实验8操作系统的安全课件.pptx

《实验8操作系统的安全课件.pptx》由会员分享，可在线阅读，更多相关《实验8操作系统的安全课件.pptx（48页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、操作系统原理实验操作系统原理实验安全性安全性安全性安全性 输入输入输入输入/输出输出输出输出管理管理管理管理 调度调度调度调度 存储器管理存储器管理存储器管理存储器管理进程描述进程描述进程描述进程描述与控制与控制与控制与控制 并发性并发性并发性并发性 文件管理文件管理文件管理文件管理 联网联网联网联网 操作系统的各个主题操作系统的各个主题操作系统的各个主题操作系统的各个主题 粗线表示从设计和实现粗线表示从设计和实现粗线表示从设计和实现粗线表示从设计和实现的角度考虑关系非常紧密的角度考虑关系非常紧密的角度考虑关系非常紧密的角度考虑关系非常紧密实验实验8 操作系统的安全操作系统的安全通过对操作系统

2、提供的安全功能的运用，进一通过对操作系统提供的安全功能的运用，进一通过对操作系统提供的安全功能的运用，进一通过对操作系统提供的安全功能的运用，进一步了解操作系统的网络安全特性和安全措施，步了解操作系统的网络安全特性和安全措施，步了解操作系统的网络安全特性和安全措施，步了解操作系统的网络安全特性和安全措施，学习和掌握操作系统安全特性的设置方法，以学习和掌握操作系统安全特性的设置方法，以学习和掌握操作系统安全特性的设置方法，以学习和掌握操作系统安全特性的设置方法，以及初步了解及初步了解及初步了解及初步了解Windows 2000Windows 2000Windows 2000Windows 200

3、0注册表的应用方法注册表的应用方法注册表的应用方法注册表的应用方法 实验实验实验实验8.1 Windows 2000 8.1 Windows 2000 的安全机制的安全机制的安全机制的安全机制 实验实验实验实验8.2 Linux 8.2 Linux 文件权限文件权限文件权限文件权限 实验实验实验实验8.3 8.3 调整调整调整调整 Windows 2000 Windows 2000 注册表注册表注册表注册表实验估计时间：实验估计时间：实验估计时间：实验估计时间：9090分钟分钟分钟分钟，难度系数：，难度系数：，难度系数：，难度系数：4 48.1 Windows 2000 的安全机制的安全机制安

4、全特性安全特性安全特性安全特性 WindowsWindows为用户提供了一套广泛的安全性防卫措施，以为用户提供了一套广泛的安全性防卫措施，以为用户提供了一套广泛的安全性防卫措施，以为用户提供了一套广泛的安全性防卫措施，以确保系统能够阻止非法访问、故意破坏和错误操作等的确保系统能够阻止非法访问、故意破坏和错误操作等的确保系统能够阻止非法访问、故意破坏和错误操作等的确保系统能够阻止非法访问、故意破坏和错误操作等的侵害侵害侵害侵害 安全区域安全区域安全区域安全区域：网络操作系统的安全性定义为用来阻止未授：网络操作系统的安全性定义为用来阻止未授：网络操作系统的安全性定义为用来阻止未授：网络操作系统的安

5、全性定义为用来阻止未授权用户的使用、访问、修改或毁坏，也就是对客户的信权用户的使用、访问、修改或毁坏，也就是对客户的信权用户的使用、访问、修改或毁坏，也就是对客户的信权用户的使用、访问、修改或毁坏，也就是对客户的信息进行保密，以防止他人的窥视和破坏。通常所说的数息进行保密，以防止他人的窥视和破坏。通常所说的数息进行保密，以防止他人的窥视和破坏。通常所说的数息进行保密，以防止他人的窥视和破坏。通常所说的数据安全大部分是指数据在网络上的安全据安全大部分是指数据在网络上的安全据安全大部分是指数据在网络上的安全据安全大部分是指数据在网络上的安全背景知识背景知识 如果将网络按区域划分，可分为如果将网络按

6、区域划分，可分为如果将网络按区域划分，可分为如果将网络按区域划分，可分为4 4大区域。大区域。大区域。大区域。本地企业网区域本地企业网区域本地企业网区域本地企业网区域：包括不需要代理服务器的地址，其中包含的：包括不需要代理服务器的地址，其中包含的：包括不需要代理服务器的地址，其中包含的：包括不需要代理服务器的地址，其中包含的地址由系统管理员用地址由系统管理员用地址由系统管理员用地址由系统管理员用Internet ExplorerInternet Explorer管理工具包定义。本地企管理工具包定义。本地企管理工具包定义。本地企管理工具包定义。本地企业网区域的默认安全级为中级业网区域的默认安全级

