windows2003安全介绍

1、Windows 2003安全介绍 什么网络操作系统 Windows Server 2003 介绍 Windows Server 2003 安全性 Windows Server安全部署 安全工具提纲提纲什么是网络操作系统 网络操作系统（NOS）是网络的心脏和灵魂，是向网络计算机提供服务的特殊的操作系统。网络操作系统运行在称为服务器的计算机上，并由联网的计算机用户共享，这类用户称为客户。 NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。 NOS是以使网络相关特性达到最佳为目的的，如共享设备、数据文件、软件应用等。一般计算机的操作系统，其目的是让用户与系统及在此

2、操作系统上运行的各种应用之间的交互作用最佳。 NOS与用户操作系统的不同 为防止一次由一个以上的用户对文件进行访问，一般网络操作系统都具有文件或数据加锁功能。如果系统没有这种功能，用户将不会正常工作。文件加锁功能可跟踪使用中的每个文件，并确保一次只能一个用户对其进行编辑。 文件也进行加密，以维持专用文件的专用性。 NOS还负责管理网络用户和网络设备之间的连接。NOS总是跟踪每一个可供使用的设备，以及每个用户的请求，并对如何满足这些请求进行管理，使每个端用户感到进行操作的设备犹如与其计算机直接相连。 最重要的一点，需要高效、可靠的网络通信能力，并提供提供多种网络服务功能和应用软件系统服务，其对性

3、能的要求远小于对可用性的要求。网络操作系统的要求 1.NOS允许在不同的硬件平台上安装和使用，能够支持各种的网络协议和网络服务。 2.提供必要的网络连接支持，能够连接两个不同的网络。 3.提供多用户协同工作的支持，具有多种网络设置，管理的工具软件，能够方便的完成网络的管理。 4.有很高的安全性，能够进行系统安全性保护和各类用户的存取权限控制。提纲提纲Windows Server 2003 Windows Server 2003是微软的网络操作系统。 最初叫作“Windows .NET Server”，后改成“Windows .NET Server 2003”，最终被改成“Windows Ser

4、ver 2003”，于2003年3月28日发布，并在同年四月底上市。 当.NET承接Windows 2000的成功进行大踏步前进时，比尔盖茨向微软所有参与.NET开发的所有程序员发出一封邮件，让大家停止开发，转而去思考如何解决服务器操作系统的安全问题 这个决定使开发工作停滞了40天，也对最终的Server 2003的产生了巨大的影响。 Windows 2000 的的支支持持生生命命周周期期在在2010年年7月月13日日已已结结束束Windows Server 2003版本Windows Server 2003 Web版版用于构建和存放Web应用程序、网页和XMLWeb Services。它主要

5、使用IIS6.0 Web服务器并提供快速开发和部署使用ASP。NET技术的XML Web services和应用程序。支持双处理器，最低支持256MB的内存.它最高支持2GB的内存。Windows Server 2003 标标准准版版销售目标是中小型企业，支持文件和打印机共享，提供安全的Internet连接，允许集中的应用程序部署。支持4个处理器；最低支持256MB的内存，最高支持4GB的内存。Windows Server 2003 企企业业版版Windows Server 2003 企业版与 Windows Server 2003 标准版的主要区别在于：Windows Server 2003

6、 企业版 支持高性能服务器，并且可以群集服务器，以便处理更大的负荷。通过这些功能实现了可靠性，有助于确保系统即使在出现问题时仍可用。在一个系统或分区中最多支持八个处理器，八节点群集，最高支持32GB的内存。Windows Server 2003 数数据据中中心心版版针对要求最高级别的可伸缩性、可用性和可靠性的大型企业或国家机构等而设计的。它是最强大的服务器操作系统。分为32位版与64位版： 32位版支持32个处理器，支持8点集群；最低要求128MB内存，最高支持512GB的内存。 64位版支持Itanium和Itanium2两种处理器，支持64个处理器与支持8点集群；最低支持1GB的内存，最高

7、支持512GB的内存。Windows Server 2003 R2 R2是Windows Server 2003的改进版本，在2005年12月发售，但旧版的用户不能免费更新到新版本，而需要付费更新。不过，现时市面上所发售的都是R2。R2的属性除了包含Win2K3 SP1以外，还有另外一片CD，包含更多新的功能。 R2的额外新功能的额外新功能 分支办事处服务器管理 文档和打印机集中管理工具 增强的分布式文件系统(DFS) 命名空间管理界面 WIN 2003十大特点 1. 便于部署、管理和使用 由于具有用户所熟悉的Windows界面，Windows Server 2003非常易于使用。精简的新向导

