网络安全教学实验——主机安全.doc

实验12 系统安全 练习一 WINDOWS2003系统安全 任务一 用户权限管理 实验原理 ? 一．什么是权限??? 如果提到用户权限，我们可以将其分成两类：登录权限和操作权限。所谓的“登录权限”指的是在帐户通过身份验证前所具备的权限，而“操作权限”指的是在帐户通过身份验证之后所具备的权限。我们讨论的“权限”是后者。??? Windows系统提供了非常细致的权限控制项，能够精确定制用户对资源的访问控制能力，大多数的权限从其名称上就可以基本了解其所能实现的内容。??? “权限”(Permission)是针对资源而言的。也就是说，设置权限只能是以资源为对象，即“设置某个文件夹有哪些用户可以拥有相应的权限”，而不能是以用户为主，即“设置某个用户可以对哪些资源拥有权限”。这就意味着“权限”必须针对“资源”而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，“某个资源”是必须存在的。??? 利用权限可以控制资源被访问的方式，如User组的成员对某个资源拥有“读取”操作权限、Administrators组成员拥有“读取+写入+删除”操作权限等。二．安全标识符??? 在Windows系统中，系统是通过安全标识符（Security Identifier，SID）对用户进行识别的，而不是很多用户认为的“用户名称”。SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户（如名为“A”的账户）后，再次创建这个“A”账户时，前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护，盗用权限的情况也就彻底杜绝了。三．权限的四项基本原则??? 针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下：1．拒绝优于允许原则??? “拒绝优于允许”原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”。2．权限最小化原则??? Windows系统将“保持用户最小的权限”作为一个基本原则进行执行，这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。3．权限继承性原则??? 权限继承性原则可以让资源的权限设置变得更加简单。4．权限累加原则??? 这个原则比较好理解，就是单纯的累加，好比“1+1=2”一样。??? 显然，“拒绝优于允许”原则是用于解决权限设置上的冲突问题的；“权限最小化”原则是用于保障资源安全的；“权限继承性”原则是用于“自动化”执行权限设置的；而“累加原则”则是让权限的设置更加灵活多变。??? 注意：在Windows系统中，Administrators组的全部成员都拥有“取得所有者身份”（Take Ownership）的权力，也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力。四．磁盘配额??? 磁盘配额可以跟踪以及控制磁盘空间的使用，简单的来说，就是在多用户时，作为计算机管理员可设置不同用户拥有不同的磁盘配额。该用户只能在这个限额下使用磁盘。比如管理员将某用户在E盘的磁盘配额设为100MB，那么这个用户在使用时就最多只能使用E盘的100MB空间。??? 启动磁盘配额时，可以设置两个值：磁盘配额限制和磁盘配额警告级别。当用户超过了指定的磁盘空间限制（也就是允许用户使用的磁盘空间量）时，系统将阻止进一步使用磁盘空间并记录该事件。当用户超过了指定的磁盘空间警告级别（也就是用户接近其配额限制的点）时，则只记录事件。??? 启用卷的磁盘配额时，系统从那个值起自动跟踪新用户卷使用。只要用 NTFS 文件系统将卷格式化，就可以在本地卷、网络卷以及可移动驱动器上启动配额。另外，网络卷必须从卷的根目录中得到共享，可移动驱动器也必须是共享的。Windows 安装将自动升级使用 Windows NT 中的 NTFS 版本格式化的卷。??? 由于按未压缩时的大小来跟踪压缩文件，因此不能使用文件压缩来防止用户超过其配额限制。 实验步骤 ? ??? 本练习单人为一组。??? 首先使用“快照X”恢复Windows系统环境。一．SID查看??? （1）控制台中输入命令行： ??? 将会得到类似图12-1-1所示信息： 图12-1-1? 查看主机SID 二．权限的四项基本原则演示1．拒绝优先原则??? （1）右键点击我的电脑，选择管理，然后选择系统工具|本地用户和组|用户，右键选择“新用户”，如图12-1-2所示。 图12-1-2? 创建新用户 ??? 在弹出的新