网络安全设计标准教程(上)208

网络平安设计标准教程第1章网络平安概论

第2章网络攻击的目的、方法和原理

第3章效劳器操作系统根底

第4章用户管理

第5章数据文件的平安管理

第6章身份验证和证书效劳

第7章文件共享与打印效劳

第8章Internet信息效劳

第9章网络监视与调整

第10章平安审核

第11章终端效劳

第12章网络传输平安第1章网络平安概论教学重点了解互联网开展趋势了解解决网络平安的两大方法防火墙加密对黑客入侵手段做常识性了解互联网开展现状分析表1-1互联网开展人数比照图统计截至时间上网人数（万）上网计算机数（万）网络国际出口带宽(M)2004.6.3087003630539412003.12.3179503089272162003.6.3068002572185992000.6.30169065012341999.6.304001462411998.6.30117.554.284.641997.10.316229.925.408建立平安机制的必要性互联网的平安划分网络运行的平安信息平安中国互联网的平安现状信息和网络的平安防护能力较差根底信息产业严重依靠国外信息平安管理机构权威性不够全社会的信息平安意识淡薄网络平安的根本概念从技术角度来说，网络平安的目标可归纳为4个方面：可用性机密性完整性不可抵赖性网络平安的根本概念(续)可用性可用性指信息或者信息系统可被合法用户访问，并按其要求运行的特性。机密性机密性将对敏感数据的访问权限制在那些经授权的个人，只有他们才能查看数据。完整性完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。网络平安的根本概念(续)不可抵赖性不可抵赖性也叫不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。防火墙技术加密技术加密技术所谓加密技术，即是对信息进行编码和解码的技术，编码是把原来可读信息〔又称明文〕译成代码形式〔又称密文〕，其逆过程就是解码〔解密〕。加密技术(续)加密算法对称加密非对称加密不可逆加密加密技术(续)对称加密算法加密技术(续)非对称加密算法加密技术〔续〕不可逆加密算法加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。加密技术〔续〕加密技术非否认〔Non-repudiation〕技术PGP〔PrettyGoodPrivacy〕技术数字签名〔DigitalSignature〕技术PKI〔PublicKeyInfrastructure〕技术管理黑客活动黑客活动分类入侵攻击窃听管理黑客活动黑客入侵实例分析2004年10月，广州某软件公司的效劳器遭到入侵，局部数据正被人非法下载。经过入侵检测分析检查发现，此次入侵即是首先监听获得某些敏感数据而进入系统的。习题1．简述中国互联网的开展状况及其存在的平安问题。2．什么是信息平安？用以保障信息平安的常见手段有哪些？3．简单比较对称加密和非对称加密的异同。4．列举常见的黑客行为。5．谈谈对某些青少年热中于做黑客的看法。第2章网络攻击的目的、

