操作系统安全 教学课件 作者 张波云 鄢喜爱 范强 第五章 Windows 系统资源的安全保护.pptVIP

第5章 Windows系统资源的安全保护 目的要求 掌握资源共享的实现方法以及共享资源的安全设置。 掌握设置打印机的方法。 了解注册表基础知识，初步掌握通过注册表的设置提高系统安全的方法。 了解安全审核基础知识，初步掌握审核策略的设置和安全日志的分析方法。 5.1 文件系统和共享资源的安全设置 5.1.1 Windows中的常用文件系统 5.1.2 EFS加密原理 5.1.3资源共享 5.1.4资源访问权限的控制 5.1 文件系统和共享资源的安全设置 文件系统 操作系统用于明确磁盘或分区上存储文件的方法和数据结构，即在磁盘上组织文件的方法。 从系统角度来看，文件系统是对文件存储器空间进行组织和分配，负责文件存储并对存入的文件进行保护和检索的系统。 具体地说，它负责为用户建立、存入、读出、修改文件以及撤销文件等。 5.1 文件系统和共享资源的安全设置 文件系统 新的硬盘上并没有文件系统，必须使用分区工具对其进行分区并格式化后才会有管理文件的系统。 一块硬盘就像一个块空地，文件就像不同的物资，我们首先得在空地上建起仓库(分区)，并且指定好(格式化)仓库对材料的管理规范(文件系统)，这样才能将物资运进仓库保管。 5.1.1 Windows中的常用文件系统 1. FAT16： DOS、Windows 95都使用FAT16文件系统，现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2 GB的分区，但由于采用16位长的文件分配表（File Allocation Table）每个分区最多只能有65525个簇（“簇”是磁盘空间保存信息的基本单位），由于FAT16管理“簇”的能力有限，随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。并且随着计算机硬件和应用的不断提高，FAT16文件系统已不能很好地适应系统的要求。 5.1.1 Windows中的常用文件系统 2. FAT32：随着大容量硬盘的出现，从Windows 98开始，FAT32开始流行。它是FAT16的增强版本，采用32位长的文件分配表来管理文件的存储。同FAT16相比，FAT32主要具有以下特点： （1）管理“簇”的能力增强，支持的分区容量增大; （2）“簇”的尺寸变小，FAT32就比FAT16的存储效率要高很多，通常情况下可以提高15%。 （3）FAT32文件系统可以重新定位根目录和使用FAT的备份副本，减少了计算机系统崩溃的可能性。 5.1.1 Windows中的常用文件系统 3．NTFS：Windows NT/2000/XP及以上系统支持NTFS文件系统。与FAT文件系统相比，NTFS功能更强大，适合更大的磁盘和分区，支持安全性，是更为完善和灵活的文件系统，它是建立在保护文件和目录数据基础上，同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。相较于FAT文件系统，NTFS具有以下这些重要的安全特性： （1）容错性; （2）权限控制; （3）支持EFS（Encrypting File System）加密; （4）支持文件压缩; （5）磁盘配额; （6）审核策略与安全日志 5.1.2 EFS加密原理 1. EFS的加密和解密过程 （1）文件被复制到临时文件。若复制过程中发生错误，则利用此文件进行恢复。 （2）文件被一个随机产生的Key加密，这个Key叫作文件加密密钥（FEK），文件使用DESX对称加密算法进行加密。 （3）数据加密区域（DDF）产生，这个区域包含了使用用户的公钥加密的FEK，FEK使用RSA非对称加密算法进行加密。 （4）数据恢复区域（DRF）产生，产生这个区域的目的是为了防止用户在特殊情况下发生无法对加密文件进行解密的情况，从而设置了恢复代理这一特殊用户，恢复代理在加密数据恢复策略（EDRP）中定义。DRF包含使用恢复代理的公钥加密的FEK。如果在EDRP列表中有多个恢复代理，则FEK必须用每个恢复代理的公钥进行加密。 （5）包含加密数据、DDF及所有DRF的加密文件被写入磁盘。 （6）在第（1）步中创建的临时文件被删除。 5.1.2 EFS加密原理 1. EFS的加密和解密过程 5.1.2 EFS加密原理 当用户解密文件时，EFS将执行以下操作： （1）使用DDF和用户的私钥解密FEK。 （2）使用FEK解密文件。 5.1.3资源共享 创建共享 （1）简单文件共享 （2）高级文件共享 5.1.3资源共享 简单文件共享 在要共享的文件夹上单击鼠标右键，选中“共享和安全…”菜单项，点选“共享”标签项，然后勾选“在网络上共享这个文件夹”项， 如果允许网络上用户修改你的共享文件，还可以勾选“允许网络用户更改我的文件”项。 5.1.3资源共享 简单文件共