第5章_Windows操作系統(tǒng)的安全機制

1、2022-7-3Page 1 Windows Windows操作系統(tǒng)的安全性概述操作系統(tǒng)的安全性概述5.1 Active Directory Active Directory的結(jié)構(gòu)與功能的結(jié)構(gòu)與功能5.2 Active Directory Active Directory組策略組策略5.3 用戶和工作組的安全管理用戶和工作組的安全管理5.4 審審 核核 機機 制制5.52022-7-3Page 25.1.1 Windows操作系統(tǒng)概述操作系統(tǒng)概述 Microsoft公司從1983年開始研制Windows系統(tǒng)，最初的研制目標(biāo)是在MS-DOS的基礎(chǔ)上提供一個多任務(wù)的圖形用戶界面 。 第一個版本的W

2、indows 1.0于1985年問世，它是一個具有圖形用戶界面的系統(tǒng)軟件。1987年推出了Windows 2.0版，最明顯的變化是采用了相互疊蓋的多窗口界面形式 。1990年推出Windows 3.0是一個重要的里程碑,它以壓倒性的商業(yè)成功確定了Windows系統(tǒng)在PC領(lǐng)域的壟斷地位 ?，F(xiàn)今流行的 Windows 窗口界面的基本形式也是從Windows 3.0開始基本確定的 。2022-7-3Page 3 接下來是Windows 9X系列，包括Windows Me，Windows 9X的系統(tǒng)是一種16位/32位混合源代碼的準(zhǔn)32位操作系統(tǒng)，故不穩(wěn)定。 Windows 2000是發(fā)行于1999年

3、12月19日的32位圖形商業(yè)性質(zhì)的操作系統(tǒng)。Windows xp是微軟公司發(fā)布的一款視窗操作系統(tǒng)。它發(fā)行于2001年8月25日。Windows Server 2003是目前微軟推出的使用最廣泛的服務(wù)器操作系統(tǒng)，于2003年3月28日發(fā)布。 Windows Vista已在2006年11月30日發(fā)布。Windows 7是微軟的下一代操作系統(tǒng)，正式版已于2009年10月23日發(fā)布。據(jù)國外媒體報道，日前有消息稱Windows 8計劃的發(fā)布將是2012年下半年 。 2022-7-3Page 45.1.2 Windows XP的安全特性的安全特性1適合需要的文件系統(tǒng)Windows XP支持3種文件系統(tǒng)，即

4、NTFS、FAT16和FAT32。2保護系統(tǒng)免受病毒侵害系統(tǒng)中的軟件限制策略，可以避免計算機感染病毒和其他通過電子郵件和Internet傳播的惡意代碼。2022-7-3Page 53在連接Internet期間保證系統(tǒng)安全Internet協(xié)議安全Kerberos V5身份驗證協(xié)議Internet連接防火墻Cookie管理4使用智能卡增強安全性使用智能卡可存儲證書和私鑰并實現(xiàn)公鑰操作，比如身份驗證、數(shù)字簽名和密鑰交換，Windows xp允許在安裝了相應(yīng)硬件和軟件的計算機上充分利用智能卡的優(yōu)點。2022-7-3Page 61安全利益2數(shù)據(jù)安全性用戶登錄時的安全性使用VPN保護網(wǎng)絡(luò)數(shù)據(jù)存儲數(shù)據(jù)的保護

5、3企業(yè)間通信的安全性在目錄服務(wù)中創(chuàng)建專門為外部企業(yè)開設(shè)的用戶賬號建立域之間的信任關(guān)系公用密鑰體制2022-7-3Page 74企業(yè)和Internet的單點安全登錄5易用的管理性和高擴展性6其他的安全特性加密應(yīng)用程序編程接口設(shè)備驅(qū)動程序簽名2022-7-3Page 8u共享密鑰協(xié)議共享密鑰協(xié)議Windows NTLM身份驗證身份驗證 NTLM Windows NT LAN管理器管理器用于企業(yè)級網(wǎng)絡(luò)的用于企業(yè)級網(wǎng)絡(luò)的Kerberos V5u公鑰驗證協(xié)議公鑰驗證協(xié)議安全套接字層安全套接字層 (SSL) / 傳輸層安全傳輸層安全 (TLS)IP的安全性的安全性uActive Directory身份驗證