方法和原理教学重点计算机网络平安的成因什么是网络攻击及网络平安设计的目的网络攻击利用网络非法获取他人信息或影响计算机正常运行、通信以及导致计算机有异常动作的行为均称为网络攻击。网络攻击的根本步骤网络攻击隐藏自已的位置寻找并分析目标主机获取账户和密码，登录主机保持访问隐藏踪迹窃取网络资源和特权网络攻击的根本步骤〔续〕隐藏自已的位置攻击者都会利用各种手段隐藏他们真实的IP地址。寻找并分析目标主机攻击者首先要寻找目标主机。真正标识主机的是计算机的IP地址。获取账户和密码，登录主机攻击者会先设法盗窃账户文件，进行破解，从中获取某用户的账户和口令，再以此身份进入主机。网络攻击的根本步骤〔续〕保持访问攻击者进入目标主机获得控制权之后，会尽量试图能够保持对目标主机的访问，会更改某些系统设置，留下后门，或是植入特洛伊木马。隐藏踪迹攻击者会去除日志文件中有关他攻击的记录。窃取网络资源和特权攻击者找到攻击目标后，会在恰当的时机继续下一步的攻击。常见攻击手法口令入侵获取合法用户的账户利用目标主机的Finger功能利用目标主机的X.500效劳从电子邮件地址中收集查看主机是否有习惯性的账户植入特洛伊木马程序特洛伊木马程序可以被直接侵入目标主机。常见攻击手法〔续〕WWW的欺骗技术攻击者将用户预备浏览的网页的URL，改写为指向攻击者的计算机电子邮件攻击电子邮件轰炸和电子邮件“滚雪球〞。电子邮件欺骗。通过一个节点攻击其他节点攻击者在突破一台目标主机后，以此目标主机作为根据地，攻击其他主机。常见攻击手法〔续〕网络监听网络监听是计算机的一种工作模式。黑客软件利用黑客软件攻击是互联网上比较多的一种攻击手法。平安漏洞攻击任何系统都会存在一定数量的平安漏洞。端口扫描攻击端口扫描利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等。网络攻击手法的原理剖析网络攻击手法背后的原理缓冲区溢出攻击注入攻击ddos攻击缓冲区溢出攻击的原理和防范措施缓冲区溢出的原理攻击者向一个有限空间的缓冲区中置入过长的字符串，会带来后果：过长的字符串覆盖了邻近的存储单元，结果导致了其他程序运行失败，严重的可能会引起系统崩溃；利用这种漏洞执行任意指令，甚至是取得系统控制权。缓冲区溢出攻击的原理和防范措施〔续〕对缓冲区溢出攻击的防范针对缓冲区溢出攻击，系统管理员必须做到：关闭不需要的特权程序关闭不需要使用的端口和效劳及时给软件漏洞打补丁尽量不以管理员的身份运行软件拒绝效劳攻击的原理和防范措施目标效劳器遭受到了拒绝效劳攻击或分布式拒绝效劳目标主机上有大量等待的TCP连接。网络中充满着大量的无用的数据包，源地址那么并不存在。存在高流量的无用数据，网络拥塞，目标主机无法响应正常请求。利用目标主机提供的效劳或传输协议上的缺陷，反复高速出现特定的效劳请求。目标主机系统死机。拒绝效劳攻击的原理和防范措施〔续〕分布式拒绝效劳的原理一个比较完善的DDoS攻击体系通常由四局部构成。攻击者中间傀儡机攻击傀儡机目标主机拒绝效劳攻击的原理和防范措施〔续〕分布式拒绝效劳的防范主机系统关闭不必要的效劳。及时更新系统补丁。防火墙关闭不必要的效劳。限制特定IP地址的访问。启用防火墙的防DDoS的属性。严格限制对外开放的效劳器的向外访问。网络平安设计的原那么标识并加强最弱的环节提供彻底防御平安故障的管理最小特权划分使平安策略保持简单隐私不要试图隐藏所有的秘密不要轻易扩展信任网络平安设计的原那么〔续〕原那么一：保护最薄弱的环节攻击者倾向于设法攻击最易攻击的环节，也就是系统最薄弱的环节。原那么二：纵深防御纵深防御的思想是：使用多级防御策略来管理风险，以便在一层防御不够时，还有第二、第三层防御将会阻止完全的破坏。原那么三：保护故障任何足够精巧复杂的系统都难免会有故障方式。网络平安设计的原那么〔续〕原那么四：最小特权最小特权原那么：最小特权原那么指只授予执行操作所必需的最少访问权，并且对于该访问权只准许使用所需的最少时间。原那么五：分隔分隔的根本思想是指将系统分成尽可能多的独立单元，那么，系统遭到攻击后的损失可以降至最低。原那么六：简单性保持简单性意味着，不应该添加看上去花哨的功能。网络平安设计的原那么〔续〕原那么七：提升隐私常见的解决方案在客户端显示局部信用卡号，而隐藏某些数字，同时总是对信用卡号加锁。在效劳器端，应该加密信用卡号，然后将它输入数据库。在另一台机器上保存信用卡号的密钥。网络平安设计的原那么〔续〕〔续〕原那么八：不要试图隐藏所有的秘密平安性通常是有关保守秘密的。用户不想让其个人数据泄漏出去，然而事实上很难满足这些所有的保密需求。原那么九：不要轻易扩展信任不要轻易扩展信任指不要轻易认为信任可传递。习题1．什么是网络攻击以及网络平安设计的目的是什么？2．简述网络攻击的根本步骤。3．试编写程序实现缓冲区溢出攻击。4．简述分布式拒绝效劳的原理。5．简述平安根本原那么并举出生活中实际案例来说明这些原那么的有效性。第3章效劳器操作

