網(wǎng)絡(luò)安全講義第4章

1、第4章 Windows2000系統(tǒng)平安4.1 操作系統(tǒng)平安根底4.2 windows2000賬號平安4.3 windows2000文件系統(tǒng)平安4.4 windows2000主機(jī)平安教學(xué)要求：掌握windows2000系統(tǒng)賬號平安、文件系統(tǒng)平安、主機(jī)平安知識，可根據(jù)需求運(yùn)用適宜的平安措施，保證操作系統(tǒng)的平安性。.4.1 操作系統(tǒng)平安根底一、平安管理目的1 防止非法操作：防止非法用戶或合法用戶的越權(quán)操作。2 數(shù)據(jù)維護(hù)：文件系統(tǒng)完好性檢查、數(shù)據(jù)加密3 管理用戶：合理運(yùn)用系統(tǒng)資源4 保證系統(tǒng)的完好性：系統(tǒng)備份5 系統(tǒng)維護(hù)：防止某用戶長期占用資源.4.1 操作系統(tǒng)平安根底二、平安管理措施操作系統(tǒng)的平安管

2、理措施主要由安裝系統(tǒng)補(bǔ)丁、登錄平安控制、用戶帳號及密碼平安，文件系統(tǒng)平安、主機(jī)平安管理等組成。其中心是普通用戶平安管理和特權(quán)級用戶平安管理。1 普通用戶平安管理：提高平安認(rèn)識與知識掌握2 特權(quán)用戶平安管理：特權(quán)用戶賬號和密碼的平安.4.2 windows2000賬號平安一、賬號種類域的創(chuàng)建1 域用戶賬號在域控制器上建立，是訪問域的獨(dú)一憑證。每個帳戶有一個獨(dú)一的SID平安標(biāo)識符。2 本地用戶賬號3 內(nèi)置的用戶帳號：administrator和guest.4.2 windows2000賬號平安二、帳號與密碼商定1 帳號命名商定：域用戶帳號的用戶登錄名在活動目錄AD中必需獨(dú)一；域用戶帳號的完全稱號在

3、創(chuàng)建該用戶帳號的域中必需獨(dú)一；本地用戶帳號在創(chuàng)建該帳號的計算機(jī)上必需獨(dú)一；假設(shè)用戶名有反復(fù)，應(yīng)在賬號上區(qū)別出來；暫時用戶名，應(yīng)容易識別2 密碼商定.4.2 windows2000賬號平安三、賬號和密碼平安設(shè)置1 域中用戶的“屬性2 “平安設(shè)置中的“密碼戰(zhàn)略。域控制器平安戰(zhàn)略；域平安戰(zhàn)略；本地平安戰(zhàn)略。本地平安戰(zhàn)略是本地戰(zhàn)略的一部分，在開機(jī)的時后就會被執(zhí)行，無論他能否處于任務(wù)組方式還是域方式；域平安戰(zhàn)略是域戰(zhàn)略的一部分，作用范圍是整個域，因此一臺計算機(jī)只需處于域方式，就會采用域戰(zhàn)略；域控制器戰(zhàn)略是在域控制器組上的戰(zhàn)略。.4.2 windows2000賬號平安一臺處于任務(wù)組方式的計算機(jī)只會執(zhí)行本地

4、平安戰(zhàn)略，而域控制器那么至少要執(zhí)行本地平安戰(zhàn)略，域平安戰(zhàn)略，域控制器平安戰(zhàn)略三個戰(zhàn)略，即處于域方式的計算機(jī)要執(zhí)行多條戰(zhàn)略。默許情況下，當(dāng)多條戰(zhàn)略之間不產(chǎn)生沖突的時候，多條戰(zhàn)略之間是和并執(zhí)行；但當(dāng)產(chǎn)生沖突的時候，后執(zhí)行的戰(zhàn)略會替代先執(zhí)行的戰(zhàn)略。而執(zhí)行順序為本地-域-域控制器，所以本地平安戰(zhàn)略和域平安戰(zhàn)略發(fā)生沖突，域平安戰(zhàn)略有效；域平安戰(zhàn)略和域控制器平安戰(zhàn)略發(fā)生沖突，域控制器平安戰(zhàn)略有效。.4.3 windows文件系統(tǒng)平安一、NTFS權(quán)限及運(yùn)用原那么1 NTFS權(quán)限：NTFS權(quán)限是基于NTFS分區(qū)實現(xiàn)的，可以實現(xiàn)高度的本地平安性。只需administrator組成員才干有效設(shè)置NTFS權(quán)限每個文

