WindowsServer的安全性和管理补充内容PPT课件

《WindowsServer的安全性和管理补充内容PPT课件》由会员分享，可在线阅读，更多相关《WindowsServer的安全性和管理补充内容PPT课件（59页珍藏版）》请在金锄头文库上搜索。

1、WindowsServer2003的安全性1.安全性概述2.常用安全策略3.一些安全常识与注意事项4.WindowsServer2003的安全验证WindowsServer的安全性和管理补充内容1.WindowsServer2003的安全性概述v安全性是有关控制对各种资源（如应用程序组件、数据和硬件）的访问的问题。大多数安全措施所基于的四个概念：身份验证授权（权限）数据保护审核WindowsServer的安全性和管理补充内容2.常用安全策略v使用NTFS文件系统v安装过程中有关安全的提示（系统管理员密码）v关闭默认的磁盘共享，修改组或用户对磁盘的控制权限v修改组或用户的访问权限，达到需要的安全

2、要求WindowsServer的安全性和管理补充内容2.常用安全策略v利用加密文件系统（EFS），加密文件或文件夹v通过“软件限制策略”限制任意程序的使用v禁止不必要的服务，杜绝隐患v改变远程控制的默认模式v配置本地安全设置WindowsServer的安全性和管理补充内容2.常用安全策略v关闭自动播放功能v清空远程可访问的注册表路径WindowsServer的安全性和管理补充内容3.一些安全常识与注意事项v杜绝基于Guest帐户的系统入侵v为Administrator用户改名，并设置复杂密码v随时警惕系统、安全、和应用程序的日志，警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全

3、的必要条件。v经常备份数据以应付灾难性事故。v用户和权限的分配应当本着最小权限原则，即在不影响用户正常使用的情况下，为其分配最小的权限。v感觉有时候也是很重要的，系统突然变慢就要先凭感觉判断一下是否感染了病毒。WindowsServer的安全性和管理补充内容4.WindowsServer2003的安全验证vKerberosV5验证KerberosV5是域中用于验证的主要安全协议。KerberosV5协议同时检验用户身份和网络服务。这种双重检验称为相互验证。WindowsServer的安全性和管理补充内容4.WindowsServer2003的安全验证v安全策略配置WindowsServer的安

4、全性和管理补充内容文件的压缩、加密与磁盘整理文件的压缩、加密与磁盘整理 文件、文件夹的压缩与解压缩文件复制或移动对压缩属性的影响文件与文件夹的加密、解密磁盘整理与故障恢复WindowsServer的安全性和管理补充内容文件、文件夹的压缩与解压缩文件、文件夹的压缩与解压缩(1)(1) 在Windowsserver2003中，可以对NTFS磁盘上的文件、文件夹进行压缩，以充分利用磁盘空间。并且压缩之后，对文件、文件夹的访问不需要人工的解压缩过程。设置好之后，不管是压缩，还是解压缩，都将是系统自动完成的。另外，磁盘空间的计算不考虑文件压缩的因素。 设置压缩属性的过程是：鼠标右键单击要设置的文件夹，选

5、择“属性”/“常规”/“高级”/“压缩内容以便节省磁盘空间”，可将该文件夹标记为“压缩”文件夹。压缩之后，在该文件夹内所添加的文件、子文件夹与子文件夹内的文件都会被自动压缩；也可以选择将已经存在于该文件夹内的现有文件、子文件夹与子文件夹内的文件压缩，或者保留原有的状态。 WindowsServer的安全性和管理补充内容文件、文件夹的压缩与解压缩文件、文件夹的压缩与解压缩(2)(2)压缩属性的选择压缩属性的选择压缩设置对话框压缩设置对话框 WindowsServer的安全性和管理补充内容文件复制或移动对压缩属性的影响文件复制或移动对压缩属性的影响 对NTFS磁盘分区的文件来说，当其被复制或移动时

6、，其压缩属性的变化依下列情况而不同：1文件由一个文件夹复制到另外一个文件夹时，由于文件的复制要产生新文件，因此，新文件的压缩属性继承目标文件夹的压缩属性。2文件由一个文件夹移动到另外一个文件夹时，分两种情况：（1）如果移动是在同一个磁盘分区中进行的，则文件的压缩属性不变。因为在Windows2003中，同一磁盘中文件的移动只是指针的改变，并没有真正的移动。（2）如果移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的压缩属性。因为移动到另一个磁盘分区，实际上是在那个分区上产生一个新文件。文件夹的移动或复制的原理与文件是相同的。另外，如果将文件从NTFS磁盘分区移动或复制到FAT或FA