6、的多種方式身份驗證的多種方式2022-7-3Page 95.1.5 Windows 2000的網(wǎng)絡(luò)模式的網(wǎng)絡(luò)模式1工作組模式：是一種簡單的網(wǎng)絡(luò)模式，各個工作站的用戶通過加入一個用戶組共享資源。2域模式：在此模式中，用戶賬號數(shù)據(jù)庫和計算機策略是以共享方式存儲的。3安全限制：系統(tǒng)在共享級訪問控制和用戶級訪問控制方面是安全的，因為其有嚴(yán)格的登錄要求。2022-7-3Page 101Microsoft管理控制臺（MMC）：是指進行系統(tǒng)維護的各種管理工具工作的地方,通過它用戶可以創(chuàng)建、保存和打開用于管理硬件、軟件和Windows系統(tǒng)組件的工具。MMC 本身不執(zhí)行管理功能，但可以接納執(zhí)行各種系統(tǒng)功能的工具

7、，可在MMC中添加的插件包括管理工具、Active X 控制、鏈接到網(wǎng)頁、文件夾、控制臺任務(wù)板和任務(wù)。 用戶使用MMC有兩種方法，第一種是在用戶模式下使用現(xiàn)有的MMC控制臺管理系統(tǒng)，第二種是在作者模式下創(chuàng)建新控制臺和修改現(xiàn)有的MMC控制臺。 2022-7-3Page 11 Windows 2000可以創(chuàng)建一個或多個“控制臺”，這些控制臺內(nèi)可以包含一個或多個的管理單元。所有這些特性都能被遠程計算機使用，并允許管理員從同一網(wǎng)絡(luò)上的任何其他計算機上修復(fù)和配置其中的某臺計算機。“管理控制臺”和“管理單元”幫助用戶更容易地管理本地或遠程計算機。 2022-7-3Page 12MMC 控制臺窗口Windo

8、ws 2000的MMC控制臺窗口由兩個窗格組成，左窗格稱為控制臺目錄樹，右窗格則稱為結(jié)果窗格，如下圖所示的“組件服務(wù)”控制臺窗口。 控制臺目錄樹顯示給定控制臺中可用的項目，結(jié)果窗格則包含有關(guān)這些項目功能的信息。在控制臺目錄樹中，當(dāng)用戶單擊不同項目時，結(jié)果窗格中的信息將相應(yīng)改變，結(jié)果窗格可以顯示很多類型的信息，包括網(wǎng)頁、圖形、圖表、表格和列表等。 2022-7-3Page 132022-7-3Page 14添加/刪除管理單元為了便于統(tǒng)一管理和增強控制臺的功能，用戶可以向控制臺添加管理單元。但有時，某一項控制臺管理單元的功能可能不再為用戶所使用，這時用戶可以將它刪除。 步驟：A. 啟動MMC，在“

9、運行”菜單輸入mmc.exe，此時打開一個空白的MMC。B. 選擇“控制臺”“添加/刪除管理單元”,打開對話框，選擇獨立（或擴展）管理單元類型。2022-7-3Page 15C. 打開“管理單元列表”對話框，選定其中一個（例如：事件查看器）管理單元。D. 打開“選擇計算機”對話框，選擇事件查看器將監(jiān)視哪一臺計算機（可選擇遠程計算機），此處選擇本地計算機。E. 完成后可在“程序”“管理工具”查看到新建的管理單元。2022-7-3Page 16 Active Directory是一個與Windows 2000集成在一起的目錄服務(wù)。 Active Directory存儲了有關(guān)網(wǎng)絡(luò)對象的信息，例如用戶

10、、組、計算機、共享資源、打印機和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。 2022-7-3Page 175.2.1 Active Directory的功能和特的功能和特點點1高度的集成性2集成的安全性3自定義的用戶環(huán)境4Active Directory與域名系統(tǒng)（Domain Name System，DNS）高度集成5Active Directory可直接支持Lightweight Directory Access Protocol (LDAP)及Hypertext Transfer Protocol (HTTP)6Active Directory支持許多常用的標(biāo)準(zhǔn)名稱格式7