系统根底教学重点操作系统开展趋势操作系统根本原理Windows2003的平安模块操作系统根本原理计算机系统的组成

操作系统根本原理〔续〕操作系统四个根本特征并发性〔Concurrence〕共享性〔Sharing〕互斥共享同时共享虚拟性〔Virtual〕异步性〔Asynchronism〕〔不确定性〕程序执行的结果是不确定的进程是以异步方式运行的。常见的操作系统分类及其典型代表微机操作系统多用户多任务操作系统UNIX主要特点短小精悍简洁有效易移植可扩充开放性多处理机操作系统主-从式〔Master-SlaveMode〕多处理机操作系统对称式多处理操作系统常见的操作系统分类及其典型代表〔续〕网络操作系统可把计算机网络广域网〔WideAreaNetwork，WAN〕局域网〔LocalAreaNetwork，LAN〕分布式操作系统分布式操作一种多处理机〔或多计算机〕系统。WindowsServer2003的安装和配置WindowsServer2003概述WindowsServer2003WebEditionWindowsServer2003StandardEditionWindowsServer2003EnterpriseEditionWindowsServer2003DataCenterEditionWindowsServer2003的安装和配置〔续〕WindowsServer2003的安装硬件配置CPU要求内存要求硬盘系统规划效劳器用做什么用途，网站是什么定位分区格式化驱动器WindowsServer2003平安特性概述活动目录域可以做的事情集中存储用户和密码列表提供一组效劳器作为“身份验证效劳器〞或“登录效劳器〞对域中的资源维护一个可供搜索的索引创立带有不同级别权限的用户将域分解为子域，然后将针对这些组织单位的各种级别的控制和权限，分配给指定的个体WindowsServer2003平安特性概述〔续〕活动目录〔续〕域作为“平安的边界〞而存在，活动目录的信任传递关系就简化了对多域的管理WindowsServer2003平安特性概述〔续〕公钥密码系统公钥系统所能做到的典型应用证书效劳可伸缩的CA层次模型平安的Web通信平安通信标准认证码WindowsServer2003平安特性概述〔续〕加密文件系统右击需要加密的文件或文件夹，在菜单中选择“属性〞命令。在属性对话框中单击“高级〞按钮。WindowsServer2003平安特性概述〔续〕加密文件系统〔续〕在高级对话框中选中“加密内容以便保护数据〞复选框，单击“确定〞按钮。在属性对话框中单击“确定〞按钮后。单击“确定〞按钮。WindowsServer2003平安特性概述〔续〕使用Windwos的平安配置工具集Windows的平安配置工具为管理员提供了单独的管理点在基于Windows2003的一台或多台计算机上配置平安设置。在基于Windows2003的一台或多台计算机上配置平安分析。把平安配置当作组策略的一局部使用。命令行模式的Secedit.exe单击“开始〞菜单，单击“运行〞命令WindowsServer2003平安特性概述〔续〕使用Windwos的平安配置工具集〔续〕命令行模式的Secedit.exe〔续〕在“翻开〞文本框中输入“cmd〞，单击“确定〞按钮此时会运行命令提示符，输入“secedit〞WindowsServer2003平安特性概述〔续〕使用Windwos的平安配置工具集〔续〕窗口模式的平安配置与分析工具启动管理控制台使用快捷键Win+R输入“mmc〞，单击“确定〞按钮运行管理控制台如果管理控制台还没有添加过“平安配置与分析〞工具，那么在控制台界面中，选择“文件〞菜单中的“添加/删除管理单元〞。在弹出的“添加/删除管理单元〞对话框中，单击“添加〞按钮。WindowsServer2003平安特性概述〔续〕使用Windwos的平安配置工具集〔续〕窗口模式的平安配置与分析工具〔续〕如果管理控制台还没有添加过“平安配置与分析〞工具，那么〔续〕在“添加独立的管理单元〞对话框中，在“可用的独立的管理单元〞列表中选择“平安配置和分析〞单击“添加〞按钮，依次单击“确定〞按钮WindowsServer2003平安特性概述〔续〕使用Windwos的平安配置工具集〔续〕平安模板账户策略目录对象事务日志本地文件系统系统效劳习题1．试述计算机系统的组成以及操作系统在其间的位置和作用。2．简述操作系统的根本特性。3．当前的操作系统一般分为几类？4．WindowsServer2003系列有几个版本？各有什么优势？5．试安装WindowsServer2003。6．简述WindowsServer2003的平安特性和主要平安模块。7．试配置WindowsServer2003的平安特性。第4章用户管理就教学重点创立及管理本地用户账户创立及管理域用户账户创立及管理计算机账户组的创立和管理组策略的创立及应用用户账户和组账户的概念和根本类型账户可以用于：验证计算机或用户的身份。授权或拒绝访问计算机和域中的资源。