《[精选]网络安全讲义第4章32650.pptx》由会员分享,可在线阅读,更多相关《[精选]网络安全讲义第4章32650.pptx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第4章 Windows2000系统安全4.1 操作系统安全基础操作系统安全基础4.2 windows2000账号安全账号安全4.3 windows2000文件系统安全文件系统安全4.4 windows2000主机安全主机安全教学要求:掌握教学要求:掌握windows2000windows2000系统账号安全、文件系统安全、系统账号安全、文件系统安全、主机安全知识,可根据需要使用合适的安全措施,保证操作主机安全知识,可根据需要使用合适的安全措施,保证操作系统的安全性。系统的安全性。4.1 操作系统安全基础操作系统安全基础一、安全管理目标一、安全管理目标1 防止非法操作:防止非法用户或合法用户的越
2、权操作。防止非法操作:防止非法用户或合法用户的越权操作。2 数据保护:文件系统完整性检查、数据加密数据保护:文件系统完整性检查、数据加密3 管理用户:合理使用系统资源管理用户:合理使用系统资源4 保证系统的完整性:系统备份保证系统的完整性:系统备份5 系统保护:防止某用户长期占用资源系统保护:防止某用户长期占用资源4.1 操作系统安全基础操作系统安全基础二、安全管理措施二、安全管理措施操作系统的安全管理措施主要由操作系统的安全管理措施主要由安装系统补丁、登录安全安装系统补丁、登录安全控制、用户帐号及密码安全,文件系统安全、主机安全管控制、用户帐号及密码安全,文件系统安全、主机安全管理等组成理等
3、组成。其核心是普通用户安全管理和特权级用户安全。其核心是普通用户安全管理和特权级用户安全管理。管理。1 普通用户安全管理:提高安全意识与知识掌握普通用户安全管理:提高安全意识与知识掌握2 特权用户安全管理:特权用户账号和密码的安全特权用户安全管理:特权用户账号和密码的安全4.2 windows2000账号安全账号安全一、账号种类一、账号种类(域的创建)(域的创建)1 域用户账号域用户账号在域控制器上建立,是访问域的惟一凭证。每个帐户有一在域控制器上建立,是访问域的惟一凭证。每个帐户有一个惟一的个惟一的SID(安全标识符)。(安全标识符)。2 本地用户账号本地用户账号3 内置的用户帐号:内置的用
4、户帐号:administrator和和guest4.2 windows2000账号安全账号安全二、帐号与密码约定二、帐号与密码约定1 帐号命名约定:帐号命名约定:域用户帐号的用户登录名在活动目录(域用户帐号的用户登录名在活动目录(AD)中必须惟一;)中必须惟一;域用户帐号的完全名称在创建该用户帐号的域中必须惟一;域用户帐号的完全名称在创建该用户帐号的域中必须惟一;本地用户帐号在创建该帐号的计算机上必须惟一;本地用户帐号在创建该帐号的计算机上必须惟一;若用户名有重复,应在账号上区别出来;若用户名有重复,应在账号上区别出来;临时用户名,应容易识别临时用户名,应容易识别2 密码约定密码约定4.2 w
5、indows2000账号安全账号安全三、账号和密码安全设置三、账号和密码安全设置1 域中用户的域中用户的“属性属性”2“安全设置安全设置”中的中的“密码策略密码策略”。域控制器安全策略;域安全。域控制器安全策略;域安全策略;本地安全策略。策略;本地安全策略。本地安全策略是本地策略的一部分,在开机的时后就会被执行,本地安全策略是本地策略的一部分,在开机的时后就会被执行,无论你是否处于工作组模式还是域模式;无论你是否处于工作组模式还是域模式;域安全策略是域策略的一部分,作用范围是整个域,因此一台域安全策略是域策略的一部分,作用范围是整个域,因此一台计算机只要处于域模式,就会采用域策略;计算机只要处
