Windows_Server2003安全管理 .pptVIP

第4章 Windows Server 2003的安全管理 4.1 Windows Server 2003安全架构 4.2 Windows Server 2003的新安全机制 4.3 Windows Server 2003的身份验证 4.4 Windows Server 2003的授权 4.5 Windows Server 2003的授权管理器 4.6 Windows Server 2003的安全模式 4.7 Windows Server 2003的安全管理 网络操作系统的安全是网络安全的核心，提高网络安全的基点应该是从操作系统的安全进行着手，Windows系列服务器版目前最新版为Server 2003，微软宣称其为迄今为止微软最强大的Windows服务器操作系统。一个安全的网络操作系统的安全性特征是贯穿于整个系统之中的，操作系统要安全就必须保证文件系统、用户帐户目录、用户确认系统、存储管理、交换和环境子系统等的安全性。Windows 的安全环境就是将保密性溶入每一个组件的创建过程中，Windows Server2003的安全设计有很大改进，主要体现在网络身份验证、基于对象的授权、比较完整的安全策略、数据加密保护等，以此来保证服务器的安全。 §4.1 Windows Server 2003安全架构 TSI安全架构如图4-1所示。 §4.2 Windows Server 2003的新安全机制 ·授权管理器： Windows Server 2003 中的授权管理器是基于角色安全管理的改进，它可以定义角色以及角色执行的任务。 · 存储用户名和密码：Windows Server?2003的存储用户名和密码功能允许用户连接服务器时使用的用户名和密码与登录网络时使用的用户名和密码不同。此实用工具为用户名和访问Internet资源时所需的凭据提供安全存储。 · 软件限制策略：这是Windows Server的新安全策略，防止软件应用程序基于软件的哈希算法、软件的相关文件路径、软件发行者的证书或寄宿该软件的 Internet 区域来运行。 · 证书颁发机构：与Windows 2000相比，Windows Server 2003证书服务提供了新的PKI功能，旨在展示证书模板编辑功能和为用户和计算机的证书进行自动注册。 · 受限委派：Windows Server通过这一新的安全功能，可指定要信任的服务用以委派服务器。 §4.2 Windows Server 2003的新安全机制 · 有效权限工具：此工具将计算授予指定用户或组的权限。 · 加密文件系统 (EFS)：在Windows Server 2003中不再需要恢复代 理。 · Everyone 成员身份。内置 Everyone 组包括 Authenticated Users 和 Guests，但不再包括 Anonymous 组的成员。在以前的Windows版本中默认权限许是将“完全控制”授予了Everyone组，整个文件系统根本没有安全性可言（就本地访问来说）。 · 基于操作的审核：基于操作的审核提供了更多描述性的审核事件，并提供用户选择在审核对象访问时要审核的操作。 · 重新应用安全默认值：此过程可以使用用户重新应用 Windows Server?2003 家族的默认安全设置。 4.3 Windows Server 2003的身份验证 验证的示意图如图4-2所示 4.4 Windows Server 2003的授权 4.4.1 授权基础 图4-5是Windows Server 2003的授权模型。 4.4.2 Windwos Server 2003授权 ?在Windows Server 2003中有许多受限的默认授权集。 1．NTFS根目录的权限受限更厉害了，非管理员在此目录中既不能写也不能修改任何由其他用户创建的文件。而2000中everyone都有完全控制的权限。在20003中权限如下：Administrator,System Account,Creator Owner：完全控制;Everyone：读取/执行;User：读取/执行，生成文件夹/追加数据，生成文件/写数据 2．默认共享权限限制更严。Everyone现在只有读取的权限。这就是说对于新创建的共享，即使是Administrator，也只有读取的权限了。 3．控制台应用限制更严。例如我们常用的cmd.exe。也就MS-DOS窗口。它使用默认的ACL，也就是Administrator：完全控制;System:完全控制;交互方式：读取和执行;服务：读取和执行。 4．匿名帐户不在属于Everyone组。而Everyone组只包含验证后的用户和Guest帐户。 5．事件