1、2022-7-3Page 1 Windows Windows操作系統(tǒng)的安全性概述操作系統(tǒng)的安全性概述5.1 Active Directory Active Directory的結(jié)構(gòu)與功能的結(jié)構(gòu)與功能5.2 Active Directory Active Directory組策略組策略5.3 用戶和工作組的安全管理用戶和工作組的安全管理5.4 審審 核核 機(jī)機(jī) 制制5.52022-7-3Page 25.1.1 Windows操作系統(tǒng)概述操作系統(tǒng)概述 Microsoft公司從1983年開始研制Windows系統(tǒng)，最初的研制目標(biāo)是在MS-DOS的基礎(chǔ)上提供一個(gè)多任務(wù)的圖形用戶界面 。 第一個(gè)版本的W

2、indows 1.0于1985年問(wèn)世，它是一個(gè)具有圖形用戶界面的系統(tǒng)軟件。1987年推出了Windows 2.0版，最明顯的變化是采用了相互疊蓋的多窗口界面形式 。1990年推出Windows 3.0是一個(gè)重要的里程碑,它以壓倒性的商業(yè)成功確定了Windows系統(tǒng)在PC領(lǐng)域的壟斷地位 ?，F(xiàn)今流行的 Windows 窗口界面的基本形式也是從Windows 3.0開始基本確定的 。2022-7-3Page 3 接下來(lái)是Windows 9X系列，包括Windows Me，Windows 9X的系統(tǒng)是一種16位/32位混合源代碼的準(zhǔn)32位操作系統(tǒng)，故不穩(wěn)定。 Windows 2000是發(fā)行于1999年

3、12月19日的32位圖形商業(yè)性質(zhì)的操作系統(tǒng)。Windows xp是微軟公司發(fā)布的一款視窗操作系統(tǒng)。它發(fā)行于2001年8月25日。Windows Server 2003是目前微軟推出的使用最廣泛的服務(wù)器操作系統(tǒng)，于2003年3月28日發(fā)布。 Windows Vista已在2006年11月30日發(fā)布。Windows 7是微軟的下一代操作系統(tǒng)，正式版已于2009年10月23日發(fā)布。據(jù)國(guó)外媒體報(bào)道，日前有消息稱Windows 8計(jì)劃的發(fā)布將是2012年下半年 。 2022-7-3Page 45.1.2 Windows XP的安全特性的安全特性1適合需要的文件系統(tǒng)Windows XP支持3種文件系統(tǒng)，即

4、NTFS、FAT16和FAT32。2保護(hù)系統(tǒng)免受病毒侵害系統(tǒng)中的軟件限制策略，可以避免計(jì)算機(jī)感染病毒和其他通過(guò)電子郵件和Internet傳播的惡意代碼。2022-7-3Page 53在連接Internet期間保證系統(tǒng)安全I(xiàn)nternet協(xié)議安全Kerberos V5身份驗(yàn)證協(xié)議Internet連接防火墻Cookie管理4使用智能卡增強(qiáng)安全性使用智能卡可存儲(chǔ)證書和私鑰并實(shí)現(xiàn)公鑰操作，比如身份驗(yàn)證、數(shù)字簽名和密鑰交換，Windows xp允許在安裝了相應(yīng)硬件和軟件的計(jì)算機(jī)上充分利用智能卡的優(yōu)點(diǎn)。2022-7-3Page 61安全利益2數(shù)據(jù)安全性用戶登錄時(shí)的安全性使用VPN保護(hù)網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)的保護(hù)

5、3企業(yè)間通信的安全性在目錄服務(wù)中創(chuàng)建專門為外部企業(yè)開設(shè)的用戶賬號(hào)建立域之間的信任關(guān)系公用密鑰體制2022-7-3Page 74企業(yè)和Internet的單點(diǎn)安全登錄5易用的管理性和高擴(kuò)展性6其他的安全特性加密應(yīng)用程序編程接口設(shè)備驅(qū)動(dòng)程序簽名2022-7-3Page 8u共享密鑰協(xié)議共享密鑰協(xié)議Windows NTLM身份驗(yàn)證身份驗(yàn)證 NTLM Windows NT LAN管理器管理器用于企業(yè)級(jí)網(wǎng)絡(luò)的用于企業(yè)級(jí)網(wǎng)絡(luò)的Kerberos V5u公鑰驗(yàn)證協(xié)議公鑰驗(yàn)證協(xié)議安全套接字層安全套接字層 (SSL) / 傳輸層安全傳輸層安全 (TLS)IP的安全性的安全性u(píng)Active Directory身份驗(yàn)證

