新计算机网络安全 教学课件 鲁立 1_ 06.pptVIP

第6章 Windows Server 2003的网络安全 本章要点 ???Windows Server 2003操作系统的网络安全构成。 ???账户策略。 ???访问控制配置。 ???安全模板的应用。 6.1 Windows Server 2003的安全简介 Windows Server 2003安全性主要体现在用户身份验证和基于对象的访问控制 为了实现身份验证，Windows Server 2003提供了3种身份验证方式，它们分别是NTLM、Kerberos v5和公钥证书。 6.1.2 基于对象的访问控制 Windows Server 2003会为几乎每个对象分配一个安全标识符（SID），在Windows Server 2003中可以使用WHOAMI命令查看对象的安全标识符。每个对象都会有一个安全标识符，在安全标识符中有不同的对象对应的访问控制表（ACL），通过这一组访问控制列表来控制其他用户对此对象的访问权限。 6.2 Windows Server 2003系统安全配置的常用方法 1、有选择性地安装组件。 2、系统没有配置好，不要开启网络连接。 6.2.2 正确设置和管理账户 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows Server 2003的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone组）是完全控制的（Full Control），用户需要根据应用时的需求重新设置权限。 在进行权限控制时，有以下几个原则： 1、权限是累计的，如果一个用户同时属于两个组，那么该用户就有了这两个组所允许的所有权限。 2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。 3、文件权限比文件夹权限高。 4、利用用户组来进行权限控制 5、只给用户真正需要的权限，权限的最小化原则是安全的重要保障。 6.2.4 网络服务安全管理 1、关闭不需要的服务。 2、关闭不用的端口。 3、只开放服务需要的端口与协议。 4、禁止建立空连接。 6.2.5 关闭无用端口 Windows的每一项服务都对应相应的端口，如WWW服务的端口是80，SMTP的端口是25，FTP的端口是21，Windows Server 2003中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉这些端口也就是关闭了这些服务。 关闭这些服务的方法是通过“控制面板”的“管理工具”中的“服务” 6.2.6 本地安全策略  通过建立IP策略来阻止对端口80、21、53、135、136、137、138、139、443、445、1028、1433等的访问实现安全的防护，从而避免入侵者通过这些端口对操作系统进行攻击。 6.2.7 审核策略  选择“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”，然后使用鼠标右键单击窗口右边的各项策略 审核的类型有如下几种。 ???审核策略更改：成功，失败。 ???审核登录事件：成功，失败。 ???审核对象访问：成功，失败。 ???审核过程跟踪：成功，失败。 ???审核目录服务访问：成功，失败。 ???审核特权使用：成功，失败。 ???审核系统事件：成功，失败。 ???审核账户登录事件：成功，失败。 ???审核账户管理：成功，失败 审核策略开启之后，审核的信息会记录到事件日志中，可以通过选择“开始”→“控制面板”→“管理工具”→“事件查看器”来查看各种事件，包括应用程序、安全性及系统事件 6.2.8 Windows日志文件的保护 1．修改日志文件存放目录 。 2．设置文件访问权限 6.3 Windows Server 2003访问控制技术6.3.1 访问控制技术简介 访问控制通常需要定义访问的主体和客体。主体通常是访问者，可以是用户计算机也可以是某个应用进程或者程序，客体通常指的是网络资源，包括计算机、文件等 访问控制主要有强制访问控制和自主访问控制两种 ： 1、强制访问控制 在这种访问模式中，主体和客体均被定义了。主体的访问权限一旦被系统定义，用户就不能随意更改，同样，客体的权限被系统定义之后也不能被无权限的用户更改。主体和客体通常会定义一个安全等级，通过比较主体和客体的安全等级可以判定访问者是否有权限访问。 2．自主访问控制 主要通过访问控制列表