《第5章-Windows操作系统的安全机制剖析课件》由会员分享,可在线阅读,更多相关《第5章-Windows操作系统的安全机制剖析课件(53页珍藏版)》请在金锄头文库上搜索。
1、第第5 5章章 WindowsWindows操作系统的安全机制操作系统的安全机制 WindowsWindows操作系统的安全性概述操作系统的安全性概述5.1 Active DirectoryActive Directory的结构与功能的结构与功能5.2 Active DirectoryActive Directory组策略组策略5.3 用户和工作组的安全管理用户和工作组的安全管理5.4 审审 核核 机机 制制5.57/19/202415.1 Windows操作系统的安全性概述5.1.1 Windows操作系统概述操作系统概述 Microsoft公司从1983年开始研制Windows系统,最初的
2、研制目标是在MS-DOS的基础上提供一个多任务的图形用户界面。第一个版本的Windows1.0于1985年问世,它是一个具有图形用户界面的系统软件。1987年推出了Windows2.0版,最明显的变化是采用了相互叠盖的多窗口界面形式。1990年推出Windows3.0是一个重要的里程碑,它以压倒性的商业成功确定了Windows系统在PC领域的垄断地位。现今流行的Windows窗口界面的基本形式也是从Windows3.0开始基本确定的。7/19/20242 接下来是Windows9X系列,包括WindowsMe,Windows9X的系统是一种16位/32位混合源代码的准32位操作系统,故不稳定。
3、Windows2000是发行于1999年12月19日的32位图形商业性质的操作系统。Windowsxp是微软公司发布的一款视窗操作系统。它发行于2001年8月25日。WindowsServer2003是目前微软推出的使用最广泛的服务器操作系统,于2003年3月28日发布。WindowsVista已在2006年11月30日发布。Windows7是微软的下一代操作系统,正式版已于2009年10月23日发布。据国外媒体报道,日前有消息称Windows8计划的发布将是2012年下半年。 7/19/202435.1.2 Windows XP的安全特性的安全特性1适合需要的文件系统WindowsXP支持3
4、种文件系统,即NTFS、FAT16和FAT32。2保护系统免受病毒侵害系统中的软件限制策略,可以避免计算机感染病毒和其他通过电子邮件和Internet传播的恶意代码。7/19/202443在连接Internet期间保证系统安全Internet协议安全KerberosV5身份验证协议Internet连接防火墙Cookie管理4使用智能卡增强安全性使用智能卡可存储证书和私钥并实现公钥操作,比如身份验证、数字签名和密钥交换,Windowsxp允许在安装了相应硬件和软件的计算机上充分利用智能卡的优点。7/19/202455.1.3 Windows 2000的安全特性的安全特性1安全利益2数据安全性用户
5、登录时的安全性使用VPN保护网络数据存储数据的保护3企业间通信的安全性在目录服务中创建专门为外部企业开设的用户账号建立域之间的信任关系公用密钥体制7/19/202464企业和Internet的单点安全登录5易用的管理性和高扩展性6其他的安全特性加密应用程序编程接口设备驱动程序签名7/19/20247一个安全模型一个安全模型u共享密钥协议共享密钥协议Windows NTLM身份验证身份验证 NTLM Windows NT LAN管理器管理器用于企业级网络的用于企业级网络的Kerberos V5u公钥验证协议公钥验证协议安全套接字层安全套接字层 (SSL) / 传输层安全传输层安全 (TLS)IP
6、的安全性的安全性uActive Directory身份验证的多种方式身份验证的多种方式5.1.4 Windows 2000的安全结构的安全结构7/19/202485.1.5 Windows 2000的网络模式的网络模式1工作组模式:是一种简单的网络模式,各个工作站的用户通过加入一个用户组共享资源。2域模式:在此模式中,用户账号数据库和计算机策略是以共享方式存储的。3安全限制:系统在共享级访问控制和用户级访问控制方面是安全的,因为其有严格的登录要求。7/19/202495.1.6 Windows 2000安全管理工具安全管理工具1Microsoft管理控制台(MMC):是指进行系统维护的各种管理