6、的多種方式身份驗(yàn)證的多種方式2022-7-3Page 95.1.5 Windows 2000的網(wǎng)絡(luò)模式的網(wǎng)絡(luò)模式1工作組模式：是一種簡(jiǎn)單的網(wǎng)絡(luò)模式，各個(gè)工作站的用戶通過(guò)加入一個(gè)用戶組共享資源。2域模式：在此模式中，用戶賬號(hào)數(shù)據(jù)庫(kù)和計(jì)算機(jī)策略是以共享方式存儲(chǔ)的。3安全限制：系統(tǒng)在共享級(jí)訪問(wèn)控制和用戶級(jí)訪問(wèn)控制方面是安全的，因?yàn)槠溆袊?yán)格的登錄要求。2022-7-3Page 101Microsoft管理控制臺(tái)（MMC）：是指進(jìn)行系統(tǒng)維護(hù)的各種管理工具工作的地方,通過(guò)它用戶可以創(chuàng)建、保存和打開用于管理硬件、軟件和Windows系統(tǒng)組件的工具。MMC 本身不執(zhí)行管理功能，但可以接納執(zhí)行各種系統(tǒng)功能的工具

7、，可在MMC中添加的插件包括管理工具、Active X 控制、鏈接到網(wǎng)頁(yè)、文件夾、控制臺(tái)任務(wù)板和任務(wù)。 用戶使用MMC有兩種方法，第一種是在用戶模式下使用現(xiàn)有的MMC控制臺(tái)管理系統(tǒng)，第二種是在作者模式下創(chuàng)建新控制臺(tái)和修改現(xiàn)有的MMC控制臺(tái)。 2022-7-3Page 11 Windows 2000可以創(chuàng)建一個(gè)或多個(gè)“控制臺(tái)”，這些控制臺(tái)內(nèi)可以包含一個(gè)或多個(gè)的管理單元。所有這些特性都能被遠(yuǎn)程計(jì)算機(jī)使用，并允許管理員從同一網(wǎng)絡(luò)上的任何其他計(jì)算機(jī)上修復(fù)和配置其中的某臺(tái)計(jì)算機(jī)?！肮芾砜刂婆_(tái)”和“管理單元”幫助用戶更容易地管理本地或遠(yuǎn)程計(jì)算機(jī)。 2022-7-3Page 12MMC 控制臺(tái)窗口Windo

8、ws 2000的MMC控制臺(tái)窗口由兩個(gè)窗格組成，左窗格稱為控制臺(tái)目錄樹，右窗格則稱為結(jié)果窗格，如下圖所示的“組件服務(wù)”控制臺(tái)窗口。 控制臺(tái)目錄樹顯示給定控制臺(tái)中可用的項(xiàng)目，結(jié)果窗格則包含有關(guān)這些項(xiàng)目功能的信息。在控制臺(tái)目錄樹中，當(dāng)用戶單擊不同項(xiàng)目時(shí)，結(jié)果窗格中的信息將相應(yīng)改變，結(jié)果窗格可以顯示很多類型的信息，包括網(wǎng)頁(yè)、圖形、圖表、表格和列表等。 2022-7-3Page 132022-7-3Page 14添加/刪除管理單元為了便于統(tǒng)一管理和增強(qiáng)控制臺(tái)的功能，用戶可以向控制臺(tái)添加管理單元。但有時(shí)，某一項(xiàng)控制臺(tái)管理單元的功能可能不再為用戶所使用，這時(shí)用戶可以將它刪除。 步驟：A. 啟動(dòng)MMC，在“