8、简化了特定服务器角色的安装和例程服务器管理任务，从而使即便是没有专职管理员的服务器，管理起来也很简单 2. 安全的基础结构 Windows Server 2003 使单位可以利用现有 IT 投资的优势，并通过部署关键功能将这些优势扩展。Active Directory 中的标识管理的范围跨越整个网络，从而帮助您确保整个企业的安全。 3. 企业级可靠性、可用性、可伸缩性和性能 通过一系列新功能和改进功能（包括内存镜像、热添加内存以及 Internet 信息服务 IIS 6.0 中的状态检测），可靠性和性能都得到了增强。 4. 增强和采用最新技术，降低了TCO Windows Server 200

9、3 提供许多技术革新以帮助单位降低总体拥有成本 (TCO)。 WIN 2003十大特点（续一） 5. 便于创建动态Intranet和Internet Web站点 IIS 6.0 是 Windows Server 2003 中包含的 Web 服务器，它提供增强的安全性和可靠的结构（该结构独立于其他应用程序，并极大地提高了性能）。 6. 用 Integrated Application Server 加快开发速度 Windows Server 2003是完全基于Microsoft .NET架构的操作系统，具有.NET跨平台、易操作的各种特性。 7. 便于查找、共享和重新利用 XML Web 服务

10、Windows Server 2003包含了名为企业通用描述、发现与集成的服务。IT管理人员可以分类和管理网络中的编程资源。企业UDDI服务也帮助企业建立更智能，更可靠的应用。 WIN 2003十大特点（续二） 8. 稳定的管理工具 新的组策略管理控制台 (GPMC) 预计可作为外接组件使用，它使管理员可以更好地部署并管理那些自动调整关键配置区域（如用户的桌面、设置、安全和漫游配置文件）的策略。 9. 降低支持成本，增强用户功能 由于有了新的影像复制功能，网络用户可立即检索到误修改或删除的文件。分布式文件系统 (DFS) 和文件复制服务 (FRS) 的增强为用户提供一种一致的方法，使他们无论身

11、在何处都能访问其文件。 10. 利用全球伙伴和认证专业人士网的专家知识 单位将获得全球范围内的广泛的解决方案和专门技术，其中包括 750,000 家提供硬件、软件和服务的合作伙伴以及 450,000 名 Microsoft 认证专家 (MCP)。 WIN 2003十大新功能 1. Active Directory 改进 在 Windows 2000 引入的 Microsoft Active Directory服务简化了复杂网络目录的管理，并使用户即使在最大的网络上也能够很容易地查找资源。 2. 组策略管理控制台 管理员可以使用组策略定义设置以及允许用户和计算机执行的操作。与本地策略相比，单位可

12、以使用组策略在Active Directory 中设置应用于指定站点、域或组织单位的策略。 3. 策略结果集 策略结果集 (RSoP) 工具允许管理员查看目标用户或计算机上的组策略效果，能够使用强大灵活的基本工具来计划、监控组策略和解决组策略问题。 WIN 2003十大新功能（续一） 4. 卷影像复制恢复 作为卷影像复制服务的一部分，此功能使管理员能够在不中断服务的情况下配置关键数据卷的即时点副本。用户可以检索他们文档的存档版本 5. Internet Information Services 6.0 Internet Information Services (IIS) 6.0是启用了Web

13、应用程序和 XML Web服务的全功能的 Web 服务器。IIS 6.0是全新设计的，它将单个的 Web应用程序或多个站点分隔到一个独立的进程（称为应用程序池）中，提高了系统可靠性。WIN 2003十大新功能（续二）6. 集成的 .NET 框架 Microsoft .NET 框架是用于生成、部署和运行Web应用程序、智能客户应用程序和XML Web服务的 Microsoft .NET连接的软件和技术的编程模型， .NET框架为将现有的投资与新一代应用程序和服务集成起来而提供了高效率的基于标准的环境7. 命令行管理 Windows Server 2003通过使用Windows管理规范(WMI)启

