Windows Server 配置管理項目實訓(xùn)教程課件項目11 安全管理Windows Server

11.1

相關(guān)知識項目11安全管理WindowsServer200311.1.1FAT文件系統(tǒng)11.1.2NTFS文件系統(tǒng)11.1.3操作系統(tǒng)安全管理基礎(chǔ)知識11.2.1任務(wù)1設(shè)置本地安全策略11.2.2任務(wù)2設(shè)置基于域的安全11.2.3任務(wù)3設(shè)置審核11.2.4任務(wù)4查看安全記錄11.2.5任務(wù)5管理安全模板11.2.6任務(wù)6控制資源訪問權(quán)限11.2.7加密文件系統(tǒng)（EFS）11.2.8壓縮文件11.3

歸納總結(jié)：強化WINDOWS

SERVER2003安全的方法11.2項目實施11.4習(xí)題項目11安全管理WindowsServer2003

項目描述：作為網(wǎng)絡(luò)管理員，必須熟悉網(wǎng)絡(luò)安全保護(hù)的各種策略環(huán)節(jié)以及可以采取的安全措施。這樣才能合理地進(jìn)行安全管理，使得網(wǎng)絡(luò)和計算機處于安全保護(hù)的狀態(tài)。項目描述項目11安全管理WindowsServer2003掌握設(shè)置本地安全策略掌握基于域的安全設(shè)置掌握審核了解安全記錄掌握安全模板的使用項目目標(biāo)項目11安全管理WindowsServer200311.1相關(guān)知識FAT文件系統(tǒng)NTFS文件系統(tǒng)操作系統(tǒng)安全管理基礎(chǔ)知識1.1相關(guān)知識

FAT（FileAllocationTable）指的是文件分配表，包括FAT16和FAT32兩種。FAT是一種適合小卷集、對系統(tǒng)安全性要求不高、需要雙重引導(dǎo)的用戶應(yīng)選擇使用的文件系統(tǒng)。

FAT16支持的最大分區(qū)是216（即65536）個簇，每簇64個扇區(qū)，每扇區(qū)512字節(jié)，所以最大支持分區(qū)為2.147GB,但是它浪費磁盤空間。

FAT32是FAT16的派生文件系統(tǒng)，支持大到2TB（2048GB）的磁盤分區(qū),，它使用的簇比FAT16小，從而有效地節(jié)約了磁盤空間。11.1.1FAT文件系統(tǒng)1.1相關(guān)知識

NTFS（NewTechnologyFileSystem）是WindowsServer2003推薦使用的高性能文件系統(tǒng)，它支持許多新的文件安全、存儲和容錯功能。NTFS文件系統(tǒng)包括了文件服務(wù)器和高端個人計算機所需的安全特性，還支持對于關(guān)鍵數(shù)據(jù)以及十分重要的數(shù)據(jù)訪問控制和私有權(quán)限。并且NTFS文件和文件夾無論共享與否都可以賦予權(quán)限，NTFS是唯一允許為單個文件指定權(quán)限的文件系統(tǒng)。但是，當(dāng)用戶從NTFS卷移動或復(fù)制文件到FAT卷時，NTFS文件系統(tǒng)權(quán)限和其他特有屬性將會丟失。11.1.2NTFS文件系統(tǒng)1.1相關(guān)知識

11.1.3操作系統(tǒng)安全管理基礎(chǔ)知識

計算機網(wǎng)絡(luò)的安全技術(shù)C2安全等級的重要標(biāo)準(zhǔn)特征windowsServer2003操作系統(tǒng)增強的安全特性安全結(jié)構(gòu)與安全策略環(huán)節(jié)類型身份認(rèn)證與識別系統(tǒng)安全審核策略資源訪問權(quán)限控制項目11安全管理WindowsServer200311.2相關(guān)任務(wù)任務(wù)1設(shè)置本地安全策略任務(wù)2設(shè)置基于域的安全任務(wù)3設(shè)置審核任務(wù)5管理安全模板任務(wù)6控制資源訪問權(quán)限

任務(wù)4查看安全記錄項目11安全管理WindowsServer2003項目11安全管理WindowsServer2003

在WindowsServer2003中，為了確保計算機的安全，允許管理員對本地安全進(jìn)行設(shè)置對登錄到本地計算機的用戶都定義了一些安全設(shè)置。所謂本地計算機是指用戶登錄執(zhí)行WindowsServer2003的計算機，在沒有活動目錄集中管理的情況下，本地管理員必須為計算機進(jìn)行設(shè)置以確保其安全。系統(tǒng)管理員可以通過本地安全原則，確保執(zhí)行WindowsServer2003計算機的安全。并“管理工具”菜單提供了“本地安全設(shè)置”控制臺，集中管理本地計算機的安全設(shè)置原則。

11.2.1任務(wù)1設(shè)置本地安全策略項目11安全管理WindowsServer2003

11.2.1任務(wù)1設(shè)置本地安全策略“本地安全設(shè)置”控制臺

項目11安全管理WindowsServer2003一、密碼安全設(shè)置:

