第七章-安全管理

第七章安全管理制作人：賈鳳菊1學習目標理解網絡安全的含義了解Win2000的安全設計內容掌握Win2000的安全配置過程掌握組策略的配置和實現(xiàn)了解審計和入侵檢測的實現(xiàn)方法和重要性了解病毒的分類和傳播途徑掌握網絡病毒的防治方法及常用防殺軟件的功能和使用了解防火墻的概念和分類2學習重點、難點網絡安全的定義Win2000的安全性設計和配置網絡病毒的防治防火墻的分類3主要內容7.1網絡安全概述7.2Win2000的安全管理7.3病毒防治7.4防火墻技術7.5自我安全測試習題

47.1網絡安全概述

計算機網絡安全問題是近年來的熱門話題，對安全知識的介紹方面也有各種各樣的說法。下面我們將對網絡安全的定義、保障以及面臨的主要問題等做概要分析和論述。

57.1網絡安全概述7.1.1網絡安全的定義和評估

7.1.2網絡安全的主要威脅

7.1.3網絡安全保障體系

7.1.4我國網絡安全的主要問題

7.1.5網絡安全策略

67.1.1網絡安全的定義和評估國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據不因偶然和惡意的原因遭到破壞、更改和泄露。那么我們可以據此從網絡安全的目的、功能和內容等方面對計算機網絡安全做以下解釋。

77.1.1網絡安全的定義和評估網絡安全的定義

網絡安全的評估

87.1.2網絡安全的主要威脅網絡安全的主要威脅，主要包括非法在網絡傳輸線上或在網絡中間節(jié)點上，以竊取信號以及竊聽等方式，或采取篡改數(shù)據內容等方式，從事非法活動。這些，我們可以通過前面對網絡安全的內容剖析中看到。目前網絡安全威脅主要表現(xiàn)為黑客的入侵、垃圾郵件以及蠕蟲病毒。而國內有關網絡專家表示，對于群體和個體來說，真正重大的黑客事件其實并不是很多。而后兩種危害既普遍又嚴重，它們會導致整個企業(yè)或者單位的網絡癱瘓。但無論哪種安全威脅，它們所采用的破壞方法總結起來有如下幾種：97.1.2網絡安全的主要威脅觀測與推測：借助于測量通信媒體上的信號而獲得數(shù)據內容，或者根據截獲的數(shù)據進一步分析得到有用數(shù)據。篡改與插入：竊取通信媒體上的信號后改變其部分內容或全部。

偽裝：非法通過身份驗證

重復：竊取合法數(shù)據，過一段時間再次將其通信過程重復進行。比如重復匯款的例子。

拒絕服務：反復發(fā)送大量無用信息，使得真正有用的數(shù)據無法進入通信系統(tǒng)，造成傳輸量超載，甚至致使系統(tǒng)癱瘓。

107.1.3網絡安全保障體系一個高質量的網絡安全保障體系還要包含災難恢復功能，也就是說在災難發(fā)生后，要盡可能將系統(tǒng)恢復到原來的面貌。在這一層面上，安全保障體系采用的解決方案就是建立容災系統(tǒng)。它通過在相隔較遠的異地，建立多套功能相同的系統(tǒng)，在網絡中進行監(jiān)視和功能切換，并以此來達到災難恢復的目的。數(shù)據容災是信息安全戰(zhàn)略中非常重要的一個環(huán)節(jié)。117.1.3網絡安全保障體系網絡安全保障體系的一般建立過程：安全手段

系統(tǒng)數(shù)據安全

安全環(huán)境

安全機制

127.1.4我國網絡安全的主要問題國內的網絡安全問題具體表現(xiàn)為：首先，計算機系統(tǒng)受病毒感染和破壞的情況相當嚴重。據2001年調查，我國約73%的計算機用戶曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據的占14%，破壞部分數(shù)據的占57%。其次，電腦黑客活動已形成重要威脅。目前我國95%與互聯(lián)網相聯(lián)的網絡管理中心都遭受過境內外黑客的攻擊或侵入。再有，信息基礎設施面臨網絡安全的挑戰(zhàn)，信息系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)。據英國《簡氏戰(zhàn)略報告》和其它網絡組織對各國信息防護能力的評估，我國被列入防護能力最低的國家之一。

137.1.4我國網絡安全的主要問題我國的網絡在安全方面出現(xiàn)問題的原因：缺乏自主的計算機網絡和軟件核心技術

安全意識淡薄是網絡安全的瓶頸

運行管理機制的缺陷和不足

缺乏制度化的防范機制

147.1.5網絡安全策略保障網絡安全的關鍵措施和策略：1網絡的物理安全策略

物理安全策略的內容主要包括防止非法進入計算機系統(tǒng)，確保計算機系統(tǒng)有一個良好的電磁兼容的工作環(huán)境等。其中防止電磁泄露是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護；另一類是對輻射的防護

