windows2003時提供的，它是由系統(tǒng)自動建立的，稱為內(nèi)置用戶賬號。內(nèi)置用戶賬號已經(jīng)被系統(tǒng)賦予一些權力和權限，不能刪除但可以改名。用戶也可以創(chuàng)建新的用戶賬號，這些新的用戶賬號稱為用戶自定義的用戶賬號，可以刪除并可以改名。Administrator為系統(tǒng)管理員賬號，擁有最高的權限，用戶可以利用它來管理Windows2003的資源。Guest為來賓賬號，是為那些臨時訪問網(wǎng)絡而又沒有用戶賬號的使用者準備的系統(tǒng)內(nèi)置賬號。816.2.1Windows2003的安全基礎概念１．用戶賬號816.2.1Windows2003的安全基礎概念２．組使用組可以簡化對用戶和計算機訪問網(wǎng)絡資源的管理。組是可以包括其它賬號的特殊賬號。組中不僅可以包含用戶賬號，還可以包含計算機賬號、打印機賬號等對象。給組分配了資源訪問權限后，其成員自動繼承組的權限。一個用戶可以成為多個組的成員。有兩種類型的組：安全組和通訊組。通訊組只有在電子郵件應用程序（如Exchange）中，才能使用通訊組將電子郵件發(fā)送給一組用戶。安全組用于將用戶、計算機和其他組收集到可管理的單位中。安全組除包含了分布組的功能之外，還有安全功能。通過指派權限或權力給安全組而非個別用戶可以簡化管理員的工作。826.2.1Windows2003的安全基礎概念２．組14826.2.1Windows2003的安全基礎概念３．域域是網(wǎng)絡對象的分組。域中所有的對象都存儲在活動目錄下。域是Windows2003活動目錄的核心單元。域是安全的最小邊界。安全邊界的作用就是保證域的管理者只能在該域內(nèi)有必要的管理權限，除非管理者得到其它域的明確授權。域也是復制的單元。為保證數(shù)據(jù)庫的同步，包括安全信息的活動目錄會定期復制到域中每個域控制器。一個域的管理員要管理其它的域，需要專用的授權。836.2.1Windows2003的安全基礎概念３．域15836.2.1Windows2003的安全基礎概念４．身份驗證身份驗證是保證系統(tǒng)安全的一個基本方面。它負責確認試圖登錄或訪問網(wǎng)絡資源的任何用戶身份。Windows2003身份驗證允許對整個網(wǎng)絡資源進行單獨登記。采用單獨登記的方法，用戶可以使用單個密碼或智能卡一次登錄到域，然后通過身份驗證向域中的所有計算機表明身份。Windows2003系統(tǒng)支持的身份驗證類型有：KerberosV5身份驗證交互驗證網(wǎng)絡驗證846.2.1Windows2003的安全基礎概念４．身份驗證846.2.1Windows2003的安全基礎概念５．授權用戶權利可以應用于單個用戶賬號，但是若在組賬號基礎上進行管理，可以簡化用戶賬戶管理的工作。當組中的用戶都需要有相同的用戶權利時，這時可以把所有的用戶加入到一個組中，然后再對該組指派用戶權利。如果用戶是多個組的成員，則用戶權利是累加的。要刪除用戶的權利，管理員只需簡單地從組中刪除用戶。這樣，用戶就不再擁有指派給這個組的權利。在Windows2003的授權中主要添加了有效的權限選項卡，默認活動目錄對象安全描述符的改變和活動目錄對象配額概念的使用。856.2.1Windows2003的安全基礎概念５．授權17856.2.1Windows2003的安全基礎概念６．審核安全審核是Windows2003的一項功能，負責監(jiān)視各種與安全性有關的事件。應該被審核的事件類型包括：訪問對象、用戶和組賬戶的管理、用戶登錄以及從系統(tǒng)注銷時。除了審核與安全性有關的事情，Windows2003還建立了日志，用它來報告系統(tǒng)存在哪些隱患。866.2.1Windows2003的安全基礎概念６．審核18866.2.2用戶賬號的管理Ｗindows2003中的用戶賬號共有兩類：本地用戶賬號和域用戶賬號。1．