网络安全讲义第4章精编版

《网络安全讲义第4章精编版》由会员分享，可在线阅读，更多相关《网络安全讲义第4章精编版（17页珍藏版）》请在金锄头文库上搜索。

1、第4章 Windows2000系统安全,4.1 操作系统安全基础 4.2 windows2000账号安全 4.3 windows2000文件系统安全 4.4 windows2000主机安全,教学要求：掌握windows2000系统账号安全、文件系统安全、主机安全知识，可根据需要使用合适的安全措施，保证操作系统的安全性。,4.1 操作系统安全基础,一、安全管理目标 1 防止非法操作：防止非法用户或合法用户的越权操作。 2 数据保护：文件系统完整性检查、数据加密 3 管理用户：合理使用系统资源 4 保证系统的完整性：系统备份 5 系统保护：防止某用户长期占用资源,4.1 操作系统安全基础,二、安全

2、管理措施 操作系统的安全管理措施主要由安装系统补丁、登录安全控制、用户帐号及密码安全，文件系统安全、主机安全管理等组成。其核心是普通用户安全管理和特权级用户安全管理。 1 普通用户安全管理：提高安全意识与知识掌握 2 特权用户安全管理：特权用户账号和密码的安全,4.2 windows2000账号安全,一、账号种类 （域的创建） 1 域用户账号 在域控制器上建立，是访问域的惟一凭证。每个帐户有一个惟一的SID（安全标识符）。 2 本地用户账号 3 内置的用户帐号：administrator和guest,4.2 windows2000账号安全,二、帐号与密码约定 1 帐号命名约定： 域用户帐号的用

3、户登录名在活动目录（AD）中必须惟一； 域用户帐号的完全名称在创建该用户帐号的域中必须惟一； 本地用户帐号在创建该帐号的计算机上必须惟一； 若用户名有重复，应在账号上区别出来； 临时用户名，应容易识别 2 密码约定,4.2 windows2000账号安全,三、账号和密码安全设置 1 域中用户的“属性” 2 “安全设置”中的“密码策略”。域控制器安全策略；域安全策略；本地安全策略。 本地安全策略是本地策略的一部分，在开机的时后就会被执行，无论你是否处于工作组模式还是域模式； 域安全策略是域策略的一部分，作用范围是整个域，因此一台计算机只要处于域模式，就会采用域策略； 域控制器策略是在域控制器（组

4、）上的策略。,4.2 windows2000账号安全,一台处于工作组模式的计算机只会执行本地安全策略，而域控制器则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，即处于域模式的计算机要执行多条策略。 默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。而执行顺序为本地-域-域控制器，所以本地安全策略和域安全策略发生冲突，域安全策略有效；域安全策略和域控制器安全策略发生冲突，域控制器安全策略有效。,4.3 windows文件系统安全,一、NTFS权限及使用原则 1 NTFS权限：NTFS权限是基于NTFS分区实现的

5、，可以实现高度的本地安全性。只有administrator组成员才能有效设置NTFS权限 每个文件和文件夹有一个ACL（Access Control List），记录每一个用户和组对该资源的访问权限。 2 NTFS权限的使用原则 （1）权限最大原则 （2）文件权限超越文件夹权限原则 （3）拒绝权限超越其他权限原则 3 NTFS权限设置操作 文件（文件夹）的“属性”-”安全”,4.3 windows文件系统安全,如：用户Teacher同时属于Group1、Group2、Manager个组，对于资源Data文件夹分别具有如下权限：,则：Teacher对Data文件夹的最终权限为,完全控制,若Man

6、ager组对Data文件夹的权限为“拒绝”，则Teacher对Data文件夹的最终权限为：,拒绝,若用户对Data文件夹下的一个文件被赋予“读取”权限，则最终用户对该文件的权限为：,读取,4.3 windows文件系统安全,二、NTFS权限的继承性 1 在同一个NTFS分区内移动文件或文件夹：保留一切NTFS权限 2 在不同NTFS分区之间移动文件或文件夹：继承目的分区中文件夹的权限 3 在同一个NTFS分区内复制文件或文件夹：继承目的位置中文件夹的权限 4在不同NTFS分区之间复制文件或文件夹：继承目的位置中文件夹的权限,4.3 windows文件系统安全,三、共享文件夹权限管理 共享文件夹