2訪問控制策略

訪問控制策略是保證網絡安全最重要的核心策略之一。它的主要任務是保證網絡資源不被非法使用和非常訪問。常見的訪問控制策略有對用戶的入網訪問控制和相應的權限控制，以及網絡服務器的監(jiān)管和鎖定策略、防火墻策略等。

157.1.5網絡安全策略3網絡安全管理策略制訂相應的規(guī)章制度來加強網絡安全管理，確保網絡安全有效地運行。主要的網絡安全管理策略有：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規(guī)程和人員出入機房管理制度；制定網絡系統(tǒng)的維護制度和應急措施等。

4信息加密策略除了在網絡外圍對網絡安全進行技術和制度上的保護之外，對網絡上傳輸?shù)臄?shù)據以及網絡中所存儲的數(shù)據也要進行相應的安全保護。也就是說，一旦網絡被非法侵入，那么我們還可以用另外一種安全技術來進一步加固網絡安全，以使其重要資源不被泄露。在這一層上采用的主要安全策略就是信息加密。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。167.2Win2000的安全管理7.2.1win2000的安全性設計

7.2.2win2000的安全特性7.2.3win2000的組策略

7.2.4加強內置帳戶的安全

審計和入侵檢測

177.2.1win2000的安全性設計

ActiveDirectory

它提供一個中央位置來存儲關于用戶、硬件、應用程序和網絡上數(shù)據的信息，這樣用戶就可以找到他們所需要的信息。它也保存了必要的授權及身份驗證信息以確保只有適當?shù)挠脩舨趴稍L問每一網絡資源。值得注意的一點是，ActiveDirectory服務必須在Windows2000Server版本中才可安裝使用。

身份驗證

份驗證是系統(tǒng)安全性的基本方面。它用來確認任何試圖登錄到域或訪問網絡資源的用戶的身份。用戶在ActiveDirectory中必須有一個Windows2000用戶帳戶，以登錄到計算機或域中。此帳戶會為用戶創(chuàng)建一個身份，然后操作系統(tǒng)會使用此身份驗證用戶的身份并授予訪問特定域資源的權限。

NTFS文件系統(tǒng)

Win2000推薦使用NTFS文件分區(qū)格式，它是一個更加安全、支持更多的可管理性、磁盤碎片較少、性能更快的分區(qū)格式。

187.2.2win2000的安全特性win2000的正確安裝

win2000的安全配置

設置目錄和文件的訪問權限

停止危險和不必要的服務，如停止server服務

主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全

197.2.3win2000的組策略組策略的實現(xiàn)

組的功能

網絡管理員可以利用組策略設置來控制ActiveDirectory中對象的各種行為。使用“組策略”還可以定義廣泛的安全性策略。域級策略應用于域中的所有用戶，并包含如帳戶策略等的信息，同時可以指定在較低級別是否可改寫這些設置。“組策略”功能還可以進一步細化個別PC上的安全性設置。例如可以指定誰可在服務器上進行備份和還原。

總之，組策略的實現(xiàn)，可以使Win2000操作系統(tǒng)更加方便快捷地對網絡資源實施安全管理。

20加強內置帳戶的安全內置帳戶是在Win2000的安裝過程中自動創(chuàng)建的，不能被刪除。

常見的兩個重要帳戶是本地管理員帳戶和客戶訪問帳戶。保證它們的安全不受威脅是對整個計算機網絡的安全相當重要的。因此，要特別注意對內置帳戶安全性的保障。

21加強內置帳戶的安全對于本地管理員帳戶，即Administrator，當安裝完Win2000操作系統(tǒng)后，第一次登錄時使用的就是它。

本地管理員帳戶擁有對系統(tǒng)的完全控制權。

本地管理員帳戶的密碼是高度機密的，一旦泄露，非法用戶以Administrator的身份進入計算機，執(zhí)行非法操作，很有可能造成整個系統(tǒng)的崩潰，解決這個問題的最簡單的方法就是更改管理員賬號、登錄密碼復雜化。22加強內置帳戶的安全對于客戶訪問帳戶，默認情況下是在本地計算機和域控制器上被禁用的。因為如果將Guest帳戶設置為Enable，網絡上所有計算機就都可以訪問本機了。這無疑是對本機安全性的一大威脅。因此，對本機的Guest用戶帳戶的設置更改一定要慎重。

