第5章-Windows操作系統(tǒng)的安全機制剖析課件

第5章Windows操作系統(tǒng)的安全機制

Windows操作系統(tǒng)的安全性概述5.1

ActiveDirectory的結構與功能5.2

ActiveDirectory組策略5.3

用戶和工作組的安全管理5.4

審核機制5.56/9/202315.1Windows操作系統(tǒng)的安全性概述

5.1.1Windows操作系統(tǒng)概述

Microsoft公司從1983年開始研制Windows系統(tǒng)，最初的研制目標是在MS-DOS的基礎上提供一個多任務的圖形用戶界面。第一個版本的Windows1.0于1985年問世，它是一個具有圖形用戶界面的系統(tǒng)軟件。1987年推出了Windows2.0版，最明顯的變化是采用了相互疊蓋的多窗口界面形式。1990年推出Windows3.0是一個重要的里程碑,它以壓倒性的商業(yè)成功確定了Windows系統(tǒng)在PC領域的壟斷地位?，F(xiàn)今流行的Windows窗口界面的基本形式也是從Windows3.0開始基本確定的。6/9/20232

接下來是Windows9X系列，包括WindowsMe，Windows9X的系統(tǒng)是一種16位/32位混合源代碼的準32位操作系統(tǒng)，故不穩(wěn)定。

Windows2000是發(fā)行于1999年12月19日的32位圖形商業(yè)性質的操作系統(tǒng)。Windowsxp是微軟公司發(fā)布的一款視窗操作系統(tǒng)。它發(fā)行于2001年8月25日。WindowsServer2003是目前微軟推出的使用最廣泛的服務器操作系統(tǒng)，于2003年3月28日發(fā)布。

WindowsVista已在2006年11月30日發(fā)布。Windows7是微軟的下一代操作系統(tǒng)，正式版已于2009年10月23日發(fā)布。據(jù)國外媒體報道，日前有消息稱Windows8計劃的發(fā)布將是2012年下半年。

6/9/202335.1.2WindowsXP的安全特性1．適合需要的文件系統(tǒng)WindowsXP支持3種文件系統(tǒng)，即NTFS、FAT16和FAT32。2．保護系統(tǒng)免受病毒侵害系統(tǒng)中的軟件限制策略，可以避免計算機感染病毒和其他通過電子郵件和Internet傳播的惡意代碼。6/9/202343．在連接Internet期間保證系統(tǒng)安全Internet協(xié)議安全KerberosV5身份驗證協(xié)議Internet連接防火墻Cookie管理4．使用智能卡增強安全性使用智能卡可存儲證書和私鑰并實現(xiàn)公鑰操作，比如身份驗證、數(shù)字簽名和密鑰交換，Windowsxp允許在安裝了相應硬件和軟件的計算機上充分利用智能卡的優(yōu)點。6/9/202355.1.3Windows2000的安全特性1．安全利益2．數(shù)據(jù)安全性用戶登錄時的安全性使用VPN保護網(wǎng)絡數(shù)據(jù)存儲數(shù)據(jù)的保護3．企業(yè)間通信的安全性在目錄服務中創(chuàng)建專門為外部企業(yè)開設的用戶賬號建立域之間的信任關系公用密鑰體制6/9/202364．企業(yè)和Internet的單點安全登錄5．易用的管理性和高擴展性6．其他的安全特性加密應用程序編程接口設備驅動程序簽名6/9/20237一個安全模型共享密鑰協(xié)議WindowsNTLM身份驗證

NTLM–WindowsNTLAN管理器用于企業(yè)級網(wǎng)絡的KerberosV5公鑰驗證協(xié)議安全套接字層(SSL)/傳輸層安全(TLS)IP的安全性ActiveDirectory身份驗證的多種方式5.1.4Windows2000的安全結構6/9/202385.1.5Windows2000的網(wǎng)絡模式1．工作組模式：是一種簡單的網(wǎng)絡模式，各個工作站的用戶通過加入一個用戶組共享資源。2．域模式：在此模式中，用戶賬號數(shù)據(jù)庫和計算機策略是以共享方式存儲的。3．安全限制：系統(tǒng)在共享級訪問控制和用戶級訪問控制方面是安全的，因為其有嚴格的登錄要求。6/9/202395.1.6Windows2000安全管理工具

