WindowsServer安全配置.ppt

WindowsServer2003 服务器 服务器是网络中用于提供服务的计算机 广义上讲 任何计算机都可以充当服务器 只要它能够被其它计算机访问 它就是服务器 狭义上讲 服务器是指提供专门服务的计算机 如提供网站服务的Web服务器 提供文件传输的Ftp服务器 提供域名解析的DNS服务器等 专用的服务器上安装的操作系统必须是网络操作系统 实现相应功能时必须安装对应的服务器软件 服务器计算机 普通计算机可以作为服务器来使用 但由于服务器一般是常年不停机工作的 所以最好使用专用的服务器计算机作为服务器 它们一般有以下特点 可长期不间断工作 很多硬件都支持热插拔 有很大的存储容量 有较高的处理速度 有很高的网络通讯速度 有许多冗余设备 如双电源 双风扇等 网络操作系统 服务器计算机上不应该安装普通操作系统 应该安装网络操作系统 目前常用的网络操作系统包括UNIX Linux Windows等不同种类 用户可根据需要进行选择 其中大型服务器多采用UNIX系统 中小型服务器多使用Linux或Windows系统 Windows系统的主要好处是提供图形化界面 操作方法与普通Windows操作系统基本相同 但在有些功能和安全方面不如UNIX和Linux系统 WindowsServer2003的安装 WindowsServer2003的安装方法与其它Windows操作系统的安装方法基本相同 安装WindowsServer2003可以全新安装也可以升级安装 安装新操作系统或在安装多重操作系统时 应该使用全新安装 把现有Windows2000Server升级为WindowsServer2003 应使用升级安装 安装方法 光盘安装 用WindowsServer2003安装盘启动计算机 就可以直接进入安装界面 硬盘安装 把所有的WindowsServer2003安装文件复制到硬盘中 然后执行其中的安装文件 这种方法不能用于安装第1个操作系统 网络安装 把所有安装文件复制到一台计算机中 并把该文件夹设置为共享 其它计算机通过网络运行安装文件 本地用户账户和组账户 用户帐户是计算机的基本安全对象 计算机通过用户账户来辨别用户身份 只有拥有合法账户的用户才能登录计算机 才能访问计算机中的资源 用户账户 拥有账户的人员可以在本地登录计算机 也可以通过网络登录计算机 用户账户分为两种 本地用户账户和域用户账户 本地用户账户是针对一台计算机的账户 只能用于登录该计算机 域用户账户可针对一个计算机组 登录后 可访问该组中各台计算机 这个计算机组称为 域 每个用户帐户包含 安全标识符 用户名 密码等要素 用户名 是用户登录时使用的名字 密码 是用户登录时使用的密码 安全标识符 SID 是账户的内部名 在创建账户时 系统会自动为他生成一个SID 并通过SID来识别各账户 由于系统是通过SID来识别账户的 当删除一个用户帐户后 它的SID也被删除 如果此后再重新创建一个同名的帐户 由于产生的SID不同 它不能获得先前帐户的权利 应该看作一个新帐户 内置账户 在安装操作系统后 会自动生成几个账户 称为内置账户 1 Adiministrator 管理员 该帐户具有最高的权限 可执行各种管理任务 2 Guest 来宾 该帐户只具有基本的访问权限 没有修改权限 在默认情况下 该帐户是禁用的 在实际使用中 Administrator账户应该只由该计算机的管理者使用 应该给它加一个不易破解的强密码 必要时 可以改名 对其他访问者应该创建专门的账户供他们使用 本地用户账户管理 在WindowsServer2003中本地账户管理使用的控制台是 开始 管理工具 计算机管理本地账户的安全设置使用的控制台是 开始 管理工具 本地安全设置说明 进行账户管理时应使用管理员账户登录计算机 其他人员一般无权进行用户管理 新建本地用户账户 用户名 在一台计算机中各帐户不能重名 帐户名中不能包含以下字符 帐户名最长不能超过20个字符 全名 一般是用户的真实姓名 他不能用来登录计算机 只用于记录账户的归属 密码 应尽量使用复杂密码 密码选项 应根据需要进行设置 本地用户账户的使用 本地用户账户可用于本地登录该计算机 方法一 开机时用本地用户登录方法二 打开 开始 注销 可以注销当前帐户 然后切换到另一个用户帐户 