23審計和入侵檢測要維護真正安全的環(huán)境，只是具備安全系統(tǒng)還遠遠不夠。要維護系統(tǒng)安全，必須進行主動監(jiān)視，以檢查是否發(fā)生了入侵和攻擊

Win2000的默認安裝是不開任何安全審核的，那么請你到本地安全策略->審核策略中打開相應的審核，推薦的審核如表7-1所示。具體的設置過程如圖7-16所示。在賬戶策略->密碼策略中如表7-2中設定相應值，在賬戶策略->賬戶鎖定策略中設定值如表7-3。24審計和入侵檢測入侵檢測（IntrusionDetection）是通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem,簡稱IDS）。其中，日志是使系統(tǒng)順利運行的重要保障。它會告訴我們系統(tǒng)發(fā)生了什么和什么沒有發(fā)生。系統(tǒng)管理員應建立日志文件檢測，并且在日志中可以檢測出系統(tǒng)是否被入侵，以便及時采取措施。

25審計和入侵檢測審計和入侵檢測是有效構建環(huán)境防護措施的重要組成部分。作為風險管理過程的一部分，必須確定什么程度的審計和入侵檢測適用于您所在的環(huán)境。對于跨多個協(xié)議的入侵檢測，可以考慮使用第三方工具。

267.3病毒防治7.3.1病毒的概念、分類及傳播途徑

7.3.2病毒的防治

7.3.3防殺網絡病毒的軟件

277.3.1病毒的概念、分類及傳播途徑病毒的概念

病毒的分類

病毒的傳播途徑

287.3.2病毒的防治計算機病毒的防治技術分為三個方面：即病毒預防技術、病毒檢測技術以及病毒消除技術。

在網絡環(huán)境下，病毒的防治工作就更加重要，常見的網絡上防病毒的方法有三種

。297.3.3防殺網絡病毒的軟件較為流行的優(yōu)秀反病毒軟件：瑞星：對位置病毒、變種病毒、黑客木馬、惡意網頁等新型病毒的查殺能力都相對較強，同時并結合了瑞星國際領先的反病毒引擎、全球病毒監(jiān)測網、快速應急反映能力以及瑞星強有力的服務網絡

金山毒霸：能夠有效攔截和徹底查殺DOS病毒、Windows病毒、宏病毒、蠕蟲病毒和網頁病毒，以及特洛伊木馬(Trojan)等；并且具有獨特的虛擬機和啟發(fā)式查毒技術

江民：KILL：實時病毒監(jiān)控、自動跟蹤及隔離病毒源等防護功能，遠程自動安裝、遠程服務器集中管理、多種病毒報警機制、完整的病毒報告、病毒代碼自動更新及自動分發(fā)等強大的網絡自動管理功能

華光KV：可防查國內外近6萬種病毒，集合了國內外最大病毒庫、智能快速升級、郵件監(jiān)控、遠程監(jiān)控、國際病毒同步監(jiān)控等先進技術

307.4防火墻技術防火墻的概念及功能

防火墻的類型

防火墻的安裝

防火墻的管理維護

317.5自我安全測試一般情況下，我們可以通過利用NMAP或類似的軟件對主機進行掃描，然后對操作系統(tǒng)及其開放端口進行判斷來達到檢測安全程度的目的。327.5自我安全測試但是這種方法往往是很粗糙的，下面我們將介紹一種相對嚴謹?shù)陌踩珯z測步驟。通過DNS查詢得到網絡拓撲的基本情況。

利用NMAP進行端口掃描，判斷出操作系統(tǒng)的類型。進行漏洞掃描，得出一個大致的分析報告。

結合自己的經驗，分析報告，人工找出報告中漏掉的或是誤報的漏洞

337.5自我安全測試如果以上的方法仍無法判斷操作系統(tǒng)的類型，那么我們將進一步采用以下的方式進行安全檢查

如果有防火墻的情況下，可能會將TCP/IP協(xié)議棧動態(tài)地修改或屏蔽，以致普通的掃描工具無法得出正確的結論。因此我們可以使用一些更為靈活的掃描工具（如hping、firewalk）進行目標主機的探測，并根據數(shù)據包的返回做進一步分析判斷。

其次可以對主頁程序進行輸入驗證，雖然這些只是基于表面的測試工作，但我們仍可以根據一些異常現(xiàn)象來分析可能出現(xiàn)的安全問題。比如某些特殊字符的遺漏或WEB服務器的編碼解碼錯誤等都可能造成服務器的資料甚至源代碼的泄露。

34本章習題網絡安全的主要內容有哪些？建立一個較為完善的網絡安全保障體系一般要考慮哪些因素？什么是計算機病毒？病毒的傳播途徑有哪些？什么是防火墻？它有哪些功能？35安全手段1設備安全