7、T32磁盘分区内或者是软盘上，则该文件会被解压缩。WindowsServer的安全性和管理补充内容文件与文件夹的加密、解密文件与文件夹的加密、解密(1)(1) Windows2003提供的文件加密功能是通过加密文件系统（EFS）实现的。文件、文件夹加密之后，只有当初进行加密操作的用户能够使用，提高了文件的安全性。要对文件进行加密，操作的过程与压缩类似，只是在“压缩或加密属性”处选择“加密内容以便保护数据”选项即可。加密之后该文件夹内所添加的文件、子文件夹与子文件夹内的文件都会被自动的加密；也可以同时将之前已经存在于该文件夹内的现有文件、子文件夹与子文件夹内的文件加密，或者保留其原有的状态。 文

8、件、文件夹的加密也可以在“命令提示符”环境下，利用CIPHER.EXE程序实现，该命令的参数设置可以用命令CIPHER /? 来查看，根据需要选择使用。 WindowsServer的安全性和管理补充内容文件与文件夹的加密、解密文件与文件夹的加密、解密(2)(2)压缩属性的选择压缩属性的选择 WindowsServer的安全性和管理补充内容网络监视与性能优化WindowsServer的安全性和管理补充内容v添加网络组件v网络性能概述v使用性能监视器监控网络v使用网络监视器监控网络v提高网络性能vWindowsServer2003的自动优化WindowsServer的安全性和管理补充内容网络性能优

9、化概述v网络性能优化的目的是减少网络系统的瓶颈、设法提高网络系统的运行效率。对于不同的网络硬件环境和软件环境，可以存在不同的优化方法和内容。例如，在一个配置比较落后而又需要提供各种新服务的网络中，管理员往往需要对内存、CPU、磁盘、网络接口和服务器等分别进行优化处理，以便适应新的网络运行要求。但是，在一个网络服务比较少而硬件配置比较高的网络中，管理员不需要考虑整个网络的性能问题，只要利用一些性能和网络监视工具对系统进行监视，然后对发现的问题进行专项处理即可。WindowsServer的安全性和管理补充内容网络性能优化调整项目(1)v1.内存优化合理使用内存在内存一定的情况下，合理地使用内存可以

10、提高网络的性能。这要求管理员必须对系统中的内存使用情况非常了解，对于那些不再需要的功能、应用程序或服务应及时关闭，以便释放内存给其他应用程序和服务。另外，管理员还可以通过系统设置来决定内存的主要优化对象。一般，服务器的主要优化对象应该是后台服务，而工作站和单个计算机的主要优化对象应该是前台应用程序。WindowsServer的安全性和管理补充内容网络性能优化调整项目(2)v2.设置虚拟内存设置虚拟内存所谓虚拟内存就是系统把硬盘空间当作额外的内存来使用。因为通过使用磁盘空间，操作系统给进程分配比实际可用内存更多的内存。WindowsServer的安全性和管理补充内容WindowsServer的安

11、全性和管理补充内容网络性能优化调整项目(3)v3.添加新内存v4.CPU优化缓存技术多处理器支持v5.硬盘优化硬盘的技术硬盘的速度文件系统WindowsServer的安全性和管理补充内容网络性能优化调整项目(4)v硬盘主要有IDE和SCSI两种接口类型。IDE接口速度慢，价格便宜，广泛地使用于个人计算机和工作站。SCSI接口是小型计算机系统接口的简称，它的设计要求传输速度快、支持多进程和并行处理。1988年推出的SCSI标准使数据传速率提高到了160Mbps。WindowsServer的安全性和管理补充内容网络性能优化调整项目(5)v6.网络接口优化网卡和驱动程序的选择服务和协议的设置Wind

12、owsServer的安全性和管理补充内容网络性能优化调整项目(6)v7.服务器进程优化进程进程是包含地址空间和程序运行资源的程序请求。当某个应用程序启动时，系统就创建一个进程。这个进程所拥有的内存、资源和执行线程与运行可执行应用程序的特定实例相关联。在创建一个进程时，同时还会创建一个主线程。只要还有一个线程与进程相关联，该进程就将继续运行。线程线程是进程的实体，它是系统中最小的执行单位。线程是一直与进程相关联的，并存在于特定的进程之中。尽管在进程的整个生存周期内，许多进程都只有一个线程会始终伴随它，但是进程在整个生存周期内可拥有多个线程。WindowsServer的安全性和管理补充内容网络性能