7、工具工作的地方,通过它用户可以创建、保存和打开用于管理硬件、软件和Windows系统组件的工具。MMC本身不执行管理功能,但可以接纳执行各种系统功能的工具,可在MMC中添加的插件包括管理工具、ActiveX控制、链接到网页、文件夹、控制台任务板和任务。用户使用MMC有两种方法,第一种是在用户模式下使用现有的MMC控制台管理系统,第二种是在作者模式下创建新控制台和修改现有的MMC控制台。 7/19/202410Windows2000可以创建一个或多个“控制台”,这些控制台内可以包含一个或多个的管理单元。所有这些特性都能被远程计算机使用,并允许管理员从同一网络上的任何其他计算机上修复和配置其中的某
8、台计算机。“管理控制台”和“管理单元”帮助用户更容易地管理本地或远程计算机。 7/19/202411MMC控制台窗口Windows2000的MMC控制台窗口由两个窗格组成,左窗格称为控制台目录树,右窗格则称为结果窗格,如下图所示的“组件服务”控制台窗口。控制台目录树显示给定控制台中可用的项目,结果窗格则包含有关这些项目功能的信息。在控制台目录树中,当用户单击不同项目时,结果窗格中的信息将相应改变,结果窗格可以显示很多类型的信息,包括网页、图形、图表、表格和列表等。 7/19/2024127/19/202413添加/删除管理单元为了便于统一管理和增强控制台的功能,用户可以向控制台添加管理单元。但
9、有时,某一项控制台管理单元的功能可能不再为用户所使用,这时用户可以将它删除。步骤:A.启动MMC,在“运行”菜单输入mmc.exe,此时打开一个空白的MMC。B.选择“控制台”“添加/删除管理单元”,打开对话框,选择独立(或扩展)管理单元类型。7/19/202414C.打开“管理单元列表”对话框,选定其中一个(例如:事件查看器)管理单元。D.打开“选择计算机”对话框,选择事件查看器将监视哪一台计算机(可选择远程计算机),此处选择本地计算机。E.完成后可在“程序”“管理工具”查看到新建的管理单元。7/19/2024155.2 Active Directory的结构与功能 Active Direc
10、tory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等,并且让管理员和用户能够轻松地查找和使用这些信息。 7/19/2024165.2.1 Active Directory的的功功能能和和特特点点1高度的集成性2集成的安全性3自定义的用户环境4ActiveDirectory与域名系统(DomainNameSystem,DNS)高度集成5 Active Directory可 直 接 支 持 LightweightDirectory Access Protocol (LDAP)及 H
11、ypertextTransferProtocol(HTTP)6ActiveDirectory支持许多常用的标准名称格式7服务配置8支持目录的应用程序和软件安装7/19/2024175.2.2 Active Directory组件组件1名称空间和命名环境2ActiveDirectory中的对象和对象名称3全局编录4架构5域6域目录树和目录林7组织单位(OrganizationalUnit,OU)8组策略9站点7/19/202418全局编录全局编录 全局编录是一台存储了森林中所有ActiveDirectory对象的一个副本的域控制器。此外,全局编录还存储了每个对象最常用的一些可搜索的属性。全局编录
12、担当了以下目录角色:n查找对象n提供了根据用户主名的身份验证n在多域环境下提供通用组的成员身份信息7/19/202419域:是网络对象的集合,这些对象可以包括组织单元、用户、组和计算机,它们都共享与安全性有关的公用目录数据库。它是ActiveDirectory的基础,是其逻辑体系结构的核心单元。组策略:它提供了将安全性和配置设置组合为模板的能力,可将这种模板应用于单独的系统和域。7/19/202420Active Directory和安全性 n安全性通过登录身份验证以及目录对象的访问控制集成在ActiveDirectory之中。n通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单
13、位,经过授权的网络用户可以访问网络任意位置的资源。nActiveDirectory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。nActiveDirectory允许管理员创建组帐号,管理员得以更加有效地管理系统的安全性。 7/19/2024215.3 Active Directory组策略5.3.1 组策略简介组策略简介组策略(GP)提供进一步控制和集中管理用户桌面环境的功能。组策略是一组配置设置,组策略管理员应用于活动目录存储中的一个或多个对象,也可以控制域中用户的工作环境。组策略还授予用户和组权力。 7/19/202422组策略优点组策略优点 (1)保护用户环境(2)增强用
