第5章-Windows操作系統(tǒng)的安全機(jī)制

第5章Windows操作系統(tǒng)的安全機(jī)制

Windows操作系統(tǒng)的安全性概述5.1

ActiveDirectory的結(jié)構(gòu)與功能5.2

ActiveDirectory組策略5.3

用戶和工作組的安全管理5.4

審核機(jī)制5.52/28/202415.1Windows操作系統(tǒng)的安全性概述

5.1.1Windows操作系統(tǒng)概述

Microsoft公司從1983年開始研制Windows系統(tǒng)，最初的研制目標(biāo)是在MS-DOS的基礎(chǔ)上提供一個(gè)多任務(wù)的圖形用戶界面。第一個(gè)版本的Windows1.0于1985年問世，它是一個(gè)具有圖形用戶界面的系統(tǒng)軟件。1987年推出了Windows2.0版，最明顯的變化是采用了相互疊蓋的多窗口界面形式。1990年推出Windows3.0是一個(gè)重要的里程碑,它以壓倒性的商業(yè)成功確定了Windows系統(tǒng)在PC領(lǐng)域的壟斷地位?，F(xiàn)今流行的Windows窗口界面的基本形式也是從Windows3.0開始基本確定的。2/28/20242

接下來是Windows9X系列，包括WindowsMe，Windows9X的系統(tǒng)是一種16位/32位混合源代碼的準(zhǔn)32位操作系統(tǒng)，故不穩(wěn)定。

Windows2000是發(fā)行于1999年12月19日的32位圖形商業(yè)性質(zhì)的操作系統(tǒng)。Windowsxp是微軟公司發(fā)布的一款視窗操作系統(tǒng)。它發(fā)行于2001年8月25日。WindowsServer2003是目前微軟推出的使用最廣泛的服務(wù)器操作系統(tǒng)，于2003年3月28日發(fā)布。

WindowsVista已在2006年11月30日發(fā)布。Windows7是微軟的下一代操作系統(tǒng)，正式版已于2009年10月23日發(fā)布。據(jù)國(guó)外媒體報(bào)道，日前有消息稱Windows8計(jì)劃的發(fā)布將是2012年下半年。

2/28/202435.1.2WindowsXP的安全特性1．適合需要的文件系統(tǒng)WindowsXP支持3種文件系統(tǒng)，即NTFS、FAT16和FAT32。2．保護(hù)系統(tǒng)免受病毒侵害系統(tǒng)中的軟件限制策略，可以避免計(jì)算機(jī)感染病毒和其他通過電子郵件和Internet傳播的惡意代碼。2/28/202443．在連接Internet期間保證系統(tǒng)安全I(xiàn)nternet協(xié)議安全KerberosV5身份驗(yàn)證協(xié)議Internet連接防火墻Cookie管理4．使用智能卡增強(qiáng)安全性使用智能卡可存儲(chǔ)證書和私鑰并實(shí)現(xiàn)公鑰操作，比如身份驗(yàn)證、數(shù)字簽名和密鑰交換，Windowsxp允許在安裝了相應(yīng)硬件和軟件的計(jì)算機(jī)上充分利用智能卡的優(yōu)點(diǎn)。2/28/202455.1.3Windows2000的安全特性1．安全利益2．?dāng)?shù)據(jù)安全性用戶登錄時(shí)的安全性使用VPN保護(hù)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)的保護(hù)3．企業(yè)間通信的安全性在目錄服務(wù)中創(chuàng)建專門為外部企業(yè)開設(shè)的用戶賬號(hào)建立域之間的信任關(guān)系公用密鑰體制2/28/202464．企業(yè)和Internet的單點(diǎn)安全登錄5．易用的管理性和高擴(kuò)展性6．其他的安全特性加密應(yīng)用程序編程接口設(shè)備驅(qū)動(dòng)程序簽名2/28/20247一個(gè)安全模型共享密鑰協(xié)議WindowsNTLM身份驗(yàn)證