密碼必須符合復(fù)雜性要求密碼使用期限強制密碼歷史

11.2.1任務(wù)1設(shè)置本地安全策略項目11安全管理WindowsServer2003二、賬戶鎖定策略密碼安全

WindowsServer2003在默認(rèn)情況下，沒有對賬戶鎖定進(jìn)行設(shè)定，此時，對黑客的攻擊沒有任何限制。這樣，黑客可以通過自動登錄工具和密碼猜解字典進(jìn)行攻擊，甚至可以進(jìn)行暴力模式的攻擊。因此，為了保證系統(tǒng)的安全，最好設(shè)置賬戶鎖定策略。賬戶鎖定原則包括如下設(shè)置：賬戶鎖定閾值、賬戶鎖定時間和重設(shè)賬戶鎖定計算機的時間間隔。賬戶鎖定閾值為“0次無效登錄”，可以設(shè)置為5次或更多的次數(shù)以確保系統(tǒng)安全。

11.2.1任務(wù)1設(shè)置本地安全策略項目11安全管理WindowsServer2003

11.2.1任務(wù)1設(shè)置本地安全策略項目11安全管理WindowsServer2003三、用戶權(quán)限分配從網(wǎng)絡(luò)訪問此計算機。關(guān)閉系統(tǒng)。允許本地登錄。

11.2.1任務(wù)1設(shè)置本地安全策略項目11安全管理WindowsServer2003子任務(wù)1認(rèn)識組策略組策略，簡單地說，與修改注冊表配置所完成的功能是一樣的。但是，組策略使用更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置，比手工修改注冊表方便、靈活，功能也更加強大。組策略通常是系統(tǒng)管理員為加強整個域或網(wǎng)絡(luò)共同的策略而設(shè)置并進(jìn)行管理的。組策略是配置的集合，可以把它應(yīng)用到ActiveDirectory中的一個或多個對象上，這些設(shè)置包含在組策略對象GPO（GroupPolicyObject）內(nèi)。WindowsServer2003組策略（GP）應(yīng)用程序?qū)哟瓮ǔＪ紫仁钦军c，其次是域，再次是OU。換句話說，如果GP是為站點設(shè)置的，那么這個站點中的所有對象都會受到該GP的影響。

任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003子任務(wù)2創(chuàng)建組策略對象（1）選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”，彈出控制臺窗口，鼠標(biāo)右擊要建立組策略對象的域控制器，從彈出的快捷菜單中選擇“屬性”命令，將彈出“域控制器屬性”對話框。11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer200311.2.2任務(wù)2設(shè)置基于域的安全圖11-7“AD用戶和計算機”控制臺窗口項目11安全管理WindowsServer2003（2）打開“域控制器屬性”對話框并選擇“組策略”選項卡，如圖11-8所示，單擊“新建”按鈕，輸入要創(chuàng)建的組策略對象名稱，如“GPO_ONE”。（3）在該選項卡中單擊“添加”按鈕，則可打開“添加組策略對象鏈接”對話框，將已經(jīng)創(chuàng)建但還沒有指定鏈接的組策略鏈接到任何的ActiveDirectory邏輯結(jié)構(gòu)單元中。其中有“域/OUs”、“站點”和“全部”3個選項卡。切換到“全部”選項卡，然后選擇對應(yīng)的項目如GPO_ONE，就可以將其鏈接到這個單元，如圖11-9所示。

任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003

任務(wù)2設(shè)置基于域的安全圖11-8“組策略”選項卡

圖11-9“添加組策略對象鏈接”窗口11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003（4）完成新建組策略對象之后，返回到“組策略”選項卡，指定要管理的組策略進(jìn)行編輯，彈出“組策略編輯器”，如圖11-10所示，然后就可以對其進(jìn)行具體的組策略應(yīng)用。

任務(wù)2設(shè)置基于域的安全11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003

任務(wù)2設(shè)置基于域的安全圖11-10“組策略編輯器”窗口11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003子任務(wù)3刪除組策略對象組策略對象設(shè)置不合理或者不再需要時，可以將其刪除，因為多余的組策略對系統(tǒng)有一定的影響，可以導(dǎo)致用戶登錄速度變慢。在“組策略”選項卡中，選擇要刪除的對象，單擊“刪除”按鈕，然后選擇刪除的方式。（1）如果選擇“從列表中移除鏈接”，組策略對象會繼續(xù)存在，以后需要的時候還可以鏈接到ActireDirectory邏輯單元中。（2）如果選擇移除鏈接并將組策略永久刪除，將刪除它的所有相關(guān)信息，不能重新添加鏈接。

任務(wù)2設(shè)置基于域的安全11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003子任務(wù)4設(shè)置組策略對象選項組策略對象創(chuàng)建完畢之后，還有很多的選項可以設(shè)置。選項設(shè)置如下。（1）組策略的繼承。（2）組策略的禁用。（3）組策略的優(yōu)先順序調(diào)整（4）組策略的屬性。

任務(wù)2設(shè)置基于域的安全11.2.2任務(wù)2設(shè)置基于域的安全項目11安全管理WindowsServer2003

審核提供了一種在WindowsServer2003中跟蹤所有事件從而監(jiān)視系統(tǒng)訪問和保證系統(tǒng)安全的方法。它是一個保證系統(tǒng)安全的重要工具。審核允許跟蹤特定的事件，具體地說，審核允許跟蹤特定事件的成敗。

