第5章 Windows Server 2003 网络安全 网络维护与安全技术知识教程与实训电子教案.pptVIP

组 组是Windows Server 2003中对用户账号的一种逻辑单位，将具有相同特点和属性的用户组合成一个组，其目的是方便管理和使用。 组 独立服务器上的组又称为本地组。Windows Server 2003内置本地组主要包括： Administrators组：该组的成员具有对服务器的完全控制权限，并且可以根据需要向用户指派用户权利和访问控制权限。 Backup Operators组：该组的成员可以备份和还原服务器上的文件，而不管保护这些文件的权限如何。 Guests组：该组的成员拥有一个在登录时创建的临时配置文件，在注销时，该配置文件将被删除。 Power Users组：该组的成员可以创建用户账户，然后修改并删除所创建的账户。 Remote Desktop Users组：该组的成员可以远程登录服务器，允许通过终端服务登录。 Users组：该组的成员可以执行一些常见任务。 5.3.2 用户权限设置 用户权限是允许用户在计算机系统或网络中执行任务，用户权限分配则是确定哪些用户或组具有这些权限。 在“组策略编辑器”中设置用户权限 单击“开始”|“运行”，在文本框中输入“gpedit.msc”，单击“确定”按钮打开“组策略编辑器”窗口。在其中依次单击展开“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“用户权限分配”文件夹，在其中进行本地用户权限的各种安全设置。 在“组策略编辑器”中设置用户权限 5.4 Windows Server 2003远程连接安全设置 远程用户通过远程连接进入内部网络的手段包括： 通过拨号网络连接到内部网络中。 通过虚拟专用网连接到内部网络中。 5.4.1 特殊共享资源安全设置 特殊共享资源包括： drive letter$ ：允许管理人员连接到驱动器根目录下的共享资源。 ADMIN$ ：计算机远程管理期间使用的资源。 IPC$ ：共享命名管道的资源。 NETLOGON：域控制器上使用的所需资源。 SYSVOL：域控制器上使用的所需资源。 PRINT$ ：远程管理打印机过程中使用的资源。 FAX$ ：传真客户端在发送传真的过程中，所使用的服务器上的共享文件夹。 删除特殊共享资源 命令：net share sharename /delete 共享资源“IPC$”不能被“net share”命令删除掉，须利用Windows Server 2003的注册表编辑器来对它进行禁用： 打开注册表编辑器。找到组键【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa】中的【restrictanonymous】子键，将其值改为1即可禁用IPC连接，如没有这个组键，则新建它。 5.4.2 帐户安全设置 Windows Server 2003提供的远程访问服务，往往都是通过用户帐户来进行身份验证。只要通过帐户认证，远程连接者就可以接入到本地网络中。 攻击者可以通过扫描Administrator帐户和Guest帐户以期获得系统的控制权。 改名Administrator帐户－第一步 鼠标右键单击“我的电脑”，在弹出的菜单中选择“管理”，出现“计算机管理”窗口。 LOGO 第5章 Windows Server 2003 网络安全 5.1 Windows Server 2003网络安全特性 随着Microsoft公司.NET战略的不断推进，越来越多的服务器开始采用Microsoft Windows Server 2003作为其操作系统，来提供Web服务、数据库服务和电子商务平台及其他各种程序应用等。为了保证Web服务、数据库服务和电子商务平台等各种应用、服务的安全，操作系统自然要提供很高的稳定性和安全性。Microsoft Windows Server 2003是在Windows Server 2000的基础上，依据.NET架构进行构建，提供了更高更好的安全性、稳定性和可伸缩性，为服务器提供了一个高效的结构平台。 5.1.1 Windows Server 2003简介 Windows Server 2003主要优点有： 可靠：Windows Server 2003是迄今为止提供的最快、最可靠和最安全的Windows服务器操作系统。 高效：Windows Server 2003提供各种工具，允许用户部署、管理和使用网络结构以获得最大效率。 联网：连接Windows Server 2003可以帮助用户创建业务解决方案结构，以便与雇员、合作伙伴、系统和用户更好地沟通。 经济：与来自微软公司的许多硬件、软件和渠道合作伙伴的产品和服务相结合， Windows Server 2003提供了有助于使用户的