实验4SPOOLing系统及操作系统的安全.docxVIP

实验4 SPOOL i ng系统及操作系统的安全 -、操作系统的安全 Windows的安全机制 背景知识 安全特性 帐户和组的安全性 域的安全性 文件系统的安全性 IP安全性管理 木实验通过使用和设置Windows的安全机制，帮助读者回顾和加深了解现代操 作系统的安全机制和特性。 安全特性 Windows为用户提供了一套广泛的安全性防卫措施，以确保系统能够阻止非法 访问、故意破坏和错误操作等的侵害。 （1）安全区域 在计算机领域，网络操作系统的安全性定义为用来阻止未授权用户的使用、访 问、修改或毁坏，也就是对客户的信息进行保密，以防止他人的窥视和破坏。通常 所说的数据安全大部分是指数据在网络上的安全。 如果将网络按区域划分，可分为4大区域。 1） 木地企业网区域：该区域包括不需要代理服务器的地址，其中包含的地址由 系统管理员用Internet Explorer管理工具包定义。本地企业网区域的默认安全级为中 级。 2） 可信站点区域：该区域包含可信的站点，即可以直接从该站点下载或运行文 件而不用担心会危害到用户的计算机或数据的安全，因此用户可以将某些站点分配 到该区域。可信站点区域的默认安全级为低级。 3） 受限站点区域：该区域包括不可信站点，即不能确认下载或运行程序是否会 危害到用户的计算机或数据，用户也可以将某些站点分配到该区域。受限站点区域 的默认安全级别为高级。 4) Internet区域：在默认情况下，该区域包括用户的计算机或Internet ±的全部 站Internet区域的默认安全级别为屮级。 另外，本地讣算机上所有文件都认为是安全的，不需进行安全设置。这样，打 开和运行本机上的文件和程序时不会出现任何提示，而且用户也无法将本机上的文 件夹或驱动器分配到所谓安全区域。 安全模型 Windows安全模型的主要特性是用户验证和访问控制。 用户验证：它检查尝试登录到域或访问网络资源的所有用户的身份。 基于对象的访问控制：允许管理员控制对网络屮资源或对象的访问。管理员 通过对存储在活动目录中的对象指定安全描述符的方式來执行访问控制。安全描述 符将列出获得访问许可权限的用户和组以及指定给这些用户和组的特殊权限。安全 描述符还指定了针对对象审核的各类访问事件，对象实例包括文件、打印机和服务 等。通过管理对象属性，管理员可以设置权限、指定所有权和监视用户访问。 活动目录和安全性：活动目录通过使用对象的访问控制和用户凭据提供用户 账户和组信息的保护存储。由于活动H录不仅存储用户凭据，还包括访问控制信息, 所以登录到网络的用户可同时获得访问系统资源的验证和授权。 公用密钥 公用密钥加密技术是保证认证和完整性的安全质量最高的加密方法，是用来确 定某一特定电子文档，确认其是否来自于某一特定客户机的最佳系统。公用密钥基 本系统简称DKI,是一个进行数字认证、证书授权和其他注册授权的系统。 通过公用系统密钥基本体系，管理员验证访问信息人员的身份，并在验证身份 的前提下控制其访问信息的范圉，在组织中方便安全地分配和管理识别凭据等安全 问题。 Windows公用密钥基本体系的组件包括： 证书：一个由权威部门颁布的电子声明，其作用在于担保证书持有者的身份, 证书将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起，供各 种公用密钥安全服务和应用程序使用，并在诸如Internet等非安全网上提供验证数据 完整性和安全通信的程序。 智能卡支持：Windows支持智能卡上的证书登录，同时还支持使用智能卡存 储用户上网证书、安全E-Mail和其他与公用密钥密码活动相关的证书。智能卡是一 种为一系列任务提供安全解决方案的方法，其中包括了客户机验证、登录到Windows 域、代码签名和保护E-Mail等安全机制。 3）公用密钥策略：公用密钥策略可使用Windows的组策略向计算机自动颁发证 书，建立证书信任列表和公用委托证书颁发机构，此外还可以管理加密文件系统的 恢复策略。 （4）数据保护 数据的保密性和完整性从网络验证开始，用户可以使用正确的凭据登录到网络, 并在该过程中获得访问存储数据的权限。 Windows支持两种数据保护类型一一存储数据和网络数据： 1） 存储数据保护：用户可以使用加密文件系统（EFS）和数字签名方法存储数 据。 2） 网络数据保护：站点内的网络数据由验证协议保护。用户可以用来保护传入 和传出站点网络数据的实用工具包括：IP Security.路由和远程访问、代理服务器。 账户和组的安全性 在Windows计算机上建立安全体系需要一个管理员。管理员为访问Windows计 算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使 用权限和特权都由他所在的组决定。 在域内建立安全体系需要域管理员。域管理员首先需要