1．Microsoft管理控制臺（MMC）：是指進行系統(tǒng)維護的各種管理工具工作的地方,通過它用戶可以創(chuàng)建、保存和打開用于管理硬件、軟件和Windows系統(tǒng)組件的工具。MMC本身不執(zhí)行管理功能，但可以接納執(zhí)行各種系統(tǒng)功能的工具，可在MMC中添加的插件包括管理工具、ActiveX控制、鏈接到網(wǎng)頁、文件夾、控制臺任務板和任務。用戶使用MMC有兩種方法，第一種是在用戶模式下使用現(xiàn)有的MMC控制臺管理系統(tǒng)，第二種是在作者模式下創(chuàng)建新控制臺和修改現(xiàn)有的MMC控制臺。

6/9/202310

Windows2000可以創(chuàng)建一個或多個“控制臺”，這些控制臺內可以包含一個或多個的管理單元。所有這些特性都能被遠程計算機使用，并允許管理員從同一網(wǎng)絡上的任何其他計算機上修復和配置其中的某臺計算機?！肮芾砜刂婆_”和“管理單元”幫助用戶更容易地管理本地或遠程計算機。

6/9/202311MMC控制臺窗口

Windows2000的MMC控制臺窗口由兩個窗格組成，左窗格稱為控制臺目錄樹，右窗格則稱為結果窗格，如下圖所示的“組件服務”控制臺窗口?？刂婆_目錄樹顯示給定控制臺中可用的項目，結果窗格則包含有關這些項目功能的信息。在控制臺目錄樹中，當用戶單擊不同項目時，結果窗格中的信息將相應改變，結果窗格可以顯示很多類型的信息，包括網(wǎng)頁、圖形、圖表、表格和列表等。

6/9/2023126/9/202313添加/刪除管理單元為了便于統(tǒng)一管理和增強控制臺的功能，用戶可以向控制臺添加管理單元。但有時，某一項控制臺管理單元的功能可能不再為用戶所使用，這時用戶可以將它刪除。步驟：A.啟動MMC，在“運行”菜單輸入mmc.exe，此時打開一個空白的MMC。B.選擇“控制臺”—“添加/刪除管理單元”,打開對話框，選擇獨立（或擴展）管理單元類型。6/9/202314C.打開“管理單元列表”對話框，選定其中一個（例如：事件查看器）管理單元。D.打開“選擇計算機”對話框，選擇事件查看器將監(jiān)視哪一臺計算機（可選擇遠程計算機），此處選擇本地計算機。E.完成后可在“程序”—“管理工具”查看到新建的管理單元。6/9/2023155.2ActiveDirectory的結構與功能

ActiveDirectory是一個與Windows2000集成在一起的目錄服務。

ActiveDirectory存儲了有關網(wǎng)絡對象的信息，例如用戶、組、計算機、共享資源、打印機和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。

6/9/2023165.2.1ActiveDirectory的功能和特點1．高度的集成性2．集成的安全性3．自定義的用戶環(huán)境4．ActiveDirectory與域名系統(tǒng)（DomainNameSystem，DNS）高度集成5．ActiveDirectory可直接支持LightweightDirectoryAccessProtocol(LDAP)及HypertextTransferProtocol(HTTP)6．ActiveDirectory支持許多常用的標準名稱格式7．服務配置8．支持目錄的應用程序和軟件安裝6/9/2023175.2.2ActiveDirectory組件

1．名稱空間和命名環(huán)境2．ActiveDirectory中的對象和對象名稱3．全局編錄4．架構5．域6．域目錄樹和目錄林7．組織單位（OrganizationalUnit,OU）8．組策略9．站點6/9/202318全局編錄