WindowsServer2003允許設(shè)置的審核策略，包括如下幾項。

任務(wù)2設(shè)置基于域的安全11.2.3任務(wù)3設(shè)置審核項目11安全管理WindowsServer2003（1）審核策略更改（2）審核登錄事件（3）審核對象訪問（4）審核過程跟蹤（5）審核目錄服務(wù)訪問（6）審核特權(quán)使用（7）審核系統(tǒng)事件（8）審核賬戶登錄事件（9）審核賬戶管理11.2.3任務(wù)3設(shè)置審核

為了節(jié)省系統(tǒng)資源，默認(rèn)情況下，WindowsServer2003的獨立服務(wù)器或成員服務(wù)器的本地審核策略并沒有打開；而域控制器則打開了策略更改、登錄事件、目錄服務(wù)訪問、系統(tǒng)事件、賬戶登錄事件和審核賬戶管理的域控制器審核策略。在“管理工具”中的“域安全策略”和“域控制器安全策略”分別可以打開本地審核策略和域控制器審核策略。接下來以域控制器審核策略的配置過程為例介紹其配置方法。（1）選擇“開始→程序→管理工具→域控制器安全略”，彈出如圖11-13所示界面，依次選中“安全設(shè)置→本地策略→審核策略”，將展開具體的審核策略。項目11安全管理WindowsServer200311.2.3任務(wù)3設(shè)置審核項目11安全管理WindowsServer200311.2.3任務(wù)3設(shè)置審核圖11-13域控制器安全設(shè)置項目11安全管理WindowsServer2003（2）在圖11-13的右側(cè)的窗口中，雙擊某個策略顯示出其設(shè)置，如雙擊審核登錄事件，將彈出“審核登錄事件屬性”話框?？梢詫徍顺晒Φ卿浭录部梢愿櫴〉牡卿浭录员愀櫡鞘跈?quán)使用系統(tǒng)的企圖。（3）選擇“成功”或“失敗”或兩者都選，然后確定，配置完成。這樣每次用戶的登錄或注銷事件都能在事件查看器的“安全性”中看到審核的記錄。如果要審核對給定文件夾或文件對象的訪問，可通過如下方法設(shè)置。11.2.3任務(wù)3設(shè)置審核項目11安全管理WindowsServer2003（1）打開“Windows資源管理器”并定位該文件夾（如“C:\Windows”文件夾）或文件，用右鍵選擇“屬性”，彈出其屬性界面。（2）單擊“安全”選項卡，然后單擊“高級”按鈕，如圖11-14所示。11.2.3任務(wù)3設(shè)置審核項目11安全管理WindowsServer200311.2.3任務(wù)3設(shè)置審核圖1-14Windows文件夾安全屬性

項目11安全管理WindowsServer2003（3）在“高級安全設(shè)置”對話框中選中“審核”選項卡顯示審核屬性，如圖11-15所示，然后單擊“添加”按鈕。11.2.3任務(wù)3設(shè)置審核圖11-15Windows文件夾的高級安全設(shè)置項目11安全管理WindowsServer2003（4）選擇所要審核的用戶、計算機或組，輸入要選擇的對象名稱，如“Administrators”，單擊“確定”按鈕。如圖11-16所示。11.2.3任務(wù)3設(shè)置審核11-16選擇用戶、計算機或組項目11安全管理WindowsServer2003（5）系統(tǒng)彈出審核項目的對話框，列出了被選中對象的可審核的事件，包括“完全控制”或“遍歷文件夾/運行文件”、“讀取屬性”、“寫入屬性”、“刪除”等權(quán)限，如圖11-17所示。（6）定義完對象的審核策略后，關(guān)閉對象的屬性窗口，審核將立即開始生效。11.2.3任務(wù)3設(shè)置審核項目11安全管理WindowsServer200311.2.3任務(wù)3設(shè)置審核圖11-17Windows文件夾的審核項目項目11安全管理WindowsServer2003

只要做了審核策略，被審核的事件都會被記錄到安全記錄中，可以通過事件查看器查到每一條安全記錄。選擇“開始→程序→管理工具→事件查看器”或者在命令行中輸入eventvwr.msc命令，便可打開“事件查看器”控制臺查看安全記錄，如圖11-18所示。11.2.4任務(wù)4查看安全記錄圖11-18事件查看器項目11安全管理WindowsServer2003安全記錄的內(nèi)容包括：類型：包括審核成功或失敗。日期：事件發(fā)生的日期。時間：事件發(fā)生的時間。來源：事件種類，安全事件為Security。分類：審核策略，例如登錄/注銷、目錄服務(wù)訪問、賬戶登錄等。事件：指定事件標(biāo)識符，標(biāo)明事件ID，為整數(shù)值。用戶：觸發(fā)事件的用戶名稱。計算機：指定事件發(fā)生的計算機名稱，一般是本地計算機名稱。