审核用户或计算机账号的活动。管理其他平安主体用户账户和组账户的概念和根本类型〔续〕WindowsServer2003用户账户内置账户本地用户账户域账户用户账户和组账户的概念和根本类型〔续〕WindowsServer2003组账户组的类型平安组通信组组的作用域域本地组全局组通用组计算机账户计算机账户也是一个平安主体。用户账户的管理在WindowsServer2003中，根据本地计算机是否作为“域控制器〞而拥有不同的用户管理工具。如果本地计算机是独立效劳器或者成员效劳器〔即非“域控制器〞〕，可以通过“开始〞菜单→“管理工具〞→“计算机管理〞→“本地用户和组〞管理工具来管理本地计算机用户账户和用户组。如果本地计算机是域控制器，那么可以使用“开始〞菜单→“管理工具〞→“ActiveDirectory用户和计算机〞管理工具来管理本地计算机用户账户和用户组。创立新用户账户设置用户账户登录名和用户根本信息翻开“ActiveDirectory用户和计算机〞管理工具，选择Users组织单元。在菜单栏中依次选择“操作〞→“新建〞→“用户〞命令。创立新用户账户〔续〕设置用户账户登录名和用户根本信息〔续〕创立新用户账户〔续〕设置用户账户登录密码强密码的要求长度至少有七个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。与先前的密码大不相同。创立新用户账户〔续〕设置密码的过程单击“新建对象－用户〞对话框中的“下一步〞按钮设置用户账户密码在“密码〞对话框中输入用户账户的密码在“新建对象－用户〞密码设置对话框有四个复选框用户下次登录时须修改密码用户不能更改密码密码永不过期账户已经禁用创立新用户账户〔续〕完成用户账户创立在“新建对象－用户〞密码设置对话框中单击“下一步〞按钮如果输入的密码不满足组策略的强密码要求，在单击“完成〞按钮时会弹出对话框，提示用户密码不符合强密码策略。用户账户密码策略修改用户账户密码在菜单栏中依次选择“操作〞→“重设密码〞在“新密码〞文本框中输入新的用户账户密码，在“确认密码〞对话框中再输入一次新密码用户账户密码策略〔续〕鼓励用户遵循最正确密码保护策略最正确密码保护策略：始终使用强密码。如果不得不将密码写在纸上，请将纸张保存在平安位置，并在不再需要时销毁。永远不要与任何人共享密码。对所有用户账户都分别使用不同的密码。密码一旦泄露，应立即更改密码。谨慎选择密码在计算机上保存的位置。设置用户账户属性修改、设置用户账户的属性双击“ActiveDirectory用户和计算机〞中的用户账户，或者右击用户账户，并在上下文菜单中选择“属性〞选项。设置用户账户属性〔续〕“常规〞选项卡在选项卡中输入用户的根本信息。“地址〞选项卡选择“地址〞选项卡，输入用户的详细通信地址信息。设置用户账户属性〔续〕“账户〞选项卡在创立用户账户时设置的用户账户根本信息，如登录名、所在域等信息可以在此窗口更改。设置用户账户属性〔续〕“账户〞选项卡〔续〕登录时间单击“账户〞窗口中的“登录时间〞按钮单击日期和钟点构成的二维表中的方块，并在右侧选择“允许登录〞或“拒绝登录〞。设置用户账户属性〔续〕“账户〞选项卡〔续〕登录到计算机在“账户〞选项卡中可以设置用户可以登录的计算机，默认设置为用户可以登录所有计算机。设置用户账户属性〔续〕“账户〞选项卡〔续〕账户选项使用可逆的加密保存密码交互式登录必须使用智能卡账户可以委派其他账户敏感账户，不能被委派此账户需要使用DES加密类型不要求Kerberos预身份验证账户过期在“账户〞选项卡上“账户过期〞区域内可以决定用户账户是否会过期。设置用户账户属性〔续〕“配置文件〞选项卡“配置文件〞选项卡，包括“用户配置文件〞和“主文件夹〞两个区域。设置用户账户属性〔续〕“〞选项卡〞选项卡中可以保存与用户相关的联系及一些备注信息。设置用户账户属性〔续〕“单位〞选项卡在“单位〞选项卡中可以输入用户所在公司、该用户的职务、部门、部门经理等信息。设置用户账户属性〔续〕“隶属于〞选项卡允许把用户添加到当前所在域的组中，或者添加到树林里其他域的组中。要将用户添加到某个组中单击“添加〞按钮“隶属于〞选项卡〔续〕要将用户添加到某个组中〔续〕在“输入对象名称来选择〞文本框中输入用户所属的组的名称。单击“检查名称〞按钮以确认组的名称是否输入正确。单击“高级〞按钮。设置用户账户属性〔续〕设置用户账户属性〔续〕“拨入〞选项卡设置用户账户的一组拨入属性，控制用户如何从远程位置连接到网络。“环境〞选项卡启动程序客户端设备设置用户账户属性〔续〕“会话〞选项卡“会话〞选项卡主要包括内容结束已断开的会话活动会话限制空闲会话限制当到达会话极限或者连接被中断时允许重新连接设置用户账户属性〔续〕“远程控制〞选项卡选择“启用远程控制〞复选框来设置是否要远程控制或者观察用户的会话。设置用户账户属性〔续〕“终端效劳配置文件〞选项卡终端效劳配置文件终端效劳主文件夹允许登录到终端效劳器“COM+〞选项卡“COM+〞选项卡可以用来将用户指派为某COM+分区集的成员。