NTLM–WindowsNTLAN管理器用于企業(yè)級(jí)網(wǎng)絡(luò)的KerberosV5公鑰驗(yàn)證協(xié)議安全套接字層(SSL)/傳輸層安全(TLS)IP的安全性ActiveDirectory身份驗(yàn)證的多種方式5.1.4Windows2000的安全結(jié)構(gòu)2/28/202485.1.5Windows2000的網(wǎng)絡(luò)模式1．工作組模式：是一種簡(jiǎn)單的網(wǎng)絡(luò)模式，各個(gè)工作站的用戶通過加入一個(gè)用戶組共享資源。2．域模式：在此模式中，用戶賬號(hào)數(shù)據(jù)庫和計(jì)算機(jī)策略是以共享方式存儲(chǔ)的。3．安全限制：系統(tǒng)在共享級(jí)訪問控制和用戶級(jí)訪問控制方面是安全的，因?yàn)槠溆袊?yán)格的登錄要求。2/28/202495.1.6Windows2000安全管理工具

1．Microsoft管理控制臺(tái)（MMC）：是指進(jìn)行系統(tǒng)維護(hù)的各種管理工具工作的地方,通過它用戶可以創(chuàng)建、保存和打開用于管理硬件、軟件和Windows系統(tǒng)組件的工具。MMC本身不執(zhí)行管理功能，但可以接納執(zhí)行各種系統(tǒng)功能的工具，可在MMC中添加的插件包括管理工具、ActiveX控制、鏈接到網(wǎng)頁、文件夾、控制臺(tái)任務(wù)板和任務(wù)。用戶使用MMC有兩種方法，第一種是在用戶模式下使用現(xiàn)有的MMC控制臺(tái)管理系統(tǒng)，第二種是在作者模式下創(chuàng)建新控制臺(tái)和修改現(xiàn)有的MMC控制臺(tái)。

2/28/202410

Windows2000可以創(chuàng)建一個(gè)或多個(gè)“控制臺(tái)”，這些控制臺(tái)內(nèi)可以包含一個(gè)或多個(gè)的管理單元。所有這些特性都能被遠(yuǎn)程計(jì)算機(jī)使用，并允許管理員從同一網(wǎng)絡(luò)上的任何其他計(jì)算機(jī)上修復(fù)和配置其中的某臺(tái)計(jì)算機(jī)?！肮芾砜刂婆_(tái)”和“管理單元”幫助用戶更容易地管理本地或遠(yuǎn)程計(jì)算機(jī)。

2/28/202411MMC控制臺(tái)窗口

Windows2000的MMC控制臺(tái)窗口由兩個(gè)窗格組成，左窗格稱為控制臺(tái)目錄樹，右窗格則稱為結(jié)果窗格，如下圖所示的“組件服務(wù)”控制臺(tái)窗口。控制臺(tái)目錄樹顯示給定控制臺(tái)中可用的項(xiàng)目，結(jié)果窗格則包含有關(guān)這些項(xiàng)目功能的信息。在控制臺(tái)目錄樹中，當(dāng)用戶單擊不同項(xiàng)目時(shí)，結(jié)果窗格中的信息將相應(yīng)改變，結(jié)果窗格可以顯示很多類型的信息，包括網(wǎng)頁、圖形、圖表、表格和列表等。

2/28/2024122/28/202413添加/刪除管理單元為了便于統(tǒng)一管理和增強(qiáng)控制臺(tái)的功能，用戶可以向控制臺(tái)添加管理單元。但有時(shí)，某一項(xiàng)控制臺(tái)管理單元的功能可能不再為用戶所使用，這時(shí)用戶可以將它刪除。步驟：A.啟動(dòng)MMC，在“運(yùn)行”菜單輸入mmc.exe，此時(shí)打開一個(gè)空白的MMC。B.選擇“控制臺(tái)”—“添加/刪除管理單元”,打開對(duì)話框，選擇獨(dú)立（或擴(kuò)展）管理單元類型。2/28/202414C.打開“管理單元列表”對(duì)話框，選定其中一個(gè)（例如：事件查看器）管理單元。D.打開“選擇計(jì)算機(jī)”對(duì)話框，選擇事件查看器將監(jiān)視哪一臺(tái)計(jì)算機(jī)（可選擇遠(yuǎn)程計(jì)算機(jī)），此處選擇本地計(jì)算機(jī)。E.完成后可在“程序”—“管理工具”查看到新建的管理單元。2/28/2024155.2ActiveDirectory的結(jié)構(gòu)與功能