14、户环境n自动安装应用程序到用户的“开始”菜单。n启动应用程序分发,方便用户在网络上找到并安装相应应用程序。n安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。n当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。n重定向文件夹到网络位置增强数据可靠性。7/19/202423安全设置:组策略管理员可以限制用户访问文件和文件夹 。n管理模板:包括基于注册表的组策略,可以利用它来强制注册表设置,控制桌面的外观和状态,包括操作系统组件和应用程序。n远程安装服务(RIS):当运行用户安装向导时,控制显示给用户的RIS安装选项。n文件夹重定向:可以重定向WindowsServer200
15、0指定的文件夹从用户配置文件缺省位置到另一个网络位置,从而对这些文件夹集中管理。 7/19/2024245.3.2 组策略的创建组策略的创建1组策略配置设置组策略可以设置的策略如下。(1)软件安装(2)管理模板(3)脚本(4)安全性(5)文件夹重定向7/19/2024252组策略对象的构成3创建组策略对象4创建未连接的组策略对象5组策略对象链接7/19/2024265.3.3 管理组策略管理组策略1默认权限2委派组策略的控制权3Microsoft管理控制台的策略4使用安全组筛选组策略5使用组策略控制组策略6添加模板7/19/2024275.3.4 应用组策略应用组策略1处理组策略2刷新组策略3
16、解决冲突的组策略4组策略的继承关系7/19/202428组策略模板组策略模板 组策略模板(GRT)是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夹下的文件夹结构。GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。7/19/202429组策略包括:计算机配置、用户配置其组策略包含以下内容:1)管理模板:包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。2)Windows设置:包括脚本、安全设置(用户策略和本地策略)等相关的策略。3)软件设置:包括软件安装策略,可以进行应用程序的指派与发布。7/19/202430组策
17、略对象组策略对象图1“组策略”选项卡7/19/202431更改组策略更改组策略(1)选择“开始”“程序”“管理工具”“ActiveDirectory用户和计算机”选项,选择“属性”“组策略”命令。( 2) 选 定 “Default Domain ControllersPolicy”,然后单击“编辑”按钮。(3)打开如图1所示的“组策略”窗口后,然后双击窗口右侧的“在本地登录”(图2)。7/19/202432图2组策略窗口7/19/202433(4)出现如图3所示的对话框时,单击“添加”按钮,选择DomainUsers组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对
18、话框。(5)返回“组策略”窗口时,请关闭此窗口。(6)返回“DomainControllers属性”对话框,单击“确定”。 7/19/202434图3有“在本地登录”权限的用户和组7/19/202435验证更改组策略的有效性验证更改组策略的有效性(1)在服务器端,以administrator账户登录。(2)依次选择“开始”“程序”“管理工具”“ActiveDirectory用户和计算”选项,从中选择“新建”“用户”命令添加一个一般的用户账户。(3)完成后,注销administrator,然后等待此组策略生效。(4)重新登录时,请用刚建立的域用户登录,此时应该可以正常登录成功。返回本节返回本节7
19、/19/202436设置管理模板策略设置管理模板策略(1)在“ActiveDirectory中,选择“属性”“组策略”“新建”命令,添加一个GPO,命名为“xuexiaoPolicy”。(2)在如图4所示的对话框中,单击“编辑”。(3)在如图5所示的“组策略”窗口中,选择“用户配置”“管理模板”“任务栏和开始菜单”选项。7/19/202437(4)打开后选择“用户配置”“管理模板”“桌面”。(5)完成后,关闭“组策略”窗口。(6)单击“关闭”按钮,结束组策略设置。7/19/202438图4添加新的组策略7/19/202439图5设置组策略7/19/2024405.4 用户和工作组的安全管理5.