管理用户账户用户账户用户账户在不再使用的时候可以删除。用户账户管理的建议禁用和启用用户账户重命名用户账户删除用户账户创立和修改计算机账户创立计算机账户在“ActiveDirectory用户和计算机〞中选择要放置计算机的组织单元，然后在菜单栏中依次选择“操作〞→“新建〞→“计算机〞。输入计算机的名称。创立和修改计算机账户〔续〕修改计算机账户属性右击需要设置属性的计算机账户，在弹出的菜单中选择“属性〞。WindowsServer2003默认组本地域组AccountOperators〔账户操作员〕Administrators〔管理员〕BackupOperators〔备份操作员〕Guests〔来宾〕IncomingForestTrustBuilders〔仅出现在林根域中〕NetworkConfigurationOperators〔网络配置操作员〕WindowsServer2003默认组〔续〕本地域组〔续〕PerformanceMonitorUsers〔性能监视用户〕PerformanceLogUsers〔性能日志用户〕PrintOperators〔打印操作员〕RemoteDesktopUsers〔远程桌面用户〕Replicator〔复制器〕ServerOperators〔效劳器操作员〕Users〔用户〕WindowsServer2003默认组〔续〕全局组DomainAdmins〔域管理员〕DomainComputers〔域计算机〕DomainControllers〔域控制器〕DomainGuests〔域来宾〕DomainUsers〔域用户〕EnterpriseAdmins〔仅出现在林根域中〕SchemaAdmins〔仅出现在林根域中〕WindowsServer2003默认组〔续〕系统组Everyone〔每一个〕Interactive〔交互〕Network〔网络〕NetworkService〔网络效劳〕System〔系统〕CreatorOwner〔创立者所有者〕AuthenticatedUsers〔已授权组〕创立组创立组在“ActiveDirectory用户和计算机〞中选择需要建立新组的组织单元。选择“操作〞→“新建〞→“组〞命令。在“组名〞文本框内输入组的名称，然后分别在“组作用域〞和“组类型〞区域内选择适宜的组作用域和组类型。设置组属性“常规〞选项卡组的作用域可以做如下改变。改变全局组为通用组。改变域本地组到通用组。设置组属性〔续〕“成员〞选项卡在“成员〞选项卡中可以为组添加成员账户。组中的成员可以包含用户账户、联系人、计算机和其他组。在对话框中单击“添加〞按钮。设置组属性〔续〕“隶属于〞选项卡在组属性的“隶属于〞选项卡中可以将本组添加到其他组中，使其成为其他组的成员。在“选择组〞对话框中单击“高级〞按钮，在弹出的“选择组〞对话框中单击“立即查找〞按钮。设置组属性〔续〕“管理者〞选项卡单击“更改〞按钮，在弹出的“选择用户或联系人〞对话框中输入这个组的管理者的名称。删除组删除组在删除组上单击鼠标右键，然后在弹出的上下文菜单中选择“删除〞命令。组策略概述组策略的优势保护用户环境增强用户环境组策略的应用顺序惟一的本地组策略对象。站点组策略对象域组策略对象组织单位组策略对象创立组策略创立组策略对象〔GPO〕在“ActiveDirectory用户和计算机〞中翻开站点或者域的的属性对话框，选择“组策略〞选项卡，单击对话框中的“新建〞按钮。创立组策略〔续〕组策略对象权限创立组策略〔续〕使用组策略编辑器编辑组策略选择要编辑的组策略对象，单击“编辑〞按钮。右击“关闭自动播放〞，在弹出的菜单中选择“属性〞，弹出属性设置窗口。创立组策略〔续〕设置组策略对象属性组策略对象的“属性〞对话框共有四个选项卡“常规〞选项卡“连接〞选项卡“平安〞选项卡“WMI筛选器〞选项卡创立组策略〔续〕设置组策略对象属性〔续〕创立组策略〔续〕设置组策略对象选项禁止替代已禁用组策略应用建议组策略应用建议不要处理未被配置的策略设置尽量少用“阻止策略继承〞和“禁止替代〞功能对于不同的组策略对象，不要使用相同的名称将组策略对象使用的WMI筛选器数量减到最少根据平安组成员身份筛选策略仅在必要时才用基于计算机的组策略替代基于用户的组策略组策略应用建议〔续〕组策略应用建议〔续〕使用组策略而不是系统策略防止跨域指派组策略对象不要在由NTFS文件复制系统〔FRS〕所复制的驱动器或目录上设置文件系统策略不要将一个组策略对象屡次链接到同一组织单位习题1．简述用户账户、计算机账户、组对象的概念及意义。2．WindowsServer2003都有哪些内置账户？其作用是什么？3．简述创立用户账户的过程以及要注意的问题。4．WindowsServer2003都有哪些内置组？其作用是什么？5．简述组的创立及组属性设置。6．组策略的应用顺序是什么？如何防止策略被覆盖？习题〔续〕7．在创立及应用组策略的过程中要注意哪些问题？第5章数据文件的

