Windows 2000安全.ppt

Windows 2000的安全架构 Windows 2000的安全配置 Windows 2000的安全安装 IIS安全配置** 用户管理 本地安全策略与组策略 安全模板与配置分析工具 安全审计 Windows 2000的安全标识符 Windows 2000的安全标识符 Windows 2000的安全配置 （1） 建议； （2） 安装过程中的建议； （3） 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序； （4） 为管理员（Administrator）账号指定安全的口令； （5） 把Administrator帐号重新命名； （6） 禁用或删除不必要的帐号； （7） 关闭不必要的服务； （8） 安装防病毒软件； （9） 给所有必要的文件共享设置适当的访问控制权限； （10） 激活系统的审计功能； （11） 关于应用软件方面的建议； Windows 2000安装 版本的选择 建立和选择分区 选择安装目录 不安装多余的服务 安装系统补丁 多余的组件 IIS（是否需要？） 索引服务 Indexing Service 消息队列服务（MSMQ） 远程安装服务 远程存储服务 终端服务 终端服务授权 多余的服务 Index service Messenger Routing and remote access Remote registry service Simple mail transport protocol(SMTP) Simple TCP/IP service telnet SNMP service Print spooler(除非当打印服务器用) Windows 2000系统账号的安全策略 用户帐户管理 更改超级管理名称 取消guest帐号 合理分配其他用户权限 不显示登录用户名 Administrators组权限 按照操作系统和组件（例如硬件驱动程序、系统服务等）。 安装service packs 和windows packs。 升级、修复操作系统。 配置关键操作系统参数（密码策略、访问控制、审核策略、内核模式等）。 获取已经不能访问的文件的所有权。 管理安全措施核审核日志。 备份和还原系统。 USERS组的权限 用户不能修改系统注册表设置，操作系统文件或程序文件。 用户可以关闭工作站不能关闭服务器。 可以创建本地组，只能修改自己创建 的本地组。 可以运行由管理员安装和配置的Windows 2000认可的程序。 对自己的所有数据文件和自己的一部分注册表有完全的控制权。 用户无法安装其他用户运行的程序。 不能访问其他用户的私人数据或桌面设置。 Power Usres组的权限 可以运行一些安全性不太严格的应用程序 安装不修改操作系统文件并且不需要安装系统服务的应用程序 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源 创建和管理本地用户帐户和组 启动或停止默认情况下不启动的服务 超级用户没有将自己添加到管理员组的权限 不能访问在NTFS卷上的其他用户的数据 Backup Operrators组的权限 可以备份和还原计算机上的文件，而不管保护这些文件的权限如何 可以登录到计算机和关闭计算机，但不能更改安全性设置 备份和还原数据文件和系统文件都需要对这些文件的读写权限 NTFS与FAT分区比较 权限设置的区别： 数据加密、压缩的功能 证书服务的应用 访问控制 NTFS与FAT分区文件属性 文件权限 用户权限（不同内置组的权限） 权限控制原则 权限控制原则 权限是累计的： 拒绝的权限比允许的权限高 文件的权限比文件夹的权限高。 利用组来进行权限的控制是一个成熟的系统管理员必须具有的优良习惯之一。 权限的最小化原则。 用户身份验证 交互式登录 使用域帐户 使用本地计算机帐户 网络身份验证 kerberos V5验证 NTLM验证 SSL/TSL 本地安全策略 *****帐户策略—密码策略： 密码:复杂性启用 密码长度：最小6位 强制密码历史：5次 最长存留：30天 *****帐户策略—帐户锁定策略： 帐户锁定3次错误登录 锁定时间20分钟 复位锁定计数20分钟 Windows 2000注册表 注册表由来 注册表的结构 Windows 2000注册表的根键、主键与子键 注册表的数据类型（3种） 注册表备份 应用举例 注册表的结构 1. HKEY_LOCAL_MACHINE主键保存的是与“本地”机器相关的信息。 2.HKEY_USER主 键保存的是针对所有用户的数据信息。 3. HKEY_CURRENT_USER主键保存的是当前用户用到的信息。 4. HKEY_CLASSES_ROOT主键保存着各种 文件的关联信息（即打开方式），还有一些类标识和OLE、D