事件ID可以用來識別登錄事件，系統(tǒng)使用多為默認(rèn)的事件ID，一般值都小于1024字節(jié)。11.2.4任務(wù)4查看安全記錄項目11安全管理WindowsServer2003

安全模板是一種表示安全配置的文件。安全模板可被應(yīng)用于本地計算機，導(dǎo)入到組策略對象中或用于安全性分析。WindowsServer2003內(nèi)置了很多安全模板，這些模板提供了不同等級的安全，作為管理員只需要根據(jù)企業(yè)安全的需要，應(yīng)用一種安全模板即可。本節(jié)將介紹有關(guān)安全模板的概念和功能，以及如何管理安全模板。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003子任務(wù)1認(rèn)識安全模板本機管理員可以在“本地安全策略”控制臺上，設(shè)置本機的安全策略；而域管理員可以在“域安全策略”控制臺上，設(shè)置整個域范圍的安全策略，或是在“域控制器安全策略”中設(shè)置組織單位（OU）的安全策略。單獨設(shè)置每個安全策略，需要花費管理員很多的精力，所以WindowsServer2003提供了安全模板，可方便管理員管理安全設(shè)置。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003預(yù)先定義的安全模板有：（1）默認(rèn)安全（setupsecurity.inf）（2）域控制器默認(rèn)安全（DCsecurity.inf）（3）兼容（compatws.inf）（4）安全（secure*.inf）（5）高度安全（hisec*.inf）（6）系統(tǒng)根目錄安全（rootsec.inf）（7）IE瀏覽器安全（iesacls.inf）11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003子任務(wù)2安全設(shè)置分析

WindowsServer2003使用默認(rèn)的安全模板應(yīng)用到本地計算機或域，經(jīng)過管理員的不斷編輯，安全設(shè)置會產(chǎn)生比較大的變化，管理員需要進(jìn)行安全分析。（1）在命令行中輸入“MMC”命令，打開空白的控制臺后，單擊“文件→添加/刪除管理單元”，新增一個名為“安全配置和分析”的管理單元，如圖11-20所示，選中要添加的項目“安全配置和分析”，單擊“添加”之后關(guān)閉。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer200311.2.5任務(wù)5管理安全模板圖11-20添置獨立管理單元項目11安全管理WindowsServer2003（2）回到控制臺，可以看到添加的“安全配置和分析”，如圖11-21所示，鼠標(biāo)右鍵單擊“打開數(shù)據(jù)庫”可以創(chuàng)建新數(shù)據(jù)庫來保存分析的結(jié)果。11.2.5任務(wù)5管理安全模板圖11-21“安全配置和分析”控制臺項目11安全管理WindowsServer2003（3）在“打開數(shù)據(jù)庫”對話框中選擇已存在的數(shù)據(jù)庫，或在“文件名”中輸入新數(shù)據(jù)庫的名稱，創(chuàng)建一個新的數(shù)據(jù)庫，如圖11-22所示。我們創(chuàng)建一個新數(shù)據(jù)庫samsec.sdb。11.2.5任務(wù)5管理安全模板圖11-22“打開數(shù)據(jù)庫”對話框項目11安全管理WindowsServer2003（4）接著彈出“導(dǎo)入模板”對話框，選擇一個安全模板，如圖11-23所示。11.2.5任務(wù)5管理安全模板圖11-23“導(dǎo)入模板”對話框項目11安全管理WindowsServer2003（6）在分析過程中必須記錄產(chǎn)生的錯誤，在“進(jìn)行分析”對話框中，輸入錯誤日志文件的路徑。（7）分析系統(tǒng)安全的過程，包括了分析用戶權(quán)限分配、受限制的組、注冊表、文件系統(tǒng)、ActiveDirectorly對象、系統(tǒng)服務(wù)、安全策略等。分析完成后，可以將這個安全策略導(dǎo)出到文件，如果在其他計算機中應(yīng)用，則可以獲得與該計算機相同的安全策略。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003子任務(wù)3管理安全模板每一個模板都是保存為文本格式的.inf文件，管理員可以修改這個文件以設(shè)置安全模板，但是，使用文字編輯工具修改很困難，所以WindowsServer2003提供了“安全模板”管理單元，可以新增模板和管理預(yù)先定義的模板。

在命令行中輸入“MMC”打開空白的控制臺后，“添加/刪除管理單元”后選擇“安全模板”單擊“添加”按鈕，完成安全模板的添加。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003

管理員可以修改預(yù)先定義的模板或刪除不需要的模板，還可以另存為新文件以產(chǎn)生新的模板，如產(chǎn)生新的模板取名為“tmpsecurity”，如圖11-26所示。管理員也可以按照自己的要求重新設(shè)置一個全新的模板，應(yīng)用于自己的對象中，“新加模板”如圖11-27所示。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer200311.2.5任務(wù)5管理安全模板圖11-26“模板另存為”命令項目11安全管理WindowsServer200311.2.5任務(wù)5管理安全模板圖11-27新增模板命令項目11安全管理WindowsServer2003

