第6章WINDOWS,SEVER,2003系統(tǒng)安全配置

網(wǎng)絡(luò)安全與管理第6章WindowsServer2003系統(tǒng)安全配置知識(shí)目標(biāo)了解WindowsServer2003的安全模型、用戶(hù)驗(yàn)證的方式和訪(fǎng)問(wèn)控制的原理了解組策略的內(nèi)容和設(shè)置方法了解如何進(jìn)行組管理了解審核的內(nèi)容、審核策略的設(shè)置方法技能目標(biāo)了解活動(dòng)目錄的功能、邏輯結(jié)構(gòu)。掌握活動(dòng)目錄的設(shè)置方法了解用戶(hù)賬戶(hù)的分類(lèi)。掌握用戶(hù)賬戶(hù)的安全設(shè)置方法6.1WindowsServer2003安全概述WindowsServer2003的安全特性主要體現(xiàn)在用戶(hù)驗(yàn)證（userauthentication，UA）和訪(fǎng)問(wèn)控制（accesscontrol，AC）兩方面。為保證系統(tǒng)管理員能夠方便有效地管理這些特性，WindowsServer2003利用了ActiveDirectory（活動(dòng)目錄）的功能。6.1.1.用戶(hù)驗(yàn)證WindowsServer2003安全模型包括用戶(hù)驗(yàn)證的概念，它授予用戶(hù)能夠登錄到網(wǎng)絡(luò)并訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的能力。在用戶(hù)驗(yàn)證模型中，安全系統(tǒng)提供了交互式登錄和網(wǎng)絡(luò)驗(yàn)證兩類(lèi)驗(yàn)證。1.交互式登錄交互式登錄在本地計(jì)算機(jī)或ActiveDirectory賬戶(hù)中驗(yàn)證用戶(hù)的身份。1）本地登錄過(guò)程2）域登錄過(guò)程2.網(wǎng)絡(luò)驗(yàn)證6.1.2.訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制是指對(duì)主體訪(fǎng)問(wèn)客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域（出入控制）和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)（存取控制）的過(guò)程。訪(fǎng)問(wèn)控制包含3個(gè)要素：即主體、客體和保護(hù)規(guī)則主體是指發(fā)出訪(fǎng)問(wèn)操作、存取要求的主動(dòng)方，是提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，通常為進(jìn)程、程序或用戶(hù)?？腕w是接受其他實(shí)體訪(fǎng)問(wèn)的被動(dòng)實(shí)體，通?？梢允潜徽{(diào)用的程序、進(jìn)程，要存取的數(shù)據(jù)、信息，要訪(fǎng)問(wèn)的文件、系統(tǒng)或各種網(wǎng)絡(luò)設(shè)備、設(shè)施等資源。保護(hù)規(guī)則是主體對(duì)客體的操作行為集和約束條件集，指主體與客體之間可能的相互作用途徑，用以確定一個(gè)主體是否對(duì)客體擁有訪(fǎng)問(wèn)能力。1.訪(fǎng)問(wèn)控制列表訪(fǎng)問(wèn)控制列表（accesscontrollist，ACL）是從客體角度進(jìn)行設(shè)置的、面向客體的訪(fǎng)問(wèn)控制。每個(gè)客體有一個(gè)訪(fǎng)問(wèn)控制列表，用來(lái)說(shuō)明有權(quán)訪(fǎng)問(wèn)該客體的所有主體及其訪(fǎng)問(wèn)權(quán)限。如下圖所示，作為客體的文件1、文件2和文件3，分別列出了主體John、Alice、Bob對(duì)它們的訪(fǎng)問(wèn)權(quán)限。訪(fǎng)問(wèn)控制列表舉例2.訪(fǎng)問(wèn)控制模型Windows中的訪(fǎng)問(wèn)控制模型是Windows安全性的基礎(chǔ)構(gòu)件。訪(fǎng)問(wèn)控制模型有訪(fǎng)問(wèn)令牌和安全描述符兩個(gè)主要的組成部分，它們分別為訪(fǎng)問(wèn)者和被訪(fǎng)問(wèn)者所擁有。通過(guò)訪(fǎng)問(wèn)令牌和安全描述符的內(nèi)容，Windows可以確定持有令牌的訪(fǎng)問(wèn)者能否訪(fǎng)問(wèn)持有安全描述符的對(duì)象。