網絡系統(tǒng)中的服務器可采用陣列或鏡像技術，采用簇技術以及雙機或多機熱備份容錯系統(tǒng)來實現(xiàn)。生產服務器和開發(fā)測試服務器要實施分離，并且提供光盤備份庫，保證24小時不間斷運行，最好同時采用建立異地備用服務器的方式來保證安全性。而工作站及終端應具有防病毒功能，同時也需保證24小時不間斷運行。

2支撐軟件安全

網絡中的支撐軟件無非就是系統(tǒng)的運行平臺和數(shù)據庫系統(tǒng)。它們都要符合C2級標準，以提供完善的操作系統(tǒng)和數(shù)據庫監(jiān)控、報警和故障處理。

36安全手段3網絡系統(tǒng)安全

要求與其他系統(tǒng)建立連接時，必須具備防火墻隔離，并提供完整的網絡監(jiān)控、報警和故障處理功能，同時支持鑒別、接入控制、數(shù)據機密等一組相關的安全功能。

4應用系統(tǒng)安全

為保證系統(tǒng)的安全性，系統(tǒng)對操作員實行嚴格的分級權限管理，每一個操作員均擁有各自的帳號、登錄密碼和權限等級。除對系統(tǒng)的查詢操作外，任何一個對系統(tǒng)的“寫”操作均將在系統(tǒng)中留下完整的記錄，以備日后追查。對于應用系統(tǒng)的安全來講，也應該符合C2級安全標準

返回37系統(tǒng)數(shù)據安全網絡中要處理的數(shù)據的安全性也是要得到保障。主要有以下兩方面的途徑：數(shù)據備份與恢復：系統(tǒng)數(shù)據可進行聯(lián)機備份與恢復，被恢復的數(shù)據必須保持其完整性和一致性；能提供完整的系統(tǒng)數(shù)據監(jiān)控、報警和故障處理。數(shù)據的傳送與接受:：保證系統(tǒng)數(shù)據的傳送完整和機密，并能提供完整的系統(tǒng)數(shù)據傳送監(jiān)控和報警處理。返回38安全環(huán)境配套設備安全：配套先進的、完善的供電系統(tǒng)和應急報警系統(tǒng)。

機房環(huán)境安全：機房要防火、防塵、防雷、防磁；機房溫度、濕度、電壓應符合計算機環(huán)境要求；并且要定期對機房進行維護和保養(yǎng)。

返回39安全機制1系統(tǒng)安全機制系統(tǒng)應具備訪問權限的識別和控制功能，提供多級密碼口令或使用硬件鑰匙等選擇和保護措施，提供操作日志記錄功能，以便即時掌握運行狀況。同時該系統(tǒng)還應具備完善的檢測功能，確保系統(tǒng)處理的準確性，并建立校驗結果和安全邏輯異常情況報警系統(tǒng)。2業(yè)務安全機制

建立嚴格的管理制度和開發(fā)、維護、運行管理機制。應用鑒別權限與訪問控制功能，對系統(tǒng)管理員、數(shù)據庫管理員、數(shù)據管理員、操作員必須授予各種訪問權限，并保證只有授權的人員或系統(tǒng)可以訪問某種功能，獲取某種數(shù)據。

3環(huán)境安全機制

建立嚴格的機房安全管理制度，及時審查日志文件。非工作人員不準隨意進入機房，

任何人不得將有關資料泄密或任意抄錄。

返回40C級安全標準美國政府，更準確地說應是NationalComputerSecurityCenter（國家計算機安全中心），它是NationalSecurityAgency（國家安全局）的一個下屬機構，為計算機安全引入了一套評測標準。這些標準的正式名稱是TrustedComputerSystemEvaluationCriteria（可信計算機系統(tǒng)評測標準，TCSEC），它們是一堆6英尺高的書的一部分。實際上，人們都把TCSEC叫做OrangeBook（《橙皮書》），因最初的書是橙色封面而得名?！冻绕范x了四個主要等級的安全，即A、B、C、D。在每一類中又有很多分支，如C1、C2、B3等。從D到A1，要求逐漸變得越來越苛刻，安全處理所需費用也相應提高。其中C級被標為“自主型保護”，意思是說C級系統(tǒng)允許用戶以及操作系統(tǒng)對屬于它們的資源進行保護。而安全團體一般都認為，一個系統(tǒng)可以達到C級安全標準就已經足夠了。