平安管理教学重点磁盘管理利用平安原那么进行磁盘的平安配置掌握磁盘操作的根本技巧磁盘管理的根本知识磁盘磁盘包括常见的软盘、硬盘及不太常见的磁带盘等。分区分区指一种组织磁盘可用空间的方法。文件系统文件系统是操作系统用于组织磁盘或分区上文件的方法和数据结构。根本磁盘管理针对根本磁盘，可以进行以下操作：创立和删除主分区和扩展分区。创立和删除主分区内的逻辑驱动器。格式化任意分区，并将其标记为活动分区。根本磁盘管理〔续〕“磁盘管理〞的新功能简化的任务和直观的用户界面。根本和动态磁盘存储。动态磁盘包含所提供的功能比根本磁盘要多的动态卷。本地和远程磁盘管理。可使用“磁盘管理〞在本地NTFS卷上的任何空文件夹中连接或装入本地驱动器。持存储区域网络(SANs)。从命令行管理磁盘。根本磁盘的平安管理平安管理在“属性〞对话框中选择“平安〞选项卡单击“添加〞按钮增添用户组或用户，删除组或是用户。选定某组或者是用户，对它所具有的权限进行分配。根本磁盘的平安管理〔续〕平安管理〔续〕根本磁盘的平安管理〔续〕共享设置右击需要设置的磁盘，选取“属性〞命令，在“属性〞对话框中选择“共享〞选项卡，或者直接右击需要设置共享的磁盘，选取“共享和平安〞选项。根本磁盘的平安管理〔续〕共享设置〔续〕需要让所有的用户都能使用共享磁盘，单击“新建共享〞按钮。键入共享名和描述。指定使用共享的最大用户数，确定返回属性共享选项卡。单击“权限〞按钮。根本磁盘的平安管理〔续〕共享设置〔续〕对可以使用共享磁盘的用户或用户组进行权限分配。对选择的用户进行权限分配，选择可以赋予的权限的复选框。命令行工具最根本最常用的命令ChkdskConvert命令行工具〔续〕Format格式化的语法formatVolume[/fs:FileSystem][/v:Label][/q][/a:UnitSize][/c][/x]formatVolume[/v:Label][/q][/f:Size]formatVolume[/v:Label][/q][/t:Tracks/n:Sectors]formatVolume[/v:Label][/q]formatVolume[/q]命令行工具〔续〕命令行工具〔续〕命令行工具〔续〕加密文件系统的概念加密文件系统的核心局部EFS驱动程序EFS文件系统运行库EFS效劳Win32API加密文件系统的使用加密文件系统使用FEK加密文件的过程加密文件系统的使用〔续〕加密方法右击要加密的文件或文件夹，单击“属性〞命令在“常规〞选项卡上，单击“高级〞按钮选中“加密内容以便保护数据〞复选框，单击“确定〞按钮。加密文件系统的使用〔续〕加密方法〔续〕在属性对话框中，单击“确定〞按钮，然后执行以下操作：要只加密文件夹，在“确认属性更改〞对话框中，单击“仅将更改应用于该文件夹〞。要加密文件夹及其子文件夹和文件，在“确认属性更改〞对话框中，单击“将更改应用于该文件夹、子文件夹和文件〞。加密文件系统的使用〔续〕需要注意：只可以加密NTFS文件系统卷上的文件和文件夹。不能加密压缩的文件或文件夹。无法加密标记为“系统〞属性的文件，并且无法加密systemroot文件夹中的文件。如果在加密单个文件时选择加密其父文件夹，那么以后添加到该文件夹的所有文件和子文件夹在添加时都将被加密。加密文件系统的使用〔续〕需要注意：〔续〕如果在加密某个文件夹时选择加密所有文件和子文件夹，那么会加密当前位于该文件夹中的所有文件和子文件夹，以及将来添加到该文件夹中的任何文件和子文件夹。加密文件系统的使用〔续〕解密方法翻开Windows资源管理器。右击加密文件或文件夹，单击“属性〞命令。在“常规〞选项卡上，单击“高级〞按钮。去除“加密内容以便保护数据〞复选框的选择。加密文件系统的使用〔续〕Cipher命令加密加密文件系统的高级用法如何识别加密文件夹/文件在默认情况下，Windows资源管理器会用绿色来表示加密对象的名称。加密文件系统的高级用法〔续〕如何识别加密文件夹/文件〔续〕在Windows资源管理器中使用详细信息查看方式。在命令提示符中输入不带参数的cipher命令。在“命令提示符〞中输入命令cipher/u/n。加密文件系统的高级用法〔续〕如何识别加密文件夹/文件〔续〕加密文件和普通文件在使用上的不同使用不同于加密文件时使用的账号登录将加密文件复制或移动到另一个卷中要在不同的计算机上使用加密文件加密文件系统的高级用法〔续〕如何与其他用户共享加密文件使得可信任用户共享用户自己的加密文件右击加密文件，在菜单中选取“属性〞选项在“属性〞对话框中单击“高级〞按钮在“高级属性〞对话框中，单击“详细信息〞按钮加密文件系统的高级用法〔续〕如何与其他用户共享加密文件〔续〕使得可信任用户共享用户自己的加密文件〔续〕在“详细信息〞对话框中单击“添加〞按钮，在“选择用户〞对话框中，选择可以信任的用户，单击“确定〞按钮加密文件系统的高级用法〔续〕如何禁用或者重新启用加密文件系统利用注册表编辑器翻开“注册表编辑器〞，同时按住键Win+R，在文本框中输入“rgedit〞并回车。翻开目录HKEY_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\EFS。加密文件系统的高级用法〔续〕如何禁用或者重新启用加密文件系统〔续〕利用注册表编辑器〔续〕单击EFS文件夹，选择“新建〞→“DWORD〞值。