新增的模板或根據(jù)默認(rèn)模板修改后的模板，都可以保存為自己特定的模板。這些模板也能在不同的計算機之間復(fù)制使用，保存到安全模板默認(rèn)路徑中，便可通過控制臺打開安全模板，然后將這些模板應(yīng)用到本地計算機、組織單位、域或者站點中。例如，要將前面新取的安全模板“tmpsecurity”應(yīng)用到域中，可以通過以下方法來實現(xiàn)。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003（1）選擇“開始→程序→管理工具→ActiveDirectory用戶和計算機”，彈出控制臺窗口，鼠標(biāo)右鍵單擊要編輯的域控制器，在彈出的快捷菜單中選擇“屬性”命令，將彈出“域控制器屬性”對話框，可以看到組策略選項。（2）選擇“組策略選項卡”，編輯組策略對象“DefaultDomainPolicy”，將彈出組策略編輯器，在組策略編輯器中展開“計算機配置→安全設(shè)置”，右鍵選擇“導(dǎo)入策略”。（3）在“策略導(dǎo)入來源”對話框中，選擇前面建立的安全模板“tmpsecurity.inf”打開，便可導(dǎo)入并應(yīng)用到域中。11.2.5任務(wù)5管理安全模板項目11安全管理WindowsServer2003

網(wǎng)絡(luò)中最重要的是安全，安全中最重要的是權(quán)限！在網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員首先面對的是權(quán)限，日常解決的問題是權(quán)限問題，最終出現(xiàn)漏洞還是由于權(quán)限設(shè)置問題。權(quán)限決定著用戶可以訪問的數(shù)據(jù)、資源，也決定著用戶享受的服務(wù)，更甚者，權(quán)限決定著用戶擁有什么樣的桌面。理解了NTFS和它的能力，對于高效地在WindowsServer2003中實現(xiàn)這種功能來說是非常重要的。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003子任務(wù)1認(rèn)識NTFS權(quán)限利用NTFS權(quán)限，可以控制用戶賬號和組對文件夾和個別的文件的訪問。NTFS權(quán)限只適用于NTFS磁盤分區(qū)。NTFS權(quán)限不能用于由FAT或者FAT32文件系統(tǒng)格式化的磁盤分區(qū)。Windows2000/2003只為用NTFS進(jìn)行格式化的磁盤分區(qū)提供NTFS權(quán)限。不管用戶是訪問文件夾還是訪問文件，也不管這些文件夾或文件是在計算機上，還是在網(wǎng)絡(luò)上，NTFS的安全性功能都有效。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003對于NTFS磁盤分區(qū)上的每一個文件和文件夾，NTFS都存儲一個遠(yuǎn)程訪問控制列表（ACL）。ACL中包含有那些被授權(quán)訪問該文件或者文件夾的所有用戶賬號、組和計算機，還包含他們被授予的訪問類型。為了讓一個用戶訪問某個文件或者文件夾，針對相應(yīng)的用戶賬號、組或者該用戶所屬的計算機，ACL中必須包含一個對應(yīng)的元素，這樣的元素叫做訪問控制元素（ACE）。為了讓用戶能夠訪問文件或者文件夾，訪問控制元素必須具有用戶所請求的訪問類型。如果ACL中沒有相應(yīng)的ACE存在，WindowsServer2003就拒絕該用戶訪問相應(yīng)的資源。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003NTFS權(quán)限的類型（1）NTFS文件夾權(quán)限11.2.6任務(wù)6控制資源訪問權(quán)限讀取和運行（Read&Execute）遍歷文件夾，和執(zhí)行允許“讀取”權(quán)限和“列出文件夾內(nèi)容”權(quán)限的動作。修改（Modify）刪除文件夾、執(zhí)行“寫入”權(quán)限和“讀取和運行”權(quán)限的動作。完全控制（FullControl）改變權(quán)限，成為擁有人，刪除子文件夾和文件，以及執(zhí)行允許所有其他NTFS文件夾權(quán)限進(jìn)行的動作。注意：“只讀”、“隱藏”、“歸檔”和“系統(tǒng)文件”等都是文件夾屬性，不是NTFS權(quán)限。項目11安全管理WindowsServer2003（2）NTFS文件權(quán)限可以通過授予文件權(quán)限，控制對文件的訪問。表11-3列出了可以授予的標(biāo)準(zhǔn)NTFS文件權(quán)限和各個權(quán)限提供給用戶的訪問類型。11.2.6任務(wù)6控制資源訪問權(quán)限NTFS文件權(quán)限允許訪問類型讀取（Read）讀文件，查看文件屬性、擁有人和權(quán)限。寫入（Write）覆蓋寫入文件，修改文件屬性，和查看文件擁有人和權(quán)限。讀取和運行（Read&Execute）運行應(yīng)用程序，和執(zhí)行由“讀取”權(quán)限進(jìn)行的動作修改（Modify）修改和刪除文件，和執(zhí)行由“寫入”權(quán)限和“讀取和運行”權(quán)限進(jìn)行的動作。完全控制（FullControl）改變權(quán)限，成為擁有人，和執(zhí)行允許所有其他NTFS文件權(quán)限進(jìn)行的動作。項目11安全管理WindowsServer20032.多重NTFS權(quán)限（1）權(quán)限是累積的（３）拒絕權(quán)限超越其他權(quán)限（２）文件權(quán)限超越文件夾權(quán)限11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003子任務(wù)2將共享文件夾權(quán)限與NTFS文件系統(tǒng)權(quán)限組合在一起