13、优化调整项目(7)vWindows2000使用31个进程优先级去调度进程的运行。优先级范围从131，1是最低优先级，31是最高优先级。其中动态应用程序使用115的优先级，而实时应用不是使用1631的优先级。每个进程启动时都有一个标准的或基本的优先级，最多可增加或降低2级。基本优先权等级在进程启动时建立，但当一个进程运行时，可以通过使用任务管理器来改变基本优先权等级，缺省时，进程按标准优先权等级(优先级7)启动。进程中的线程继续进行的基本优先权等级，以相同优先级运行的线程通过占用相同的时间片来共享处理器，直到线程运行完毕。v由于进程的运行直接影响到系统资源的占用，因此用户或管理员对计算机中进程进

14、行管理，删除不必要的进程，提高重要进程的优先级，可大大提高计算机，特别是服务器的性能。WindowsServer的安全性和管理补充内容3系统性能监视(1)v1. 查看系统性能查看系统性能打开“开始”菜单，选择“程序”“管理工具”“性能”命令，打开“性能”窗口。在“性能”窗口中，通过查看性能监视器，管理员可以了解系统资源的使用情况。通过“性能日志和警报”选项可查看系统计数器日志、跟踪日志和警报。WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容3系统性能监视(2)v2.添加系统性能计数器要添加计数器，在“性能”窗口中，单击详细资料窗格工具栏上的“添加

15、”按钮，或右击性能监视器图表区，从弹出的快捷菜单中选择“添加计数器”命令，打开“添加计数器”对话框。在“添加计数器”对话框中，选择“使用本地计算机计数器”单选按钮，便可使用本地计算机上的计数器。如果想从其他计算机上选择计数器，可选择“从计算机选择计数器”单选按钮，从其下拉列表框中选择网络计算机。接着从“性能对象”下拉列表框中选择性能监视对象，例如Cache。在选择性能对象时，会发现某些对象有多个实例。例如，当系统中有两个处理器时，处理器对象类型就有2个实例。当然，某些对象没有实例，如内存和服务器。如果对象有多个实例则可以为每个实例添加计数器。选择“所有实例”单选按钮，可同时为每个实例添加计数器

16、。选择“从列表选择实例”单选按钮，可分别对实例进行记数器的添加。WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容3系统性能监视(3)v3.创建日志和警报要创建计数器日志，可在“性能”窗口的控制台目录树中单击“计数器日志”子节点，然后右击详细资料窗格，从弹出的快捷菜单中选择“新建”“建立新日志设置”命令，打开“建立新日志设置”对话框来创建。要创建警报，首先在“性能”窗口的控制台目录树中单击“警报”子节点，右击详细资料窗格，从弹出的快捷菜单中选择“新建”“创建新的警报设置”命令，打开“创建新的警报设置”

17、对话框，然后按照要求进行操作即可。WindowsServer的安全性和管理补充内容4.网络性能监视(1)v点击WindowsServer2003的开始程序管理工具中的“网络监视器”(运行网络监视器之前必须确保网络监视器已经安装，在默认情况下网络监视器作为2003的组件没有被安装，需要在“控制面板”的“添加/删除Windows组件”中添加“网络监视器”)，来启动“网络监视器”。WindowsServer的安全性和管理补充内容4.网络性能监视(2)WindowsServer的安全性和管理补充内容5.几个优化方案(1)v优化带宽WindowsServer2003装有QoSRRP(这是Qualityo

18、fServiceResourceReservationProtocol的缩写，意为服务质量资源预留协议)。一般来说，试图通过可用带宽访问信息的时候，应用程序要么通过QoS应用程序接口，要么通过另一个称为TCI的应用程序接口。在网络通讯上，为了商业方面的安全性保留了一定的频宽给了管理者，这对于QoS应用程序来说无疑是件好事，但是一般使用者便不需要此功能，无形中就有部分(默认为20%)带宽白白浪费了，因此我在此提供取消此功能的方法。v单击“开始/运行”输入gpedit.msc进入到“组策略”窗口，在左边窗口中选取“计算机配置/管理模板/网络/QoS数据包调度程序”，在右边的窗口中双击“限制可保留的

19、带宽”，选择“已启用”并将“带宽限制(%)”设为0，单击“应用”，然后“确定”，重新启动即可。WindowsServer的安全性和管理补充内容5.几个优化方案(2)vIE网络浏览器加速技巧WindowsXP/2003自带InternetExplorer6，有个小技巧，修改之后启动得很快。具体做法是：右键点击InternetExplorer快捷图标，打开图标属性之后在“目标”后面加上“-nohome”参数即可。WindowsServer的安全性和管理补充内容网络打印服务1.IPP协议2.Internet打印打印实现过程程3.服服务器端的安装和配置器端的安装和配置4.管理打印服管理打印服务器器5.