本地用戶賬號(LocalUserAccounts)本地用戶賬號的適用范圍僅限于某臺計算機。在每臺獨立服務器、成員服務器或工作站上都有本地用戶賬號，并存放在該機的目錄數(shù)據(jù)庫（SAM）里。正因為這樣，本地賬號只能登錄到該賬號所在計算機上，而且賬號的合法性的驗證也由該計算機完成。用戶登錄后，只能訪問本臺計算機上的資源。要訪問其他計算機上的資源，必須使用另一臺計算機的用戶賬號才可以。本地用戶賬號在工作組的模式下使用。876.2.2用戶賬號的管理Ｗindows2003中的用戶賬號876.2.2用戶賬號的管理Ｗindows2003中的用戶賬號共有兩類：本地用戶賬號和域用戶賬號。1．本地用戶賬號(LocalUserAccounts)創(chuàng)建用戶賬號的步驟如下：（1）打開“計算機管理”，在控制臺樹的“本地用戶和組”中，單擊“用戶”；（2）單擊“操作”，然后單擊“新用戶”；（3）在窗口中輸入適當?shù)男畔?（4）單擊“創(chuàng)建”。然后單擊“關閉”。要創(chuàng)建其他用戶，重復執(zhí)行第3步和第4步即可。886.2.2用戶賬號的管理Ｗindows2003中的用戶賬號886.2.2用戶賬號的管理896.2.2用戶賬號的管理21896.2.2用戶賬號的管理2.域用戶賬號（DomainUserAccounts）域用戶賬號的作用范圍是整個域。域用戶賬號都集中保存在域控制器（DC）上的活動目錄里，身份驗證由域控制器來完成。因此，能夠在域中任意一臺計算機上登錄到域，登錄后可以訪問域中所有允許訪問的資源。在域中，同樣存在內(nèi)置的域用戶賬號，也可以自定義用戶賬號。域用戶賬號的管理要比本地用戶賬號的管理靈活。創(chuàng)建用戶賬號的步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）右擊“Users”，選擇“新建”，單擊“用戶”。906.2.2用戶賬號的管理2.域用戶賬號（DomainUs906.2.2用戶賬號的管理916.2.2用戶賬號的管理23916.2.2用戶賬號的管理3.管理用戶賬號(1)輸入用戶的信息在用戶屬性對話框中的“常規(guī)”標簽中可以輸入有關用戶的描述信息，如：辦公室、電話、電子郵件、網(wǎng)頁等信息。(2)用戶環(huán)境的設置可以設置每一個用戶的環(huán)境，如登錄時啟動相關的程序和有關客戶端設備的設置等。(3)限制用戶登錄時間具體步驟如下：1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選擇“屬性”；3）單擊“帳戶”標簽，單擊“登錄時間”按鈕；4）設定用戶登錄時間，單擊“允許登錄”，單擊【確定】按鈕。926.2.2用戶賬號的管理3.管理用戶賬號24926.2.2用戶賬號的管理(4)限制用戶登錄所使用的客戶端計算機具體步驟如下：1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選“屬性”；3）單擊“帳戶”標簽，單擊“登錄到”；4）設定用戶登錄的計算機列表，單擊【確定】按鈕。(5)設置賬戶的有效期默認情況下賬戶是永久有效的，但對于臨時用戶來說，設置賬戶的有效期就非常有用，有效期限到期后，該賬戶自動被標記為失效。1）以域管理員的身份打開“ActiveDirectory用戶和計算機”工具；2）單擊“Users”，右擊zed賬號，選“屬性”；3）單擊“帳戶”標簽。(6)管理用戶賬號在創(chuàng)建用戶賬號后，可以根據(jù)需要對賬戶進行重新設置密碼、修改、重命名等操作。936.2.2用戶賬號的管理(4)限制用戶登錄所使用的客戶端計936.2.3組的管理１．創(chuàng)建組創(chuàng)建組的具體步驟如下：（1）單擊任務欄上的“開始”，單擊“程序”，單擊“管理工具”，然后單擊“計算機管理”，展開“本地用戶和組”；（2）右擊“組”，單擊“新建組”;（3）填寫組名、組的描述，添加組的成員;（4）單擊“添加”，選擇加入組的成員后，單擊“確定”。