计算机网络安全教学课件作者鲁立06课件幻灯片.ppt

第6章 Windows Server 2003的网络安全 本章要点 ???Windows Server 2003操作系统的网络安全构成。 ???账户策略。 ???访问控制配置。 ???安全模板的应用。 6.1 Windows Server 2003的安全简介 Windows Server 2003安全性主要体现在用户身份验证和基于对象的访问控制 为了实现身份验证，Windows Server 2003提供了3种身份验证方式，它们分别是NTLM、Kerberos v5和公钥证书。 6.1.1 用户身份验证 6.1.2 基于对象的访问控制 Windows Server 2003会为几乎每个对象分配一个安全标识符（SID），在Windows Server 2003中可以使用WHOAMI命令查看对象的安全标识符。每个对象都会有一个安全标识符，在安全标识符中有不同的对象对应的访问控制表（ACL），通过这一组访问控制列表来控制其他用户对此对象的访问权限。 6.2 Windows Server 2003系统安全配置的常用方法 Windows Server 2003提供了很多安全措施，在默认的情况下这些安全措施没有被启用。出于安全的需要，管理员可以对系统进行配置，经过合理配置，Windows Server 2003可以提供非常高的安全性，能应用在各种安全性能要求较高的通信过程中 。 1、有选择性地安装组件。 2、系统没有配置好，不要开启网络连接。 6.2.1 安装过程 6.2.2 正确设置和管理账户 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows Server 2003的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone组）是完全控制的（Full Control），用户需要根据应用时的需求重新设置权限。 在进行权限控制时，有以下几个原则： 1、权限是累计的，如果一个用户同时属于两个组，那么该用户就有了这两个组所允许的所有权限。 2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。 3、文件权限比文件夹权限高。 4、利用用户组来进行权限控制 5、只给用户真正需要的权限，权限的最小化原则是安全的重要保障。 6.2.4 网络服务安全管理 1、关闭不需要的服务。 2、关闭不用的端口。 3、只开放服务需要的端口与协议。 4、禁止建立空连接。 6.2.5 关闭无用端口 Windows的每一项服务都对应相应的端口，如WWW服务的端口是80，SMTP的端口是25，FTP的端口是21，Windows Server 2003中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉这些端口也就是关闭了这些服务。 关闭这些服务的方法是通过“控制面板”的“管理工具”中的“服务” 6.2.6 本地安全策略  通过建立IP策略来阻止对端口80、21、53、135、136、137、138、139、443、445、1028、1433等的访问实现安全的防护，从而避免入侵者通过这些端口对操作系统进行攻击。 6.2.7 审核策略  选择“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”，然后使用鼠标右键单击窗口右边的各项策略 审核的类型有如下几种。 ???审核策略更改：成功，失败。 ???审核登录事件：成功，失败。 ???审核对象访问：成功，失败。 ???审核过程跟踪：成功，失败。 ???审核目录服务访问：成功，失败。 ???审核特权使用：成功，失败。 ???审核系统事件：成功，失败。 ???审核账户登录事件：成功，失败。 ???审核账户管理：成功，失败 审核策略开启之后，审核的信息会记录到事件日志中，可以通过选择“开始”→“控制面板”→“管理工具”→“事件查看器”来查看各种事件，包括应用程序、安全性及系统事件 6.2.8 Windows日志文件的保护 1．修改日志文件存放目录 。 2．设置文件访问权限 6.3 Windows Server 2003访问控制技术6.3.1 访问控制技术简介 访问控制通常需要定义访问的主体和客体。主体通常是访问者，可以是用户计算机也可以是某个应用进程或者程序，客体通常指的是网络资源，包括计算机、文件等 访问控制主要有强制访问控制和自主访问控制两种 ： 1、强制访问