11、服務(wù)配置8支持目錄的應(yīng)用程序和軟件安裝2022-7-3Page 181名稱空間和命名環(huán)境2Active Directory中的對象和對象名稱3全局編錄4架構(gòu)5域6域目錄樹和目錄林7組織單位（Organizational Unit, OU）8組策略9站點2022-7-3Page 19 全局編錄是一臺存儲了森林中所有Active Directory對象的一個副本的域控制器。此外，全局編錄還存儲了每個對象最常用的一些可搜索的屬性。 全局編錄擔(dān)當(dāng)了以下目錄角色：n查找對象 n提供了根據(jù)用戶主名的身份驗證 n在多域環(huán)境下提供通用組的成員身份信息 2022-7-3Page 20域：是網(wǎng)絡(luò)對象的集合，這些對

12、象可以包括組織單元、用戶、組和計算機，它們都共享與安全性有關(guān)的公用目錄數(shù)據(jù)庫。它是Active Directory的基礎(chǔ)，是其邏輯體系結(jié)構(gòu)的核心單元。組策略：它提供了將安全性和配置設(shè)置組合為模板的能力，可將這種模板應(yīng)用于單獨的系統(tǒng)和域。2022-7-3Page 21n安全性通過登錄身份驗證以及目錄對象的訪問控制集成在Active Directory之中。n通過單點網(wǎng)絡(luò)登錄，管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位，經(jīng)過授權(quán)的網(wǎng)絡(luò)用戶可以訪問網(wǎng)絡(luò)任意位置的資源。 nActive Directory通過對象訪問控制列表以及用戶憑據(jù)保護其存儲的用戶帳號和組信息。 nActive Direct

13、ory允許管理員創(chuàng)建組帳號，管理員得以更加有效地管理系統(tǒng)的安全性。 2022-7-3Page 225.3.1 組策略簡介組策略簡介組策略（GP）提供進一步控制和集中管理用戶桌面環(huán)境的功能。組策略是一組配置設(shè)置，組策略管理員應(yīng)用于活動目錄存儲中的一個或多個對象，也可以控制域中用戶的工作環(huán)境。 組策略還授予用戶和組權(quán)力。 2022-7-3Page 23（1）保護用戶環(huán)境（2）增強用戶環(huán)境 n自動安裝應(yīng)用程序到用戶的“開始”菜單。n啟動應(yīng)用程序分發(fā)，方便用戶在網(wǎng)絡(luò)上找到并安裝相應(yīng)應(yīng)用程序。n安裝文件或快捷方式到網(wǎng)絡(luò)上相應(yīng)位置或用戶計算機上的特定文件夾。n當(dāng)用戶登錄或注銷、計算機啟動或關(guān)閉時自動執(zhí)行任

14、務(wù)或應(yīng)用程序。n重定向文件夾到網(wǎng)絡(luò)位置增強數(shù)據(jù)可靠性。2022-7-3Page 24n管理模板：包括基于注冊表的組策略，可以利用它來強制注冊表設(shè)置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應(yīng)用程序。 n遠程安裝服務(wù)（RIS）：當(dāng)運行用戶安裝向?qū)r，控制顯示給用戶的RIS安裝選項。 n文件夾重定向：可以重定向Windows Server 2000指定的文件夾從用戶配置文件缺省位置到另一個網(wǎng)絡(luò)位置，從而對這些文件夾集中管理 。 2022-7-3Page 255.3.2 組策略的創(chuàng)建組策略的創(chuàng)建1組策略配置設(shè)置組策略可以設(shè)置的策略如下。（1）軟件安裝（2）管理模板（3）腳本（4）安全性（5）文件夾重

15、定向2022-7-3Page 262組策略對象的構(gòu)成3創(chuàng)建組策略對象4創(chuàng)建未連接的組策略對象5組策略對象鏈接2022-7-3Page 271默認(rèn)權(quán)限2委派組策略的控制權(quán) 3Microsoft 管理控制臺的策略4使用安全組篩選組策略5使用組策略控制組策略6添加模板2022-7-3Page 281處理組策略2刷新組策略3解決沖突的組策略4組策略的繼承關(guān)系2022-7-3Page 29 組策略模板（GRT）是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夾下的文件夾結(jié)構(gòu)。 GPT是存儲管理模板、安全設(shè)置、腳本文件和軟件設(shè)置的組策略設(shè)置信息的容器。 2022-7-

16、3Page 30組策略包括：計算機配置、用戶配置其組策略包含以下內(nèi)容： 1）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的策略。 2）Windows設(shè)置：包括腳本、安全設(shè)置（用戶策略和本地策略）等相關(guān)的策略。 3）軟件設(shè)置：包括軟件安裝策略，可以進行應(yīng)用程序的指派與發(fā)布。2022-7-3Page 31圖1“組策略”選項卡2022-7-3Page 32（1）選擇“開始”“程序”“管理工具”“Active Directory用戶和計算機”選項，選擇“屬性”“組策略”命令。（2）選定“Default Domain Controllers Policy”，然后單擊“編輯”按鈕