ActiveDirectory是一個(gè)與Windows2000集成在一起的目錄服務(wù)。

ActiveDirectory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，例如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。

2/28/2024165.2.1ActiveDirectory的功能和特點(diǎn)1．高度的集成性2．集成的安全性3．自定義的用戶環(huán)境4．ActiveDirectory與域名系統(tǒng)（DomainNameSystem，DNS）高度集成5．ActiveDirectory可直接支持LightweightDirectoryAccessProtocol(LDAP)及HypertextTransferProtocol(HTTP)6．ActiveDirectory支持許多常用的標(biāo)準(zhǔn)名稱格式7．服務(wù)配置8．支持目錄的應(yīng)用程序和軟件安裝2/28/2024175.2.2ActiveDirectory組件

1．名稱空間和命名環(huán)境2．ActiveDirectory中的對(duì)象和對(duì)象名稱3．全局編錄4．架構(gòu)5．域6．域目錄樹和目錄林7．組織單位（OrganizationalUnit,OU）8．組策略9．站點(diǎn)2/28/202418全局編錄

全局編錄是一臺(tái)存儲(chǔ)了森林中所有ActiveDirectory對(duì)象的一個(gè)副本的域控制器。此外，全局編錄還存儲(chǔ)了每個(gè)對(duì)象最常用的一些可搜索的屬性。

全局編錄擔(dān)當(dāng)了以下目錄角色：查找對(duì)象

提供了根據(jù)用戶主名的身份驗(yàn)證

在多域環(huán)境下提供通用組的成員身份信息

2/28/202419域：是網(wǎng)絡(luò)對(duì)象的集合，這些對(duì)象可以包括組織單元、用戶、組和計(jì)算機(jī)，它們都共享與安全性有關(guān)的公用目錄數(shù)據(jù)庫。它是ActiveDirectory的基礎(chǔ)，是其邏輯體系結(jié)構(gòu)的核心單元。組策略：它提供了將安全性和配置設(shè)置組合為模板的能力，可將這種模板應(yīng)用于單獨(dú)的系統(tǒng)和域。2/28/202420ActiveDirectory和安全性

安全性通過登錄身份驗(yàn)證以及目錄對(duì)象的訪問控制集成在ActiveDirectory之中。通過單點(diǎn)網(wǎng)絡(luò)登錄，管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位，經(jīng)過授權(quán)的網(wǎng)絡(luò)用戶可以訪問網(wǎng)絡(luò)任意位置的資源。ActiveDirectory通過對(duì)象訪問控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳號(hào)和組信息。ActiveDirectory允許管理員創(chuàng)建組帳號(hào)，管理員得以更加有效地管理系統(tǒng)的安全性。

2/28/2024215.3ActiveDirectory組策略5.3.1組策略簡(jiǎn)介組策略（GP）提供進(jìn)一步控制和集中管理用戶桌面環(huán)境的功能。組策略是一組配置設(shè)置，組策略管理員應(yīng)用于活動(dòng)目錄存儲(chǔ)中的一個(gè)或多個(gè)對(duì)象，也可以控制域中用戶的工作環(huán)境。

組策略還授予用戶和組權(quán)力。

2/28/202422組策略優(yōu)點(diǎn)

（1）保護(hù)用戶環(huán)境（2）增強(qiáng)用戶環(huán)境

自動(dòng)安裝應(yīng)用程序到用戶的“開始”菜單。啟動(dòng)應(yīng)用程序分發(fā)，方便用戶在網(wǎng)絡(luò)上找到并安裝相應(yīng)應(yīng)用程序。安裝文件或快捷方式到網(wǎng)絡(luò)上相應(yīng)位置或用戶計(jì)算機(jī)上的特定文件夾。當(dāng)用戶登錄或注銷、計(jì)算機(jī)啟動(dòng)或關(guān)閉時(shí)自動(dòng)執(zhí)行任務(wù)或應(yīng)用程序。重定向文件夾到網(wǎng)絡(luò)位置增強(qiáng)數(shù)據(jù)可靠性。2/28/202423安全設(shè)置：組策略管理員可以限制用戶訪問文件和文件夾。管理模板：包括基于注冊(cè)表的組策略，可以利用它來強(qiáng)制注冊(cè)表設(shè)置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應(yīng)用程序。

