操作系统安全 教学课件 作者 张波云 鄢喜爱 范强 第四章 Windows 账户安全管理.pptVIP

第四章 Windows账户安全管理 第一部分 教学组织 一、目的要求 1.了解账户的基本概念、帐户安全设置的必要性 2.掌握用户账户的管理、用户账户权限设置、用户组的管理 3.学会利用IPSec设置相关安全策略 4.掌握系统帐户口令破解的基础知识 二、工具器材 1.Windows Server 2003操作系统 2.NT-server密码破解器 3.易优字典生成器 第二部分 教学内容 本章的教学内容是包含三大部分： 一是用户账户和用户组管理的基础知识； 二是用户账户和用户组管理中的安全加固； 三是进行管理员密码破解的拓展训练，让学生懂得设置强密码的必要性。 4.1 账户的基本概念 用户帐户是计算机的基本安全组件。计算机通过用户帐户来识别用户的身份，让有权限的人登录系统，访问特定的资源。 windows sever2003为每个帐户提供了名称，如administator、guest等，这些名称主要是方便用户记忆、输入和使用的。在本地计算机中的用户帐户是不允许相同的。而在系统内部则使用安全标识符（Security Identifier，SID）来识别用户身份，每个用户帐户都对应一个唯一的安全标识符。 4.1 账户的基本概念 在windows sever2003中，安全标识符可以通过系统内置的whoami/user命令来查询 4.1.1本地用户账户 administrator :具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。 guest :由没有实际帐户的用户使用。如果某个用户的帐户已被禁用，但还未删除，那该用户也可以使用 Guest 帐户。Guest 帐户不需要密码。 4.1.2本地组账户 对用户进行分组管理可以更加有效并且灵活地进行权限配置，可以方便管理员对系统进行具体管理。 Windows Server 2003中的组是从Windows NT系统继承的安全管理形式，它指的是多个对象的集合，对象可以包括用户、计算机、联系人及其他组。 4.2 用户账户的管理 启动计算机，以“Administrator”身份登录Windows Server 2003，然后右击“我的电脑”选择“管理”命令。 4.2.1本地用户账户的创建 根据实际情况在该对话框中设置创建新用户的选项。 4.2.2设置本地账户属性 打开计算机管理控制台，在弹出的菜单中根据实际需要选择菜单中的命令对账户进行操作。 4.2.3本地用户帐户的删除 当某一账户不再需要时可以将其删除。删除一个用户帐户之后会造成该用户的所有信息全部丢失。 4.3 用户组的管理 在Windows Server 2003中组的概念就相当于公司中部门的概念，其实在Windows Server 2003中的组常常就对应着公司的部门，也就是说组的名称常常就是公司部门的名称。组内的账户就是部门的成员账户。组的出现，极大地方便了Windows Server 2003的账户管理和后面将要学习的资源访问权限的设置。 4.3.1创建本地组并将成员添加本地组 选择“新建组”命令 4.3.1创建本地组并将成员添加本地组 根据实际需要在相应的文本框内输入内容 4.3.1创建本地组并将成员添加本地组 组添加新成员 4.3.1创建本地组并将成员添加本地组 命令方式创建一个组，命令格式为： Net localgroup groupname/add 例如要添加一个名为computer的组，可以输入命令：Net localgroup computer/add 4.3.2删除本地组 删除本地组只是删除这个组，而不删除该组中的用户帐户、计算机帐户或组帐户。 4.4 系统账户权限设置 网络安全的一个重要方面是对有管理权限的独立计算机和域成员计算机上的本地账户数据库以及域控制器上的Active Directory目录服务的用户和组进行管理。 Windows Server 2003是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。 4.4.1理解权限 权限是有高低之分的，高权限的用户可以对低权限的用户进行操作。 我们平常使用计算机的过程中不会感觉到有权限在阻挠某些操作，这是因为我们在使用计算机的时候都用的是Administrators组中的用户登录的。 经常使用Administrators登录，弊大于利。 4.4.2用户安全设置 Administrator用户重命名 禁用Guest账户 限制不必要的用户 创建一个陷阱用户 把共享文件的权限从Everyone组改成授权用户 开启用户策略 4.4.3本地安全设置 4.4.3本地安全设置 密码策略 账户锁定策略 审核策略 用