windows server 2003 第9章.ppt

Windows Server 2003的安全性 本 章 主 要 内 容 Windows Server 2003安全性概述 安全策略配置 NTFS权限和加密文件系统 系统备份与故障排除 Windows Server 2003的安全性概述 Windows Server 2003提供了很多安全技术，如安全策略、安全审查、NTFS 权限和加密文件系统等。 信息安全对今天的操作系统来说是一个非常重要的问题，它涉及到从硬件到 软件、从单机到网络的各个方面的安全机制。 1.安全的基本概念 (1).对称加密 在对称加密体制中，用于加密的密钥与用于解密的密钥完全相同。在对称 加密体制中，通常使用的加密算法比较简便、高效，密钥虽然简短，但破译 却极其困难。在该以对称加密体制中传送和保管密钥是一个严峻的问题。 (2).非对称加密 在非对称加密算法中，加密密钥不同于解密密钥，加密密钥公布于众，谁 都可以使用。而解密密钥只有解密人自己知道，分别称为公用密钥（Public Key）和私用密钥（Private Key） Windows Server 2003的安全性概述 (3).数字签名 RSA公钥体系可用于对数据信息时行数字签名，其方法是：信息发送者用 其私钥对所传送报文中提取出的特征数据（或称数字指纹）进行RSA算法操作 ，以保证发送者无法抵赖曾发过的该信息（即不可抵赖性），同时也确保信 息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就 可以用发送者的公钥对数字签名进行验证。 在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH函 数）生成的，对这些HASH函数的特殊要求是： 接受的输入报文数据没有长度限制 对任何输入报文数据生成固定长度的摘要（数字指纹）输出 从报文能方便地算出摘要 难以对指定的摘要生成一个报文，而由该报文可以算出指定的摘要 难以生成两个不同的报文具有相同的摘要 Windows Server 2003的安全性概述 (4).公钥与证书的区别 密钥生成中心为用户生成一对密钥：公钥和私钥。公钥公布于众，私钥用 于自己保存。私钥用于对文件加密或签名，公钥用于对文件的解密及验证。 证书是一个遵循X.509的标准，由CA签发。证书内容包含用户信息及用户的公 钥，由CA用其私钥签发。因此，可以认为证书是CA对用户公钥的认证。 (5).SSL协议 SSL是Secure Socket Layer的缩写，是一种安全传输协议。它被浏览器软件 用于对HTTP协议的加密保护，在电子商务中被广泛采用。SSL协议的优点是 通用性好，因为所有的浏览器均支持SSL。 Windows Server 2003的安全性概述 2.Windows Server 2003的安全特性 在Windows Server 2003中，两个最重要的安全特性的革新在于直接处理IIS 和Telnet服务器方面。IIS和Telnet在缺省的情况下都没有安装，并且这两个服 务是在两个新的帐户下运行，新帐户的权限比正常系统帐户的权限要低。若 恶意的黑客危及到这两个服务时，这种改变将直接改善服务器的安全性。 Windows Server 2003还包含了大量的新的安全特性，这些新的安全特性是 用户决定升级到Windows Server 2003的决定因素： (1).Internet连接防火墙（ICF）：ICF是一个软件防火墙，为网络服务器提供 了基本的端口安全性。ICF与安全设备一起工作，给关键的基础设施增加一层 保护。 (2).软件限制策略：软件限制策略使用策略和强制执行机制，限制系统上运行 的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些 不是该公司标准用户软件套件中的程序。 Windows Server 2003的安全性概述 (3).网页服务器的安全性：当装载了IIS 6.0的缺省安装时，网页服务器的安全 性将达到最大化。新的IIS 6.0安全性包括可选择的加密服务、高级的摘要认 证以及要配置的过程访问控制。 (4).新的摘要安全包：新的摘要安全包支持摘要认证协议，并加密身份验证数 据。该包对IIS和活活目录（AD）提供了更高级的保护。 (5).改善了以太局域网和无线局域网的安全性，促进了用户和计算机的安全认 证和802.1X规范改进了以太局域网和无线局域网的安全性，促进了用户和计 算机安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册，使得 能够对传统的位于或者横跨公共场所的网络进行访问控制，如大学校园的广 域网（WAN）和横穿大城市的政府广域网。 (6).凭证管理器：对于所有的用户凭证，包括口令密码和X.509证书，凭证管 理器提供了一个安全的仓库。这个特性使得单一的签