7、为中级业网区域的默认安全级为中级业网区域的默认安全级为中级 可信站点区域可信站点区域可信站点区域可信站点区域：包含可信的站点，即可以直接从该站点下载或：包含可信的站点，即可以直接从该站点下载或：包含可信的站点，即可以直接从该站点下载或：包含可信的站点，即可以直接从该站点下载或运行文件而不用担心会危害到用户的计算机或数据的安全，因运行文件而不用担心会危害到用户的计算机或数据的安全，因运行文件而不用担心会危害到用户的计算机或数据的安全，因运行文件而不用担心会危害到用户的计算机或数据的安全，因此用户可以将某些站点分配到该区域。可信站点区域的默认安此用户可以将某些站点分配到该区域。可信站点区域的默认安

8、此用户可以将某些站点分配到该区域。可信站点区域的默认安此用户可以将某些站点分配到该区域。可信站点区域的默认安全级为低级全级为低级全级为低级全级为低级 受限站点区域受限站点区域受限站点区域受限站点区域：包括不可信站点，即不能确认下载或运行程序：包括不可信站点，即不能确认下载或运行程序：包括不可信站点，即不能确认下载或运行程序：包括不可信站点，即不能确认下载或运行程序是否会危害到用户的计算机或数据，用户也可以将某些站点分是否会危害到用户的计算机或数据，用户也可以将某些站点分是否会危害到用户的计算机或数据，用户也可以将某些站点分是否会危害到用户的计算机或数据，用户也可以将某些站点分配到该区域。受限站

9、点区域的默认安全级别为高级配到该区域。受限站点区域的默认安全级别为高级配到该区域。受限站点区域的默认安全级别为高级配到该区域。受限站点区域的默认安全级别为高级 InternetInternet区域区域区域区域：默认情况下包括用户的计算机或：默认情况下包括用户的计算机或：默认情况下包括用户的计算机或：默认情况下包括用户的计算机或InternetInternet上的全上的全上的全上的全部站点，部站点，部站点，部站点，InternetInternet区域的默认安全级别为中级区域的默认安全级别为中级区域的默认安全级别为中级区域的默认安全级别为中级 本地计算机本地计算机本地计算机本地计算机上所有文件都认

10、为是安全的，不需进行安全设置上所有文件都认为是安全的，不需进行安全设置上所有文件都认为是安全的，不需进行安全设置上所有文件都认为是安全的，不需进行安全设置背景知识背景知识 安全模型：主要特性是用户验证和访问控制安全模型：主要特性是用户验证和访问控制安全模型：主要特性是用户验证和访问控制安全模型：主要特性是用户验证和访问控制 用户验证用户验证用户验证用户验证：检查尝试登录到域或访问网络资源的所有用户的身份：检查尝试登录到域或访问网络资源的所有用户的身份：检查尝试登录到域或访问网络资源的所有用户的身份：检查尝试登录到域或访问网络资源的所有用户的身份 基于对象的访问控制基于对象的访问控制基于对象的访

11、问控制基于对象的访问控制：允许管理员控制对网络中资源或对象的访：允许管理员控制对网络中资源或对象的访：允许管理员控制对网络中资源或对象的访：允许管理员控制对网络中资源或对象的访问。管理员通过对存储在活动目录中的对象指定安全描述符的方问。管理员通过对存储在活动目录中的对象指定安全描述符的方问。管理员通过对存储在活动目录中的对象指定安全描述符的方问。管理员通过对存储在活动目录中的对象指定安全描述符的方式来执行访问控制。安全描述符将列出获得访问许可权限的用户式来执行访问控制。安全描述符将列出获得访问许可权限的用户式来执行访问控制。安全描述符将列出获得访问许可权限的用户式来执行访问控制。安全描述符将列

12、出获得访问许可权限的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定了和组以及指定给这些用户和组的特殊权限。安全描述符还指定了和组以及指定给这些用户和组的特殊权限。安全描述符还指定了和组以及指定给这些用户和组的特殊权限。安全描述符还指定了针对对象审核的各类访问事件，对象实例包括文件、打印机和服针对对象审核的各类访问事件，对象实例包括文件、打印机和服针对对象审核的各类访问事件，对象实例包括文件、打印机和服针对对象审核的各类访问事件，对象实例包括文件、打印机和服务等。通过管理对象属性，管理员可以设置权限、指定所有权和务等。通过管理对象属性，管理员可以设置权限、指定所有权和务等。通过管理对