946.2.3組的管理１．創(chuàng)建組26946.2.3組的管理2．指定用戶隸屬的組把某一用戶加入到某個組中，具體步驟為：單擊鼠標右鍵選擇某一用戶名的“屬性”一項，選擇“隸屬于”選項卡。然后點擊【添加】，在出現(xiàn)的“選擇組”窗口中，輸入要將某個用戶加入的組名的用戶名即可。956.2.3組的管理2．指定用戶隸屬的組27956.2.3組的管理3．管理組將組轉(zhuǎn)換為另一種組類型的具體步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）在控制臺樹中，雙擊域節(jié)點；（3）單擊包含該組的文件夾；（4）在詳細信息欄中，右擊組，然后單擊“屬性”，在“常規(guī)”選項卡的“組類型”中，單擊“安全組”或“通訊組”。刪除組的具體步驟如下：（1）打開“ActiveDirectory用戶和計算機”工具；（2）在控制臺樹中，雙擊域節(jié)點；（3）單擊包含該組的文件夾；（4）在詳細信息欄中，右擊組，然后單擊【刪除】按鈕。966.2.3組的管理3．管理組28966.2.4Windows2003的安全模型Windows2003操作系統(tǒng)的安全模型主要是基于以下兩個方面的因素。首先，必須在Windows2003系統(tǒng)中擁有一個賬號；其次，要規(guī)定該賬號在系統(tǒng)中的權力和權限。在Windows2003統(tǒng)中還有一個安全賬號數(shù)據(jù)庫SAM（SecurityAccountsManagement），除了包含有域內(nèi)所有用戶的賬號信息之外，目錄數(shù)據(jù)庫中還有兩種其他類型的賬號---計算機賬號和組賬號。其中計算機賬號用于實際驗證域內(nèi)及委托關系的計算機成員，而組賬號則用來保存有關用戶組及其成員的信息。976.2.4Windows2003的安全模型Windows2976.2.4Windows2003的安全模型1．Windows2003的用戶登錄管理Windows2003系統(tǒng)中有一個登錄進程，當用戶按下“Ctrl+Alt+Del”三鍵時，Windows2003系統(tǒng)就會啟動這個進程，它是\Windows\system32目錄下的Winlogon.exe文件。這時系統(tǒng)會彈出一個對話框，要求輸入用戶名和密碼，如果要登錄域，還要輸入域名，才能登錄系統(tǒng)。此過程是一個強制性的登錄過程。登錄進程在收到用戶輸入的賬號和密碼后，就會到安全賬號數(shù)據(jù)庫SAM中去查找相應的信息。如果內(nèi)容相符，則能成功登錄；否則取消用戶的登錄請求。如果賬戶和密碼有效，則把安全賬號數(shù)據(jù)庫中的有關賬號的信息收集在一起，形成一個存取標識SID（SecurityIdentifier）。SID為記錄身份的標識，類似于身份證。986.2.4Windows2003的安全模型1．Window986.2.4Windows2003的安全模型2．資源訪問管理在Windows2003系統(tǒng)中用惟一名字標識一個注冊用戶，它也可以用來標識一個用戶或一個組。一個SID和數(shù)值代表一個用戶的SID值在以后永遠不會被另外一個用戶使用，也就是說沒有兩個相同的SID值，在一臺計算機上可以多次創(chuàng)建相同的用戶賬號，其實，這些相同用戶號的賬號并不相同，因為每一個用戶名都有一個惟一的SID。存取標識包含的內(nèi)容并沒有訪問許可權限，而存取標識又是用戶在系統(tǒng)中的通行證，那么Windows2003如何根據(jù)存取標識控制用戶對資源的訪問呢？其實，給資源分配的權限作為該資源的一個屬性，與資源一起存放。資源對象的屬性在Windows2003內(nèi)部以訪問控制列表ACL（AccessControlList）的形式存放。996.2.4Windows2003的安全模型2．