訪(fǎng)問(wèn)令牌是與特定的Windows賬戶(hù)關(guān)聯(lián)的。安全描述符是與被訪(fǎng)問(wèn)對(duì)象關(guān)聯(lián)的，它含有這個(gè)對(duì)象所有者的SID，以及一個(gè)訪(fǎng)問(wèn)控制列表，訪(fǎng)問(wèn)控制列表又包括了自主訪(fǎng)問(wèn)控制列表（discretionaryaccesscontrollist，DACL）和系統(tǒng)訪(fǎng)問(wèn)控制列表（systemaccesscontrollist，SACL）。訪(fǎng)問(wèn)令牌訪(fǎng)問(wèn)令牌中的主要內(nèi)容如下：當(dāng)前登錄賬戶(hù)的SID，也就是與令牌關(guān)聯(lián)的賬戶(hù)的SID。當(dāng)前登錄賬戶(hù)所屬的賬戶(hù)組的SID列表。受限制的SID列表。當(dāng)前登錄賬戶(hù)以及它所屬賬戶(hù)組的權(quán)限列表。安全標(biāo)識(shí)符SIDWindows中每個(gè)賬戶(hù)和賬戶(hù)組都有唯一的一個(gè)安全標(biāo)識(shí)符SID，賬戶(hù)或者賬戶(hù)組在Windows內(nèi)部是使用SID來(lái)標(biāo)識(shí)的。安全描述符中ACE的具體內(nèi)容包括：特定賬戶(hù)或者賬戶(hù)組的SID。一個(gè)訪(fǎng)問(wèn)掩碼，該掩碼指定了具體的訪(fǎng)問(wèn)權(quán)限，也就是可以對(duì)該對(duì)象執(zhí)行的操作。一個(gè)位標(biāo)記，指示了這個(gè)ACE的類(lèi)型。一組位標(biāo)記，指示了安全描述符所屬對(duì)象的子對(duì)象是否繼承這個(gè)ACE。所有的可訪(fǎng)問(wèn)對(duì)象都有3種ACE，分別是拒絕訪(fǎng)問(wèn)ACE、允許訪(fǎng)問(wèn)ACE、系統(tǒng)審核ACE。6.2活動(dòng)目錄的功能、邏輯結(jié)構(gòu)和設(shè)置6.2.1活動(dòng)目錄的功能活動(dòng)目錄的功能可以簡(jiǎn)單概括為以下幾個(gè)方面。1.目錄服務(wù)功能2.集中式管理3.DNS與活動(dòng)目錄名稱(chēng)空間的集成1.目錄服務(wù)功能活動(dòng)目錄提供了一系列集中組織、管理和訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的目錄服務(wù)功能。活動(dòng)目錄使網(wǎng)絡(luò)拓?fù)浜蛥f(xié)議對(duì)用戶(hù)變得透明，從而使網(wǎng)絡(luò)上的用戶(hù)可以訪(fǎng)問(wèn)任何資源（如打印機(jī)）而無(wú)須知道該資源的位置以及它是如何連接到網(wǎng)絡(luò)的?；顒?dòng)目錄被劃分成區(qū)域進(jìn)行管理，這使其可以存儲(chǔ)大量的對(duì)象。基于這種結(jié)構(gòu)，活動(dòng)目錄可以隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大而進(jìn)行擴(kuò)展。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，目錄（又稱(chēng)數(shù)據(jù)存儲(chǔ)區(qū)）是存儲(chǔ)網(wǎng)絡(luò)對(duì)象信息的分層結(jié)構(gòu)活動(dòng)目錄作為增強(qiáng)性目錄服務(wù)的功能活動(dòng)目錄提供了一種組織方式并簡(jiǎn)化了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中資源的訪(fǎng)問(wèn)。作為一種增強(qiáng)性目錄服務(wù)，它具有下列功能：數(shù)據(jù)存儲(chǔ)，也稱(chēng)為目錄，它存儲(chǔ)著與活動(dòng)目錄對(duì)象有關(guān)的信息。活動(dòng)目錄包含目錄中每個(gè)對(duì)象信息的全局編錄。查詢(xún)和索引機(jī)制的建立，可以使網(wǎng)絡(luò)用戶(hù)或應(yīng)用程序發(fā)布并查找這些對(duì)象及其屬性。通過(guò)網(wǎng)絡(luò)分發(fā)目錄數(shù)據(jù)的復(fù)制服務(wù)。與網(wǎng)絡(luò)安全登錄過(guò)程的安全子系統(tǒng)的集成，以及對(duì)目錄數(shù)據(jù)查詢(xún)和數(shù)據(jù)修改的訪(fǎng)問(wèn)控制。