41網絡安全的定義機密性

身份驗證/授權

完整性

不可否認性

保密性

可用性

42網絡安全的評估周密的網絡安全評估與分析，是可靠、有效的安全防護措施制定的必要前提。網絡安全評估大致可以分為兩個階段進行。一是在網絡的設計階段。這一階段主要進行的是網絡風險評估，一個全面的風險評估分析應包含如下幾個方面：物理層安全風險分析、鏈路層安全風險分析、網絡層及傳輸層安全風險分析、操作系統(tǒng)安全風險分析、應用層安全風險分析、管理的安全風險分析、典型的黑客攻擊手段等。第二階段是在網絡運行階段，常見的網絡安全評估技術主要有訪談、問卷調查、抗攻擊測試或者使用現(xiàn)有的網絡安全分析工具，如漏洞掃描系統(tǒng)等對網絡系統(tǒng)進行掃描分析。

43網絡安全的評估網絡系統(tǒng)最薄弱的環(huán)節(jié)最有可能成為黑客的攻擊點，導致網絡系統(tǒng)受到很大程度的威脅。故網絡系統(tǒng)的安全性也就取決于此。最有效的保證網絡安全的方法是定期對網絡系統(tǒng)進行安全性分析和評估，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。

44不可否認性不可否認性的含義是很明顯的，即指數(shù)據信息的發(fā)送者不能聲明他沒有發(fā)送過給定的消息。這一點在電子商務中也可以有所體現(xiàn)，如果買方對他所購買的大批商品做否認聲明，那么對賣方勢必會造成很大的損失。對不可否認性的保證技術是有些復雜的，比如常見的技術有數(shù)字證書。

返回45保密性有些人可能會將保密性和前面所講的機密性混為一談。我們已經知道機密性是指數(shù)據在傳輸途中不會被偷聽者利用的需求，而保密性需求是與數(shù)據主體的保密性權利有關。更明確一點地說，保密性是可以受法律保護的，它要求在沒有經過數(shù)據主體同意的情況下不得泄露私有數(shù)據。舉個例子，前面提到了授權，我們可以利用它來更加清晰地區(qū)別保密性和機密性這兩個概念。如果本地服務器中有些數(shù)據并未被加密，但可以通過授權來分配這些數(shù)據要對哪些用戶保密。而未被授權的用戶通過非法途徑獲取了這些數(shù)據，那么我們就可以說數(shù)據的保密性被破壞了，而不是機密性。

返回46完整性在網絡安全領域中，完整性具有特殊的含義。數(shù)據具有完整性并不是意味著它不能被篡改，而是指當數(shù)據信息被篡改后，這個改動可以被檢測到。同樣保證網絡數(shù)據完整性的重要性也是可想而知的。我們還是以電子商務中的交易為例，試想交易雙方的訂單信息若被非法篡改，那么給雙方帶來的困擾也是不言而喻的?，F(xiàn)在，保證數(shù)據完整性的技術主要是使用數(shù)字簽名，它是通過散列算法首先產生數(shù)據的摘要，然后通過加密算法將數(shù)據摘要進行加密，之后將原始數(shù)據與加密摘要一同傳輸?shù)浇邮辗?；接收方對接收到的?shù)據再運用散列算法得到摘要，并同時解密加密摘要。這樣兩個摘要對比結果若相同，則說明數(shù)據在傳輸中未被修改過，也就驗證了它的完整性。否則，可以認為這個數(shù)據在網絡傳輸過程中已被篡改，接收方便丟棄該信息，然后根據需要決定是否要求對方重發(fā)。

返回47身份驗證/授權身份驗證是指用戶在使用網絡服務之前要先被確定其身份是否合法，比如使用口令或借助可以發(fā)布一次性口令的硬件設備來實現(xiàn)。授權很多時候是與身份驗證鏈接在一起的網絡安全需求，但同時了解兩者之間的區(qū)別也是十分重要的。授權是指對合法用戶分配一些權限，即對用戶是否具有讀、寫等權利做相應限制。也就是說用戶通過身份驗證并不意味著他們是被授權的，但身份驗證又是授權所必需的。簡單而言，身份驗證關心的是“您是誰”的問題，而授權關心的是“您能做什么”的問題。

返回48機密性簡單來講，機密性是指數(shù)據在網絡中傳輸時不能被除了發(fā)送方和接收方以外的第三方所竊取。有兩種方法可用于實現(xiàn)機密性。一種是使用收發(fā)雙方之間的專用連接，即專線或VPN（virtualprivatenetwork，虛擬專用網絡）；另一種是使用加密技術。保證網絡數(shù)據的機密性是十分重要的，如果數(shù)據在傳輸過程中被非法竊取，那么結果是相當嚴重的。比如在電子商務中的交易雙方在交易過程中，帳號和密碼等重要信息的機密性被惡意竊取后，買賣雙方都很可能會付出昂貴的經濟代價。

