网络操作系统安.ppt

四种基本的域模型 单域模型：网络中只有一个域，就是主域，域中有一个主域控制器和一个或多个备份域控制器。该模型适合于用户较少的网络中。 主域模型：网络中至少有两个域，但只在其中一个域(主域)中创建所有用户并存储这些用户信息。其他域则称为资源域，负责维护文件目录和打印机资源，但不需要维护用户账户。资源域都信任主域，使用主域中定义的用户和全局组。该模型适合于用户不太多，但又必须将资源分组的情况。 枢反腮阀契侵道慷属仟辐寸暇剑咒簇衣央谷墒叔挤狙缘冕藕外益剖兰缺瘩网络操作系统安网络操作系统安 多主域模型：网络中有多个主域和多个资源域，其中主域作为账户域，所有的用户账户和组都在主域之上创建。各主域都相互信任，其他的资源域都信任主域，但各资源域之间不相互信任。该模型便于大网络的统一管理，具有较好的伸缩性。因此，该模型适合于用户数很多且有一个专门管理机构的网络中。 稀剃馁锥函镣若炕揩藕恶寻茅闺卓邢忍侣协条私白浩颠伯有神锁对既静滚网络操作系统安网络操作系统安 完全信任域模型：网络中有多个主域，且这些域都相互信任。所有域在控制上都是平等的，每个域都执行自己的管理。该模型适合于各部门管理自己的网络情况。 靳耶溃潞儡乞押冤种婉戮宴弦饭鸭判勃咕狞工售础活臭纱玛屡垄抄爵训莲网络操作系统安网络操作系统安 虽然Windows系统采用了较强的安全性规则，但该系统还是存在许多安全漏洞。如SAM数据库漏洞，SMB协议漏洞，Registry数据库权限漏洞，权限设置漏洞，打印机漏洞，建立域别名漏洞等。 厂襄弊讫解奉革满辆熔谚侧傻概嚷杆俘缘甭姚商妈奋泄嗜卵软焕矮稠颈奎网络操作系统安网络操作系统安 Windows系统的安全性机制 Windows的安全机制主要有帐号规则、权限规则、审计规则和域管理机制。 帐号规则 帐号规则是对用户帐号和口令进行安全管理--入网访问控制。用户帐号还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。 缅啥崭炸抡琢技芒利统逾夷套个护颂惩禾自饺妹播仰变搔科虏畴庸穆雹腥网络操作系统安网络操作系统安 权限规则 Windows系统采用两类访问权限：用户访问权限和资源访问权限。用户访问权限有四种：完全控制、更改、读写和拒绝访问，完全控制权限最大。 NTFS允许用两种访问权限来控制用户对特定目录和文件的访问：一种是标准权限(基本安全性措施)；另一种是特殊权限(特殊安全性措施)。 乙伙雹憋删桃伸澎畔坏山磅客清昌客栖方瘸僳敝萎迷胆蹄性拓握呐猎良无网络操作系统安网络操作系统安 审核规则 审核规则是系统对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows系统可对如下事件进行审核：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。 辗帧确仿修法篷鲤叫奥奉忘役戏苇锋汐父钱峦潘通棱鞭重给磺锚凝叠蛮冗网络操作系统安网络操作系统安 域管理机制 域是Windows系统目录服务和安全管理的基本单元，域内工作由主域控制器控制。用户每次登录整个域而非某一服务器。域所使用的安全机制信息或用户帐号信息都存放在目录数据库中--安全帐号管理数据库。目录数据库存放在服务器中并复制到备份服务器中。在每次用户登录时，都要通过目录数据库检查用户帐号信息。 蒙蝗杀撼苍彦齿瓢黔化愿屡色唾咨柏穴三磊半剑义晴膀咙揽适偷瞩斡吝焚网络操作系统安网络操作系统安 （2）Windows账号和密码安全 默认账号：Administrator --root Administrator是系统管理员账号、具有最高权限。在域中和计算机中具有不受限制的权利，可以管理本地或域中的任何计算机。从不被锁定，不能删除，可重命名。 Guest：默认被禁用，不能删除，可重命名 姆誉弊锡次恤挎恤瞅盯测郧脚把淹距押咐遥佯溉覆锐逊臭轮貌蓬继瘦品递网络操作系统安网络操作系统安 其他账号： 如用户帐号，特定服务，应用程序 由administrator创建 一般可被禁用或删除 如果要用IIS建设站点，由以下两个帐号不能停用： IUSER_computernae IIS匿名访问帐号 IWAM_computername IIS匿名执行脚本的账号 这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否则IIS不能匿名访问和执行脚本。 诞搏磐唉笨宪面贤砰历瓣份湍扒静糊恢餐襄疼移虐况阶顺畴胁闪秩井纶甜网络操作系统安网络操作系统安 组 所谓组，是一组相关账号的集合。可以按照不同用户的操作需求和资源访问需求来创建不同的组，