9、運(yùn)行”菜單輸入mmc.exe，此時(shí)打開一個(gè)空白的MMC。B. 選擇“控制臺(tái)”“添加/刪除管理單元”,打開對(duì)話框，選擇獨(dú)立（或擴(kuò)展）管理單元類型。2022-7-3Page 15C. 打開“管理單元列表”對(duì)話框，選定其中一個(gè)（例如：事件查看器）管理單元。D. 打開“選擇計(jì)算機(jī)”對(duì)話框，選擇事件查看器將監(jiān)視哪一臺(tái)計(jì)算機(jī)（可選擇遠(yuǎn)程計(jì)算機(jī)），此處選擇本地計(jì)算機(jī)。E. 完成后可在“程序”“管理工具”查看到新建的管理單元。2022-7-3Page 16 Active Directory是一個(gè)與Windows 2000集成在一起的目錄服務(wù)。 Active Directory存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，例如用戶

10、、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等，并且讓管理員和用戶能夠輕松地查找和使用這些信息。 2022-7-3Page 175.2.1 Active Directory的功能和特的功能和特點(diǎn)點(diǎn)1高度的集成性2集成的安全性3自定義的用戶環(huán)境4Active Directory與域名系統(tǒng)（Domain Name System，DNS）高度集成5Active Directory可直接支持Lightweight Directory Access Protocol (LDAP)及Hypertext Transfer Protocol (HTTP)6Active Directory支持許多常用的標(biāo)準(zhǔn)名稱格式7

11、服務(wù)配置8支持目錄的應(yīng)用程序和軟件安裝2022-7-3Page 181名稱空間和命名環(huán)境2Active Directory中的對(duì)象和對(duì)象名稱3全局編錄4架構(gòu)5域6域目錄樹和目錄林7組織單位（Organizational Unit, OU）8組策略9站點(diǎn)2022-7-3Page 19 全局編錄是一臺(tái)存儲(chǔ)了森林中所有Active Directory對(duì)象的一個(gè)副本的域控制器。此外，全局編錄還存儲(chǔ)了每個(gè)對(duì)象最常用的一些可搜索的屬性。 全局編錄擔(dān)當(dāng)了以下目錄角色：n查找對(duì)象 n提供了根據(jù)用戶主名的身份驗(yàn)證 n在多域環(huán)境下提供通用組的成員身份信息 2022-7-3Page 20域：是網(wǎng)絡(luò)對(duì)象的集合，這些對(duì)

12、象可以包括組織單元、用戶、組和計(jì)算機(jī)，它們都共享與安全性有關(guān)的公用目錄數(shù)據(jù)庫(kù)。它是Active Directory的基礎(chǔ)，是其邏輯體系結(jié)構(gòu)的核心單元。組策略：它提供了將安全性和配置設(shè)置組合為模板的能力，可將這種模板應(yīng)用于單獨(dú)的系統(tǒng)和域。2022-7-3Page 21n安全性通過(guò)登錄身份驗(yàn)證以及目錄對(duì)象的訪問(wèn)控制集成在Active Directory之中。n通過(guò)單點(diǎn)網(wǎng)絡(luò)登錄，管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位，經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)用戶可以訪問(wèn)網(wǎng)絡(luò)任意位置的資源。 nActive Directory通過(guò)對(duì)象訪問(wèn)控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳號(hào)和組信息。 nActive Direct

13、ory允許管理員創(chuàng)建組帳號(hào)，管理員得以更加有效地管理系統(tǒng)的安全性。 2022-7-3Page 225.3.1 組策略簡(jiǎn)介組策略簡(jiǎn)介組策略（GP）提供進(jìn)一步控制和集中管理用戶桌面環(huán)境的功能。組策略是一組配置設(shè)置，組策略管理員應(yīng)用于活動(dòng)目錄存儲(chǔ)中的一個(gè)或多個(gè)對(duì)象，也可以控制域中用戶的工作環(huán)境。 組策略還授予用戶和組權(quán)力。 2022-7-3Page 23（1）保護(hù)用戶環(huán)境（2）增強(qiáng)用戶環(huán)境 n自動(dòng)安裝應(yīng)用程序到用戶的“開始”菜單。n啟動(dòng)應(yīng)用程序分發(fā)，方便用戶在網(wǎng)絡(luò)上找到并安裝相應(yīng)應(yīng)用程序。n安裝文件或快捷方式到網(wǎng)絡(luò)上相應(yīng)位置或用戶計(jì)算機(jī)上的特定文件夾。n當(dāng)用戶登錄或注銷、計(jì)算機(jī)啟動(dòng)或關(guān)閉時(shí)自動(dòng)執(zhí)行任