13、象属性，管理员可以设置权限、指定所有权和务等。通过管理对象属性，管理员可以设置权限、指定所有权和监视用户访问监视用户访问监视用户访问监视用户访问 活动目录和安全性活动目录和安全性活动目录和安全性活动目录和安全性：活动目录通过使用对象的访问控制和用户凭：活动目录通过使用对象的访问控制和用户凭：活动目录通过使用对象的访问控制和用户凭：活动目录通过使用对象的访问控制和用户凭据提供用户账户和组信息的保护存储。由于活动目录不仅存储用据提供用户账户和组信息的保护存储。由于活动目录不仅存储用据提供用户账户和组信息的保护存储。由于活动目录不仅存储用据提供用户账户和组信息的保护存储。由于活动目录不仅存储用户凭据

14、，还包括访问控制信息，所以登录到网络的用户可同时获户凭据，还包括访问控制信息，所以登录到网络的用户可同时获户凭据，还包括访问控制信息，所以登录到网络的用户可同时获户凭据，还包括访问控制信息，所以登录到网络的用户可同时获得访问系统资源的验证和授权得访问系统资源的验证和授权得访问系统资源的验证和授权得访问系统资源的验证和授权背景知识背景知识 公用密钥公用密钥公用密钥公用密钥：是保证认证和完整性的安全质量最高的加密：是保证认证和完整性的安全质量最高的加密：是保证认证和完整性的安全质量最高的加密：是保证认证和完整性的安全质量最高的加密方法，用来确定某一特定电子文档是否来自于某一特定方法，用来确定某一特

15、定电子文档是否来自于某一特定方法，用来确定某一特定电子文档是否来自于某一特定方法，用来确定某一特定电子文档是否来自于某一特定客户机的最佳系统。公用密钥基本系统简称客户机的最佳系统。公用密钥基本系统简称客户机的最佳系统。公用密钥基本系统简称客户机的最佳系统。公用密钥基本系统简称DKIDKI，是一，是一，是一，是一个进行数字认证、证书授权和其他注册授权的系统个进行数字认证、证书授权和其他注册授权的系统个进行数字认证、证书授权和其他注册授权的系统个进行数字认证、证书授权和其他注册授权的系统 通过通过通过通过DKIDKI，管理员验证访问信息人员的身份，并在验证，管理员验证访问信息人员的身份，并在验证，

16、管理员验证访问信息人员的身份，并在验证，管理员验证访问信息人员的身份，并在验证身份的前提下控制其访问信息的范围，在组织中方便安身份的前提下控制其访问信息的范围，在组织中方便安身份的前提下控制其访问信息的范围，在组织中方便安身份的前提下控制其访问信息的范围，在组织中方便安全地分配和管理识别凭据等安全问题全地分配和管理识别凭据等安全问题全地分配和管理识别凭据等安全问题全地分配和管理识别凭据等安全问题背景知识背景知识 WindowsWindows公用密钥基本体系的组件包括公用密钥基本体系的组件包括公用密钥基本体系的组件包括公用密钥基本体系的组件包括 证书证书证书证书：一个由权威部门颁布的电子声明，其

17、作用在于担保证书：一个由权威部门颁布的电子声明，其作用在于担保证书：一个由权威部门颁布的电子声明，其作用在于担保证书：一个由权威部门颁布的电子声明，其作用在于担保证书持有者的身份，证书将公用密码与持有相应私有密钥的个人、持有者的身份，证书将公用密码与持有相应私有密钥的个人、持有者的身份，证书将公用密码与持有相应私有密钥的个人、持有者的身份，证书将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起，供各种公用密钥安全服务和应机器或服务的身份绑定在一起，供各种公用密钥安全服务和应机器或服务的身份绑定在一起，供各种公用密钥安全服务和应机器或服务的身份绑定在一起，供各种公用密钥安全服务和应用

18、程序使用，并在诸如用程序使用，并在诸如用程序使用，并在诸如用程序使用，并在诸如 Internet Internet等非安全网上提供验证数据完整等非安全网上提供验证数据完整等非安全网上提供验证数据完整等非安全网上提供验证数据完整性和安全通信的程序性和安全通信的程序性和安全通信的程序性和安全通信的程序 智能卡支持智能卡支持智能卡支持智能卡支持：WindowsWindows支持智能卡上的证书登录，同时还支持支持智能卡上的证书登录，同时还支持支持智能卡上的证书登录，同时还支持支持智能卡上的证书登录，同时还支持使用智能卡存储用户上网证书、安全使用智能卡存储用户上网证书、安全使用智能卡存储用户上网证书、安