以“EFSConfigureation〞作为新键的名称。修改“EFSConfigureation〞的值为1。重新启动计算机。加密文件系统的高级用法〔续〕如何禁用或者重新启用加密文件系统〔续〕通过“本地平安设置〞工具禁用或启用EFS〔续〕按“Win+R〞快捷键，在文本框中输入“secpol.msc〞并回车选择“公钥策略〞→“加密文件系统〞。右击管理员证书，选择“删除〞命令加密文件系统的高级用法〔续〕如何禁用或者重新启用加密文件系统〔续〕重新启用EFS在窗口中，右击“加密文件系统〞，选择“添加数据恢复代理程序〞命令，单击“下一步〞。加密文件系统的高级用法〔续〕如何禁用或者重新启用加密文件系统〔续〕重新启用EFS〔续〕单击“浏览文件夹〞按钮，选择事先备份好的证书并翻开。在告知用户“Windows无法判断证书是否已经被撤消，操作成功完成，您要安装此证书吗？〞对话框中单击“是〞按钮。加密文件系统的高级用法〔续〕强化加密文件系统对文件的保护启用的3DES按“Win+R〞快捷键，在文本框中输入“secpol.msc〞并回车。选择“本地策略〞中的“平安选项〞选项。加密文件系统的高级用法〔续〕强化加密文件系统对文件的保护〔续〕启用的3DES〔续〕在右面的详细信息窗格中，双击“系统加密：使用FIPS兼容的算法加密、散列和签名〞。在加密对话框，选择“已启用〞单项选择按钮并确定。加密文件系统的高级用法〔续〕使用加密文件系统的危险用户在使用加密文件系统之前的准备：创立一个空的文件夹并加密之，然后在其间创立一个不重要的文件，并检验是否能正常使用该文件。备份文件恢复证书和个人加密证书以及相关私钥。只对必要的机密文件加密。数据的备份与恢复数据备份的类型完全备份增量备份系统备份数据备份使用备份工具利用备份工具进行文件备份翻开“开始〞菜单，选择“程序〞→“附件〞→“系统工具〞→“备份〞命令，单击“下一步〞命令。数据备份〔续〕使用备份工具〔续〕利用备份工具进行文件备份〔续〕选择“备份文件和设置〞并进入下一步。选择要备份的选项，单击“下一步〞按钮。数据备份〔续〕使用备份工具〔续〕利用备份工具进行文件备份〔续〕选择“让我选择要备份的内容〞，在对话框中选择要备份的文件夹目录，单击“下一步〞按钮。数据备份〔续〕使用备份工具〔续〕利用备份工具进行文件备份〔续〕通过“浏览〞按钮确定备份文件存储的位置，同时键入备份的文件名。单击“下一步〞按钮。数据备份〔续〕使用备份工具〔续〕利用备份工具进行文件备份〔续〕在最后一步的对话框中出现备份的所有信息。需要高级设置，单击“高级〞按钮。数据备份〔续〕数据备份〔续〕使用Ntbackup命令数据备份〔续〕使用Ntbackup命令〔续表〕数据复原数据复原翻开“开始〞菜单，选择“程序〞→“附件〞→“系统工具〞→“备份〞命令，翻开“备份或复原向导〞单击“下一步〞按钮，选中“复原文件和设置〞选项单击“下一步〞按钮，选择要复原的工程数据复原〔续〕数据复原〔续〕单击“下一步〞按钮，确认无误后单击“完成〞按钮假设需要高级设置，在最后一步界面中选择“高级设置〞按钮。数据复原〔续〕数据复原〔续〕进行复原操作需要要执行复原操作要备份和复原MicrosoftSQLServer数据库文件要复原域控制器上的系统状态数据在本地计算机上只能复原“系统状态〞数据。在远程计算机上不能复原“系统状态〞数据。备份操作员和管理员不用解密文件和文件夹使用方案备份安排系统备份方案翻开“备份〞工具在“备份工具〞窗口中，单击“方案作业〞选项卡单击“今天〞按钮使用方案备份〔续〕安排系统备份方案〔续〕在日历中为方案选择一个起始日期方案起始日期选择好后，单击“添加作业〞按钮单击“下一步〞按钮选择要备份的资料，单击“下一步〞按钮使用方案备份〔续〕安排系统备份方案〔续〕单击“下一步〞按钮，选择备份媒体或文件名，单击“下一步〞按钮在“选择要执行的备份操作类型〞下拉列表框中选择备份类型使用方案备份〔续〕安排系统备份方案〔续〕要备份迁移到远程存储中的文件内容，启用“备份迁移的远程存储数据〞复选框单击“下一步〞按钮为了使系统在备份数据后自动验证备份的完整性，启用“备份后验证数据〞复选框。使用方案备份〔续〕安排系统备份方案〔续〕单击“下一步〞按钮，选择是否将要生成的备份替换已有备份，或者是附加到现有的备份单击“下一步〞按钮使用方案备份〔续〕安排系统备份方案〔续〕单击“设定备份方案〞按钮选择日程安排单击“确定〞按钮，单击“下一步〞按钮，设置账户信息，单击“完成〞按钮习题1．什么是磁盘？2．什么是文件系统？Windows系列操作系统常用的文件系统格式是什么？3．使用Windows提供的图形界面工具给自己计算机上的用户分配权限。4．什么是动态磁盘？它和根本磁盘相比有什么优势？WindowsServer2003支持哪几种动态磁盘？5．什么是加密文件系统？简述加密文件系统的体系结构和加密过程。习题〔续〕6．分别用WindowsServer2003提供的图形化界面和命令行工具加密自己计算机上的文件及文件夹，并观察加密的文件或文件夹与为加密的文件和文件夹有什么区别。7．为什么要进行磁盘备份？磁盘备份有哪几种类型？8．选定文件夹，分别用WindowsServer2003提供的图形化界面工具和命令行工具备份该文件夹并复原之。第6章身份验证和