要為共享文件夾設(shè)置NTFS權(quán)限，可在共享文件夾的屬性窗口中選擇“共享”選項卡，單擊“權(quán)限”按鈕，即可顯示“共享文件夾的權(quán)限”窗口。如圖11-30所示。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer200311.2.6任務(wù)6控制資源訪問權(quán)限圖11-30共享文件夾的權(quán)限項目11安全管理WindowsServer2003共享文件夾權(quán)限具有以下特點：共享文件夾權(quán)限只適用于文件夾，而不適用于單獨的文件，并且只能為整個共享文件夾設(shè)置共享權(quán)限，而不能對共享文件夾中的文件或子文件夾進(jìn)行設(shè)置。所以，共享文件夾不如NTFS文件系統(tǒng)權(quán)限詳細(xì)。共享文件夾權(quán)限并不對直接登錄到計算機上的用戶起作用，它們只適用于通過網(wǎng)絡(luò)連接該文件夾的用戶。即共享權(quán)限對直接登錄到服務(wù)器上的用戶是無效的。在FAT/FAT32系統(tǒng)卷上，共享文件夾權(quán)限是保證網(wǎng)絡(luò)資源被安全訪問的唯一方法。原因很簡介，NTFS權(quán)限不適用于FAT/FAT32卷。默認(rèn)的共享文件夾權(quán)限是讀取，并被指定

11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003當(dāng)在NTFS卷上為共享文件夾授予權(quán)限時，應(yīng)遵循如下規(guī)則：可以對共享文件夾中的文件和子文件夾應(yīng)用NTFS權(quán)限?？梢詫蚕砦募A中包含的每個文件和子文件夾應(yīng)用不同的NTFS權(quán)限。除共享文件夾權(quán)限外，用戶必須要有該共享文件夾包含的文件和子文件夾的NTFS權(quán)限，才能訪問那些文件和子文件夾。在NTFS卷上必須要求NTFS權(quán)限。默認(rèn)Everyone組具有“完全控制”權(quán)限。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003子任務(wù)3設(shè)置NTFS權(quán)限的繼承性1.權(quán)限的繼承性默認(rèn)情況下，授予父文件夾的任何權(quán)限也將應(yīng)用于包含在該文件夾中的子文件夾和文件。當(dāng)授予訪問某個文件夾的NTFS權(quán)限時，就將授予該文件夾的NTFS權(quán)限授予了該文件夾中任何現(xiàn)有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和新的子文件夾。如果想讓文件夾或者文件具有不同于它們父文件夾的權(quán)限，必須阻止權(quán)限的繼承性。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer20032.阻止權(quán)限的繼承性阻止權(quán)限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權(quán)限。為了阻止權(quán)限的繼承，要刪除繼承來的權(quán)限，只保留被明確授予的權(quán)限。被阻止從父文件夾繼承權(quán)限的子文件夾現(xiàn)在就成為了新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們的父文件夾的權(quán)限。若要禁止權(quán)限繼承，只需在“安全”選項卡中單擊“高級“按鈕，清除對“允許父項的繼承權(quán)限傳播到該對象和所有子對象。包括在此明確定義的項目（A）”復(fù)選框的選中即可。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003子任務(wù)4復(fù)制和移動文件和文件夾復(fù)制文件和文件夾1）當(dāng)在單個NTFS磁盤分區(qū)內(nèi)或在不同的NTFS磁盤分區(qū)之間復(fù)制文件夾或者文件時，文件夾或者文件的復(fù)件將繼承目的地文件夾的權(quán)限。2）當(dāng)將文件或者文件夾復(fù)制到非NTFS磁盤分區(qū)（例如文件分配表FAT格式的磁盤分區(qū)）時，因為非NTFS磁盤分區(qū)不支持NTFS權(quán)限，所以這些文件夾或文件就丟失了它們的NTFS權(quán)限。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer20032.移動文件和文件夾（1）當(dāng)在單個NTFS磁盤分區(qū)內(nèi)移動文件夾或者文件時，該文件夾或者文件保留它原來的權(quán)限。（2）當(dāng)在NTFS磁盤分區(qū)之間移動文件夾或者文件時，該文件夾或者文件將繼承目的地文件夾的權(quán)限。當(dāng)在NTFS磁盤分區(qū)之間移動文件夾或者文件時，實際是將文件夾或者文件復(fù)制到新的位置，然后從原來的位置刪除它。（3）當(dāng)將文件或者文件夾移動到非NTFS磁盤分區(qū)時，因為非NTFS磁盤分區(qū)不支持NTFS權(quán)限，所以這些文件夾和文件就丟失了它們的NTFS權(quán)限。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003子任務(wù)5利用NTFS權(quán)限管理數(shù)據(jù)1.授予標(biāo)準(zhǔn)NTFS權(quán)限授予標(biāo)準(zhǔn)NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限。（1）NTFS文件夾權(quán)限打開Windows資源管理器，右擊要設(shè)置權(quán)限的文件夾，如Network，在彈出的快捷菜單中選擇“屬性”選項，打開“Network屬性”對話框，切換到“安全”選項卡灰色陰影對勾的權(quán)限就是繼承的權(quán)限。默認(rèn)已經(jīng)有一些權(quán)限設(shè)置，這些設(shè)置是從父文件夾（或磁盤）所繼承的，要更改權(quán)限時，只需選中權(quán)限右方的“允許”或“拒絕”復(fù)選框即可。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer2003（2）NTFS文件權(quán)限

