第5章-Windows操作系统的安全机制(ppt)课件.ppt

1、2022-8-5Page 1 Windows Windows操作系统的安全性概述操作系统的安全性概述5.1 Active Directory Active Directory的结构与功能的结构与功能5.2 Active Directory Active Directory组策略组策略5.3 用户和工作组的安全管理用户和工作组的安全管理5.4 审审 核核 机机 制制5.52022-8-5Page 25.1.1 Windows操作系统概述操作系统概述 Microsoft公司从1983年开始研制Windows系统，最初的研制目标是在MS-DOS的基础上提供一个多任务的图形用户界面。第一个版本的Win

2、dows 1.0于1985年问世，它是一个具有图形用户界面的系统软件。1987年推出了Windows 2.0版，最明显的变化是采用了相互叠盖的多窗口界面形式。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功确定了Windows系统在PC领域的垄断地位。现今流行的 Windows 窗口界面的基本形式也是从Windows 3.0开始基本确定的。2022-8-5Page 3 接下来是Windows 9X系列，包括Windows Me，Windows 9X的系统是一种16位/32位混合源代码的准32位操作系统，故不稳定。Windows 2000是发行于1999年12月19日

3、的32位图形商业性质的操作系统。Windows xp是微软公司发布的一款视窗操作系统。它发行于2001年8月25日。Windows Server 2003是目前微软推出的使用最广泛的服务器操作系统，于2003年3月28日发布。Windows Vista已在2006年11月30日发布。Windows 7是微软的下一代操作系统，正式版已于2009年10月23日发布。据国外媒体报道，日前有消息称Windows 8计划的发布将是2012年下半年。2022-8-5Page 45.1.2 Windows XP的安全特性的安全特性1适合需要的文件系统Windows XP支持3种文件系统，即NTFS、FAT1

4、6和FAT32。2保护系统免受病毒侵害系统中的软件限制策略，可以避免计算机感染病毒和其他通过电子邮件和Internet传播的恶意代码。2022-8-5Page 53在连接Internet期间保证系统安全Internet协议安全Kerberos V5身份验证协议Internet连接防火墙Cookie管理4使用智能卡增强安全性使用智能卡可存储证书和私钥并实现公钥操作，比如身份验证、数字签名和密钥交换，Windows xp允许在安装了相应硬件和软件的计算机上充分利用智能卡的优点。2022-8-5Page 65.1.3 Windows 2000的安全特性的安全特性1安全利益2数据安全性用户登录时的安全

5、性使用VPN保护网络数据存储数据的保护3企业间通信的安全性在目录服务中创建专门为外部企业开设的用户账号建立域之间的信任关系公用密钥体制2022-8-5Page 74企业和Internet的单点安全登录5易用的管理性和高扩展性6其他的安全特性加密应用程序编程接口设备驱动程序签名2022-8-5Page 8u共享密钥协议共享密钥协议Windows NTLM身份验证身份验证 NTLM Windows NT LAN管理器管理器用于企业级网络的用于企业级网络的Kerberos V5u公钥验证协议公钥验证协议安全套接字层安全套接字层(SSL)/传输层安全传输层安全(TLS)IP的安全性的安全性uActiv

6、e Directory身份验证的多种方式身份验证的多种方式5.1.4 Windows 2000的安全结构的安全结构2022-8-5Page 95.1.5 Windows 2000的网络模式的网络模式1工作组模式：是一种简单的网络模式，各个工作站的用户通过加入一个用户组共享资源。2域模式：在此模式中，用户账号数据库和计算机策略是以共享方式存储的。3安全限制：系统在共享级访问控制和用户级访问控制方面是安全的，因为其有严格的登录要求。2022-8-5Page 105.1.6 Windows 2000安全管理工具安全管理工具1Microsoft管理控制台（MMC）：是指进行系统维护的各种管理工具工作的

7、地方,通过它用户可以创建、保存和打开用于管理硬件、软件和Windows系统组件的工具。MMC 本身不执行管理功能，但可以接纳执行各种系统功能的工具，可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任务。用户使用MMC有两种方法，第一种是在用户模式下使用现有的MMC控制台管理系统，第二种是在作者模式下创建新控制台和修改现有的MMC控制台。2022-8-5Page 11 Windows 2000可以创建一个或多个“控制台”，这些控制台内可以包含一个或多个的管理单元。所有这些特性都能被远程计算机使用，并允许管理员从同一网络上的任何其他计算机上修复和配置其

8、中的某台计算机。“管理控制台”和“管理单元”帮助用户更容易地管理本地或远程计算机。2022-8-5Page 12MMC 控制台窗口Windows 2000的MMC控制台窗口由两个窗格组成，左窗格称为控制台目录树，右窗格则称为结果窗格，如下图所示的“组件服务”控制台窗口。控制台目录树显示给定控制台中可用的项目，结果窗格则包含有关这些项目功能的信息。在控制台目录树中，当用户单击不同项目时，结果窗格中的信息将相应改变，结果窗格可以显示很多类型的信息，包括网页、图形、图表、表格和列表等。2022-8-5Page 132022-8-5Page 14添加/删除管理单元为了便于统一管理和增强控制台的功能，用