資源訪問管理996.2.5Windows2003的安全機制Windows2003的安全機制的建立主要從域、組和文件系統(tǒng)等方面來考慮。Windows2003主要是通過組策略來保證網(wǎng)絡的安全。只有升級為域控制器(DomainControl)才有組策略。。賬戶策略：是由密碼策略、賬戶鎖定策略和Kerberos策略組成。本地策略：只對本地計算機起作用。事件日志：主要是對各種事件進行記錄。為應用程序日志、系統(tǒng)日志和安全日志等配置最大值、訪問方式和保留天數(shù)等參數(shù)。受限制的組：管理內(nèi)置組的成員資格。一般內(nèi)置組都有預定義功能，利用受限制組可以更改這些預定義的功能。系統(tǒng)服務：為運行在計算機上的服務配置安全性和選擇啟動模式。注冊表：在Windows2003中，注冊表是一個集中式層次結(jié)構數(shù)據(jù)庫，它存儲了Windows2003所需要的必要信息。1006.2.5Windows2003的安全機制Windows21006.2.5Windows2003的安全機制文件系統(tǒng)：指定文件路徑配置安全性。無線網(wǎng)絡策略：無線技術使得人們使用品種廣泛的設備在世界任何位置訪問數(shù)據(jù)的愿望成為可能。無線網(wǎng)絡可以降低甚至省去鋪設昂貴的光纖和電纜所需的費用，并為有線網(wǎng)絡提供備份功能。公鑰策略：配置加密的數(shù)據(jù)恢復代理、自動證書申請設置、受信任的證書頒發(fā)機構和企業(yè)信任。證書是軟件服務證書可以提供身份鑒定的支持，包括安全的E-mail功能，基于web的身份鑒定和SAM(安全賬號數(shù)據(jù)庫)身份鑒定。軟件限制策略：提供了一套策略驅(qū)動機制，用于指定允許執(zhí)行哪些程序以及不允許執(zhí)行哪些程序。IP安全性策略：配置IPSec。IPSec是一個工業(yè)標準，用于對TCP/IP網(wǎng)絡數(shù)據(jù)流加密以及保護企業(yè)內(nèi)部網(wǎng)內(nèi)部通訊和跨越Internet的虛擬專用網(wǎng)絡通訊的安全。1016.2.5Windows2003的安全機制文件系統(tǒng)：指定文1016.2.5Windows2003的安全機制1026.2.5Windows2003的安全機制341026.2.6Windows2003的安全性在Windows2003的身份驗證模型中，安全系統(tǒng)提供了兩種類型的身份驗證：交互式訪問非交互式訪問。1036.2.6Windows2003的安全性在Windows21036.2.7Windows2003安全訪問控制1．對文件或文件夾的權限設置在Windows2003系統(tǒng)中，可以采用NTFS（NewTechnicalFileSystem）的分區(qū)格式。在WindowsNT操作系統(tǒng)里，NTFS分區(qū)格式的最大優(yōu)點就是使文件夾和文件增加了安全性，它可以對文件夾和文件進行權限設置，以限制用戶的訪問。具體設置步驟為：（1）在文件或文件夾處單擊鼠標右鍵，選擇“屬性”；（2）選擇“安全”選項卡，（3）通過“添加”和“刪除”按鈕就可以修改用戶對文件夾和文件的訪問權限了。1046.2.7Windows2003安全訪問控制1．對文件或文1046.2.7Windows2003安全訪問控制1056.2.7Windows2003安全訪問控制371056.2.7Windows2003安全訪問控制2．共享文件權限的設置有時為了工作需要，我們常常要和他人共享某一資料，但是為了安全性，還是應該限定共享的權限，具體步驟為：（1）選擇某一文件夾，單擊鼠標右鍵，選擇“共享和安全”一項；（2）在“共享”選項卡中，選擇“共享該文件夾”；（3）再選擇共享窗口的“權限”按鈕。1066.2.7Windows2003安全訪問控制2．共享文件權1066.2.7Windows2003安全訪問控制3．