19、全使用智能卡存储用户上网证书、安全E-MailE-Mail和其他与公用密钥和其他与公用密钥和其他与公用密钥和其他与公用密钥密码活动相关的证书。智能卡是一种为一系列任务提供安全解密码活动相关的证书。智能卡是一种为一系列任务提供安全解密码活动相关的证书。智能卡是一种为一系列任务提供安全解密码活动相关的证书。智能卡是一种为一系列任务提供安全解决方案的方法，其中包括了客户机验证、登录到决方案的方法，其中包括了客户机验证、登录到决方案的方法，其中包括了客户机验证、登录到决方案的方法，其中包括了客户机验证、登录到WindowsWindows域、域、域、域、代码签名和保护代码签名和保护代码签名和保护代码签名

20、和保护E-MailE-Mail等安全机制等安全机制等安全机制等安全机制 公用密钥策略公用密钥策略公用密钥策略公用密钥策略：公用密钥策略可使用：公用密钥策略可使用：公用密钥策略可使用：公用密钥策略可使用WindowsWindows的组策略向计算的组策略向计算的组策略向计算的组策略向计算机自动颁发证书，建立证书信任列表和公用委托证书颁发机构，机自动颁发证书，建立证书信任列表和公用委托证书颁发机构，机自动颁发证书，建立证书信任列表和公用委托证书颁发机构，机自动颁发证书，建立证书信任列表和公用委托证书颁发机构，此外还可以管理加密文件系统的恢复策略此外还可以管理加密文件系统的恢复策略此外还可以管理加密文

21、件系统的恢复策略此外还可以管理加密文件系统的恢复策略背景知识背景知识 数据保护数据保护数据保护数据保护：数据的保密性和完整性从网络验证开始，用户：数据的保密性和完整性从网络验证开始，用户：数据的保密性和完整性从网络验证开始，用户：数据的保密性和完整性从网络验证开始，用户可以使用正确的凭据登录到网络，并在该过程中获得访问可以使用正确的凭据登录到网络，并在该过程中获得访问可以使用正确的凭据登录到网络，并在该过程中获得访问可以使用正确的凭据登录到网络，并在该过程中获得访问存储数据的权限存储数据的权限存储数据的权限存储数据的权限 WindowsWindows支持两种数据保护类型支持两种数据保护类型支持

22、两种数据保护类型支持两种数据保护类型 存储数据保护存储数据保护存储数据保护存储数据保护：用户可以使用加密文件系统：用户可以使用加密文件系统：用户可以使用加密文件系统：用户可以使用加密文件系统(EFS)(EFS)和数字签名方和数字签名方和数字签名方和数字签名方法存储数据法存储数据法存储数据法存储数据 网络数据保护网络数据保护网络数据保护网络数据保护：站点内的网络数据由验证协议保护。用户可以用：站点内的网络数据由验证协议保护。用户可以用：站点内的网络数据由验证协议保护。用户可以用：站点内的网络数据由验证协议保护。用户可以用来保护传入和传出站点网络数据的实用工具包括：来保护传入和传出站点网络数据的实

23、用工具包括：来保护传入和传出站点网络数据的实用工具包括：来保护传入和传出站点网络数据的实用工具包括：IP SecurityIP Security、路由和远程访问、代理服务器路由和远程访问、代理服务器路由和远程访问、代理服务器路由和远程访问、代理服务器背景知识背景知识账户和组的安全性账户和组的安全性账户和组的安全性账户和组的安全性 在在在在WindowsWindows计算机上建立安全体系需要一个管理员。管理计算机上建立安全体系需要一个管理员。管理计算机上建立安全体系需要一个管理员。管理计算机上建立安全体系需要一个管理员。管理员为访问员为访问员为访问员为访问WindowsWindows计算机的用户

24、建立账户，否则此用户将计算机的用户建立账户，否则此用户将计算机的用户建立账户，否则此用户将计算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特无法对网络进行访问。建立了账户的用户其使用权限和特无法对网络进行访问。建立了账户的用户其使用权限和特无法对网络进行访问。建立了账户的用户其使用权限和特权都由他所在的组决定权都由他所在的组决定权都由他所在的组决定权都由他所在的组决定 在域内建立安全体系需要域管理员。域管理员首先需要为在域内建立安全体系需要域管理员。域管理员首先需要为在域内建立安全体系需要域管理员。域管理员首先需要为在域内建立安全体系需要域管理员。域管理员首先

25、需要为用户和计算机建立账户，然后把用户和计算机进行分组并用户和计算机建立账户，然后把用户和计算机进行分组并用户和计算机建立账户，然后把用户和计算机进行分组并用户和计算机建立账户，然后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括放入账户数据库中。域管理员还可以选择哪一个组被包括放入账户数据库中。域管理员还可以选择哪一个组被包括放入账户数据库中。域管理员还可以选择哪一个组被包括进哪一个安全策略之中，并将这些操作的结果放进安全策进哪一个安全策略之中，并将这些操作的结果放进安全策进哪一个安全策略之中，并将这些操作的结果放进安全策进哪一个安全策略之中，并将这些操作的结果放进