返回49可用性可用性較為簡單，它看上去好像與安全問題無關，實際上當重要數(shù)據被需要時卻不可用，也同樣會給企業(yè)帶來麻煩。保證不可否認性的技術也是要在可用性的前提下才能生效和發(fā)揮作用的。

返回50ActiveDirectory服務的安裝過程

在安裝完Win2000Server之后，管理工具中包含如圖7-1選項。打開“配置服務器”單元。在對話框左側選擇ActiveDirectory，如圖7-2所示。單擊“啟動”ActiveDirectory服務安裝向導，按照提示執(zhí)行安裝過程。

因為在配置該項服務時，首先做的工作是將您的計算機升級為域控制器，并指定域的名稱。如圖7-3。

指定ActiveDirectory數(shù)據庫和日志文件、以及作為系統(tǒng)卷共享的文件夾的存儲位置。為方便起見，可使用默認設置。此時出現(xiàn)如圖7-4的提示信息，選擇“確定”后出現(xiàn)如圖7-5的安裝界面，點擊“下一步”為新域安裝和配置DNS服務器。

此時出現(xiàn)ActiveDirectory安裝選項的一組相關信息，如圖7-6。確認無誤后，點擊“下一步”進入ActiveDirectory的配置過程。這可能要花費幾分鐘的時間。最后單擊“完成”，并重新啟動計算機。

51525354555657win2000的正確安裝

安裝版本的選擇。盡量選擇英文版本，因為眾所周知，中文版本的BUG要遠遠多于英文版本。默認安裝有危險。大家在安裝操作系統(tǒng)或任何軟件時，常常習慣于采用默認設置，當然在大多數(shù)情況下是有好處的。但是對于Win2000Server的安裝則不然。根據安全原則，最少的服務+最小的權限=最大的安全。典型的WEB服務器需要的最小組件選擇是：只安裝IIS的ComFiles，IISSnap-In，WWWServer組件。如果你確實需要安裝其他組件，請慎重，特別是：IndexingService,FrontPage2000ServerExtensions,InternetServiceManager(HTML)這幾個危險服務。也就是說，在安裝之前您應該確切的知道您所需要的服務。

操作順序。首先必須確保在安裝配置好SERVER后才能將您的計算機接入網絡。因為在您輸入系統(tǒng)管理員密碼登錄后直到下次啟動前，系統(tǒng)對任何人都是共享的，這是Win2000的安裝漏洞所至。其次，補丁程序的安裝要在所有應用程序安裝完成之后再進行。因為補丁程序往往會修改或替換某些系統(tǒng)文件。

58設置目錄和文件的訪問權限

在用戶的快捷菜單中選擇“委派控制”，如圖7-7。

在圖7-8中選擇要委派控制的用戶和組。點擊“添加”按鈕

選擇委派的有效范圍，如圖7-9

指定權限，如圖7-10

59更改管理員賬號、登錄密碼復雜化

通過將這個帳戶名進行修改來保障帳號安全，在管理工具中的ActiveDirectory用戶和計算機管理左側選擇user后，右擊administrator然后改名，修改后的名字至少要包含有字母和數(shù)字；避免使用簡單的英語單詞或人名。如圖7-14

有時修改后的名稱仍可以在本地或者TerminalService的登錄界面看到的，這可以通過在運行注冊表編輯器后，將其中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下一級的WindowsNT\CurrentVersion\winlogon項中的DontDisplayLastUserName串數(shù)據改成1，如圖7-15所示

更改系統(tǒng)管理員賬號以后，還應該更改登錄密碼，密碼應該是12位以上的字母和數(shù)字等字符組成的混合字符串，避免使用簡單的英語單詞、人名及生日等。

返回60組策略的實現(xiàn)

在工作組中實現(xiàn)組在控制面板的管理工具中雙擊“計算機管理”，打開如圖7-12所示窗口，并在“本地用戶和組”下的“組”文件夾上單擊右鍵，選擇“新建組”。

在圖7-13中輸入新組的基本信息，單擊添加按鈕為該組選擇成員。最后點“創(chuàng)建”完成組的建立

在域中實現(xiàn)組在域中實現(xiàn)組與在工作組中實現(xiàn)組的操作大體相同，只不過在工作組中實現(xiàn)組是在“計算機管理”窗口中進行的，而在域中實現(xiàn)組要在“ActiveDirectory活動目錄用戶和計算機”窗口中實現(xiàn)的