5、件和文件夾有一個ACLAccess Control List，記錄每一個用戶和組對該資源的訪問權(quán)限。2 NTFS權(quán)限的運(yùn)用原那么1權(quán)限最大原那么2文件權(quán)限超越文件夾權(quán)限原那么3回絕權(quán)限超越其他權(quán)限原那么3 NTFS權(quán)限設(shè)置操作文件文件夾的“屬性-平安.4.3 windows文件系統(tǒng)平安如：用戶Teacher同時屬于Group1、Group2、Manager個組，對于資源Data文件夾分別具有如下權(quán)限：組或用戶 權(quán)限Teacher 完全控制Group1 讀取Group2 寫入Manager 列出文件夾目錄那么：Teacher對Data文件夾的最終權(quán)限為完全控制假設(shè)Manager組對Data文件夾

6、的權(quán)限為“回絕，那么Teacher對Data文件夾的最終權(quán)限為：回絕假設(shè)用戶對Data文件夾下的一個文件File.doc被賦予“讀取權(quán)限，那么最終用戶對該文件的權(quán)限為：讀取.4.3 windows文件系統(tǒng)平安二、NTFS權(quán)限的承繼性1 在同一個NTFS分區(qū)內(nèi)挪動文件或文件夾：保管一切NTFS權(quán)限2 在不同NTFS分區(qū)之間挪動文件或文件夾：承繼目的分區(qū)中文件夾的權(quán)限3 在同一個NTFS分區(qū)內(nèi)復(fù)制文件或文件夾：承繼目的位置中文件夾的權(quán)限4在不同NTFS分區(qū)之間復(fù)制文件或文件夾：承繼目的位置中文件夾的權(quán)限.4.3 windows文件系統(tǒng)平安三、共享文件夾權(quán)限管理共享文件夾的權(quán)限：讀、修正和完全控制四

7、、文件的加密與解密Windows2000的NTFS文件系統(tǒng)中內(nèi)置了EFS加密文件系統(tǒng)。EFS結(jié)合運(yùn)用了DES和RSA加密算法，將私鑰和用戶的ID結(jié)合在一同。文件文件夾屬性-常規(guī)-高級.4.4 windows主機(jī)平安一、運(yùn)用平安戰(zhàn)略1 本地平安戰(zhàn)略在單個計算機(jī)上實現(xiàn)。包括帳戶戰(zhàn)略、本地戰(zhàn)略、公鑰戰(zhàn)略和IP平安戰(zhàn)略“管理工具-本地平安戰(zhàn)略2 組戰(zhàn)略在站點(diǎn)、組織單元或域的范圍內(nèi)實現(xiàn)。包括用戶配置戰(zhàn)略和計算機(jī)配置戰(zhàn)略。只能運(yùn)用在基于windows2000的域控制器的網(wǎng)絡(luò)中的計算機(jī)和用戶；不包括共享文件夾、打印機(jī)等?！肮芾砉ぞ?Active Directory用戶和計算機(jī)-域的“屬性-組戰(zhàn)略或運(yùn)轉(zhuǎn)：gp

8、edit.msc.4.4 windows主機(jī)平安多個戰(zhàn)略同時存在時，首先是本地戰(zhàn)略；其次是站點(diǎn)和域戰(zhàn)略；最后是組織單元組的戰(zhàn)略。戰(zhàn)略的有效值是多個戰(zhàn)略的并集，當(dāng)有沖突時，后面的替代前面的設(shè)置值。一條戰(zhàn)略又可以分為計算機(jī)戰(zhàn)略和用戶戰(zhàn)略，計算機(jī)戰(zhàn)略作用在計算機(jī)上，用戶戰(zhàn)略作用在用戶對象上，當(dāng)同一條戰(zhàn)略的計算機(jī)戰(zhàn)略和用戶戰(zhàn)略產(chǎn)生沖突的時候，以計算機(jī)戰(zhàn)略為準(zhǔn).4.4 windows主機(jī)平安3 運(yùn)用預(yù)定義平安模版預(yù)定義平安模版中包含了大多數(shù)的常用的平安設(shè)置，可經(jīng)過導(dǎo)入直接運(yùn)用。預(yù)定義平安模版有4種平安級別：1根本Basic：Basicdc,Basicsv,Basicwk2兼容Compatible:Compatwk3平安Secure：Securewk,Securedc4高度平安High：hisecws,hisecdc.4.4 windows主機(jī)平安預(yù)定義平安模版的運(yùn)用：在命令中鍵入MMC，翻開控制臺，“控制臺添加/刪除管理單元添加“平安模版，可對各模版進(jìn)展認(rèn)識“控制臺-“添加/刪除管理單元，“添加-“平安配置和分析，可對一臺數(shù)據(jù)庫進(jìn)展平安配置在各“平安設(shè)置時，都可采用“導(dǎo)入戰(zhàn)略.4.4