20、客客户端安装端安装Internet打印服打印服务WindowsServer的安全性和管理补充内容1.Windows网络打印概述vIPP协议IPP（InternetPrintingProtocol，因特网打印协议）协议是一个基于Internet应用层的协议，它面向终端用户和终端打印设备。IPP基于常用的Web浏览器，采用HTTP和其他一些现有的Internet技术，在Internet上从终端用户传送打印任务到支持IPP的打印输出设备中，同时向终端设备传送打印机的属性和状态信息。通过IPP打印设备，用户可通过Internet快速、高效、实用地实现本地或远程打印，无需进行复杂的打印机安装和驱动安装。

21、WindowsServer的安全性和管理补充内容2.Internet打印实现过程打印实现过程v1.用户输入打印设备的URL（统一资源定位符），通过Internet连接到打印服务器。2.HTTP请求通过Internet发送到打印服务器。3.打印服务器要求客户端提供身份验证信息。这样能够确保只有经过授权的用户才能在打印服务器上打印文件。WindowsServer的安全性和管理补充内容2.Internet打印实现过程打印实现过程v4.当用户获得授权可以访问打印服务器后，服务器使用活动服务器页ASP向用户显示状态信息，其中包括有关当前空闲打印机的信息。5.当用户连接Internet打印网页上的任何打印

22、机时，客户端计算机首先尝试在本地寻找该打印机的驱动程序。如果没有找到适合的驱动程序，打印服务器将会生成一个cabinet文件（.cab文件，又称为Setup文件），其中包含正确的打印机驱动程序文件。打印服务器把.cab文件下载到客户端计算机上。客户端计算机提示用户允许下载该.cab文件。WindowsServer的安全性和管理补充内容2.Internet打印实现过程打印实现过程v6.当用户连接到Internet打印机后，他们可以使用Internet打印协议（InternetPrintingProtocol，IPP）把文件发送到打印服务器。WindowsServer的安全性和管理补充内容3.服务

23、器端的安装和配置服务器端的安装和配置v1、安装并设置打印机共享注意：USB接口的打印机在安装过程有先后顺序：先安装驱动程序，然后把打印机插入USB接口，操作系统的即插即用功能立即发现新硬件，并且自动寻找到打印机驱动并且安装到USB打印口。设置打印机共享：打开“打印机和传真”、右击对象，启用共享，设置共享名，以下步骤要用到这个共享名。WindowsServer的安全性和管理补充内容3.服务器端的安装和配置服务器端的安装和配置v2、安装IIS和Internet打印组件Windows2003服务器默认不启动ASP脚本功能，而且默认的IIS6的安装中不包括Internet打印服务组，需要自定义安装，接

24、上面的步骤：“应用程序服务”、“Internet信息服务”、“详细”、“Internet打印”，点“下一步”就可以完成安装了。WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容3.服务器端的安装和配置服务器端的安装和配置v在Win2003中，不仅ASP解析被关闭，Internet打印功能也被关闭了，需要手工启动，点击“开始”、“管理工具”、“Internet信息服务管理”，选择“Web服务扩展,选择“InternetPrinting”和“ActiveSe

25、rverPages”,然后点击“允许”。WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容3.服务器端的安装和配置服务器端的安装和配置v安装好IIS后，Internet网用户就可以在Internet上通过Web浏览器访问这台计算机了。v检验Internet打印服务是否能正常功能的方法是，在Web浏览器的地址栏输入：http：/127.0.0.1/printers，这个地址用来查看位于名为本地的打印服务器上的所有打印机的列表，如果出现列表，表示安装成功了WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容W

26、indowsServer的安全性和管理补充内容打印管理WindowsServer的安全性和管理补充内容4.管理打印服务器v配置身份验证v匿名访问v配置配置IP 地址及域名限制地址及域名限制WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容5.客户端安装客户端安装Internet打印服务打印服务v当用户连接Internet打印网页上的任何打印机时，客户端计算机首先尝试在本地寻找该打印机的驱动程序。如果没有找到适合的驱动程序，打印服务器将会生成一个cabin

27、et文件（.cab文件，又称为Setup文件），其中包含正确的打印机驱动程序文件。打印服务器把.cab文件下载到客户端计算机上。客户端计算机提示用户允许下载该.cab文件。WindowsServer的安全性和管理补充内容5.客户端安装客户端安装Internet打印服务打印服务v需要连接Internet打印服务器完成打印任务的用户的计算机，安装网络打印的过程和配置类似LAN的网络打印安装和配置，方法是在IE地址栏输入URL（或者IP地址）和共享名称。例如http:/221.224.x.y/printers。出现网络打印机窗口，点击相应的打印机名称即可。WindowsServer的安全性和管理补充内容Internet 打印服务安全问题打印服务安全问题v1、加密的通讯过程v2、删除或禁用Internet打印功能课外作业WindowsServer的安全性和管理补充内容WindowsServer的安全性和管理补充内容