全局編錄是一臺存儲了森林中所有ActiveDirectory對象的一個副本的域控制器。此外，全局編錄還存儲了每個對象最常用的一些可搜索的屬性。

全局編錄擔當了以下目錄角色：查找對象

提供了根據(jù)用戶主名的身份驗證

在多域環(huán)境下提供通用組的成員身份信息

6/9/202319域：是網(wǎng)絡對象的集合，這些對象可以包括組織單元、用戶、組和計算機，它們都共享與安全性有關的公用目錄數(shù)據(jù)庫。它是ActiveDirectory的基礎，是其邏輯體系結構的核心單元。組策略：它提供了將安全性和配置設置組合為模板的能力，可將這種模板應用于單獨的系統(tǒng)和域。6/9/202320ActiveDirectory和安全性

安全性通過登錄身份驗證以及目錄對象的訪問控制集成在ActiveDirectory之中。通過單點網(wǎng)絡登錄，管理員可以管理分散在網(wǎng)絡各處的目錄數(shù)據(jù)和組織單位，經過授權的網(wǎng)絡用戶可以訪問網(wǎng)絡任意位置的資源。ActiveDirectory通過對象訪問控制列表以及用戶憑據(jù)保護其存儲的用戶帳號和組信息。ActiveDirectory允許管理員創(chuàng)建組帳號，管理員得以更加有效地管理系統(tǒng)的安全性。

6/9/2023215.3ActiveDirectory組策略5.3.1組策略簡介組策略（GP）提供進一步控制和集中管理用戶桌面環(huán)境的功能。組策略是一組配置設置，組策略管理員應用于活動目錄存儲中的一個或多個對象，也可以控制域中用戶的工作環(huán)境。

組策略還授予用戶和組權力。

6/9/202322組策略優(yōu)點

（1）保護用戶環(huán)境（2）增強用戶環(huán)境

自動安裝應用程序到用戶的“開始”菜單。啟動應用程序分發(fā)，方便用戶在網(wǎng)絡上找到并安裝相應應用程序。安裝文件或快捷方式到網(wǎng)絡上相應位置或用戶計算機上的特定文件夾。當用戶登錄或注銷、計算機啟動或關閉時自動執(zhí)行任務或應用程序。重定向文件夾到網(wǎng)絡位置增強數(shù)據(jù)可靠性。6/9/202323安全設置：組策略管理員可以限制用戶訪問文件和文件夾。管理模板：包括基于注冊表的組策略，可以利用它來強制注冊表設置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應用程序。

遠程安裝服務（RIS）：當運行用戶安裝向導時，控制顯示給用戶的RIS安裝選項。

文件夾重定向：可以重定向WindowsServer2000指定的文件夾從用戶配置文件缺省位置到另一個網(wǎng)絡位置，從而對這些文件夾集中管理

。

6/9/2023245.3.2組策略的創(chuàng)建1．組策略配置設置組策略可以設置的策略如下。（1）軟件安裝（2）管理模板（3）腳本（4）安全性（5）文件夾重定向6/9/2023252．組策略對象的構成

3．創(chuàng)建組策略對象

4．創(chuàng)建未連接的組策略對象5．組策略對象鏈接6/9/2023265.3.3管理組策略

1．默認權限2．委派組策略的控制權3．Microsoft管理控制臺的策略4．使用安全組篩選組策略5．使用組策略控制組策略6．添加模板6/9/2023275.3.4應用組策略

1．處理組策略

2．刷新組策略3．解決沖突的組策略4．組策略的繼承關系6/9/202328組策略模板

組策略模板（GRT）是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夾下的文件夾結構。

GPT是存儲管理模板、安全設置、腳本文件和軟件設置的組策略設置信息的容器。6/9/202329組策略包括：計算機配置、用戶配置其組策略包含以下內容：

1）管理模板：包括Windows組件、網(wǎng)絡、桌面以及任務欄和開始菜單等相關的策略。

2）Windows設置：包括腳本、安全設置（用戶策略和本地策略）等相關的策略。

3）軟件設置：包括軟件安裝策略，可以進行應用程序的指派與發(fā)布。6/9/202330組策略對象圖1“組策略”選項卡6/9/202331更改組策略（1）選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算機”選項，選擇“屬性”→“組策略”命令。（2）選定“DefaultDomainControllersPolicy”，然后單擊“編輯”按鈕。（3）打開如圖1所示的“組策略”窗口后，然后雙擊窗口右側的“在本地登錄”(圖2）。6/9/202332圖2組策略窗口6/9/202333（4）出現(xiàn)如圖3所示的對話框時，單擊“添加”按鈕，選擇DomainUsers組以便讓所有的域用戶都具備“在本地登錄”的權利。完成后單擊“確定”按鈕關閉此對話框。（5）返回“組策略”窗口時，請關閉此窗口。（6）返回“DomainControllers屬性”對話框，單擊“確定”。

