实训6-1 indows访问控制功能.docVIP

本节实训与思考的目的是： (1) 熟悉访问控制技术的基本概念，了解访问控制技术的工作原理和基本内容。 (2) 通过学习配置安全的Windows操作系统，来加深理解访问控制技术，掌握Windows的访问控制功能。 1 工具/准备工作 在开始本实训之前，请认真阅读本课程的相关内容。 需要准备一台运行Windows XP Professional操作系统，并带有浏览器，能够访问因特网的计算机。 2 实训内容与步骤 (1) 概念理解 1) 请通过查阅有关资料，尽量用自己的语言解释以下有关访问控制技术的概念： ① 自主访问控制：这是常用的访问控制方式，它基于对主体所属的主体组的识别来限制对客体的访问。 ② 强制访问控制：这是一种较强的控制机制，系统为所有的主体和客体制定安全级别，比如绝密级、机密级、秘密级、和无密级。 ③ 角色和基于角色的访问控制：角色定义为与一个特定活动相关联的一组动作和责任。 基于角色的访问控制就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制 2) 请查阅有关资料，根据你的理解和看法，给出“访问控制技术”的定义： _______是在保障授权用户呢部分获取所需资源的同时拒绝非授权用户的安全机制，也是信息安全理论基础的重要组成部分。 这个定义的来源是：______网络__________________________________________ (2) 配置安全的Windows操作系统 关注网络安全就操作系统。根据用户的不同要求，操作系统的选择也有所不同整体上可以分为3种类型第一类是选用Win98/ME；第二类是选用Windows 2000XP甚至2003第三类是使用Unix操作系统。从安全角度，各种操作系统都存在漏洞，或多或少，有的漏洞可能还没有被发现。这些没发现的漏洞严重的威胁着大家的安全但这些漏洞都是可以通过自己修改系统来减小危害的。这操作系统所受的网络攻击比较少，原因是其主要面对家庭用户，网络功能弱，一般的服务器不会选择这操作系统但是漏洞还是存在的 比如Win98有一个很著名的共享导致蓝屏的漏洞当你共享一个分区盘，只要在运行里输入\\ip\c\con\con或者\\机器名\c\con\con就会导致蓝屏。原因是由于硬件冲突，是Win98的一个bug黑客经常利用这些漏洞攻击电脑。解决的办法就是不共享安装补丁。目前来看，Win98/ME操作系统的安全防范主要就是针对那些鸟级别的黑客，只要注意安装网络防火墙，小心木马之类的软件就可以了。安装的时候尽量选用正版软件。版本选择Windows 2000/XP/2003等都有各种语言的版本国内用户见到的都是简体中文版和英文版，建议选择使用英文版的操作系统因为Windows操作系统是基于英文开发的中文版的bug肯定要多于英文版，而且因为各种补丁是先发表英文版的，中文版往往要延迟一段时间，那么延迟的这段时间就相当凶险了。 正确安装系统尽量不采用网络安装，强烈建议不要采用升级安装，而是进行全新安装，这样可以避免升级带来的种种问题。 安装后，各种服务自动运行，此时的机器是漏洞满身，非常危险，所以建议一定要在安装完毕，并且安装好各种补丁后才接入网络。 硬盘的分区问题硬盘只有一个分区，直接安装系统，这样做的风险很大建议分3个以上分区。第一个来安装系统和日志，第二个放IIS第三个放FTP这样IIS或FTP出了安全问题不会影响系统。IIS和分开主要是为了防止黑客入侵时上传程序并且从IIS运行。另外硬盘分区选NTFS格式，因为NTFS格式的安全性能要远高于/FAT32。 修改默认的安装路径Windows的默认路径为: ，这也存在安全隐患，修改一下，比如: 上，这也能在一定的程度上保护系统。是家庭版是专业版系统补丁包版本的目录文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取写入执行修改列目录完全控制。设置的时候注意以下原则：权限是累计的如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限拒绝的权限要比允许的权限高拒绝策略会先执行如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。 文件权限比文件夹权限高。 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的良习惯之一仅给用户真正需要的权限，权限的最小化原则是安全的重要保障账号策略 ① 删除所有不需要的账号，禁止使用所有暂时不用的账号。在账号管理界面中选择“此用户已禁用”。 ② 系统开的账号要尽可能少，因为每多一个账号，就增加了一分被暴力攻破的概率严格控制账号的权限。 重命名dministrator，改为一个不容易猜到的用户名，