提供安全策略的存儲(chǔ)和應(yīng)用范圍，支持組策略來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)用戶(hù)和計(jì)算機(jī)的集中配置和管理。2.集中式管理運(yùn)行WindowsServer2003的服務(wù)器可以將系統(tǒng)配置信息、應(yīng)用程序信息和用戶(hù)配置文件的位置信息存儲(chǔ)在活動(dòng)目錄中。當(dāng)與組策略結(jié)合使用時(shí)，活動(dòng)目錄使管理員能夠從網(wǎng)絡(luò)的核心位置使用統(tǒng)一的管理界面對(duì)分布于各處的計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序進(jìn)行管理?；顒?dòng)目錄還可以集中管理對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)，并允許用戶(hù)只登錄一次就能訪(fǎng)問(wèn)活動(dòng)目錄中的所有資源。3.DNS與活動(dòng)目錄名稱(chēng)空間的集成DNS與活動(dòng)目錄名稱(chēng)空間的集成是WindowsServer2003操作系統(tǒng)的核心功能。DNS域和活動(dòng)目錄域?qū)Σ煌拿Q(chēng)空間使用相同的域名。因?yàn)閮蓚€(gè)名稱(chēng)空間共享一個(gè)相同的域結(jié)構(gòu)。每個(gè)名稱(chēng)空間保存了不同的數(shù)據(jù)，因而管理不同的對(duì)象。DNS保存域以及資源記錄，活動(dòng)目錄保存域和域?qū)ο?。DNS的域名以DNS分層命名結(jié)構(gòu)為基礎(chǔ)，這是一個(gè)倒掛的樹(shù)型結(jié)構(gòu)，最上方是一個(gè)根域，下面是頂級(jí)域和子域（枝和葉）。DNS域的每臺(tái)計(jì)算機(jī)都可依據(jù)其完全合格的域名（fullyqualifieddomainname，F(xiàn)QDN）來(lái)唯一識(shí)別。6.2.2活動(dòng)目錄的邏輯結(jié)構(gòu)活動(dòng)目錄的邏輯層決定了如何查看數(shù)據(jù)存儲(chǔ)中保存的信息，以及信息的訪(fǎng)問(wèn)控制設(shè)置。邏輯層是通過(guò)定義用于訪(fǎng)問(wèn)保存在目錄中的資源所用的名稱(chēng)空間和命名結(jié)構(gòu)方式實(shí)現(xiàn)的。這種設(shè)計(jì)可以提供一致的訪(fǎng)問(wèn)目錄中存儲(chǔ)信息的方法，而忽略所訪(fǎng)問(wèn)信息的類(lèi)型。為了更好地理解活動(dòng)目錄的邏輯結(jié)構(gòu)，首先需要理解下列內(nèi)容。1.活動(dòng)目錄對(duì)象

WindowsServer2003域內(nèi)的資源以對(duì)象的形式存在，如用戶(hù)、計(jì)算機(jī)、打印機(jī)、應(yīng)用程序等都是對(duì)象，一個(gè)對(duì)象是通過(guò)“屬性”來(lái)描述其特征的，即對(duì)象本身是一些“屬性”的集合。假設(shè)要為用戶(hù)“張三”建立一個(gè)賬戶(hù)，則必須新增一個(gè)對(duì)象類(lèi)為“用戶(hù)”的對(duì)象（也就是用戶(hù)賬戶(hù)）然后在這個(gè)用戶(hù)賬戶(hù)內(nèi)輸入“張三”的姓、名、電話(huà)號(hào)碼、電子郵件、地址等數(shù)據(jù)，這其中的用戶(hù)賬戶(hù)就是對(duì)象，而姓、名、電話(huà)號(hào)碼等數(shù)據(jù)就是該對(duì)象的屬性，如下表所示。對(duì)象屬性對(duì)象屬性用戶(hù)（user）姓名電話(huà)號(hào)碼電子郵件…容器與組織單元用于保存其他對(duì)象的對(duì)象叫做容器對(duì)象。數(shù)據(jù)存儲(chǔ)本身就是一種容器，其中包含了其他容器和對(duì)象。不能包含其他對(duì)象的對(duì)象叫做葉對(duì)象，另外目錄中創(chuàng)建的每個(gè)對(duì)象都有特定的類(lèi)型。容器與對(duì)象相似，有自己的名稱(chēng)，也是一些屬性的集合。容器內(nèi)可以包含其他的對(duì)象，如包含“用戶(hù)”與“計(jì)算機(jī)”等對(duì)象，也可以包含其他的容器。而組織單元（organizationunits，OU）是活動(dòng)目錄中一個(gè)比較特殊的容器，除了可以包含其他對(duì)象和OU之外，還有組策略的功能。2.