6/9/202334圖3有“在本地登錄”權限的用戶和組6/9/202335驗證更改組策略的有效性（1）在服務器端，以administrator賬戶登錄。（2）依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計算”選項，從中選擇“新建”→“用戶”命令添加一個一般的用戶賬戶。（3）完成后，注銷administrator，然后等待此組策略生效。（4）重新登錄時，請用剛建立的域用戶登錄，此時應該可以正常登錄成功。返回本節(jié)6/9/202336設置管理模板策略（1）在“ActiveDirectory中，選擇“屬性”→“組策略”→“新建”命令，添加一個GPO，命名為“xuexiaoPolicy”。（2）在如圖4所示的對話框中，單擊“編輯”。（3）在如圖5所示的“組策略”窗口中，選擇“用戶配置”→“管理模板”→“任務欄和‘開始’菜單”選項。6/9/202337（4）打開后選擇“用戶配置”→“管理模板”→“桌面”。（5）完成后，關閉“組策略”窗口。（6）單擊“關閉”按鈕，結束組策略設置。6/9/202338圖4添加新的組策略6/9/202339圖5設置組策略6/9/2023405.4用戶和工作組的安全管理

5.4.1Windows2000的用戶賬戶1．本機用戶賬戶：在本機中建立的用戶賬戶。2．域用戶賬戶：使用網(wǎng)域用戶賬戶注冊的用戶可以使用網(wǎng)域上的資源，因此域用戶賬戶的權限比本機用戶賬戶來得廣。3．默認用戶賬戶AdministratorGuest6/9/202341本地用戶賬號（LocalUserAccount）

本地用戶賬號只能登錄到賬號所在計算機并獲得對該資源的訪問。當創(chuàng)建本地用戶賬號后，WindowsServer2000將在該機的本地安全性數(shù)據(jù)庫中創(chuàng)建該賬號，本地賬號信息仍為本地，不會被復制到其他計算機或域控制器。當創(chuàng)建一個本地用戶賬號后，計算機使用本地安全性數(shù)據(jù)庫驗證本地用戶賬號，以便讓用戶登錄到該計算機。

6/9/202342域用戶賬號（DomainUserAccount）

域用戶賬號可讓用戶登錄到域并獲得對網(wǎng)絡上其他地方資源的訪問。用戶在從域中的任何一臺計算機登錄到域中的時候必須提供一個合法的域用戶賬號，該賬號將被域的域控制器所驗證。當在一個域控制器上新建一個用戶賬號后，該用戶賬號被復制到域中所有其他計算機上，復制過程完成后，域樹中的所有域控制器就都可以在登錄過程中對用戶進行身份驗證。6/9/202343內置用戶賬號（Built-inUserAccount）

WindowsServer2000自動創(chuàng)建若干個用戶賬號，并且賦予了相應的權限，稱為內置賬號。內置用戶賬號不允許被刪除。

最常用的兩個內置賬號是Administrator和Guest。使用內置Administrator（管理員）賬號管理計算機和域配置。

Guest（來客）賬號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的。

6/9/2023445.4.2用戶賬戶安全設置

1．密碼策略密碼策略主要包括以下設置。（1）強制密碼歷史（2）密碼最長存留期（3）密碼最短存留期（4）密碼必須符合復雜性要求（5）使用可還原的加密存儲密碼6/9/202345圖7設置密碼策略6/9/2023462．賬戶鎖定策略

賬戶鎖定策略包括以下設置。（1）復位賬戶鎖定計數(shù)器（2）賬戶鎖定時間（3