计算机网络安全管理课件第4章#95;windows#95;2000操作系统的安全管理.pptxVIP

第4章 Windows 2000网络 操作系统的安全 4.1 Windows 2000的安全性设计 4.2 Windows 2000中的验证服务架构 — 4.3 Windows 2000的安全特性 4.4 Windows 2000的组策略的管理安全 4.5审计与入侵检测 4.6修补程序 …J丄;信息安全对今天的网络系统来说，是一个非常重 要又非常严重的问题，它涉及到从硬件到软件、 从单机到网络的各个方面的安全性机制。而网络 操作系统的安全性是整个网络系统安全体系中的 基础环节。Windows 2000的分布式安全机制，实 现高度的安全性集成，以保护和促进业务的发展;§ 4.1 Windows 2000的安全性设计;§ 4.2 Windows 2000中的验证服务架构 在Windows 2000中的验证服务是以整个体系框架的结构来完成的, 它的具体的验证服务架构如图4-1所示。 .;Kerberos的验证机制 Kerberos是在Internet上广泛采用的一种安全验证机制， 它基于公钥技术。Kerberos协议规定了客户机/密钥发布 中心(Key Distribution Center, KDC)/服务器三者之间获 得和使用Kerberos票证进行通信规则和过程。 Kerberos验证机制加强了 Windows 2000的安全性，它使 网络应用服务验证速度更快捷，同时可以建立域信任以 及在建立域信任的域中传递信任关系，另外Kerberos验 证有互操作性的优势。在一个多种操作系统并存的异构 网络环境中，Kerberos协议使用一个统一的用户数据库 对各种用户进行验证，这样就解决了现在异构环境中的 统一验证问题。 …;§ 4.3 Windows 2000的安全特性;2.通信的安全性 Windows 2000提供了多种安全协议和用户模式的内置的集成。它支持虚;§ 4.4 Windows 2000组策略的管理安全;1.密码策略 默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下面 列岀默认设置和最低设置。;2.帐户锁定策略 有效的帐户锁定策略有助于防止攻击者猜出你帐户的密码。下表列出了 一个默认帐户锁定策略的设置以及针对您的环境推荐的最低设置。;3.成员服务器基准策略;4. 禁用自动运行功能 一个媒体插入一个驱动器，自动运行功能就开始从该驱动器读取数据。 这样，程序的安装文件和音频媒体上的声音就可以立即启动。为防止可 能有恶意的程序在媒体插入时就启动，组策略禁用了所有駆动器的自动 运行功能。 在注册表中 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Po!icies\Explor er\下的用以禁用所有驱动器上的自动运行功能的设置 NoDriveTypeAutoRun DWORD OxFFo 5. 成员服务器基准文件访问控制列表策略 为加强文件系统安全，应确保对域中的所有成员服务器公用的目录和文 件应用限制性更强的权限。“成员服务器基准安全模板”包含了由 hisecws.inf模板提供的所有文件访问控制列表并添加了许多文件夹和文 件的设置。 —l;§ 4.4.2加强内置账户的安全 Windows 2000有几个内置的用户帐户，它们不可删除，但可以重命名。 我们最熟悉的Windows 2000中的两个内置帐户是Guest （来宾）和 Administrator （管理员）。默认情况下，来宾帐户在成员服务器和域控 制器上是禁用的。建议不更改此设置。1.加强本地管理员帐户安全 每一个成员服务器都有一个本地帐户数据摩和一个本地管理员帐户，此 帐户对该服务器有完全控制权。所以此帐户非常重要。建议重命名此帐 户，并确保它使用一个复杂的密码。另外还应确保本地管理员密码未在 成员服务器间复制。 2.加强服务帐户安全 Windows 2000服务一般都在本地系统帐户下运行，但它们也可以在一个 域用户或本地帐户下运行。只要可能，就应使用本地帐户而非域用户帐 户。每个服务都在其服务帐户的安全上下文中运行，所以如果一个攻击 者挟制了某一成员服务器上的一个服务，则该服务帐户可能就会被用来 攻击域控制器。在确足使用哪一个帐户作为服务帐户时，应确保为此帐 户指定的特权限制在保证此服务成功运行所需的特权范围内。;§443组策略的安全模板;§444组策略的实现;1.创建OU结构 创建OU结构的具体步骤如下： 4 - 步骤1,单击开始一程序一管理工具一Active Directory用户和计算机，扌」 开活动目录。 步骤2,右键单击域名，选择新建，然后选择组织单位。 步骤3,键入成员服务器，然后单击确