事件的審核（1）在文件或文件夾處單擊鼠標右鍵，選擇“屬性”；（2）選擇“安全”選項卡；（3）單擊“高級”，然后選擇“審核”一項；（4）點擊“添加”按鈕，選擇要審核的對象。1076.2.7Windows2003安全訪問控制3．事件的審核1076.2.7Windows2003安全訪問控制1086.2.7Windows2003安全訪問控制401086.2.7Windows2003安全訪問控制4．NTFS分區(qū)的加密屬性加密屬性是Windows2003系統(tǒng)的屬性，通過對NTFS分區(qū)上的文件或文件夾進行加密，為用戶數(shù)據(jù)提供更高的安全性。加密文件系統(tǒng)(EFS)提供了一種核心文件加密文件，該技術用于在NTFS分區(qū)上存儲已加密的文件。加密的文件或文件夾，還可以像使用其他文件和文件夾一樣使用。對加密該文件的用戶而言，加密是透明的，在使用前不必解密。但是，非用用戶試圖訪問加密的文件和文件夾時將會被拒絕訪問。具體操作步驟為：（1）右擊鼠標選擇要加密的文件或文件夾，再單擊“屬性”；（2）單擊“常規(guī)”選擇項卡上的【高級】按鈕；（3）選中“加密內(nèi)容以便保護數(shù)據(jù)”一項。1096.2.7Windows2003安全訪問控制4．NTFS分1096.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（1）日志記錄方式Windows2003記錄的常用事件日志分為三類：系統(tǒng)日志、應用程序日志和安全日志。1）系統(tǒng)日志。該日志包含Windows2003系統(tǒng)組件所記錄的事件。系統(tǒng)日志記錄在%systemroot%\system32\config\SysEvent.Evt文件中，所有用戶都有權限查看系統(tǒng)日志。2）應用程序日志。該日志包含程序所記錄的事件。應用程序日志記錄在%systemroot%\system32\config\AppEvent.Evt文件中，所有用戶都有權限查看系統(tǒng)日志。3）安全日志。該日志包括有效和無效的登錄嘗試以及與資源使用相關的事件。在默認情況下，安全日志是關閉的，另外只有管理員才有權限訪問安全日志。1106.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．1106.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（2）日志類型事件查看器顯示的事件日志分為多種類型：包括錯誤、警告、信息、成功審核和失敗審核五種。1）錯誤：記錄重要的事件，例如在啟動過程中某個服務加載失敗，則會將這個錯誤記錄下來。2）警告：并不是特別重要，但說明將來可能存在的潛在問題的事件。3）信息：描述了應用程序、驅(qū)動程序或服務的成功操作的事件。例如，當U盤驅(qū)動程序加載成功時，將會記錄一個信息事件。4）成功審核：成功的審核安全訪問嘗試。例如，用戶登錄系統(tǒng)成功會被當作成功審核事件記錄下來。5）失敗審核：失敗的審核安全訪問嘗試。例如，用戶試圖登錄系統(tǒng)失敗了，則會將它作為失敗審核事件記錄下來。1116.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．1116.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．監(jiān)視事件日志（3）查看事件的詳細信息可以通過以下步驟了解事件的詳細內(nèi)容：1）單擊任務欄上的“開始”→“程序”→“管理工具”→“事件查看器”；2）在事件查看器控制臺樹中，單擊要查看的事件日志；3）在詳細信息窗口中，單擊要查看的事件；4）在“操作”菜單上，單擊“屬性”可以看到該事件的具體信息。1126.2.8在Windows2003系統(tǒng)中監(jiān)視和優(yōu)化性能1．1126.2.8在