遠(yuǎn)程安裝服務(wù)（RIS）：當(dāng)運(yùn)行用戶安裝向?qū)r(shí)，控制顯示給用戶的RIS安裝選項(xiàng)。

文件夾重定向：可以重定向WindowsServer2000指定的文件夾從用戶配置文件缺省位置到另一個(gè)網(wǎng)絡(luò)位置，從而對(duì)這些文件夾集中管理

。

2/28/2024245.3.2組策略的創(chuàng)建1．組策略配置設(shè)置組策略可以設(shè)置的策略如下。（1）軟件安裝（2）管理模板（3）腳本（4）安全性（5）文件夾重定向2/28/2024252．組策略對(duì)象的構(gòu)成

3．創(chuàng)建組策略對(duì)象

4．創(chuàng)建未連接的組策略對(duì)象5．組策略對(duì)象鏈接2/28/2024265.3.3管理組策略

1．默認(rèn)權(quán)限2．委派組策略的控制權(quán)3．Microsoft管理控制臺(tái)的策略4．使用安全組篩選組策略5．使用組策略控制組策略6．添加模板2/28/2024275.3.4應(yīng)用組策略

1．處理組策略

2．刷新組策略3．解決沖突的組策略4．組策略的繼承關(guān)系2/28/202428組策略模板

組策略模板（GRT）是包含在域控制器的%systemroot%\SYSVOL\sysvol\<domain_name>\Policies文件夾下的文件夾結(jié)構(gòu)。

GPT是存儲(chǔ)管理模板、安全設(shè)置、腳本文件和軟件設(shè)置的組策略設(shè)置信息的容器。2/28/202429組策略包括：計(jì)算機(jī)配置、用戶配置其組策略包含以下內(nèi)容：

1）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的策略。

2）Windows設(shè)置：包括腳本、安全設(shè)置（用戶策略和本地策略）等相關(guān)的策略。

3）軟件設(shè)置：包括軟件安裝策略，可以進(jìn)行應(yīng)用程序的指派與發(fā)布。2/28/202430組策略對(duì)象圖1“組策略”選項(xiàng)卡2/28/202431更改組策略（1）選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算機(jī)”選項(xiàng)，選擇“屬性”→“組策略”命令。（2）選定“DefaultDomainControllersPolicy”，然后單擊“編輯”按鈕。（3）打開如圖1所示的“組策略”窗口后，然后雙擊窗口右側(cè)的“在本地登錄”(圖2）。2/28/202432圖2組策略窗口2/28/202433（4）出現(xiàn)如圖3所示的對(duì)話框時(shí)，單擊“添加”按鈕，選擇DomainUsers組以便讓所有的域用戶都具備“在本地登錄”的權(quán)利。完成后單擊“確定”按鈕關(guān)閉此對(duì)話框。（5）返回“組策略”窗口時(shí)，請(qǐng)關(guān)閉此窗口。（6）返回“DomainControllers屬性”對(duì)話框，單擊“確定”。