14、用的信息存储来执行大多数任务的功能。与现有的外壳程序和实用工具命令交互操作，并可以很容易地被脚本或其他面向管理的应用程序扩展8. 群集（8 节点支持） 此服务仅用于Windows Server 2003企业版和Windows Server 2003 Datacenter版，它为任务关键型应用程序（例如数据库、消息系统以及文件和打印服务）提供高可用性和伸缩性。 WIN 2003十大新功能（续三） 9. 安全的无线 LAN (802.1X) Windows Server 2003系列对 802.1X提供了更好更安全的支持，能确保所有物理访问都是已授权和加密的。使用基于802.1X的无线访问点或选项

15、，公司可以确保只有受信任的系统才能与受保护的网络连接并交换数据包。 10. 紧急管理服务： 无外设服务器支持 “无外设服务器”功能使 IT 管理员在没有监视器、VGA 显示适配器、键盘或鼠标的情况下也能安装和管理计算机。紧急管理服务是一种新增功能，它使 IT 管理员在无法使用服务器时通过网络或其他标准的远程管理工具和机制，执行远程管理和系统恢复任务。提纲提纲操作系统安全定义 信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的信息安全评估标准 ITSEC和TCSEC TCSEC描述的系统安全级别 D-A CC(Common Critical)标准

16、BS 7799:2000标准体系 ISO 17799标准TCSEC安全等级基于C2级标准的安全组件 灵灵活活的的访访问问控控制制-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。 对对象象再再利利用用-Windows 很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。 强强制制登登陆陆-Windows 用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。 审审计计-因为Windows 采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。 控控制制对对象

17、象的的访访问问-Windows 不允许直接访问系统里的资源。Windows系统漏洞导致的损失 2004年，Mydoom所造成的经济损失已经达到261亿美元 。 2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。 2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。 服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子

18、系统动态链接库OS/2POSIXWin32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HAL（硬件抽象层）Micro kernel安全引用监视器Windows NT系统构架进程和线程什么是进程？ 代表了运行程序的一个实例 每一个进程有一个私有的内存地址空间什么是线程？ 进程内的一个执行上下文 进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程 运行程序的“主”函数 可以在同一个进程中创建其他的线程 可以创建额外的进程

19、系统进程 基本的系统进程 System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间 smss.exe 会话管理子系统，负责启动用户会话 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器 internat.exe 托盘区的拼音图标系统进程树smss.exe对话管理器对话管理器第一个

20、创建的进程引入参数HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(csrss) ，然后winlogoncsrss.exeWin32 子系统子系统winlogon.exe登录进程登录进程装入services.exe 和 lsass.exe 显示登录对话框（“键入CTRL+ALT+DEL ，登录） 当有人登入，运行HKLMSoftwareMicrosoftWindows NTWinLogonUserinit中的进程（通常只是userinit.exe) services.exe 服务控制器也是几项服务的出发点服务控制器也是几项服务的

21、出发点服务的开始进程不是services.exe的一部分 (由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器（打开本地安全验证服务器（打开SAM）userinit.exe登陆之后启动登陆之后启动启动外壳（通常是Explorer.exe HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinLogonShell) 装入配置文件，恢复驱动器标识符映象，退出explorer.exe和它的子进程是所有交互式应用的创建者 附加的系统进程 mstask.exe 允许程序在指定时间运行。(系统服务)

22、regsvc.exe 允许远程注册表操作。 (系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务) dns.exe 应答对域名系统 (DNS)名称的查询和更新请求。(系统服务) 。Windows系统的安全架构 Windows NT系统内置支持用户认证、访问 控制、管理、审核。Windows系统的安全组件访问控制的判断（Discretion access control） 允许对象所有者可以控制

23、谁被允许访问该对象以及访问的方式。 对象重用（Object reuse） 当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。 强制登陆（Mandatory log on） 要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing） 在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object） 不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。安全子系统的组件（1）安全标识符（Securit

24、y Identifiers）: 就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。 SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 例： S-1-5-21-1763234323-3212657521-1234321321-500访问令牌（Access tokens）: 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT

25、检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。安全子系统的组件（2）安全描述符（Security descriptors）： Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）： 访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，

26、允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Access control entries）: 访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。 安全子系统（1） 安全子系统包括以下部分： Winlogon Graphical Identification and Authentication DLL (GINA) Local Security Authority(LSA) Security Support Provider Inte

27、rface(SSPI) Authentication Packages Security support providers Netlogon Service Security Account Manager(SAM)安全子系统（2）WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库安全子系统（3） Winlogon

