课件17-WindowsNT安全机制.ppt

Windows NT 的安全机制简介;内容提纲;Windows NT 简介;Windows NT 简介;Windows NT 简介;二、Windows NT 的体系结构;Windows NT的体系结构;Windows NT的体系结构;Windows NT的对象 ;Windows NT的对象;Windows NT的对象;三、Windows NT 的安全子系统;Windows NT的安全子系统;安全标识符（ Security Identifiers ）;访问令牌（ Access Tokens ） ;安全描述符（Security descriptors）;访问控制列表（Access control lists）;访问控制项（Access control entries）;Windows NT的安全子系统的实现 ;Windows NT的安全子系统;Winlogon and Gina:;本地安全认证（ Local Security Authority ）;认证包（Authentication Packages）;安全支持提供者（Security Support Provider）;网络登陆（ Netlogon ）;安全账号管理者（Security Account Manager）;四、Windows NT 的安全服务;验证;Microsoft Windows NT 的验证服务;Microsoft Windows NT 的验证服务;Microsoft Windows NT 的验证服务;Microsoft Windows NT 的验证服务;访问控制;Windows NT访问控制服务;Windows NT访问控制服务;Windows NT访问控制服务;责任;Windows NT的责任服务;审核;Windows NT审核服务 ;安全分区;Windows NT安全分区分离服务 ;Windows NT安全分区分离服务;五、 Windows NT 的安全管理;Windows NT 的安全管理;强化安全的措施;4、控制授权用户的访问 在域里配置适当的NTFS访问控制可以增强网络的安全。 取消或更改缺省情况下的Everyone组的“完全控制”权限， 要始终设置用户所能允许的最小的文件夹和文件的访问权 限。另外，不要共享任何一个FAT卷。 5、避免给用户定义特定的访问控制 最明智的作法就是为每个用户指定一个工作组，为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权，只要把该用户从工作组中删除或指定另一个工作组。 6、实施账号及口令策略 可以用域用户管理器配置口令策略，选择好口令的原则主要有：(1)登录名称中字符不要重复或循环；(2)至少包含两个字母字符和一个非字母字符；(3)至少有6个字符长度；(4)不是用户的姓名?，不是相关人物、著名人物的姓名，不是用户的生日和电话号码及其他容易猜测的字符组合等；(5)要求用户定期更改口令；(6)给系统的默认用户特别是Administrator改名；(7)不要使用无口令的账号；(8)禁用Guest账号。 ;7、设置账号锁定 这是阻止黑客入侵的有效方法，建议设置尝试注册三次后锁定账号，在合适的锁定时间后被锁定的账号自动打开，或者只有管理员才能打开，用户恢复正常。 8、启用登录工作站和登录时间限制 如果每个用户只有一个PC，并且只允许工作时间登录，可以把每个用户的账号限制在自己的PC上，且在工作时间内使用，从而保护网络数据的安全。 9、启动审查功能 为防止未经授权的访问，可以利用域用户管理器启用安全审查功能，以便在事件查看器安全日志中记录未经授权的访问企图，以便尽早发现安全漏洞，但要结合工作实际，设置合理的审计规则，切忌审查事件太多，以免无时间全部审查安全问题。 ;10、确保注册表安全 首先，取消或限制对regedit.exe、regedit32.exe的访问；其次，利用regedit.exe或文件管理器设置只允许管理员访问注册表，其他任何用户不得访问注册表。 11、应用系统的安全 在Windows?NT上运行的应用系统如：Web服务器、FTP服务器、E－mail服务器，Internet?Explorer等，应及时通过各种途径（如：Web站点）获得其补丁程序包，以解决其安全问题。 ;谢 谢！