文件權(quán)限的設(shè)置與文件夾權(quán)限的設(shè)置類似。要想對NTFS文件指派權(quán)限，直接在文件上右擊，在彈出的快捷菜單上單擊“屬性”→“安全”選項卡，可為該文件設(shè)置相應(yīng)權(quán)限。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer20032.授予特殊訪問權(quán)限

標(biāo)準(zhǔn)的NTFS權(quán)限通常能提供足夠的能力，用以控制對用戶的資源的訪問，以保護(hù)用戶的資源。但是，如果需要更為特殊的訪問級別就可以使用NTFS的特殊訪問權(quán)限。在文件或文件夾屬性的“安全”選項卡中單擊“高級”按鈕，在彈出的“高級安全設(shè)置”對話框中單擊“編輯”按鈕，顯示如圖11-35所示的“權(quán)限項目”對話框，可以更精確地設(shè)置用戶的權(quán)限。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer200311.2.6任務(wù)6控制資源訪問權(quán)限圖11-35“權(quán)限項目”對話框項目11安全管理WindowsServer2003

有13項Special訪問權(quán)限，把他們組合在一起就構(gòu)成了標(biāo)準(zhǔn)的NTFS權(quán)限。例如，標(biāo)準(zhǔn)的“讀取”權(quán)限包含“讀取數(shù)據(jù)”、“讀取屬性”、“讀取權(quán)限”，以及“讀取擴展屬性”這些special訪問權(quán)限。其中兩個Special訪問權(quán)限，對于管理文件和文件夾的訪問來說特別有用。更改權(quán)限。如果為某用戶授予這一權(quán)限，該用戶就具有了針對文件或者文件夾修改權(quán)限的能力。獲得所有權(quán)。如果為某用戶授予這一權(quán)限，該用戶就具有了獲得文件和文件夾的所有權(quán)的能力。11.2.6任務(wù)6控制資源訪問權(quán)限項目11安全管理WindowsServer20031．加密文件系統(tǒng)概述

利用EFS，用戶可以按加密格式將他們的數(shù)據(jù)存儲在硬盤上。用戶加密某個文件后，該文件即一直以這種加密格式存儲在磁盤上。用戶可以利用EFS加密他們的文件，以保證它們的機密性。

EFS具有下面幾個關(guān)鍵的功能特征：它在后臺運行，對用戶和應(yīng)用程序來說是透明的。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer2003只有被授權(quán)的用戶才能訪問加密的文件。EFS自動解密該文件，以供使用，然后在保存該文件時再次對它進(jìn)行加密。管理員可以恢復(fù)被另一個用戶加密的數(shù)據(jù)。這樣，如果一時找不到對數(shù)據(jù)進(jìn)行加密的用戶，或者忘記了該用戶的私有密鑰，可以確保仍然能夠訪問這些數(shù)據(jù)。它提供內(nèi)置的數(shù)據(jù)恢復(fù)支持功能。WindowsServer2003的安全性基礎(chǔ)結(jié)構(gòu)強化了數(shù)據(jù)恢復(fù)密鑰的配置。只有在本地計算機利用一個或者多個恢復(fù)密鑰進(jìn)行配置的情況下，才能夠使用文件加密功能。當(dāng)不能訪問該域時，EFS即自動生成恢復(fù)密鑰，并將它們保存在注冊表中。它要求至少有一個恢復(fù)代理，用以恢復(fù)加密的文件?？梢灾付ǘ鄠€恢復(fù)代理，各個恢復(fù)代理都需要有EFS恢復(fù)代理證書。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer20032．加密文件或文件夾加密文件或文件夾的基本操作步驟如下:（1）右鍵單擊要加密的文件或文件夾，然后單擊“屬性”。（2）在“常規(guī)”選項卡上，單擊“高級”。選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框，然后單擊“確定”，如圖11-36所示。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer200311.2.7加密文件系統(tǒng)（EFS）圖11-36加密文件項目11安全管理WindowsServer2003（3）單擊“確定”按鈕。如果是加密文件夾，且有未加密的子文件夾存在，此時會出現(xiàn)如圖11-37所示的提示信息；如果是加密文件，且父文件夾未經(jīng)加密，則出現(xiàn)如圖11-38所示的警告信息。根據(jù)需要選擇單選按鈕即可。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer200311.2.7加密文件系統(tǒng)（EFS）圖11-37“確認(rèn)屬性更改”對話框項目11安全管理WindowsServer200311.2.7加密文件系統(tǒng)（EFS）圖11-38“加密警告”對話框項目11安全管理WindowsServer2003使用加密文件系統(tǒng)需要注意以下事項：為確保最高安全性，在創(chuàng)建敏感文件以前將其所在的文件夾加密。因為這樣所創(chuàng)建的文件將是加密文件，文件的數(shù)據(jù)就不會以純文本的格式寫到磁盤上。加密文件夾而不是加密單獨的文件，以便如果程序在編輯期間創(chuàng)建了臨時文件，這些臨時文件也會被加密。指定的故障恢復(fù)代理應(yīng)該將數(shù)據(jù)恢復(fù)證書和私鑰導(dǎo)出到磁盤中，并確保它們處于安全的位置，同時將數(shù)據(jù)恢復(fù)私鑰從系統(tǒng)中刪除。這樣，唯一可以為系統(tǒng)恢復(fù)數(shù)據(jù)的人就是可以物理訪問數(shù)據(jù)恢復(fù)私鑰的人。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer20033．備份密鑰

