Windows2000的安全.ppt

Windows 2003的安全架构 Windows 安全子系统的具体内容 Windows 系统中的账号 Windows 2003的安全标识符 安全账号管理器：SAM Windows 2003的安全配置 Windows 2003的安全安装 IIS安全配置** 用户管理 本地安全策略与组策略(注意：管理的范围不同) 安全模板与配置分析工具（**） 安全审计 Windows 2003的安全配置 （1） 建议； （2） 安装过程中的建议； （3） 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序； （4） 为管理员（Administrator）账号指定安全的口令； （5） 把Administrator帐号重新命名； （6） 禁用或删除不必要的帐号； （7） 关闭不必要的服务； （8） 安装防病毒软件； （9） 给所有必要的文件共享设置适当的访问控制权限； （10） 激活系统的审计功能； （11） 关于应用软件方面的建议； Windows 2003安装 版本的选择 建立和选择分区 选择安装目录 不安装多余的服务 安装系统补丁 多余的组件 IIS（是否需要？） 索引服务 Indexing Service 消息队列服务（MSMQ） 远程安装服务 远程存储服务 终端服务 终端服务授权 多余的服务 Index service Messenger Routing and remote access Remote registry service Simple mail transport protocol(SMTP) Simple TCP/IP service telnet SNMP service Print spooler(除非当打印服务器用) Windows的系统服务 单击“开始”，指向“设置”，然后单击“控制面板”。双击“管理工具”，然后双击“服务”。在列表框中显示的是系统可以使用的服务 。 Windows 2k下可以在命令行中输入services.msc打开服务列表。 Windows的系统服务 Windows的系统服务 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service 底下每一笔 服务项目子项都有一个 Start 数值, 这个数值的内容依照每一个服务项目的状 况而又有不同。Start 数值内容所记录的就是服务项目驱动程式该在何时被加载。 目 前微软对 Start 内容的定义有 0、1、2、3、4 等五种状态, 0、1、2 分别代表 Boot、 System、Auto Load 等叁种意义。而 Start 数值内容为 3 的服务项目代表让使用 者以手动的方式载入(Load on demand), 4 则是代表停用的状态, 也就是禁用。 Windows 2003系统账号的安全策略 用户帐户管理 更改超级管理名称 取消guest帐号 合理分配其他用户权限 不显示登录用户名 本地安全策略 *****帐户策略—密码策略： 密码:复杂性启用 密码长度：最小6位 强制密码历史：5次 最长存留：30天 *****帐户策略—帐户锁定策略： 帐户锁定3次错误登录 锁定时间20分钟 复位锁定计数20分钟 Administrators组权限 按照操作系统和组件（例如硬件驱动程序、系统服务等）。 安装service packs 和windows packs。 升级、修复操作系统。 配置关键操作系统参数（密码策略、访问控制、审核策略、内核模式等）。 获取已经不能访问的文件的所有权。 管理安全措施核审核日志。 备份和还原系统。 USERS组的权限 用户不能修改系统注册表设置，操作系统文件或程序文件。 用户可以关闭工作站不能关闭服务器。 可以创建本地组，只能修改自己创建 的本地组。 可以运行由管理员安装和配置的Windows 2003认可的程序。 对自己的所有数据文件和自己的一部分注册表有完全的控制权。 用户无法安装其他用户运行的程序。 不能访问其他用户的私人数据或桌面设置。 Power Usres组的权限 可以运行一些安全性不太严格的应用程序 安装不修改操作系统文件并且不需要安装系统服务的应用程序 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源 创建和管理本地用户帐户和组 启动或停止默认情况下不启动的服务 超级用户没有将自己添加到管理员组的权限 不能访问在NTFS卷上的其他用户的数据 Backup Operrators组的权限 可以备份和还原计算机上的文件，而不管保护这些文件的权限如何 可以登录到计算机和关闭计算机，但不能更改安全性设置 备份和还原数据文件和系统文件都需要对这些文件的读写权限 Windows 系