7、的权限：读、修改和完全控制 四、文件的加密与解密 Windows2000的NTFS文件系统中内置了EFS（加密文件系统）。EFS结合使用了DES和RSA加密算法，将私钥和用户的ID结合在一起。 文件（文件夹）属性-”常规”-”高级”,4.4 windows主机安全,一、使用安全策略 1 本地安全策略 在单个计算机上实现。包括帐户策略、本地策略、公钥策略和IP安全策略 “管理工具”-”本地安全策略” 2 组策略 在站点、组织单元或域的范围内实现。包括用户配置策略和计算机配置策略。只能应用在基于windows2000的域控制器的网络中的计算机和用户；不包括共享文件夹、打印机等。 “管理工具”-”A

8、ctive Directory用户和计算机”-域的“属性”-”组策略” 或运行：gpedit.msc,4.4 windows主机安全,多个策略同时存在时，首先是本地策略；其次是站点和域策略；最后是组织单元（组）的策略。策略的有效值是多个策略的并集，当有冲突时，后面的代替前面的设置值。 一条策略又可以分为计算机策略和用户策略，计算机策略作用在计算机上，用户策略作用在用户对象上，当同一条策略的计算机策略和用户策略产生冲突的时候，以计算机策略为准,4.4 windows主机安全,3 使用预定义安全模版 预定义安全模版中包含了大多数的常用的安全设置，可通过导入直接使用。 预定义安全模版有4种安全级别：

9、 （1）基本（Basic）：Basicdc,Basicsv,Basicwk （2）兼容（Compatible）:Compatwk （3）安全（Secure）：Securewk,Securedc （4）高度安全（High）：hisecws,hisecdc,4.4 windows主机安全,预定义安全模版的应用： 在命令中键入MMC，打开控制台，“控制台”添加/删除管理单元”添加“安全模版”，可对各模版进行认识 “控制台”-“添加/删除管理单元”，“添加”-“安全配置和分析”，可对一台数据库进行安全配置 在各“安全设置”时，都可采用“导入策略”,4.4 windows主机安全,二、设置系统资源审核

10、安全日志可包含被审核事件的信息有：对该资源的操作；执行该操作的用户；事件是否成功；事件发生的时间及附加信息。 1 选择审核对象 “审核策略”，在日志中察看 2 设置资源审核 （1）打开“审核对象访问”的审核 （2）文件（文件夹）-“属性”-”安全”-”高级”-”审核”,1、有时候读书是一种巧妙地避开思考的方法。20.9.1720.9.17Thursday, September 17, 2020 2、阅读一切好书如同和过去最杰出的人谈话。09:43:3609:43:3609:439/17/2020 9:43:36 AM 3、越是没有本领的就越加自命不凡。20.9.1709:43:3609:43S

11、ep-2017-Sep-20 4、越是无能的人，越喜欢挑剔别人的错儿。09:43:3609:43:3609:43Thursday, September 17, 2020 5、知人者智，自知者明。胜人者有力，自胜者强。20.9.1720.9.1709:43:3609:43:36September 17, 2020 6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2020年9月17日星期四上午9时43分36秒09:43:3620.9.17 7、最具挑战性的挑战莫过于提升自我。2020年9月上午9时43分20.9.1709:43September 17, 2020 8、业余生活要有意义，不要越轨

12、。2020年9月17日星期四9时43分36秒09:43:3617 September 2020 9、一个人即使已登上顶峰，也仍要自强不息。上午9时43分36秒上午9时43分09:43:3620.9.17 10、你要做多大的事情，就该承受多大的压力。9/17/2020 9:43:36 AM09:43:362020/9/17 11、自己要先看得起自己，别人才会看得起你。9/17/2020 9:43 AM9/17/2020 9:43 AM20.9.1720.9.17 12、这一秒不放弃，下一秒就会有希望。17-Sep-2017 September 202020.9.17 13、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Thursday, September 17, 202017-Sep-2020.9.17 14、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。20.9.1709:43:3617 September 202009:43,谢谢大家,