域、樹(shù)和林在目錄中，對(duì)象是通過(guò)一種叫做分層樹(shù)結(jié)構(gòu)的目錄樹(shù)進(jìn)行組織的。這種分層結(jié)構(gòu)源自架構(gòu)，可用于定義保存在目錄中的對(duì)象之間的父子關(guān)系。1）域由對(duì)象組成的可進(jìn)行集中管理的邏輯分組叫做域。在目錄樹(shù)中，域本身也是一個(gè)對(duì)象，只需要?jiǎng)?chuàng)建一個(gè)域，就可包含所有希望集中管理的資源。2）樹(shù)域可以用于表示對(duì)象的層次結(jié)構(gòu)，并表示這些對(duì)象之間的父子關(guān)系。因此，域樹(shù)實(shí)際上是父域和子域之間的關(guān)系。位于域樹(shù)最頂層的域叫做根域，在活動(dòng)目錄的域樹(shù)中，根域是需要被第一個(gè)創(chuàng)建的域。域樹(shù)內(nèi)的所有域共享一個(gè)活動(dòng)目錄，即這個(gè)域樹(shù)只有一個(gè)活動(dòng)目錄。這個(gè)活動(dòng)目錄內(nèi)的數(shù)據(jù)分散地存儲(chǔ)在各個(gè)域內(nèi)，且每一個(gè)域內(nèi)只存儲(chǔ)該域內(nèi)的數(shù)據(jù)，如該域內(nèi)的用戶(hù)賬戶(hù)、計(jì)算機(jī)賬戶(hù)等。WindowsServer2003將存儲(chǔ)在各個(gè)域內(nèi)的對(duì)象總稱(chēng)為活動(dòng)目錄。域樹(shù)3）林若一個(gè)網(wǎng)絡(luò)內(nèi)含多個(gè)域樹(shù)，則可以將這些域樹(shù)組合成為一個(gè)“林”，即林由一個(gè)或數(shù)個(gè)域樹(shù)所組成，且每一個(gè)域樹(shù)都有自己唯一的命名空間。如下圖所示。在建立林時(shí)，會(huì)自動(dòng)建立根域之間的具有雙向傳遞性的信任關(guān)系。由于這種雙向信任關(guān)系具備傳遞性，因此每一個(gè)域樹(shù)中的所有域內(nèi)的用戶(hù)，只要擁有適當(dāng)?shù)臋?quán)限就可以訪(fǎng)問(wèn)其他任何一個(gè)域樹(shù)內(nèi)的資源，也可以登錄其他任何一個(gè)域樹(shù)內(nèi)的計(jì)算機(jī)。林3.活動(dòng)目錄的信任關(guān)系兩個(gè)域之間必須建立了“信任關(guān)系”之后，才可以訪(fǎng)問(wèn)對(duì)方域內(nèi)的資源。任何一個(gè)WindowsServer2003域被加到域樹(shù)后，這個(gè)域會(huì)自動(dòng)信任其父域，同時(shí)父域也會(huì)自動(dòng)地信任這個(gè)子域，而且這些信任關(guān)系具備“雙向傳遞性”。這個(gè)信任的功能是通過(guò)Kerberos安全協(xié)議來(lái)完成的，因此也被稱(chēng)為Kerberos信任。在活動(dòng)目錄中，同一個(gè)林中的所有成員域之間自動(dòng)建立雙向可傳遞信任關(guān)系。信任會(huì)將同一個(gè)域樹(shù)下的父域和子域，以及域樹(shù)的根連接在一起。域的信任關(guān)系6.2.3活動(dòng)目錄的設(shè)置通過(guò)對(duì)活動(dòng)目錄的設(shè)置可以提高系統(tǒng)的安全性。信息的安全性與活動(dòng)目錄集成，用戶(hù)授權(quán)管理和目錄訪(fǎng)問(wèn)控制已經(jīng)整合在活動(dòng)目錄當(dāng)中了。通話(huà)設(shè)置活動(dòng)目錄還可以提供存儲(chǔ)和應(yīng)用程序作用域的安全策略，提供安全策略的存儲(chǔ)和應(yīng)用范圍。1.建立域前的準(zhǔn)備工作在建立域前，要確定以下幾個(gè)準(zhǔn)備工作是否已經(jīng)完成。1）確定域名2）配置DNS服務(wù)器3）保留足夠的硬盤(pán)空間4）必須有一個(gè)NTFS硬盤(pán)分區(qū)1）確定域名由于WindowsServer2003的域名是采用DNS的架構(gòu)與命名方式，因此必須先為WindowsServer2003域取一個(gè)符合DNS格式的域名，如。雖然域名可以在域建立后改變，但其步驟比較繁瑣，因此最好事先考慮清楚，再?zèng)Q定域名。2）配置DNS服務(wù)器在WindowsServer2003域中，域控制器會(huì)將自己登記到DNS服務(wù)器內(nèi)，以便讓其他計(jì)算機(jī)可以通過(guò)DNS服務(wù)器來(lái)尋找這臺(tái)域控制器，因此網(wǎng)絡(luò)中必須要有一臺(tái)DNS服務(wù)器，而這臺(tái)DNS服務(wù)器必須支持本地服務(wù)資源記錄，最好同時(shí)支持動(dòng)態(tài)更新、增量區(qū)域傳送和快速區(qū)域傳送等功能。