26、安全策略数据库略数据库略数据库略数据库背景知识背景知识 在在在在Windows 2000Windows 2000中，组内可以包含任何用户、计算机和中，组内可以包含任何用户、计算机和中，组内可以包含任何用户、计算机和中，组内可以包含任何用户、计算机和组账户，而不用顾及这些用户和账户在域目录中的什么位组账户，而不用顾及这些用户和账户在域目录中的什么位组账户，而不用顾及这些用户和账户在域目录中的什么位组账户，而不用顾及这些用户和账户在域目录中的什么位置。另外，动态目录服务把域详细地划分成组织单元置。另外，动态目录服务把域详细地划分成组织单元置。另外，动态目录服务把域详细地划分成组织单元置。另外，动态

27、目录服务把域详细地划分成组织单元 (OU)(OU)，分别管理域中的一些用户、计算机、组、文件和，分别管理域中的一些用户、计算机、组、文件和，分别管理域中的一些用户、计算机、组、文件和，分别管理域中的一些用户、计算机、组、文件和打印机等资源对象打印机等资源对象打印机等资源对象打印机等资源对象背景知识背景知识域的安全性域的安全性域的安全性域的安全性 域在活动目录中是用来定义安全边界的。活动目录域在活动目录中是用来定义安全边界的。活动目录域在活动目录中是用来定义安全边界的。活动目录域在活动目录中是用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥有与其他域相关由一个或多个域组成。每个域均拥有

28、与其他域相关由一个或多个域组成。每个域均拥有与其他域相关由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利：的安全策略和安全关系。域提供以下便利：的安全策略和安全关系。域提供以下便利：的安全策略和安全关系。域提供以下便利：两个不同域的安全策略和设置两个不同域的安全策略和设置两个不同域的安全策略和设置两个不同域的安全策略和设置(诸如管理权限和访问控制诸如管理权限和访问控制诸如管理权限和访问控制诸如管理权限和访问控制列表列表列表列表)不能相互交叉不能相互交叉不能相互交叉不能相互交叉 分派管理权限消除了需要大量具有广泛管理权限的管理员分派管理权限消除了需要大量具有广泛管

29、理权限的管理员分派管理权限消除了需要大量具有广泛管理权限的管理员分派管理权限消除了需要大量具有广泛管理权限的管理员的必要的必要的必要的必要 将对象分成不同的组放入域中有助于在网络中反映公司的将对象分成不同的组放入域中有助于在网络中反映公司的将对象分成不同的组放入域中有助于在网络中反映公司的将对象分成不同的组放入域中有助于在网络中反映公司的组织结构组织结构组织结构组织结构 每个域只存储有关该域中对象的信息。活动目录可通过拆每个域只存储有关该域中对象的信息。活动目录可通过拆每个域只存储有关该域中对象的信息。活动目录可通过拆每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩展成

30、数量庞大的对象分目录信息的存储组织扩展成数量庞大的对象分目录信息的存储组织扩展成数量庞大的对象分目录信息的存储组织扩展成数量庞大的对象背景知识背景知识 域通常分为两种类型域通常分为两种类型域通常分为两种类型域通常分为两种类型 主域主域主域主域(存储用户和组账户存储用户和组账户存储用户和组账户存储用户和组账户)和和和和资源域资源域资源域资源域(存储文件、打印机、存储文件、打印机、存储文件、打印机、存储文件、打印机、应用服务等等应用服务等等应用服务等等应用服务等等)。在这种多域计算环境中，资源域需要具。在这种多域计算环境中，资源域需要具。在这种多域计算环境中，资源域需要具。在这种多域计算环境中，资

31、源域需要具有所有主域的多委托关系。这些委托关系允许主域中的用有所有主域的多委托关系。这些委托关系允许主域中的用有所有主域的多委托关系。这些委托关系允许主域中的用有所有主域的多委托关系。这些委托关系允许主域中的用户访问资源域中的资源户访问资源域中的资源户访问资源域中的资源户访问资源域中的资源背景知识背景知识文件系统的安全性文件系统的安全性文件系统的安全性文件系统的安全性 WindowsWindows推荐使用的推荐使用的推荐使用的推荐使用的NTFSNTFS文件系统提供了文件系统提供了文件系统提供了文件系统提供了FATFAT和和和和FAT32FAT32文件系统所没有的全面的性能、可靠性和兼容性文件系