20、4.1 Windows 2000的用户账户的用户账户1本机用户账户:在本机中建立的用户账户。2域用户账户:使用网域用户账户注册的用户可以使用网域上的资源,因此域用户账户的权限比本机用户账户来得广。3默认用户账户AdministratorGuest7/19/202441本地用户账号本地用户账号(Local User AccountLocal User Account) 本地用户账号只能登录到账号所在计算机并获得对该资源的访问。 当创建本地用户账号后,Windows Server 2000将在该机的本地安全性数据库中创建该账号,本地账号信息仍为本地,不会被复制到其他计算机或域控制器。 当创建一个本
21、地用户账号后,计算机使用本地安全性数据库验证本地用户账号,以便让用户登录到该计算机。 7/19/202442域用户账号域用户账号(Domain User AccountDomain User Account) 域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域的域控制器所验证。 当在一个域控制器上新建一个用户账号后,该用户账号被复制到域中所有其他计算机上,复制过程完成后,域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。7/19/202443内置用户账号(内置用户账号(Built-in U
22、ser AccountBuilt-in User Account) Windows Server 2000自动创建若干个用户账号,并且赋予了相应的权限,称为内置账号。内置用户账号不允许被删除。 最常用的两个内置账号是Administrator和Guest。 使用内置Administrator(管理员)账号管理计算机和域配置。Guest(来客)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机时使用的。 7/19/2024445.4.2 用户账户安全设置用户账户安全设置1密码策略密码策略主要包括以下设置。(1)强制密码历史(2)密码最长存留期(3)密码最短存留期(4)密码必须符合
23、复杂性要求(5)使用可还原的加密存储密码7/19/202445图7设置密码策略7/19/2024462账户锁定策略账户锁定策略包括以下设置。(1)复位账户锁定计数器(2)账户锁定时间(3)账户锁定阀值7/19/202447图8设置账户锁定策略7/19/2024483Kerberos策略Kerberos策略包括以下设置。Kerberos是Windows2000活动目录使用的默认认证方式。(1)强制用户登录限制(2)用户票证最长寿命(3)服务票证最长寿命(4)用户票证续订最长寿命(5)计算机时钟同步的最大容差7/19/2024495.4.3 组管理组管理1Administrators组2Backu
24、pOperators组3PowerUsers组4Users组7/19/2024505.4.4 用户和组的验证、授权和审用户和组的验证、授权和审核核1验证:ActiveDirectory和系统都使用被Windows2000集成的身份验证。2授权:如果想要允许一个用户或组管理用户账号,就必须确定想让它们拥有何种级别的权限。3审核7/19/2024515.5 审 核 机 制5.5.1 Windows 2000审核概述审核概述审核,是Win2000中本地安全策略的一部分,它是一个维护系统安全性的工具,允许你跟踪用户的活动和Win2000系统的活动,这些活动称为事件。在运行Windows2000Professional的计算机设置了审核策略,就可以监控成功或失败的事件。7/19/202452根据监控结果,管理员就可以将计算机资源的非法使用消除或减到最小。设置审核的事件发生时,Win2000将事件执行的情况记录到安全日志中。安全日志中的每一个审核条目都包含三个方面的内容:执行的动作;执行动作的用户;事件发生的时间及成功与否。安全日志的查看和管理通过Win2000的管理工具“事件查看器”来完成。7/19/202453