為了防止密鑰的丟失，可以備份用戶的密鑰。這樣，當(dāng)需要打開加密文件時，只要把備份的密鑰導(dǎo)入系統(tǒng)即可。步驟如下。（1）單擊“開始”，打開“運行”對話框，鍵入certmgr.MSC，然后按回車鍵確定（2）依次打開“當(dāng)前用戶”→“個人”→“證書”目錄樹，可以在右邊窗格中看到一個以當(dāng)前用戶名命名的證書（注意：需要運用EFS加密過文件才會出現(xiàn)該證書）。右擊該證書，在彈出的快捷菜單中選擇“所有任務(wù)”→“導(dǎo)出”命令，打開“證書導(dǎo)出向?qū)А睂υ捒颉?1.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer2003（3）單擊“下一步”按鈕，進(jìn)入“導(dǎo)出私鑰”對話框，如圖11-41所示。單擊“是，導(dǎo)出私鑰”單選按鈕。（4）單擊“下一步”按鈕，進(jìn)入“導(dǎo)出文件格式”對話框。單擊“個人信息交換-PKCS#12（.PFX）”。（5）單擊“下一步”按鈕。指定在導(dǎo)入證書時要用到的密碼，如果丟失，將無法打開加密的文件。（6）單擊“下一步”按鈕，指定要導(dǎo)出證書和私鑰的文件名和位置（7）單擊“下一步”按鈕繼續(xù)安裝。最后單擊“完成”按鈕，將完成證書導(dǎo)出向?qū)?。?）回到“證書控制臺”窗口，此時便可以看到在指定位置有后綴名為“pfx”的證書文件。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer2003

如果當(dāng)其他用戶或重裝系統(tǒng)后，需要使用以上加密文件，只需記住導(dǎo)出的證書文件及上述輸入的保護(hù)密鑰的密碼，雙擊該文件便會出現(xiàn)導(dǎo)入向?qū)?，即可進(jìn)入“證書導(dǎo)入向?qū)А睂υ捒颉Ｖ灰刺崾就瓿刹僮骶涂梢詫?dǎo)入證書，順利打開加密文件。11.2.7加密文件系統(tǒng)（EFS）項目11安全管理WindowsServer2003

WindowsServer2003有兩種文件壓縮方式：NTFS壓縮和壓縮文件夾壓縮。1.NTFS壓縮

NTFS壓縮是NTFS文件系統(tǒng)內(nèi)置的功能。NTFS文件系統(tǒng)的壓縮和解壓縮對于用戶而言是透明的。用戶對文件或文件夾應(yīng)用壓縮時，系統(tǒng)會在后臺自動對文件或文件夾進(jìn)行壓縮和解壓，用戶無需干涉。這項功能大大節(jié)約了磁盤空間。下面使用NTFS壓縮功能對D:\test文件夾壓縮，步驟如下。11.2.8壓縮文件項目11安全管理WindowsServer2003（1）在“資源管理器”中右擊D:\test文件夾選擇“屬性”→“常規(guī)”標(biāo)簽，再單擊“高級”按鈕，選中“壓縮內(nèi)容以便節(jié)省磁盤空間”復(fù)選框，如圖11-44所示，單擊“確定”按鈕。11.2.8壓縮文件項目11安全管理WindowsServer200311.2.8壓縮文件圖11-44“高級屬性”對話框項目11安全管理WindowsServer2003（2）選擇“將更改應(yīng)用于該文件夾、子文件夾和文件”單選按鈕。有兩個選項供選擇?！皟H將更改應(yīng)用于該文件夾”表示該文件夾下現(xiàn)有的文件和子文件夾不被壓縮，以后添加到該文件夾下的文件、子文件夾及其內(nèi)容將被壓縮?！皩⒏膽?yīng)用于該文件夾、子文件夾和文件”表示該文件夾下現(xiàn)有的文件、子文件夾和將來要添加到該文件夾下的文件、子文件夾及其內(nèi)容都將被壓縮。從文件夾屬性窗口中可以看到，現(xiàn)在的文件總?cè)萘咳詾?79MB，但實際占用空間已變小，只有369MB，如圖11-45所示。11.2.8壓縮文件項目11安全管理Wind