3）保留足夠的硬盤(pán)空間實(shí)際需要多少磁盤(pán)空間，需要根據(jù)活動(dòng)目錄數(shù)據(jù)庫(kù)的對(duì)象數(shù)量而定，但至少要保留250MB的空間來(lái)存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫(kù)，另外還需要保留50MB的空間來(lái)存儲(chǔ)日志文件，日志文件可用來(lái)協(xié)助恢復(fù)活動(dòng)目錄。如果這臺(tái)域控制器同時(shí)還扮演著“全局編錄”的角色，則需要保留更多的可用空間。如果計(jì)算機(jī)內(nèi)有多個(gè)硬盤(pán)，建議分別將活動(dòng)目錄數(shù)據(jù)庫(kù)與日志文件存儲(chǔ)到不同的硬盤(pán)內(nèi)。一方面，兩個(gè)硬盤(pán)分別運(yùn)作可以提高工作的效率；另一方面，分開(kāi)存儲(chǔ)可以避免兩份數(shù)據(jù)同時(shí)發(fā)生問(wèn)題，提高恢復(fù)活動(dòng)目錄的能力。建議用NTFS硬盤(pán)分區(qū)格式來(lái)存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫(kù)與日志文件。4）必須有一個(gè)NTFS硬盤(pán)分區(qū)域控制器需要一個(gè)能夠提供安全設(shè)置的硬盤(pán)分區(qū)來(lái)存儲(chǔ)SYSVOL文件夾，而只有NTFS硬盤(pán)分區(qū)才具備安全設(shè)置的功能。2.建立域控制器建立如下圖所示的根域?yàn)榈挠驑?shù)及第一臺(tái)域控制器S，在建立網(wǎng)絡(luò)中的第一臺(tái)域控制器（如S）時(shí)會(huì)同時(shí)建立此域控制器所隸屬的域（如）以及該域所隸屬的域樹(shù)，域就是該域樹(shù)的根域。由于這是網(wǎng)絡(luò)中第一個(gè)域樹(shù)，因此，將同時(shí)建立一個(gè)新林，這個(gè)林的名稱(chēng)就是第一個(gè)域樹(shù)的根域的域名，也就是。域就是整個(gè)林的“林根域”。3.ActiveDirectory用戶(hù)和計(jì)算機(jī)1）創(chuàng)建用戶(hù)2）計(jì)算機(jī)加入域3）將共享文件夾公布到ActiveDirectory6.3組策略6.3.1組策略簡(jiǎn)介組策略是一種在用戶(hù)或計(jì)算機(jī)集合上強(qiáng)制使用一些配置的方法，使用組策略可以給同組的計(jì)算機(jī)或者用戶(hù)強(qiáng)加一套統(tǒng)一的標(biāo)準(zhǔn)，包括管理模板設(shè)置、Windows設(shè)置、軟件設(shè)置。組策略配置包含在一個(gè)組策略對(duì)象（grouppolicyobject，GPO）中，該對(duì)象又與選定的活動(dòng)目錄服務(wù)容器（如站點(diǎn)、域、組織單元OU等）相關(guān)聯(lián)，不會(huì)影響沒(méi)有加入域的計(jì)算機(jī)和用戶(hù)。6.3.2組策略的應(yīng)用組策略分為本地組策略和活動(dòng)目錄的組策略，使用組策略編輯器可以對(duì)組策略進(jìn)行編輯、維護(hù)。1.本地組策略的應(yīng)用本地組策略是由本地組策略編輯器進(jìn)行維護(hù)的。本地組策略編輯器是一個(gè)Microsoft管理控制臺(tái)（MMC）管理單元，它提供一個(gè)單一用戶(hù)界面，通過(guò)該界面可管理本地組策略對(duì)象的所有設(shè)置。有兩種方法可以打開(kāi)本地組策略編輯器：一是通過(guò)gpedit.msc命令進(jìn)入組策略編輯窗口；二是打開(kāi)控制臺(tái)，通過(guò)將組策略添加到控制臺(tái)窗口來(lái)打開(kāi)組策略編輯窗口。2.活動(dòng)目錄組策略的應(yīng)用活動(dòng)目錄組策略中的策略選項(xiàng)的設(shè)置和本地組策略一樣?；顒?dòng)目錄中的組策略可以通過(guò)創(chuàng)建一個(gè)組策略對(duì)象進(jìn)行設(shè)置，也可以連接一個(gè)組策略對(duì)象進(jìn)行編輯設(shè)置?