14、務(wù)或應(yīng)用程序。n重定向文件夾到網(wǎng)絡(luò)位置增強(qiáng)數(shù)據(jù)可靠性。2022-7-3Page 24n管理模板：包括基于注冊(cè)表的組策略，可以利用它來(lái)強(qiáng)制注冊(cè)表設(shè)置，控制桌面的外觀和狀態(tài)，包括操作系統(tǒng)組件和應(yīng)用程序。 n遠(yuǎn)程安裝服務(wù)（RIS）：當(dāng)運(yùn)行用戶安裝向?qū)r(shí)，控制顯示給用戶的RIS安裝選項(xiàng)。 n文件夾重定向：可以重定向Windows Server 2000指定的文件夾從用戶配置文件缺省位置到另一個(gè)網(wǎng)絡(luò)位置，從而對(duì)這些文件夾集中管理 。 2022-7-3Page 255.3.2 組策略的創(chuàng)建組策略的創(chuàng)建1組策略配置設(shè)置組策略可以設(shè)置的策略如下。（1）軟件安裝（2）管理模板（3）腳本（4）安全性（5）文件夾重

15、定向2022-7-3Page 262組策略對(duì)象的構(gòu)成3創(chuàng)建組策略對(duì)象4創(chuàng)建未連接的組策略對(duì)象5組策略對(duì)象鏈接2022-7-3Page 271默認(rèn)權(quán)限2委派組策略的控制權(quán) 3Microsoft 管理控制臺(tái)的策略4使用安全組篩選組策略5使用組策略控制組策略6添加模板2022-7-3Page 281處理組策略2刷新組策略3解決沖突的組策略4組策略的繼承關(guān)系2022-7-3Page 29 組策略模板（GRT）是包含在域控制器的%systemroot%SYSVOLsysvolPolicies文件夾下的文件夾結(jié)構(gòu)。 GPT是存儲(chǔ)管理模板、安全設(shè)置、腳本文件和軟件設(shè)置的組策略設(shè)置信息的容器。 2022-7-

16、3Page 30組策略包括：計(jì)算機(jī)配置、用戶配置其組策略包含以下內(nèi)容： 1）管理模板：包括Windows組件、網(wǎng)絡(luò)、桌面以及任務(wù)欄和開始菜單等相關(guān)的策略。 2）Windows設(shè)置：包括腳本、安全設(shè)置（用戶策略和本地策略）等相關(guān)的策略。 3）軟件設(shè)置：包括軟件安裝策略，可以進(jìn)行應(yīng)用程序的指派與發(fā)布。2022-7-3Page 31圖1“組策略”選項(xiàng)卡2022-7-3Page 32（1）選擇“開始”“程序”“管理工具”“Active Directory用戶和計(jì)算機(jī)”選項(xiàng)，選擇“屬性”“組策略”命令。（2）選定“Default Domain Controllers Policy”，然后單擊“編輯”按鈕

17、。（3）打開如圖1所示的“組策略”窗口后，然后雙擊窗口右側(cè)的“在本地登錄”(圖2）。2022-7-3Page 33圖2 組策略窗口2022-7-3Page 34（4）出現(xiàn)如圖3所示的對(duì)話框時(shí)，單擊“添加”按鈕，選擇Domain Users組以便讓所有的域用戶都具備“在本地登錄”的權(quán)利。完成后單擊“確定”按鈕關(guān)閉此對(duì)話框。（5）返回“組策略”窗口時(shí)，請(qǐng)關(guān)閉此窗口。（6）返回“Domain Controllers屬性”對(duì)話框，單擊“確定”。 2022-7-3Page 35圖 3 有“在本地登錄”權(quán)限的用戶和組 2022-7-3Page 36（1）在服務(wù)器端，以administrator賬戶登錄。（