本地用户账户也可用于通过网络登录该计算机 方法一 用 网上邻居 登录计算机 方法二 打开 开始 运行 输入 计算机名 或 IP地址 密码的更改 用户在本地登录计算机后 可以更改账户的密码 方法一 推荐 用户用自己的帐户登录计算机 按 Ctrl Alt Del 组合键 选择 修改密码 先输入该帐户原来的密码 再输入新密码和确认密码 方法二 打开 开始 管理工具 计算机管理 展开 本地用户和组 选中 用户 目录 在用户名称上单击右键 选择 设置密码 这种方法只能由管理员使用 他不需要输入原来的密码 用于用户忘记密码的情况 但会导致该帐户一些信息的丢失 本地组账户 组帐户是用户帐户的集合 它不能用于登录计算机 主要用于组织用户帐户 通常 我们把用途和权利相同的用户账户组织成一个组 然后通过组限制各用户账户的权利 这样可减轻管理负担 一个用户帐户也可以同时成为几个组的成员 该用户帐户的权限就是几个组权限的合并 WindowsServer2003有一些内置的组账户 它们的权利已经由系统预定义 用户也可以创建新组 并为组设置权利和权限 常用系统内置组 Administrators组 默认成员有Administrator帐户 该组的用户具有对服务器的完全控制权 并且可以为其它用户指派权限 Guests组 默认成员有Guest帐户 该组的用户只用来临时登录计算机 PowerUsers组 该组的成员具有较高的应用权限 但缺少安全管理权限 Users组 新增的用户默认加入Users组 他们只具备基本的访问权限 没有管理权限 新建组账户 打开 计算机管理 控制台 展开 本地用户和组 在 组 上单击右键 选择 新建组 打开新建组对话框 添入组名和描述就可以创建一个组 用 添加 按钮可以向组中添加一些用户 也可以以后再添加 通常只有管理员可以创建新组 新建的组没有默认用户权利 管理员可以为组设置权利 组成员的设置 方法一 在 计算机管理 控制台中 双击一个组的名字或单击右键选择属性 打开组属性对话框 可看到该组的成员列表 用 添加 按钮可向组中添加用户 用 删除 按钮可删除组成员 方法二 在 计算机管理 控制台中 双击一个用户的名字或单击右键选择属性 打开用户属性对话框 在 隶属于 选项卡中更改该用户所在的组 一个用户账户可同时属于多个组 不过这样做容易造成混乱 应尽量避免 特殊身份组 特殊身份组是系统预定义的一些组 但这些组的成员按条件组织的 不能由用户设置 最常用的特殊身份组是Everyone 它包含了本机中所有合法用户 利用特殊身份组可以简化权利和权限的设置 文件访问权限设置 NTFS文件系统 文件系统是操作系统在存储设备上保存数据所用的结构和机制 文件系统以磁盘或分区为单位建立 一个磁盘或分区中只能使用一种文件系统 Windows支持多种文件系统 常见的有FAT FAT32和NTFS NTFS文件系统是其中最先进的一种 有些功能只能在NTFS系统中实现 如压缩 加密 磁盘配额 访问权限等 NTFS压缩 利用压缩功能可节省一定的磁盘空间 压缩可以在文件 文件夹或磁盘分区上进行 压缩方法 在对象上单击右键 选择 属性 单击 常规 选项卡中的 高级 按钮 选中 压缩 属性 单击 确定 设置压缩范围后 用 确定 关闭对话框 说明 NTFS压缩不同于 rar zip等压缩方式 它不需要专门的软件 只要是在NTFS卷上就能进行 NTFS压缩后的文件在使用上与压缩前完全一样 不需要解压 NTFS压缩相当于一种文件属性 解压缩时只需去除该属性即可 压缩后的文件在访问速度上会略有下降 NTFS加密 加密功能可用于Windows2000 XP 2003等系统的NTFS文件系统中 WindowsXPHome不支持加密 加密可以在文件 文件夹上进行 加密方法 在对象上单击右键 选择 属性 单击 常规 选项卡中的 高级 按钮 选中 加密 属性 单击 确定 设置加密范围后 用 确定 关闭对话框 说明 NTFS加密是针对用户账户的 不需要密码 NTFS加密后的文件在使用上与加密前完全一样 不需要解密 但只有用该帐户登录才能使用 其他用户 包括管理员 都不能访问 NTFS加密与NTFS压缩不能同时使用 如果删除帐户或重装系统 将导致该用户加密的文件都无法打开 所以删除帐户或重装系统前应先解密 加密的文件夹仍可被其他用户打开并查看目录列表 