操作系统安全1单元.pptVIP

本地用户账号 本地用户账号只能建立在Windows 2000 独立服务器上，以控制用户对该计算机资源的访问。也就是说，如果一个用户需要访问多台计算机上的资源，而这些计算机不属于某个域，则用户要在每一台需要访问的计算机上拥有相应的本地用户账号，并在登录某台计算机时由该计算机验证。这些本地用户账号存放于创建该账号的计算机上的本地SAM 数据库中。这些账号在存放该账号的计算机上必须是惟一的。 由于本地用户账号的验证是由创建该账号的计算机来进行的，因此对于这种类型账号的管理是分散的。通常不建议在成员服务器和基于Windows 2000 Professional 的计算机上建立本地用户账号。这些账号不能在域环境中统一管理、设置和维护，并且使用这种类型账号的用户在访问域的资源时还要再提供一个域用户账户，同时要经过域控制器的验证。 这些都使得本地用户账号不适用在域的环境下，并且也容易造成安全隐患。因此应当在域的环境中只使用域用户账号。本地用户账号适用于工作组模式中，该模式中没有集中的网络管理者，必须由每台计算机自己维护账号与资源。与域用户账号一样，本地用户账号也有一个惟一的SID 来标识账号，并记录账号的权限和组的隶属关系。 内置的用户账号 内置的用户账号是Windows 2000操作系统自带的账号，在安装好Windows 2000之后，这些账号就存在了，并已经赋予了相应的权限。Windows 2000利用这些账号来完成某些特定的工作。Windows 2000 中常见的内置用户账号包括Administrator 和Guest 账号。这些内置用户账号不允许被删除，并且Administrator 账号也不允许被屏蔽，但内置用户账号允许更名。 内置的用户账号 ① Administrator 账号 Administrator(管理员)账号被赋予在域中和在计算机中具有不受限制的权利，该账号被设计用于对本地计算机或域进行管理，可以从事创建其他用户账号、创建组、实施安全策略、管理打印机以及分配用户对资源的访问权限等工作。 由于Administrator 账号的特殊性，该账号深受黑客及不怀好意的用户的青睐，成为攻击的首选对象。出于安全性的考虑，建议将该账号更名，以降低该账号的安全风险。 内置的用户账号 ② Guest账号 Guest(来宾)账号一般被用于在域中或计算机中没有固定账号的用户临时访问域或计算机。该账号默认情况下不允许对域或计算机中的设置和资源做永久性的更改。出于安全考虑，Guest 账号在Windows 2000安装好之后是被屏蔽的。如果需要，可以手动启动，用户应该注意分配给该账号的权限，该账号也是黑客攻击的主要对象。 使用安全密码 一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面所说的也许已经可以说明这一点了。一些公司的管理员创建账号的时候往往用公司名、计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些账户的密码设置得很简单，比如 “welcome”、“iloveyou”、 “letmein”或者和用户名相同等等。这样的账户应该要求用户首次登陆的时候更改成复杂的密码，还要注意经常更改密码。 密码规则如下： 至少6个字符； 不包含Administrator或Admin； 包含大写字母（A、B、C等等）； 包含小写字母（a、b、c等等）； 包含数字（0、1、2等等）； 包含非字母数字字符（#、、~等等）。 使用文件加密系统EFS Windows 2000 强大的加密系统能够给磁盘、文件夹、文件夹上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS，而不仅仅是单个的文件。 加密Temp文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。 设置开机密码及CMOS密码 CMOS密码是启动电脑后的第一道安全屏障，Windows系统登录密码是启动电脑后的第二道安全屏障，其安全性很高，一般是难以破解的。 7.5 Windows 2000安全策略 打开审核策略 开启账户策略 开启密码策略 停掉Guest账号 限制不必要的用户数量 更改系统administrator账号改名 创建一个陷阱账号 关闭不必要的服务 关闭不必要的端口 设置目录和文件权限 打开审核策略 开启安全审核是Wi