32、统所没有的全面的性能、可靠性和兼容性文件系统所没有的全面的性能、可靠性和兼容性文件系统所没有的全面的性能、可靠性和兼容性 NTFSNTFS文件系统的设计目标就是能够在很大的硬盘上很快文件系统的设计目标就是能够在很大的硬盘上很快文件系统的设计目标就是能够在很大的硬盘上很快文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读、写和搜索这样的标准文件操作，甚至包地执行诸如读、写和搜索这样的标准文件操作，甚至包地执行诸如读、写和搜索这样的标准文件操作，甚至包地执行诸如读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。括像文件系统恢复这样的高级操作。括像文件系统恢复这样的高级操作

33、。括像文件系统恢复这样的高级操作。NTFSNTFS文件系统包括文件系统包括文件系统包括文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全了公司环境中文件服务器和高端个人计算机所需的安全了公司环境中文件服务器和高端个人计算机所需的安全了公司环境中文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据完整性的数据访问控制和特性，它还支持对于关键数据完整性的数据访问控制和特性，它还支持对于关键数据完整性的数据访问控制和特性，它还支持对于关键数据完整性的数据访问控制和私有权限。除了可以赋予私有权限。除了可以赋予私有权限。除了可以赋予私有权限。除了可以赋予 Windows Window

34、s计算机中的共享文件计算机中的共享文件计算机中的共享文件计算机中的共享文件夹特定权限外，夹特定权限外，夹特定权限外，夹特定权限外，NTFSNTFS文件和文件夹无论共享与否都可以文件和文件夹无论共享与否都可以文件和文件夹无论共享与否都可以文件和文件夹无论共享与否都可以赋予权限赋予权限赋予权限赋予权限背景知识背景知识 在在在在NTFSNTFS卷中设置权限就是指定一个组或用户对该目录的卷中设置权限就是指定一个组或用户对该目录的卷中设置权限就是指定一个组或用户对该目录的卷中设置权限就是指定一个组或用户对该目录的访问许可。设置目录权限时，对已有的子目录和文件除访问许可。设置目录权限时，对已有的子目录和文

35、件除访问许可。设置目录权限时，对已有的子目录和文件除访问许可。设置目录权限时，对已有的子目录和文件除非特别指定，否则是不会更改其权限的。生成新的子目非特别指定，否则是不会更改其权限的。生成新的子目非特别指定，否则是不会更改其权限的。生成新的子目非特别指定，否则是不会更改其权限的。生成新的子目录和文件时，它们就从目录中继承了新设置的权限录和文件时，它们就从目录中继承了新设置的权限录和文件时，它们就从目录中继承了新设置的权限录和文件时，它们就从目录中继承了新设置的权限 与目录权限类似，在与目录权限类似，在与目录权限类似，在与目录权限类似，在NTFSNTFS卷中设置文件权限就是指定组卷中设置文件权限

36、就是指定组卷中设置文件权限就是指定组卷中设置文件权限就是指定组或用户对该文件的访问许可。在目录中创建一个文件时，或用户对该文件的访问许可。在目录中创建一个文件时，或用户对该文件的访问许可。在目录中创建一个文件时，或用户对该文件的访问许可。在目录中创建一个文件时，该文件也从目录中继承了这种权限。需要注意的是，赋该文件也从目录中继承了这种权限。需要注意的是，赋该文件也从目录中继承了这种权限。需要注意的是，赋该文件也从目录中继承了这种权限。需要注意的是，赋予了对一个目录的予了对一个目录的予了对一个目录的予了对一个目录的“完全控制完全控制完全控制完全控制”权限的组或用户可以删权限的组或用户可以删权限的

37、组或用户可以删权限的组或用户可以删除该目录中的文件，而无论该文件有何保护权限除该目录中的文件，而无论该文件有何保护权限除该目录中的文件，而无论该文件有何保护权限除该目录中的文件，而无论该文件有何保护权限 通过设置目录和文件权限，用户就可以保护自己的文件通过设置目录和文件权限，用户就可以保护自己的文件通过设置目录和文件权限，用户就可以保护自己的文件通过设置目录和文件权限，用户就可以保护自己的文件和目录，也可以通过设置和目录，也可以通过设置和目录，也可以通过设置和目录，也可以通过设置NTFSNTFS卷中的文件和目录的特殊卷中的文件和目录的特殊卷中的文件和目录的特殊卷中的文件和目录的特殊访问权限来加

38、强对自己的文件和目录的保护。特殊访问访问权限来加强对自己的文件和目录的保护。特殊访问访问权限来加强对自己的文件和目录的保护。特殊访问访问权限来加强对自己的文件和目录的保护。特殊访问权限可以对目录、所选目录的所有文件或选定文件有效权限可以对目录、所选目录的所有文件或选定文件有效权限可以对目录、所选目录的所有文件或选定文件有效权限可以对目录、所选目录的所有文件或选定文件有效背景知识背景知识IPIP安全性管理安全性管理安全性管理安全性管理 在在在在 Windows Windows中使用了中使用了中使用了中使用了InternetInternet安全协议，即通常所安全协议，即通常所安全协议，即通常所安全