17、。（3）打開如圖1所示的“組策略”窗口后，然后雙擊窗口右側(cè)的“在本地登錄”(圖2）。2022-7-3Page 33圖2 組策略窗口2022-7-3Page 34（4）出現(xiàn)如圖3所示的對話框時，單擊“添加”按鈕，選擇Domain Users組以便讓所有的域用戶都具備“在本地登錄”的權(quán)利。完成后單擊“確定”按鈕關(guān)閉此對話框。（5）返回“組策略”窗口時，請關(guān)閉此窗口。（6）返回“Domain Controllers屬性”對話框，單擊“確定”。 2022-7-3Page 35圖 3 有“在本地登錄”權(quán)限的用戶和組 2022-7-3Page 36（1）在服務(wù)器端，以administrator賬戶登錄。（

18、2）依次選擇“開始”“程序”“管理工具”“Active Directory用戶和計算”選項，從中選擇“新建”“用戶”命令添加一個一般的用戶賬戶。（3）完成后，注銷administrator，然后等待此組策略生效。（4）重新登錄時，請用剛建立的域用戶登錄，此時應(yīng)該可以正常登錄成功。返回本節(jié)返回本節(jié)2022-7-3Page 37（1）在“Active Directory中，選擇“屬性”“組策略”“新建”命令，添加一個GPO，命名為“xuexiao Policy”。（2）在如圖4所示的對話框中，單擊“編輯”。（3）在如圖5所示的“組策略”窗口中，選擇“用戶配置”“管理模板”“任務(wù)欄和開始菜單”選項。

19、2022-7-3Page 38（4）打開后選擇“用戶配置”“管理模板”“桌面”。（5）完成后，關(guān)閉“組策略”窗口。（6）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。2022-7-3Page 39圖4 添加新的組策略2022-7-3Page 40圖5 設(shè)置組策略 2022-7-3Page 415.4.1 Windows 2000的用戶賬戶的用戶賬戶1本機用戶賬戶：在本機中建立的用戶賬戶。2域用戶賬戶：使用網(wǎng)域用戶賬戶注冊的用戶可以使用網(wǎng)域上的資源，因此域用戶賬戶的權(quán)限比本機用戶賬戶來得廣。3默認(rèn)用戶賬戶AdministratorGuest2022-7-3Page 42 本地用戶賬號只能登錄到賬號所在計算機

20、并獲得對該資源的訪問。 當(dāng)創(chuàng)建本地用戶賬號后，Windows Server 2000將在該機的本地安全性數(shù)據(jù)庫中創(chuàng)建該賬號，本地賬號信息仍為本地，不會被復(fù)制到其他計算機或域控制器。 當(dāng)創(chuàng)建一個本地用戶賬號后，計算機使用本地安全性數(shù)據(jù)庫驗證本地用戶賬號，以便讓用戶登錄到該計算機。 2022-7-3Page 43 域用戶賬號可讓用戶登錄到域并獲得對網(wǎng)絡(luò)上其他地方資源的訪問。用戶在從域中的任何一臺計算機登錄到域中的時候必須提供一個合法的域用戶賬號，該賬號將被域的域控制器所驗證。 當(dāng)在一個域控制器上新建一個用戶賬號后，該用戶賬號被復(fù)制到域中所有其他計算機上，復(fù)制過程完成后，域樹中的所有域控制器就都可以

21、在登錄過程中對用戶進行身份驗證。2022-7-3Page 44 Windows Server 2000自動創(chuàng)建若干個用戶賬號，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號。內(nèi)置用戶賬號不允許被刪除。 最常用的兩個內(nèi)置賬號是Administrator和Guest。 使用內(nèi)置Administrator（管理員）賬號管理計算機和域配置 。 Guest（來客）賬號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的。 2022-7-3Page 451密碼策略密碼策略主要包括以下設(shè)置。（1）強制密碼歷史（2）密碼最長存留期（3）密碼最短存留期（4）密碼必須符合復(fù)雜性要求（5）使用可還原的加密存儲密碼2022-7-3Page 46圖7 設(shè)置密碼策略2022-7-3Page 47賬戶鎖定