28、 and Gina: Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。 Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL键，Winlogon将使用这个DLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL安全子系统（4）本地安全认证（Local Security Auth

29、ority）： 本地安全认证（LSA）是一个被保护的子系统，它负责以下任务： 调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。 重新找回本地组的SIDs和用户的权限。 创建用户的访问令牌。 管理本地安装的服务所使用的服务账号。 储存和映射用户权限。 管理审核的策略和设置。

30、管理信任关系。安全子系统（5） 安全支持提供者的接口（Security Support Provide Interface）： 微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。所有通过API调用进行。 认证包（Authentication Package）： 认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。安全子系统（6） 安全支持提供者（Security Supp

31、ort Provider）： 安全支持提供者是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种： Msnsspc.dll：微软网络挑战/反应认证模块 Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用 Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。安全子系统（7） 网络登陆（Netl

32、ogon）： 网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的SIDs和用户权限。 安全账号管理者（Security Account Manager）： 安全账号管理者，也就是我们经常所说的SAM，它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam，在域复制的过程中，Sam包将会被拷贝。用户登录认证过程提纲提纲身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSec

33、SSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2003基本安全注意事项基本安全注意事项访问控制访问控制TCP/IP权限控制组权限IP安全策略Windows安全配置流程Win2003安装配置 建立和选择分区：建立和选择分区：NTFS 选择安装目录选择安装目录 不安装多余的组件不安装多余的组件 停止多余的服务停止多余的服务 安装系统补丁安装系统补丁多余的组件 Internt信息服务（IIS）（如不需要） 索引服务Indexing Service 消息队列服务（MSMQ） 远程安装服务 远程存储

34、服务 终端服务 终端服务授权Win2K3服务用户身份验证 交互式登录 使用域帐号 使用本地计算机帐户 网络身份验证 NTLM验证 Kerberos V5 安全套接字层/传输层安全（SSL/TLS）访问控制 NTFS与FAT分区文件属性 文件权限 用户权限 权限控制原则 网络访问控制NTFS与FAT分区权限FAT32NTFS文件权限用户权限 Administrators 组 Users 组 Power Users 组 Backup Operators组权限控制原则和特点 权限是累计的 用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。 拒绝的权限要比允许的权限高 拒绝权限

35、可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。 文件权限比文件夹权限高 利用用户组来进行权限控制 权限的最小化原则网络访问控制注意：不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的wind

36、ows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。利用IP安全策略实现访问控制设置设置IPSec策略，禁止策略，禁止Ping。EFS加密文件系统简介EFS（Encrypted File System，加密文件系统）是，加密文件系统）是Windows NT 5.0之后所特有的一个实用功能，对于之后所特有的一个实用功能，对于NTFS卷上的文件和数据，都可以直接被操作系统加密卷上的文件和数据，都可以直接被操作系统加密保存，在很大程度上提高了数据的安全性。保存，在很大程度上提高了数据的安全性。采用单一密钥技术核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数

37、据加密用户使用透明，其他用户被拒绝不能加密压缩的和系统文件，加密后不能被共享、能被删除建议加密文件夹，不要加密单独的文件EFS恢复代理 故障恢复代理就是获得授权解密由其他用户加密的数据的管理员 必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。 默认的超级管理员就是恢复代理默认的超级管理员就是恢复代理 使用条件：当加密密钥丢失本地安全策略-帐号策略 账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期 30天 账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟本地安全策略-本地策略 审核

38、策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。 用户权利分配：决定在计算机上有登录/任务特权的用户或组。 安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。安全模板与配置分析工具 安全模板 安全配置分析 配置计算机预定义安全模板 默认工作站 (basicwk.inf) 默认服务器 (basicsv.inf) 默认域控制器 (basicdc.inf) 兼容工作站或服务器 (compatws.inf) 安全工作站或服务器 (securews.inf) 高度安全工作站或服务器

39、(hisecws.inf) 专用域控制器 (dedicadc.inf) 安全域控制器 (securedc.inf) 高度安全域控制器 (hisecdc.inf) 用户管理 更改超级管理名称 取消guest帐号 合理分配其它用户权限注册表安全设置举例不显示上次登录的用户名HKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogon将将DontDisplayLastUserName的值设为的值设为1禁止默认网络共享服务器:Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName: AutoSh