18、2）依次選擇“開始”“程序”“管理工具”“Active Directory用戶和計(jì)算”選項(xiàng)，從中選擇“新建”“用戶”命令添加一個(gè)一般的用戶賬戶。（3）完成后，注銷administrator，然后等待此組策略生效。（4）重新登錄時(shí)，請(qǐng)用剛建立的域用戶登錄，此時(shí)應(yīng)該可以正常登錄成功。返回本節(jié)返回本節(jié)2022-7-3Page 37（1）在“Active Directory中，選擇“屬性”“組策略”“新建”命令，添加一個(gè)GPO，命名為“xuexiao Policy”。（2）在如圖4所示的對(duì)話框中，單擊“編輯”。（3）在如圖5所示的“組策略”窗口中，選擇“用戶配置”“管理模板”“任務(wù)欄和開始菜單”選項(xiàng)。

19、2022-7-3Page 38（4）打開后選擇“用戶配置”“管理模板”“桌面”。（5）完成后，關(guān)閉“組策略”窗口。（6）單擊“關(guān)閉”按鈕，結(jié)束組策略設(shè)置。2022-7-3Page 39圖4 添加新的組策略2022-7-3Page 40圖5 設(shè)置組策略 2022-7-3Page 415.4.1 Windows 2000的用戶賬戶的用戶賬戶1本機(jī)用戶賬戶：在本機(jī)中建立的用戶賬戶。2域用戶賬戶：使用網(wǎng)域用戶賬戶注冊(cè)的用戶可以使用網(wǎng)域上的資源，因此域用戶賬戶的權(quán)限比本機(jī)用戶賬戶來(lái)得廣。3默認(rèn)用戶賬戶AdministratorGuest2022-7-3Page 42 本地用戶賬號(hào)只能登錄到賬號(hào)所在計(jì)算機(jī)

20、并獲得對(duì)該資源的訪問(wèn)。 當(dāng)創(chuàng)建本地用戶賬號(hào)后，Windows Server 2000將在該機(jī)的本地安全性數(shù)據(jù)庫(kù)中創(chuàng)建該賬號(hào)，本地賬號(hào)信息仍為本地，不會(huì)被復(fù)制到其他計(jì)算機(jī)或域控制器。 當(dāng)創(chuàng)建一個(gè)本地用戶賬號(hào)后，計(jì)算機(jī)使用本地安全性數(shù)據(jù)庫(kù)驗(yàn)證本地用戶賬號(hào)，以便讓用戶登錄到該計(jì)算機(jī)。 2022-7-3Page 43 域用戶賬號(hào)可讓用戶登錄到域并獲得對(duì)網(wǎng)絡(luò)上其他地方資源的訪問(wèn)。用戶在從域中的任何一臺(tái)計(jì)算機(jī)登錄到域中的時(shí)候必須提供一個(gè)合法的域用戶賬號(hào)，該賬號(hào)將被域的域控制器所驗(yàn)證。 當(dāng)在一個(gè)域控制器上新建一個(gè)用戶賬號(hào)后，該用戶賬號(hào)被復(fù)制到域中所有其他計(jì)算機(jī)上，復(fù)制過(guò)程完成后，域樹中的所有域控制器就都可以

21、在登錄過(guò)程中對(duì)用戶進(jìn)行身份驗(yàn)證。2022-7-3Page 44 Windows Server 2000自動(dòng)創(chuàng)建若干個(gè)用戶賬號(hào)，并且賦予了相應(yīng)的權(quán)限，稱為內(nèi)置賬號(hào)。內(nèi)置用戶賬號(hào)不允許被刪除。 最常用的兩個(gè)內(nèi)置賬號(hào)是Administrator和Guest。 使用內(nèi)置Administrator（管理員）賬號(hào)管理計(jì)算機(jī)和域配置 。 Guest（來(lái)客）賬號(hào)一般被用于在域中或計(jì)算機(jī)中沒(méi)有固定賬號(hào)的用戶臨時(shí)訪問(wèn)域或計(jì)算機(jī)時(shí)使用的。 2022-7-3Page 451密碼策略密碼策略主要包括以下設(shè)置。（1）強(qiáng)制密碼歷史（2）密碼最長(zhǎng)存留期（3）密碼最短存留期（4）密碼必須符合復(fù)雜性要求（5）使用可還原的加密存儲(chǔ)密碼2022-7-3Page 46圖7 設(shè)置密碼策略2022-7-3Page 47賬戶鎖定