；顒?dòng)目錄組策略是通過(guò)組策略對(duì)象（GPO）進(jìn)行設(shè)置的，GPO中包含用于特定用戶(hù)或計(jì)算機(jī)的策略信息和配置，可以將其看成是組策略工具所生成的文檔。6.3.3組策略的管理通常，組策略將從域內(nèi)的父容器向下傳遞到子容器（子域不能從父域繼承組策略）。如果為高級(jí)父容器指派特定的組策略設(shè)置，該組策略設(shè)置適用于父容器下面的所有容器，其中包括每個(gè)容器中的用戶(hù)和計(jì)算機(jī)對(duì)象。通過(guò)阻止繼承將不允許子容器從所有父容器處繼承所有的GPO設(shè)置。通過(guò)指定所選GPO應(yīng)用于安全組的方式，優(yōu)化GPO對(duì)用戶(hù)或計(jì)算機(jī)產(chǎn)生的影響。1.啟用阻止繼承和禁止替代啟用阻止繼承將不允許子容器從所有父容器處繼承所有的GPO設(shè)置，阻止策略繼承選項(xiàng)僅在站點(diǎn)、域和OU上設(shè)置，而不在各個(gè)GPO上設(shè)置。這些設(shè)置提供對(duì)默認(rèn)繼承規(guī)則的完全控制，而禁止替代選項(xiàng)則是在GPO上進(jìn)行設(shè)置。如果GPO啟用“禁止替代”功能，則它不允許子容器阻止這些GPO。2.安全組篩選可以通過(guò)指定所選GPO應(yīng)用于安全組的方式，優(yōu)化GPO對(duì)用戶(hù)或計(jì)算機(jī)產(chǎn)生的影響。使用GPO屬性對(duì)話(huà)框上的“安全”選項(xiàng)卡來(lái)設(shè)置DACL。安全組篩選有兩個(gè)功能：第一個(gè)功能是修改受特定GPO影響的組；第二個(gè)功能是委派可修改GPO內(nèi)容的管理員組，限制“完全控制”權(quán)限，僅將其授予一些有限的管理員。默認(rèn)情況下，GPO影響鏈接的站點(diǎn)、域或OU中包含的所有用戶(hù)和計(jì)算機(jī)。通過(guò)使用自主訪(fǎng)問(wèn)控制列表（DACL），可以修改GPO的影響以排除或包含任何安全組的成員。6.4用戶(hù)和工作組的安全管理6.4.1WindowsServer2003的用戶(hù)賬戶(hù)WindowsServer2003提供兩種主要類(lèi)型的用戶(hù)賬號(hào)：本地用戶(hù)賬號(hào)和域用戶(hù)賬號(hào)。除此之外，WindowsServer2003系統(tǒng)中還有內(nèi)置的用戶(hù)賬號(hào)。1.本地用戶(hù)賬號(hào)本地用戶(hù)賬戶(hù)只能登錄到創(chuàng)建該用戶(hù)賬號(hào)的計(jì)算機(jī)上，并只能訪(fǎng)問(wèn)該計(jì)算機(jī)的資源。在創(chuàng)建本地用戶(hù)賬號(hào)時(shí)，WindowsServer2003只是在計(jì)算機(jī)的安全數(shù)據(jù)庫(kù)（SAM）中建立賬號(hào)且不會(huì)把本地用戶(hù)賬號(hào)信息復(fù)制到域控制器中，在本地用戶(hù)賬號(hào)建立之后，計(jì)算機(jī)利用SAM數(shù)據(jù)庫(kù)，對(duì)用戶(hù)進(jìn)行身份驗(yàn)證，從而使得用戶(hù)能夠登錄到該計(jì)算機(jī)上。2.域用戶(hù)賬號(hào)域用戶(hù)賬戶(hù)允許登錄到域中，并訪(fǎng)問(wèn)網(wǎng)絡(luò)中的所有資源。在登錄過(guò)程中，用戶(hù)提供用戶(hù)名和密碼，WindowsServer2003對(duì)用戶(hù)進(jìn)行身份驗(yàn)證，然后建立包含用戶(hù)安全配置等信息的訪(fǎng)問(wèn)令牌。當(dāng)用戶(hù)試圖訪(fǎng)問(wèn)安裝有WindowsServer2003和Windows2000的計(jì)算機(jī)上的資源時(shí)，訪(fǎng)問(wèn)令牌可以用于識(shí)別用戶(hù)，WindowsServer2003在登錄的整個(gè)過(guò)程中提供訪(fǎng)問(wèn)令牌，域用戶(hù)賬號(hào)創(chuàng)建于域控制器的AcitiveDirectory數(shù)據(jù)庫(kù)中。3.內(nèi)置用戶(hù)賬號(hào)WindowsServer2003在安裝過(guò)程中自動(dòng)建立的賬號(hào)，被稱(chēng)為內(nèi)置賬號(hào)。經(jīng)常使用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。