课程熟悉信息安全技术资料.ppt

1.3.3 账户和组的安全性 在Windows计算机上建立安全体系需要一个管理员。管理员为访问Windows计算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特权都由他所在的组决定。 1.3.3 账户和组的安全性 在域内建立安全体系需要域管理员。域管理员首先需要为用户和计算机建立账户，然后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括进哪一个安全策略之中(组策略)，并将这些操作的结果放进安全策略数据库。 1.3.3 账户和组的安全性 在Windows XP中，组内可以包含任何用户、计算机和组账户(组中有组)，而不用顾及这些用户和账户在域目录中的什么位置。另外，动态目录服务把域详细地划分成组织单元 (OU) ，分别管理域中的一些用户、计算机、组、文件和打印机等资源对象。 1.3.4 域的安全性 域在活动目录中是用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利： (1) 两个不同域的安全策略和设置 (诸如管理权限和访问控制列表) 不能相互交叉。 (2) 分派管理权限消除了需要大量具有广泛管理权限的管理员的必要。 1.3.4 域的安全性 (3) 将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。 (4) 每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩展成数量庞大的对象。 1.3.4 域的安全性 域通常分为两种类型：主域 (存储用户和组账户) 和资源域 (存储文件、打印机、应用服务等等) 。在这种多域计算环境中，资源域需要具有所有主域的多委托关系（建立两个域之间的关联委托关系）。这些委托关系允许主域中的用户访问资源域中的资源。 1.3.5 文件系统的安全性 Windows推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的全面的性能、可靠性和兼容性。 NTFS文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。 1.3.5 文件系统的安全性 NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据完整性的数据访问控制和私有权限。除了可以赋予 Windows计算机中的共享文件夹特定权限外，NTFS文件和文件夹无论共享与否都可以赋予权限。 1.3.5 文件系统的安全性 在NTFS卷(就是某个逻辑盘)中设置权限就是指定一个组或用户对该目录的访问许可。设置目录权限时，对已有的子目录和文件除非特别指定，否则是不会更改其权限的。生成新的子目录和文件时，它们就从目录中继承了新设置的权限。 1.3.5 文件系统的安全性 与目录权限类似，在NTFS卷中设置文件权限就是指定组或用户对该文件的访问许可。在目录中创建一个文件时，该文件也从目录中继承了这种权限。 需要注意的是，赋予了对一个目录的“完全控制”权限的组或用户可以删除该目录中的文件，而无论该文件有何保护权限。 1.3.5 文件系统的安全性 通过设置目录和文件权限，用户就可以保护自己的文件和目录，也可以通过设置NTFS卷中的文件和目录的特殊访问权限来加强对自己的文件和目录的保护。特殊访问权限可以对目录、所选目录的所有文件或选定文件有效。 1.3.6 IP安全性管理 在Windows中使用了因特网安全协议，即通常所说的 IP安全性，简称为IPSec，它能够定义与网络通信相联系的安全策略。 IP安全性可以自动对进出该系统的IP网络包进行加密或解密。从而，可以防止通信内容被窃取。另外在IP网络中安装IP安全性时，与所送的TCP/IP包的类型和TCP/IP端口一样，既可以使其覆盖所有的机器，也可以只覆盖一部分机器。 实训与思考 本节“实训与思考”的目的是： (1) 通过学习使用Windows系统管理工具，熟悉Windows系统工具的内容，由此进一步熟悉Windows操作系统的应用环境。 (2) 通过使用和设置Windows XP的安全机制，回顾和加深了解现代操作系统的安全机制和特性，熟悉Windows的网络安全特性和Windows提供的安全措施。 (P23~P28 由同学们上机完成!!!!!!!!!!!) 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * 1.2.5 通信线路安全技术 用一种简单