返回6162636465666768697071策略設置登錄事件成功

失敗對象訪問失敗策略更改成功

失敗特權使用失敗系統(tǒng)事件成功

失敗賬戶登錄事件成功失敗72策略設置值密碼復雜性要求啟用密碼長度最小值6位強制密碼歷史5次最長存留期30天73策略設置值賬戶鎖定3次錯誤登錄鎖定時間20分鐘復位鎖定計數(shù)20分鐘74計算機病毒概念所謂計算機病毒，是指能通過修改程序將自己“傳染”到別的程序中的程序。計算機病毒是人為制造的，它們隱藏在計算機中難以被發(fā)現(xiàn)，干擾和妨礙甚至破壞正常的程序運行。正像人體內的病毒侵犯好的細胞并把它轉變成制造病毒的工廠一樣，計算機病毒程序都是一些小程序，通過把它們自己的一個副本附加到另一個程序上面進行復制。75計算機病毒程序一般分為兩個部分：傳染部和行動部。傳染部的基本功能是傳染，它包括傳染條件判斷程序和傳染程序。行動部則是計算機病毒的危害主體，它決定了病毒的危害程度。計算機病毒概念76計算機病毒是美國加利福尼亞大學的FredCohen博士于1983年11月3日在美國計算機安全學術會議上首次提出的。在此之后，有一些別有用心的人，故意制造了形形色色的計算機病毒。以往的計算機病毒僅侵入DOS等單機操作系統(tǒng)，但現(xiàn)在的病毒制作者已經將“魔爪”伸向了計算機網絡的服務器。在網絡環(huán)境下，計算機病毒可以按指數(shù)增長模式進行再生。計算機病毒一旦侵入到計算機網絡中，則可以導致計算機效率急劇下降，系統(tǒng)資源遭到嚴重破壞，在短時間內便可能造成整個網絡系統(tǒng)的癱瘓。計算機病毒概念返回77良性病毒

這類病毒一般不破壞操作系統(tǒng)或程序文件，可能只是簡單地顯示一個消息，一些圖形等。如有一年圣誕節(jié)受感染的IBM的主要計算機系統(tǒng)顯示節(jié)日問候這樣的病毒程序。但它仍然會影響機器的運行速度或死鎖，這樣有時也會間接地破壞一些數(shù)據。由此可見，這類病毒并非真正的良性，只是危害程度相對較輕而已。

惡性病毒惡性病毒設計用于破壞系統(tǒng)，它們一般破壞硬盤的引導扇區(qū)文件、修改硬盤分區(qū)表和文件分配表，甚至格式化硬盤使機器完全癱瘓。每年4月26日發(fā)作的CIH病毒即使典型的惡性病毒，它不僅對軟件造成破壞，還直接損壞主板和BIOS芯片。

按照病毒的危害程度分類：78外殼病毒

外殼病毒將它們自己包裹在主程序的四周，對原來程序不作修改。外殼病毒相對容易編寫，因此，約半數(shù)病毒程序屬于這種類型。

入侵病毒

入侵病毒侵入到現(xiàn)有的程序中。一般很難編寫。外殼病毒和入侵病毒通常都是攻擊可執(zhí)行程序文件帶有.COM或者.EXE擴展名的文件，即使是數(shù)據文件也有受攻擊的危險。

操作系統(tǒng)病毒

操作系統(tǒng)病毒工作時把它們自己的邏輯代替部分操作系統(tǒng)。編寫極為困難，但一旦得手就有能力控制整個系統(tǒng)。

源碼病毒

源碼病毒是入侵程序，它們在程序編譯之前插入到源程序中。是最少見的病毒程序，因為它們不僅編寫困難，而且可以被它們感染的主程序也是很有限的。

返回按病毒傳染的方式或說存在方式分類：79計算機病毒的傳播途徑通過不可移動的計算機硬件設備進行傳播

軟盤

光盤

硬盤

BBS

網絡

通過點對點通信系統(tǒng)和無線通道傳播

返回80病毒預防計算機病毒的預防是指通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞。例如，大家都熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅動器之間產生的信號和可能造成危害的寫命令。

81病毒檢測

計算機病毒的檢測是指通過一定的技術手段判斷出特定計算機病毒的一種技術。當然對于某些計算機病毒，檢測技術也是無能為力的。也就是說，檢測技術是針對特定病毒的

82病毒消除計算機病毒的消除是計算機病毒檢測技術發(fā)展的必然結果，是計算機病毒傳染程序的一種逆過程。目前，消除病毒大都是使用具有相應解毒功能的軟件。

返回83第一種是基于網絡目錄和文件安全性的方法，它主要是通過根據用戶對目錄和文件的操作能力，分配不同的訪問權限和屬性的方式來切斷病毒可能的傳播途徑。第二種方法是將具有防病毒功能的軟件集成到一個芯片上，并將這個芯片安裝到網絡工作站上。還有一種常見的方法就是在服務器上進行實時的病毒掃描，以此來保護服務器不受病毒感染。這樣也就是病毒失去了傳播途徑，從根本上杜絕了病毒在網絡上的蔓延。