Administrator賬號(hào)具有最高的管理權(quán)限，可以用來(lái)管理整個(gè)計(jì)算機(jī)或域的參數(shù)配置，如創(chuàng)建或修改用戶(hù)賬號(hào)和組，管理安全政策，設(shè)置訪(fǎng)問(wèn)許可等。Guest賬號(hào)可用于給臨時(shí)用戶(hù)賦予使用權(quán)，使他們能夠登錄和訪(fǎng)問(wèn)資源。6.4.2用戶(hù)賬戶(hù)安全設(shè)置網(wǎng)絡(luò)中的每個(gè)用戶(hù)都有一個(gè)與之身份對(duì)應(yīng)的賬戶(hù)，管理員維護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)時(shí)，通常會(huì)用到Administrator或其他被賦予管理權(quán)限的賬戶(hù)。除管理員賬戶(hù)之外，還應(yīng)為其他用戶(hù)創(chuàng)建一些普通賬戶(hù)，如來(lái)賓賬戶(hù)、其他個(gè)人用戶(hù)賬戶(hù)等。為了確保系統(tǒng)或網(wǎng)絡(luò)的安全，普通用戶(hù)賬戶(hù)的安全設(shè)置是非常重要的。1.本地用戶(hù)賬戶(hù)安全設(shè)置對(duì)于獨(dú)立計(jì)算機(jī)而言，如果需要為多個(gè)用戶(hù)提供應(yīng)用，此時(shí)就應(yīng)該為每個(gè)用戶(hù)創(chuàng)建一個(gè)單獨(dú)的個(gè)人用戶(hù)賬戶(hù)，用于保存?zhèn)€人的配置信息和重要數(shù)據(jù)。而對(duì)于域控制器，隨著新用戶(hù)的加入也需要不斷添加新的賬戶(hù)。需要注意的是，賬戶(hù)安全工作應(yīng)該從創(chuàng)建用戶(hù)賬戶(hù)的操作開(kāi)始。2.域用戶(hù)賬戶(hù)安全設(shè)置在Windows域環(huán)境中，用戶(hù)賬戶(hù)的權(quán)限設(shè)置、安全保護(hù)工作更加重要。因此，在系統(tǒng)默認(rèn)情況下已經(jīng)對(duì)用戶(hù)賬戶(hù)密碼安全性要求進(jìn)行了改進(jìn)，如禁止使用簡(jiǎn)單密碼、空白密碼等。為了提高網(wǎng)絡(luò)的安全性，對(duì)所有賬戶(hù)密碼的設(shè)置，應(yīng)盡量使用含字母、數(shù)字及下劃線(xiàn)隨機(jī)組合的密碼，密碼之間盡量不相關(guān)，以利于賬戶(hù)的安全。3.重設(shè)用戶(hù)密碼為了確保用戶(hù)賬戶(hù)的安全，僅有足夠強(qiáng)度的密碼是不夠的，理論上沒(méi)有絕對(duì)的安全，因此應(yīng)避免長(zhǎng)時(shí)間使用一個(gè)密碼。建議養(yǎng)成按時(shí)更改密碼的習(xí)慣，例如，可以每隔10天或30天更改一次。4.設(shè)置域用戶(hù)賬戶(hù)登錄選項(xiàng)默認(rèn)情況下，Windows域中的常規(guī)用戶(hù)賬戶(hù)允許登錄網(wǎng)絡(luò)中的所有計(jì)算機(jī)，并且不受時(shí)間限制。為了網(wǎng)絡(luò)安全起見(jiàn)，可限制用戶(hù)賬戶(hù)可以登錄的工作站和登錄的時(shí)間，使該用戶(hù)只能在固定的時(shí)間，在固定的工作站上登錄。6.4.3組管理組是用戶(hù)和計(jì)算機(jī)賬戶(hù)、聯(lián)系人以及其他可作為單個(gè)單元管理的組的集合。屬于特定組的用戶(hù)和計(jì)算機(jī)稱(chēng)為組成員。使用組可同時(shí)為許多賬戶(hù)指派一組公共的權(quán)限和權(quán)利，而不用單獨(dú)為每個(gè)賬戶(hù)指派權(quán)限和權(quán)利，這樣可簡(jiǎn)化管理。本地計(jì)算機(jī)中的組通常只用于管理本地計(jì)算機(jī)上的用戶(hù)賬戶(hù)或組。而Windows域中的組，則可以幫助管理員統(tǒng)一設(shè)置某些對(duì)象的權(quán)限，簡(jiǎn)化操作的復(fù)雜性，降低管理難度。下面以域用戶(hù)組為例介紹組的安全管理。1．組類(lèi)型創(chuàng)建域組時(shí)，在“新建對(duì)象—組”窗口的“組類(lèi)型”選項(xiàng)區(qū)域中可選擇組的類(lèi)型。（1）安全組：可以顯示在隨機(jī)訪(fǎng)問(wèn)控制列表（DACL）中的組，DACL用于定義對(duì)資源和對(duì)象的權(quán)限?！鞍踩M”也可用做電子郵件實(shí)體，給安全組發(fā)送電子郵件的同時(shí)也會(huì)將該郵件發(fā)給組中的所有成員。