6、于域模式,就会采用域策略;域控制器策略是在域控制器(组)上的策略。域控制器策略是在域控制器(组)上的策略。4.2 windows2000账号安全账号安全一台处于工作组模式的计算机只会执行本地安全策略,一台处于工作组模式的计算机只会执行本地安全策略,而域控制器则至少要执行本地安全策略,域安全策略,而域控制器则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,即处于域模式的计算机域控制器安全策略三个策略,即处于域模式的计算机要执行多条策略。要执行多条策略。默认情况下,当多条策略之间不产生冲突的时候,多默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是和并执行;但当产生冲突的时候
7、,后执条策略之间是和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。而执行顺序为本地行的策略会替代先执行的策略。而执行顺序为本地-域域-域控制器,所以本地安全策略和域安全策略发生域控制器,所以本地安全策略和域安全策略发生冲突,域安全策略有效;域安全策略和域控制器安全冲突,域安全策略有效;域安全策略和域控制器安全策略发生冲突,域控制器安全策略有效。策略发生冲突,域控制器安全策略有效。4.3 windows文件系统安全文件系统安全一、一、NTFS权限及使用原则权限及使用原则1 NTFS权限:权限:NTFS权限是基于权限是基于NTFS分区实现的,可以实分区实现的,可以实现高度的本地安全性
8、。只有现高度的本地安全性。只有administrator组成员才能有效组成员才能有效设置设置NTFS权限权限每个文件和文件夹有一个每个文件和文件夹有一个ACL(Access Control List),),记录每一个用户和组对该资源的访问权限。记录每一个用户和组对该资源的访问权限。2 NTFS权限的使用原则权限的使用原则(1)权限最大原则)权限最大原则(2)文件权限超越文件夹权限原则)文件权限超越文件夹权限原则(3)拒绝权限超越其他权限原则)拒绝权限超越其他权限原则3 NTFS权限设置操作权限设置操作文件(文件夹)的文件(文件夹)的“属性属性”-”安全安全”4.3 windows文件系统安全文
9、件系统安全如:用户如:用户Teacher同时属于同时属于Group1、Group2、Manager个个组,对于资源组,对于资源Data文件夹分别具有如下权限:文件夹分别具有如下权限:组或用户组或用户 权限权限Teacher 完全控制完全控制Group1 读取读取Group2 写入写入Manager 列出文件夹目录列出文件夹目录则:则:Teacher对对Data文件夹的最终权限为文件夹的最终权限为完全控制完全控制若若Manager组对组对Data文件夹的权限为文件夹的权限为“拒拒绝绝”,则,则Teacher对对Data文件夹的最终权文件夹的最终权限为:限为:拒绝拒绝若用户对若用户对Data文件夹
10、下的一个文件文件夹下的一个文件File.doc被赋予被赋予“读取读取”权权限,则最终用户对该文件的权限为:限,则最终用户对该文件的权限为:读取读取4.3 windows文件系统安全文件系统安全二、二、NTFS权限的继承性权限的继承性1 在同一个在同一个NTFS分区内移动文件或文件夹:分区内移动文件或文件夹:保留一切保留一切NTFS权权限限2 在不同在不同NTFS分区之间移动文件或文件夹:分区之间移动文件或文件夹:继承目的分区中继承目的分区中文件夹的权限文件夹的权限3 在同一个在同一个NTFS分区内复制文件或文件夹:分区内复制文件或文件夹:继承目的位置中继承目的位置中文件夹的权限文件夹的权限4在
11、不同在不同NTFS分区之间复制文件或文件夹:分区之间复制文件或文件夹:继承目的位置中继承目的位置中文件夹的权限文件夹的权限4.3 windows文件系统安全文件系统安全三、共享文件夹权限管理三、共享文件夹权限管理共享文件夹的权限:读、修改和完全控制共享文件夹的权限:读、修改和完全控制四、文件的加密与解密四、文件的加密与解密Windows2000的的NTFS文件系统中内置了文件系统中内置了EFS(加密文件(加密文件系统)。系统)。EFS结合使用了结合使用了DES和和RSA加密算法,将私钥和加密算法,将私钥和用户的用户的ID结合在一起。结合在一起。文件(文件夹)属性文件(文件夹)属性-”常规常规”