返回84防火墻的概念及功能防火墻這個概念是來源于人們的日常生活。以前，人們常在木屋和其他建筑之間修建一道磚墻，以防火災發(fā)生時火勢從一座建筑物蔓延到另一座建筑物。這種磚墻被稱之為防火墻?，F(xiàn)在將這種說法借用到計算機網絡中，在業(yè)內將能使一個網絡不受外界“火災”影響的設備也稱為防火墻。

85更為專業(yè)一點的描述防火墻，它就是一個或一組網絡設備（如計算機或路由器），可用來在網上或多個網絡之間加強訪問控制。

第一代防火墻幾乎與路由器同時出現(xiàn)，采用包過濾技術實現(xiàn)網絡隔離。1989年，貝爾實驗室推出了第二代防火墻，即電路層防火墻。并同時提出了第三代防火墻的雛形。1992年，基于動態(tài)包過濾技術的第四代防火墻出現(xiàn)。1998年，NAI公司推出了一種自適應代理技術，并在產品中實現(xiàn)。這種防火墻可以稱為第五代防火墻。

防火墻的概念及功能86防火墻發(fā)展到今天，從本質上來講，可以大致將它實現(xiàn)的功能分為以下幾項：防火墻能用來隔開網絡中的各個網段，這樣就能防止影響一個網段的問題通過整個網絡傳播。從技術角度來講，就是形成了所謂的?；饏^(qū)。防火墻可以起到交通警察的作用，僅僅允許網絡中的合法用戶訪問網絡資源。防火墻能夠有效地審計和記錄Internet上的活動，非常適用于收集關于系統(tǒng)和網絡使用和誤用的信息。方便地監(jiān)視網絡的安全性，并及時報警。可以作為部署NAT(NetworkAddressTranslation網絡地址變換)的地點，用來緩解IP地址空間的短缺問題。防火墻的概念及功能返回87防火墻的類型按防火墻的位置可以將它分為內部防火墻和外部防火墻，如圖7-17所示；按照防火墻對內外來往數(shù)據的處理方式，從技術角度可以大致將其分為兩種類型：包過濾防火墻和代理防火墻（應用層網關防火墻）；按照實際使用的類型或防火墻的實現(xiàn)形式可以分為四類：嵌入式防火墻、硬件防火墻、軟件防火墻和應用程序防火墻。

返回88防火墻的安裝

如果要自己建立一個防火墻設備的話，則需要進行詳細復雜的規(guī)劃。防火墻建立的過程主要就是設計堡壘主機的過程。堡壘主機原是指所有直接連入公網的設備，現(xiàn)在它經常涉及到的就是防火墻設備。防火墻建立需要一定的專業(yè)知識，實現(xiàn)起來也比較復雜，目前市場上已有很多現(xiàn)成的防火墻產品，所以一般情況下，我們沒有必要自己建立防火墻設備，可以使用適當?shù)姆阑饓Ξa品。它們的安裝和配置都相對簡單?，F(xiàn)就防火墻的安裝問題總結如下：

89安裝前要做必要的準備工作

不同的防火墻產品，安裝的難易程度也有所差別。但對于建立企業(yè)內部網和防火墻的網絡管理人員來說，為了完成安裝工作，必須進行詳細的計劃與精心的安排。如對微機忘了分配TCP/IP地址序列，就無法安裝防火墻，更談不上測試防火墻了。

安裝防火墻的方法和步驟

建立安裝防火墻可以使用可編程路由器作為包過濾器，此法是目前用得最普通的網絡互連安全結構。另一種方法是，把防火墻安裝在一臺雙端口的主機系統(tǒng)中，連接內部網絡。而不管是內部網絡還是外部網絡均可訪問這臺主機，但內部網上的主機不能直接進行通信。還有一種方法是把防火墻安裝在一個公共子網中，其作用相當于一臺雙端口主機。采用應用與線路入口及信息包過濾來建立安裝防火墻也是常用的方法之一。所謂應用與線路入口，就是把所有的包都按地址送給入口上的用戶級應用程序，入口在兩點間轉送這些包?？傊话惴阑饓κ潜话惭b在可信賴的內部網絡及不可信賴的外部網絡之間。

防火墻的安裝

返回90防火墻的管理維護

對防火墻的維護和對防火墻的管理維護工作，需要由專門的網絡管理員來負責，并且是一項長期、細致的工作?？偨Y起來，一般需要網絡管理員進行如下的兩項工