9、户可以向控制台添加管理单元。但有时，某一项控制台管理单元的功能可能不再为用户所使用，这时用户可以将它删除。步骤：A.启动MMC，在“运行”菜单输入mmc.exe，此时打开一个空白的MMC。B.选择“控制台”“添加/删除管理单元”,打开对话框，选择独立（或扩展）管理单元类型。2022-8-5Page 15C.打开“管理单元列表”对话框，选定其中一个（例如：事件查看器）管理单元。D.打开“选择计算机”对话框，选择事件查看器将监视哪一台计算机（可选择远程计算机），此处选择本地计算机。E.完成后可在“程序”“管理工具”查看到新建的管理单元。2022-8-5Page 16 Active Director

10、y是一个与Windows 2000集成在一起的目录服务。Active Directory存储了有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等，并且让管理员和用户能够轻松地查找和使用这些信息。2022-8-5Page 175.2.1 Active Directory的功能和特的功能和特点点1高度的集成性2集成的安全性3自定义的用户环境4Active Directory与域名系统（Domain Name System，DNS）高度集成5Active Directory可直接支持Lightweight Directory Access Protocol(LDAP)及Hypert

11、ext Transfer Protocol(HTTP)6Active Directory支持许多常用的标准名称格式7服务配置8支持目录的应用程序和软件安装2022-8-5Page 185.2.2 Active Directory组件组件1名称空间和命名环境2Active Directory中的对象和对象名称3全局编录4架构5域6域目录树和目录林7组织单位（Organizational Unit,OU）8组策略9站点2022-8-5Page 19 全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外，全局编录还存储了每个对象最常用的一些可搜索的属性。全局编

12、录担当了以下目录角色：n查找对象 n提供了根据用户主名的身份验证 n在多域环境下提供通用组的成员身份信息 2022-8-5Page 20域：是网络对象的集合，这些对象可以包括组织单元、用户、组和计算机，它们都共享与安全性有关的公用目录数据库。它是Active Directory的基础，是其逻辑体系结构的核心单元。组策略：它提供了将安全性和配置设置组合为模板的能力，可将这种模板应用于单独的系统和域。2022-8-5Page 21n安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。n通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的

13、网络用户可以访问网络任意位置的资源。nActive Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐号和组信息。nActive Directory允许管理员创建组帐号，管理员得以更加有效地管理系统的安全性。2022-8-5Page 225.3.1 组策略简介组策略简介组策略（GP）提供进一步控制和集中管理用户桌面环境的功能。组策略是一组配置设置，组策略管理员应用于活动目录存储中的一个或多个对象，也可以控制域中用户的工作环境。组策略还授予用户和组权力。2022-8-5Page 23（1）保护用户环境（2）增强用户环境 n自动安装应用程序到用户的“开始”菜单。n启动应用程序分发

14、，方便用户在网络上找到并安装相应应用程序。n安装文件或快捷方式到网络上相应位置或用户计算机上的特定文件夹。n当用户登录或注销、计算机启动或关闭时自动执行任务或应用程序。n重定向文件夹到网络位置增强数据可靠性。2022-8-5Page 24安全设置：组策略管理员可以限制用户访问文件和文件夹。n管理模板：包括基于注册表的组策略，可以利用它来强制注册表设置，控制桌面的外观和状态，包括操作系统组件和应用程序。n远程安装服务（RIS）：当运行用户安装向导时，控制显示给用户的RIS安装选项。n文件夹重定向：可以重定向Windows Server 2000指定的文件夹从用户配置文件缺省位置到另一个网络位置，

15、从而对这些文件夹集中管理。2022-8-5Page 255.3.2 组策略的创建组策略的创建1组策略配置设置组策略可以设置的策略如下。（1）软件安装（2）管理模板（3）脚本（4）安全性（5）文件夹重定向2022-8-5Page 262组策略对象的构成3创建组策略对象4创建未连接的组策略对象5组策略对象链接2022-8-5Page 275.3.3 管理组策略管理组策略1默认权限2委派组策略的控制权 3Microsoft 管理控制台的策略4使用安全组筛选组策略5使用组策略控制组策略6添加模板2022-8-5Page 285.3.4 应用组策略应用组策略1处理组策略2刷新组策略3解决冲突的组策略4组

16、策略的继承关系2022-8-5Page 29 组策略模板（GRT）是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夹下的文件夹结构。GPT是存储管理模板、安全设置、脚本文件和软件设置的组策略设置信息的容器。2022-8-5Page 30组策略包括：计算机配置、用户配置其组策略包含以下内容：1）管理模板：包括Windows组件、网络、桌面以及任务栏和开始菜单等相关的策略。2）Windows设置：包括脚本、安全设置（用户策略和本地策略）等相关的策略。3）软件设置：包括软件安装策略，可以进行应用程序的指派与发布。2022-8-5Page 31图1“组策略”选项卡