39、协议，即通常所说的说的说的说的 IP IP安全性，简称为安全性，简称为安全性，简称为安全性，简称为 IP SEC IP SEC，它能够定义与网，它能够定义与网，它能够定义与网，它能够定义与网络通信相联系的安全策略络通信相联系的安全策略络通信相联系的安全策略络通信相联系的安全策略 IPIP安全性可以自动对进出该系统的安全性可以自动对进出该系统的安全性可以自动对进出该系统的安全性可以自动对进出该系统的IPIP网络包进行加网络包进行加网络包进行加网络包进行加密或解密。从而，可以防止通信内容被窃取。另外密或解密。从而，可以防止通信内容被窃取。另外密或解密。从而，可以防止通信内容被窃取。另外密或解密。从

40、而，可以防止通信内容被窃取。另外在在在在IPIP网络中安装网络中安装网络中安装网络中安装IPIP安全性时，与所送的安全性时，与所送的安全性时，与所送的安全性时，与所送的TCP/IPTCP/IP包的包的包的包的类型和类型和类型和类型和TCP/IPTCP/IP端口一样，既可以使其覆盖所有的机端口一样，既可以使其覆盖所有的机端口一样，既可以使其覆盖所有的机端口一样，既可以使其覆盖所有的机器，也可以只覆盖一部分机器器，也可以只覆盖一部分机器器，也可以只覆盖一部分机器器，也可以只覆盖一部分机器背景知识背景知识通过本实验，了解和熟悉通过本实验，了解和熟悉通过本实验，了解和熟悉通过本实验，了解和熟悉Wind

41、owsWindows的网络安全的网络安全的网络安全的网络安全特性和特性和特性和特性和WindowsWindows提供的安全措施提供的安全措施提供的安全措施提供的安全措施学习和掌握学习和掌握学习和掌握学习和掌握WindowsWindows安全特性的设置方法安全特性的设置方法安全特性的设置方法安全特性的设置方法 实验目的实验目的在开始本实验之前，请回顾教科书的相关内容和在开始本实验之前，请回顾教科书的相关内容和在开始本实验之前，请回顾教科书的相关内容和在开始本实验之前，请回顾教科书的相关内容和认真阅读本实验的认真阅读本实验的认真阅读本实验的认真阅读本实验的“背景知识背景知识背景知识背景知识”部分部

42、分部分部分需要准备一台运行需要准备一台运行需要准备一台运行需要准备一台运行 Windows 2000 Professional Windows 2000 Professional 操操操操作系统的计算机作系统的计算机作系统的计算机作系统的计算机工具工具/准备工作准备工作设置安全区域设置安全区域设置安全区域设置安全区域设置设置设置设置“证书证书证书证书”“高级高级高级高级”安全设置安全设置安全设置安全设置设定目录权限设定目录权限设定目录权限设定目录权限获得文件和目录的所有权获得文件和目录的所有权获得文件和目录的所有权获得文件和目录的所有权实验内容与步骤实验内容与步骤注意确认硬盘分区的文件系统是否

43、为注意确认硬盘分区的文件系统是否为注意确认硬盘分区的文件系统是否为注意确认硬盘分区的文件系统是否为NTFS NTFS 实验提示实验提示实验估计时间：实验估计时间：实验估计时间：实验估计时间：120120分钟分钟分钟分钟，难度系数：，难度系数：，难度系数：，难度系数：5 58.2 Linux 文件权限文件权限作为全面安全策略的一个主要组成部分，文件系统作为全面安全策略的一个主要组成部分，文件系统作为全面安全策略的一个主要组成部分，文件系统作为全面安全策略的一个主要组成部分，文件系统安全决定了谁可以访问什么数据，以及他们可以如安全决定了谁可以访问什么数据，以及他们可以如安全决定了谁可以访问什么数据

44、，以及他们可以如安全决定了谁可以访问什么数据，以及他们可以如何处理数据。系统管理员基于用户、属组和权限建何处理数据。系统管理员基于用户、属组和权限建何处理数据。系统管理员基于用户、属组和权限建何处理数据。系统管理员基于用户、属组和权限建立其文件系统安全。目录和文件权限可以使用带立其文件系统安全。目录和文件权限可以使用带立其文件系统安全。目录和文件权限可以使用带立其文件系统安全。目录和文件权限可以使用带-l -l(长列表长列表长列表长列表)选项的选项的选项的选项的ls(ls(列表列表列表列表)命令来确定。可以使用命令来确定。可以使用命令来确定。可以使用命令来确定。可以使用ls-ls-l l命令确

