网络安全讲义第4章

1、第4章 Windows2000系统平安4.1 操作系统平安根底4.2 windows2000账号平安4.3 windows2000文件系统平安4.4 windows2000主机平安教学要求：掌握windows2000系统账号平安、文件系统平安、主机平安知识，可根据需求运用适宜的平安措施，保证操作系统的平安性。.4.1 操作系统平安根底一、平安管理目的1 防止非法操作：防止非法用户或合法用户的越权操作。2 数据维护：文件系统完好性检查、数据加密3 管理用户：合理运用系统资源4 保证系统的完好性：系统备份5 系统维护：防止某用户长期占用资源.4.1 操作系统平安根底二、平安管理措施操作系统的平安管

2、理措施主要由安装系统补丁、登录平安控制、用户帐号及密码平安，文件系统平安、主机平安管理等组成。其中心是普通用户平安管理和特权级用户平安管理。1 普通用户平安管理：提高平安认识与知识掌握2 特权用户平安管理：特权用户账号和密码的平安.4.2 windows2000账号平安一、账号种类域的创建1 域用户账号在域控制器上建立，是访问域的独一凭证。每个帐户有一个独一的SID平安标识符。2 本地用户账号3 内置的用户帐号：administrator和guest.4.2 windows2000账号平安二、帐号与密码商定1 帐号命名商定：域用户帐号的用户登录名在活动目录AD中必需独一；域用户帐号的完全称号在

3、创建该用户帐号的域中必需独一；本地用户帐号在创建该帐号的计算机上必需独一；假设用户名有反复，应在账号上区别出来；暂时用户名，应容易识别2 密码商定.4.2 windows2000账号平安三、账号和密码平安设置1 域中用户的“属性2 “平安设置中的“密码战略。域控制器平安战略；域平安战略；本地平安战略。本地平安战略是本地战略的一部分，在开机的时后就会被执行，无论他能否处于任务组方式还是域方式；域平安战略是域战略的一部分，作用范围是整个域，因此一台计算机只需处于域方式，就会采用域战略；域控制器战略是在域控制器组上的战略。.4.2 windows2000账号平安一台处于任务组方式的计算机只会执行本地

4、平安战略，而域控制器那么至少要执行本地平安战略，域平安战略，域控制器平安战略三个战略，即处于域方式的计算机要执行多条战略。默许情况下，当多条战略之间不产生冲突的时候，多条战略之间是和并执行；但当产生冲突的时候，后执行的战略会替代先执行的战略。而执行顺序为本地-域-域控制器，所以本地平安战略和域平安战略发生冲突，域平安战略有效；域平安战略和域控制器平安战略发生冲突，域控制器平安战略有效。.4.3 windows文件系统平安一、NTFS权限及运用原那么1 NTFS权限：NTFS权限是基于NTFS分区实现的，可以实现高度的本地平安性。只需administrator组成员才干有效设置NTFS权限每个文

5、件和文件夹有一个ACLAccess Control List，记录每一个用户和组对该资源的访问权限。2 NTFS权限的运用原那么1权限最大原那么2文件权限超越文件夹权限原那么3回绝权限超越其他权限原那么3 NTFS权限设置操作文件文件夹的“属性-平安.4.3 windows文件系统平安如：用户Teacher同时属于Group1、Group2、Manager个组，对于资源Data文件夹分别具有如下权限：组或用户 权限Teacher 完全控制Group1 读取Group2 写入Manager 列出文件夹目录那么：Teacher对Data文件夹的最终权限为完全控制假设Manager组对Data文件夹

6、的权限为“回绝，那么Teacher对Data文件夹的最终权限为：回绝假设用户对Data文件夹下的一个文件File.doc被赋予“读取权限，那么最终用户对该文件的权限为：读取.4.3 windows文件系统平安二、NTFS权限的承继性1 在同一个NTFS分区内挪动文件或文件夹：保管一切NTFS权限2 在不同NTFS分区之间挪动文件或文件夹：承继目的分区中文件夹的权限3 在同一个NTFS分区内复制文件或文件夹：承继目的位置中文件夹的权限4在不同NTFS分区之间复制文件或文件夹：承继目的位置中文件夹的权限.4.3 windows文件系统平安三、共享文件夹权限管理共享文件夹的权限：读、修正和完全控制四

7、、文件的加密与解密Windows2000的NTFS文件系统中内置了EFS加密文件系统。EFS结合运用了DES和RSA加密算法，将私钥和用户的ID结合在一同。文件文件夹属性-常规-高级.4.4 windows主机平安一、运用平安战略1 本地平安战略在单个计算机上实现。包括帐户战略、本地战略、公钥战略和IP平安战略“管理工具-本地平安战略2 组战略在站点、组织单元或域的范围内实现。包括用户配置战略和计算机配置战略。只能运用在基于windows2000的域控制器的网络中的计算机和用户；不包括共享文件夹、打印机等。“管理工具-Active Directory用户和计算机-域的“属性-组战略或运转：gp

8、edit.msc.4.4 windows主机平安多个战略同时存在时，首先是本地战略；其次是站点和域战略；最后是组织单元组的战略。战略的有效值是多个战略的并集，当有冲突时，后面的替代前面的设置值。一条战略又可以分为计算机战略和用户战略，计算机战略作用在计算机上，用户战略作用在用户对象上，当同一条战略的计算机战略和用户战略产生冲突的时候，以计算机战略为准.4.4 windows主机平安3 运用预定义平安模版预定义平安模版中包含了大多数的常用的平安设置，可经过导入直接运用。预定义平安模版有4种平安级别：1根本Basic：Basicdc,Basicsv,Basicwk2兼容Compatible:Compatwk3平安Secure：Securewk,Securedc4高度平安High：hisecws,hisecdc.4.4 windows主机平安预定义平安模版的运用：在命令中键入MMC，翻开控制台，“控制台添加/删除管理单元添加“平安模版，可对各模版进展认识“控制台-“添加/删除管理单元，“添加-“平安配置和分析，可对一台数据库进展平安配置在各“平安设置时，都可采用“导入战略.4.4