2/28/202434圖3有“在本地登錄”權(quán)限的用戶和組2/28/202435驗(yàn)證更改組策略的有效性（1）在服務(wù)器端，以administrator賬戶登錄。（2）依次選擇“開始”→“程序”→“管理工具”→“ActiveDirectory用戶和計(jì)算”選項(xiàng)，從中選擇“新建”→“用戶”命令添加一個(gè)一般的用戶賬戶。（3）完成后，注銷administrator，然后等待此組策略生效。（4）重新登錄時(shí)，請(qǐng)用剛建立的域用戶登錄，此時(shí)應(yīng)該可以正常登錄成功。返回本節(jié)2/28/202436設(shè)置管理模板策略（1）在“ActiveDirectory中，選擇“屬性”→“組策略”→“新建”命令，添加一個(gè)GPO，命名為“xuexiaoPolicy”。（2）在如圖4所示的對(duì)話框中，單擊“編輯”。（3）在如圖5所示的“組策略”窗口中，選擇“用戶配置”→“管理模板”→“任務(wù)欄和‘開始’菜單”選項(xiàng)。2/28/202437（4）打開后選擇“用戶配置”→“管理模板”→“桌面”。（5）完成后，關(guān)閉“組策略”窗口。（6）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。2/28/202438圖4添加新的組策略2/28/202439圖5設(shè)置組策略2/28/2024405.4用戶和工作組的安全管理

5.4.1Windows2000的用戶賬戶1．本機(jī)用戶賬戶：在本機(jī)中建立的用戶賬戶。2．域用戶賬戶：使用網(wǎng)域用戶賬戶注冊(cè)的用戶可以使用網(wǎng)域上的資源，因此域用戶賬戶的權(quán)限比本機(jī)用戶賬戶來得廣。3．默認(rèn)用戶賬戶AdministratorGuest2/28/202441本地用戶賬號(hào)（LocalUserAccount）

本地用戶賬號(hào)只能登錄到賬號(hào)所在計(jì)算機(jī)并獲得對(duì)該資源的訪問。當(dāng)創(chuàng)建本地用戶賬號(hào)后，WindowsServer2000將在該機(jī)的本地安全性數(shù)據(jù)庫中創(chuàng)建該賬號(hào)，本地賬號(hào)信息仍為本地，不會(huì)被復(fù)制到其他計(jì)算機(jī)或域控制器。當(dāng)創(chuàng)建一個(gè)本地用戶賬號(hào)后，計(jì)算機(jī)使用本地安全性數(shù)據(jù)庫驗(yàn)證本地用戶賬號(hào)，以便讓用戶登錄到該計(jì)算機(jī)。

2/28/202442域用戶賬號(hào)（DomainUserAccount）

域用戶賬號(hào)可讓用戶登錄到域并獲得對(duì)網(wǎng)絡(luò)上其他地方資源的訪問。用戶在從域中的任何一臺(tái)計(jì)算機(jī)登錄到域中的時(shí)候必須提供一個(gè)合法的域用戶賬號(hào)，該賬號(hào)將被域的域控制器所驗(yàn)證。當(dāng)在一個(gè)域控制器上新建一個(gè)用戶賬號(hào)后，該用戶賬號(hào)被復(fù)制到域中所有其他計(jì)算機(jī)上，復(fù)制過程完成后，域樹中的所有域控制器就都可以在登錄過程中對(duì)用戶進(jìn)行身份驗(yàn)證。2/28/202443內(nèi)置用戶賬號(hào)（Built-inUserAccount）

WindowsServer2000自動(dòng)創(chuàng)建若干個(gè)用戶賬號(hào)，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號(hào)。內(nèi)置用戶賬號(hào)不允許被刪除。

最常用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。使用內(nèi)置Administrator（管理員）賬號(hào)管理計(jì)算機(jī)和域配置。

Guest（來客）賬號(hào)一般被用于在域中或計(jì)算機(jī)中沒有固定賬號(hào)的用戶臨時(shí)訪問域或計(jì)算機(jī)時(shí)使用的。

2/28/2024445.4.2用戶賬戶安全設(shè)置

1．密碼策略密碼策略主要包括以下設(shè)置。（1）強(qiáng)制密碼歷史（2）密碼最長(zhǎng)存留期（3）密碼最短存留期（4）密碼必須符合復(fù)雜性要求（5）使用可還原的加密存儲(chǔ)密碼2/28/202445圖7設(shè)置密碼策略2/28/2024462．賬戶鎖定策略

賬戶鎖定策略包括以下設(shè)置。（1）復(fù)位賬戶鎖定計(jì)數(shù)器（2）賬戶鎖定時(shí)間（3）