45、定文件类型、权限、所有者和属组。系统将命令确定文件类型、权限、所有者和属组。系统将命令确定文件类型、权限、所有者和属组。系统将命令确定文件类型、权限、所有者和属组。系统将显示文件和目录的权限，解释结果，以评价不同用显示文件和目录的权限，解释结果，以评价不同用显示文件和目录的权限，解释结果，以评价不同用显示文件和目录的权限，解释结果，以评价不同用户类别上权限的作用户类别上权限的作用户类别上权限的作用户类别上权限的作用接着，将使用命令行工具程序分析和修改接着，将使用命令行工具程序分析和修改接着，将使用命令行工具程序分析和修改接着，将使用命令行工具程序分析和修改LinuxLinux文文文文件系统安全

46、权限件系统安全权限件系统安全权限件系统安全权限背景知识背景知识文件和目录权限可以使用文件和目录权限可以使用文件和目录权限可以使用文件和目录权限可以使用chmod(chmod(修改模式修改模式修改模式修改模式)命令修命令修命令修命令修改。在正常情况下，文件或目录的默认权限可以满改。在正常情况下，文件或目录的默认权限可以满改。在正常情况下，文件或目录的默认权限可以满改。在正常情况下，文件或目录的默认权限可以满足大多数安全的需要。可能有很多次想要修改文件足大多数安全的需要。可能有很多次想要修改文件足大多数安全的需要。可能有很多次想要修改文件足大多数安全的需要。可能有很多次想要修改文件或目录的权限。在

47、默认情况下，所有创建的文件设或目录的权限。在默认情况下，所有创建的文件设或目录的权限。在默认情况下，所有创建的文件设或目录的权限。在默认情况下，所有创建的文件设定了允许其他类别的用户可以读取这个文件的权限。定了允许其他类别的用户可以读取这个文件的权限。定了允许其他类别的用户可以读取这个文件的权限。定了允许其他类别的用户可以读取这个文件的权限。这意味着所有拥有登录这意味着所有拥有登录这意味着所有拥有登录这意味着所有拥有登录idid的人都可以查看和拷贝文的人都可以查看和拷贝文的人都可以查看和拷贝文的人都可以查看和拷贝文件的内容。对于机密文件和私人信息，可以修改文件的内容。对于机密文件和私人信息，可

48、以修改文件的内容。对于机密文件和私人信息，可以修改文件的内容。对于机密文件和私人信息，可以修改文件的权限，防止其他人访问它件的权限，防止其他人访问它件的权限，防止其他人访问它件的权限，防止其他人访问它背景知识背景知识shellshell脚本是想要修改其权限的另一个例子。当创建脚本是想要修改其权限的另一个例子。当创建脚本是想要修改其权限的另一个例子。当创建脚本是想要修改其权限的另一个例子。当创建一个一个一个一个shellshell脚本文件脚本文件脚本文件脚本文件(或任何文件或任何文件或任何文件或任何文件)的时候，即使是的时候，即使是的时候，即使是的时候，即使是对文件的所有者对文件的所有者对文件的

49、所有者对文件的所有者/创建者，默认的权限不包括执行创建者，默认的权限不包括执行创建者，默认的权限不包括执行创建者，默认的权限不包括执行权限。为了运行权限。为了运行权限。为了运行权限。为了运行shellshell脚本，必须通过给用户脚本，必须通过给用户脚本，必须通过给用户脚本，必须通过给用户(所有所有所有所有者者者者)类别添加执行权限来修改权限类别添加执行权限来修改权限类别添加执行权限来修改权限类别添加执行权限来修改权限最后，使用最后，使用最后，使用最后，使用GNOME(GNOME(公共桌面环境公共桌面环境公共桌面环境公共桌面环境)文件管理器来文件管理器来文件管理器来文件管理器来分析和修改文件系

50、统权限。分析和修改文件系统权限。分析和修改文件系统权限。分析和修改文件系统权限。GNOMEGNOME文件管理器工文件管理器工文件管理器工文件管理器工具程序提供了一个文件系统的图形化界面，可以用具程序提供了一个文件系统的图形化界面，可以用具程序提供了一个文件系统的图形化界面，可以用具程序提供了一个文件系统的图形化界面，可以用来查看和修改文件和文件夹的权限来查看和修改文件和文件夹的权限来查看和修改文件和文件夹的权限来查看和修改文件和文件夹的权限背景知识背景知识确定文件系统权限确定文件系统权限确定文件系统权限确定文件系统权限 显示文件系统权限显示文件系统权限显示文件系统权限显示文件系统权限 解释权限