12、-”高级高级”4.4 windows主机安全主机安全一、使用安全策略一、使用安全策略1 本地安全策略本地安全策略在单个计算机上实现。包括帐户策略、本地策略、公钥策略在单个计算机上实现。包括帐户策略、本地策略、公钥策略和和IP安全策略安全策略“管理工具管理工具”-”本地安全策略本地安全策略”2 组策略组策略在站点、组织单元或域的范围内实现。包括用户配置策略和在站点、组织单元或域的范围内实现。包括用户配置策略和计算机配置策略。只能应用在基于计算机配置策略。只能应用在基于windows2000的域控制器的域控制器的网络中的计算机和用户;不包括共享文件夹、打印机等。的网络中的计算机和用户;不包括共享文
13、件夹、打印机等。“管理工具管理工具”-”Active Directory用户和计算机用户和计算机”-域域的的“属性属性”-”组策略组策略”或运行:或运行:gpedit.msc4.4 windows主机安全主机安全多个策略同时存在时,首先是本地策略;其次是站点和域策多个策略同时存在时,首先是本地策略;其次是站点和域策略;最后是组织单元(组)的策略。策略的有效值是多个策略;最后是组织单元(组)的策略。策略的有效值是多个策略的并集,当有冲突时,后面的代替前面的设置值。略的并集,当有冲突时,后面的代替前面的设置值。一条策略又可以分为计算机策略和用户策略,计算机策略作一条策略又可以分为计算机策略和用户策
14、略,计算机策略作用在计算机上,用户策略作用在用户对象上,当同一条策略用在计算机上,用户策略作用在用户对象上,当同一条策略的计算机策略和用户策略产生冲突的时候,以计算机策略为的计算机策略和用户策略产生冲突的时候,以计算机策略为准准4.4 windows主机安全主机安全3 使用预定义安全模版使用预定义安全模版预定义安全模版中包含了大多数的常用的安全设置,可通过预定义安全模版中包含了大多数的常用的安全设置,可通过导入直接使用。导入直接使用。预定义安全模版有预定义安全模版有4种安全级别:种安全级别:(1)基本()基本(Basic):):Basicdc,Basicsv,Basicwk(2)兼容()兼容(
15、Compatible):Compatwk(3)安全()安全(Secure):):Securewk,Securedc(4)高度安全()高度安全(High):):hisecws,hisecdc4.4 windows主机安全主机安全预定义安全模版的应用:预定义安全模版的应用:在命令中键入在命令中键入MMC,打开控制台,打开控制台,“控制台控制台”添加添加/删除删除管理单元管理单元”添加添加“安全模版安全模版”,可对各模版进行认识,可对各模版进行认识“控制台控制台”-“添加添加/删除管理单元删除管理单元”,“添加添加”-“安全配安全配置和分析置和分析”,可对一台数据库进行安全配置,可对一台数据库进行安
16、全配置在各在各“安全设置安全设置”时,都可采用时,都可采用“导入策略导入策略”4.4 windows主机安全主机安全二、设置系统资源审核二、设置系统资源审核安全日志可包含被审核事件的信息有:对该资源的操作;执安全日志可包含被审核事件的信息有:对该资源的操作;执行该操作的用户;事件是否成功;事件发生的时间及附加信行该操作的用户;事件是否成功;事件发生的时间及附加信息。息。1 选择审核对象选择审核对象“审核策略审核策略”,在日志中察看,在日志中察看2 设置资源审核设置资源审核(1)打开)打开“审核对象访问审核对象访问”的审核的审核(2)文件(文件夹)文件(文件夹)-“属性属性”-”安全安全”-”高高级级”-”审核审核”演讲完毕,谢谢观看!