只是无法打开文件 所以把NTFS权限和加密结合使用才能更好的保护文件 NTFS权限 利用NTFS权限可以控制用户对文件和文件夹的访问 权限设置方法 在对象上单击右键 选择 属性 选择 安全 选项卡 普通权限 普通权限包括 1 完全控制 2 修改 3 读取和运行 4 读取 5 写入 特别权限 遍历文件夹 运行文件列出文件夹 读取数据读取属性读取扩展属性创建文件 写入数据创建文件夹 附加数据写入属性写入扩展属性 删除读取权限修改权限获得所有权 普通权限往往是若干种特别权限的组合 所以普通权限可作为权限的粗略设置 特别权限可作为权限的精确设置 权限的组合 如果一个用户同时属于多个组 而各个组对同一个文件有不同的权限 则这个用户得到的是各个组的累加权限 如 某文件夹的权限中有 Everyone完全控制 001读 则001用户是属于Everyone组的 所以001的实际权限是 完全控制 说明 如果想要使某文件夹只能由特定的用户或组访问 应该将用户列表中的其他用户都删除 以防权限会因累加而扩大 权限的继承 新建的文件或文件夹会自动继承上一级文件夹或驱动器的NTFS权限 继承的权限是灰色的 不能更改 只能添加权限 当继承的权限影响了我们对权限的设置时 可以将其删除 单击 高级 按钮 去除 允许父项的继承 复选框 单击 应用 按钮 可以删除所有继承的权限 只保留那些明确指定的权限 将权限应用到子文件夹中 新建的文件或文件夹会自动继承上一级文件夹或驱动器的NTFS权限 但修改了一个文件夹的权限后 它不会自动应用到它内部已存在子文件夹上 将权限应用到子文件夹的方法 单击 高级 按钮 选中 用在此显示的可以应用到子对象的项目代替所有子对象的权限项目 复选框 单击 应用 按钮 文件所有权 当我们用一个账户登录计算机后 他对他创建的文件夹和文件拥有所有权 一个用户通常只能对拥有所有权的文件夹设置权限 无权修改其他用户的文件夹权限 另外 如果启用了磁盘配额 则一个用户的磁盘使用量是他拥有所有权的文件容量的总和 抢夺文件所有权 管理员组的用户可以抢夺文件夹的所有权 也可以把所有权指派给另一个用户 如果一个用户对文件夹拥有 完全控制 权限 他也可以重新设置文件夹的所有权 抢夺所有权的方法 单击 高级 按钮 选择 所有权 选项卡 设置文件所有权 如果选中 替换子容器及对象的所有权 复选框 可以同时抢夺子文件夹的所有权 文件共享 资源共享 资源共享是指将本计算机中的资源允许其他用户通过网络进行访问 共享的资源可以是文件夹 磁盘分区 打印机等 共享资源只能在本地计算机上设置 任何人无权通过网络在其它计算机上设置共享文件资源 只有Administrators PowerUsers等组的用户有权把本机的资源设置为共享资源 创建共享文件夹 用 资源管理器 中找到要共享的文件夹 打开它属性中的 共享 选项卡 设置共享 共享名 注释 权限等 则该文件夹就成为共享文件夹 共享名是访问者在网络中看到的文件夹名 它可以与真实文件夹名相同 也可以不同 在同一台计算机中不能有共享名相同的共享文件夹 共享权限 单击 权限 按钮可以查看和修改该文件夹的共享权限 读取 用户能读取文件夹中的文件 不能修改 删除 更改 用户能读取 修改 添加 删除文件夹中的文件 完全控制 除了具有更改权限外 还可以重新设置文件夹的权限 WindowsServer2003中 默认的共享权限是 Everyone读取 用户访问权限 如果共享文件夹位于一个使用NTFS文件系统的磁盘上 则用户对它的访问权限同时受共享权限和NTFS权限的约束 是 共享权限与NTFS权限的交集 共享权限 只对网络访问者起作用 NTFS权限 对本地访问者和网络访问者都起作用 例 某文件夹的共享权限是 Everyone更改 NTFS权限是 Administrator完全控制 001更改 Everyone读 进行网络访问时 Administrator 更改001 更改其他用户 读 创建有多个共享名的共享文件夹 一个共享文件夹可以设置多个不同的共享名 每个共享名可以指定不同的访问者和权限 创建方法 打开共享文件夹属性中的 共享 选项卡 单击 新建共享 按钮 可以添加新的共享名和权限 访问者在 网上邻居 中看到的是不同的文件夹 实际上它们是一个文件夹 创建隐藏的共享文件夹 如果在创建共享文