证书效劳教学重点WindowsServer2003的身份验证机制部署证书效劳身份验证的概念交互式登录交互式登录过程向域账户或本地计算机确认用户的身份。网络身份验证网络身份验证向用户尝试访问的任何网络效劳确认用户的身份证明。交互式登录的原理Winlogon.exeGINALSA效劳身份验证程序包SAM数据库NetLogon效劳KDC效劳交互登录的过程交互式登录组件的协作关系交互登录的过程〔续〕交互式登录到本地机器按Ctrl+Alt+Del组合键交互登录的过程〔续〕登录到域账户网络身份验证网络身份验证协作关系网络身份验证〔续〕网络身份验证过程Kerberos的一般原理WindowsServer2003中的Kerberos配置Kerberos配置Kereros策略依次单击“开始〞→“管理工具〞，翻开“ActiveDirectory用户和计算机〞。在控制台树中，右击要设置组策略的域或组织单元。单击“属性〞命令，然后单击“组策略〞选项卡。配置Kerberos(续)配置Kereros策略〔续〕执行任一操作：在“组策略对象链接〞中，单击要编辑的GPO，单击“编辑〞按钮。要创立新的GPO，单击“新建〞，键入新GPO名称，单击“编辑〞。双击“计算机配置〞→“Windows设置〞→“平安设置〞→“账户策略〞→“Kerberos策略〞。微软公钥根底设施网络世界的特殊要求保密性完整性身份认证与授权抗抵赖微软公钥根底设施〔续〕WindowsServer

2003帮助用户实现公钥根底结构的功能组件：证书证书效劳证书模板证书自动注册Web注册页面智能卡支持