17、2022-8-5Page 32（1）选择“开始”“程序”“管理工具”“Active Directory用户和计算机”选项，选择“属性”“组策略”命令。（2）选定“Default Domain Controllers Policy”，然后单击“编辑”按钮。（3）打开如图1所示的“组策略”窗口后，然后双击窗口右侧的“在本地登录”(图2）。2022-8-5Page 33图2 组策略窗口2022-8-5Page 34（4）出现如图3所示的对话框时，单击“添加”按钮，选择Domain Users组以便让所有的域用户都具备“在本地登录”的权利。完成后单击“确定”按钮关闭此对话框。（5）返回“组策略”窗口时

18、，请关闭此窗口。（6）返回“Domain Controllers属性”对话框，单击“确定”。2022-8-5Page 35图 3 有“在本地登录”权限的用户和组 2022-8-5Page 36（1）在服务器端，以administrator账户登录。（2）依次选择“开始”“程序”“管理工具”“Active Directory用户和计算”选项，从中选择“新建”“用户”命令添加一个一般的用户账户。（3）完成后，注销administrator，然后等待此组策略生效。（4）重新登录时，请用刚建立的域用户登录，此时应该可以正常登录成功。返回本节返回本节2022-8-5Page 37（1）在“Active

19、Directory中，选择“属性”“组策略”“新建”命令，添加一个GPO，命名为“xuexiao Policy”。（2）在如图4所示的对话框中，单击“编辑”。（3）在如图5所示的“组策略”窗口中，选择“用户配置”“管理模板”“任务栏和开始菜单”选项。2022-8-5Page 38（4）打开后选择“用户配置”“管理模板”“桌面”。（5）完成后，关闭“组策略”窗口。（6）单击“关闭”按钮，结束组策略设置。2022-8-5Page 39图4 添加新的组策略2022-8-5Page 40图5 设置组策略 2022-8-5Page 415.4.1 Windows 2000的用户账户的用户账户1本机用户账

20、户：在本机中建立的用户账户。2域用户账户：使用网域用户账户注册的用户可以使用网域上的资源，因此域用户账户的权限比本机用户账户来得广。3默认用户账户AdministratorGuest2022-8-5Page 42 本地用户账号只能登录到账号所在计算机并获得对该资源的访问。当创建本地用户账号后，Windows Server 2000将在该机的本地安全性数据库中创建该账号，本地账号信息仍为本地，不会被复制到其他计算机或域控制器。当创建一个本地用户账号后，计算机使用本地安全性数据库验证本地用户账号，以便让用户登录到该计算机。2022-8-5Page 43 域用户账号可让用户登录到域并获得对网络上其他

21、地方资源的访问。用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号，该账号将被域的域控制器所验证。当在一个域控制器上新建一个用户账号后，该用户账号被复制到域中所有其他计算机上，复制过程完成后，域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。2022-8-5Page 44 Windows Server 2000自动创建若干个用户账号，并且赋予了相应的权限，称为内置账号。内置用户账号不允许被删除。最常用的两个内置账号是Administrator和Guest。使用内置Administrator（管理员）账号管理计算机和域配置。Guest（来客）账号一般被用于在域中或

22、计算机中没有固定账号的用户临时访问域或计算机时使用的。2022-8-5Page 455.4.2 用户账户安全设置用户账户安全设置1密码策略密码策略主要包括以下设置。（1）强制密码历史（2）密码最长存留期（3）密码最短存留期（4）密码必须符合复杂性要求（5）使用可还原的加密存储密码2022-8-5Page 46图7 设置密码策略2022-8-5Page 47账户锁定策略包括以下设置。（1）复位账户锁定计数器（2）账户锁定时间（3）账户锁定阀值2022-8-5Page 48图8 设置账户锁定策略2022-8-5Page 49Kerberos策略包括以下设置。Kerberos是Windows 200

23、0活动目录使用的默认认证方式。（1）强制用户登录限制（2）用户票证最长寿命（3）服务票证最长寿命（4）用户票证续订最长寿命（5）计算机时钟同步的最大容差2022-8-5Page 505.4.3 组管理组管理1Administrators组2Backup Operators组3Power Users组4Users组2022-8-5Page 515.4.4 用户和组的验证、授权和审用户和组的验证、授权和审核核1验证：Active Directory和系统都使用被Windows 2000集成的身份验证。2授权：如果想要允许一个用户或组管理用户账号，就必须确定想让它们拥有何种级别的权限。3审核2022

24、-8-5Page 525.5.1 Windows 2000审核概述审核概述 审核，是Win2000中本地安全策略的一部分，它是一个维护系统安全性的工具，允许你跟踪用户的活动和Win2000系统的活动，这些活动称为事件。在运行Windows 2000 Professional的计算机设置了审核策略，就可以监控成功或失败的事件。2022-8-5Page 53 根据监控结果，管理员就可以将计算机资源的非法使用消除或减到最小。设置审核的事件发生时，Win2000将事件执行的情况记录到安全日志中。安全日志中的每一个审核条目都包含三个方面的内容：执行的动作；执行动作的用户；事件发生的时间及成功与否。安全日志的查看和管理通过Win2000的管理工具“事件查看器”来完成。