（2）通訊組：僅用于分發(fā)電子郵件并且沒(méi)有啟用安全性的組。不能將通訊組顯示在用于定義資源和對(duì)象權(quán)限的自主訪(fǎng)問(wèn)控制列表中。通訊組只與電子郵件應(yīng)用程序一起使用，以便將電子郵件發(fā)送到用戶(hù)集合。如果因?yàn)榘踩康牟⒉恍枰M，可以選擇創(chuàng)建通訊組而不要?jiǎng)?chuàng)建“安全組”。2.組作用域在“新建對(duì)象-組”窗口的“組作用域”選項(xiàng)區(qū)域中可選擇組的作用域，即該組可以在網(wǎng)絡(luò)上的哪些地方使用。Windows域中的組有3種：本地域組、全局組和通用組。（1）本地域組本地域組主要用于指定其所屬域內(nèi)的訪(fǎng)問(wèn)權(quán)限，以便訪(fǎng)問(wèn)該域內(nèi)的資源。對(duì)于只擁有一個(gè)域的企業(yè)而言，建議選擇“本地域組”。其特征如下：本地域組內(nèi)的成員可以是任何一個(gè)域內(nèi)的用戶(hù)、通用組與全局組，也可以是同一個(gè)域內(nèi)的域本地組，但不能是其他域內(nèi)的本地域組。本地域組只能訪(fǎng)問(wèn)同一個(gè)域內(nèi)的資源，無(wú)法訪(fǎng)問(wèn)其他不同域內(nèi)的資源。換言之，當(dāng)在某臺(tái)計(jì)算機(jī)上設(shè)置權(quán)限時(shí)，可以設(shè)置同一域內(nèi)的域本地組的權(quán)限，但是，無(wú)法設(shè)置其他域內(nèi)的本地域組的權(quán)限。（2）全局組全局組主要用于組織用戶(hù)，即可以將多個(gè)被賦予相同權(quán)限的用戶(hù)賬戶(hù)加到同一個(gè)全局組內(nèi)。其特點(diǎn)如下：全局組內(nèi)的成員，只能包含所屬域內(nèi)的用戶(hù)與全局組，即只能將同一個(gè)域內(nèi)的用戶(hù)或其他全局組加到全局組內(nèi)。全局組可以訪(fǎng)問(wèn)任何一個(gè)域內(nèi)的資源，即可以在任何一個(gè)域內(nèi)設(shè)置全局組的使用權(quán)限，無(wú)論該全局組是在同一個(gè)域內(nèi)，還是在另一個(gè)域內(nèi)。（3）通用組通用組可以設(shè)置在所有域內(nèi)的訪(fǎng)問(wèn)權(quán)限，以便訪(fǎng)問(wèn)所有域資源。其特征如下：通用組成員可以包括整個(gè)域林（多個(gè)域）中任何一個(gè)域內(nèi)的用戶(hù)，但是，無(wú)法包含任何一個(gè)域內(nèi)的域本地組。通用組可以訪(fǎng)問(wèn)任何一個(gè)域內(nèi)的資源，也就是說(shuō)，可以在任何一個(gè)域內(nèi)設(shè)置通用組的權(quán)限，無(wú)論該通用組是在同一個(gè)域內(nèi)，還是在另一個(gè)域內(nèi)。6.5審核策略審核策略可以將發(fā)生在用戶(hù)和系統(tǒng)上的一些行為記錄到系統(tǒng)日志中，通過(guò)系統(tǒng)日志可以分析發(fā)生在本地系統(tǒng)或域中的一些事件。如果在網(wǎng)絡(luò)上設(shè)置了訪(fǎng)問(wèn)許可，就有必要建立審核策略來(lái)追蹤用戶(hù)對(duì)這個(gè)資源的訪(fǎng)問(wèn)，審核策略是追蹤安全方面用戶(hù)事件的一個(gè)很好的工具。6.5.1審核簡(jiǎn)介通過(guò)審核策略來(lái)指定哪些事件將被寫(xiě)進(jìn)系統(tǒng)日志，這有助于管理員分析網(wǎng)絡(luò)上一些資源的訪(fǎng)問(wèn)行為，對(duì)用戶(hù)和系統(tǒng)行為進(jìn)行檢查，可以分析對(duì)網(wǎng)絡(luò)資源授權(quán)和未知的訪(fǎng)問(wèn)。通過(guò)域范圍的審核策略來(lái)保護(hù)公司的網(wǎng)絡(luò)資源和用戶(hù)系統(tǒng)。6.5.2審核的管理WindowsServer2003系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒(méi)有啟用，必須針對(duì)特定系統(tǒng)事件來(lái)啟用、配置它們的審核功能，這樣該功能才會(huì)對(duì)相同類(lèi)型的系統(tǒng)事件進(jìn)行監(jiān)視、記錄，網(wǎng)絡(luò)管理員日后只要打開(kāi)對(duì)應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了。在使用審核之前要制定相關(guān)的管理措施，