网络安全讲义第章.pptVIP

第4章 Windows2000系统安全 4.1 操作系统安全基础 4.2 windows2000账号安全 4.3 windows2000文件系统安全 4.4 windows2000主机安全 教学要求：掌握windows2000系统账号安全、文件系统安全、主机安全知识，可根据需要使用合适的安全措施，保证操作系统的安全性。 第一页，共十七页。 4.1 操作系统安全基础 一、安全管理目标 1 防止非法操作：防止非法用户或合法用户的越权操作。 2 数据保护：文件系统完整性检查、数据加密 3 管理用户：合理使用系统资源 4 保证系统的完整性：系统备份 5 系统保护：防止某用户长期占用资源 第二页，共十七页。 4.1 操作系统安全基础 二、安全管理措施 操作系统的安全管理措施主要由安装系统补丁、登录安全控制、用户帐号及密码安全，文件系统安全、主机安全管理等组成。其核心是普通用户安全管理和特权级用户安全管理。 1 普通用户安全管理：提高安全意识与知识掌握 2 特权用户安全管理：特权用户账号和密码的安全 第三页，共十七页。 4.2 windows2000账号安全 一、账号种类 （域的创建） 1 域用户账号 在域控制器上建立，是访问域的惟一凭证。每个帐户有一个惟一的SID（安全标识符）。 2 本地用户账号 3 内置的用户帐号：administrator和guest 第四页，共十七页。 4.2 windows2000账号安全 二、帐号与密码约定 1 帐号命名约定： 域用户帐号的用户登录名在活动目录（AD）中必须惟一； 域用户帐号的完全名称在创建该用户帐号的域中必须惟一； 本地用户帐号在创建该帐号的计算机上必须惟一； 若用户名有重复，应在账号上区别出来； 临时用户名，应容易识别 2 密码约定 第五页，共十七页。 4.2 windows2000账号安全 三、账号和密码安全设置 1 域中用户的“属性” 2 “安全设置”中的“密码策略”。域控制器安全策略；域安全策略；本地安全策略。 本地安全策略是本地策略的一部分，在开机的时后就会被执行，无论你是否处于工作组模式还是域模式； 域安全策略是域策略的一部分，作用范围是整个域，因此一台计算机只要处于域模式，就会采用域策略； 域控制器策略是在域控制器（组）上的策略。 第六页，共十七页。 4.2 windows2000账号安全 一台处于工作组模式的计算机只会执行本地安全策略，而域控制器则至少要执行本地安全策略，域安全策略，域控制器安全策略三个策略，即处于域模式的计算机要执行多条策略。 默认情况下，当多条策略之间不产生冲突的时候，多条策略之间是和并执行；但当产生冲突的时候，后执行的策略会替代先执行的策略。而执行顺序为本地--域-域控制器，所以本地安全策略和域安全策略发生冲突，域安全策略有效；域安全策略和域控制器安全策略发生冲突，域控制器安全策略有效。 第七页，共十七页。 4.3 windows文件系统安全 一、NTFS权限及使用原则 1 NTFS权限：NTFS权限是基于NTFS分区实现的，可以实现高度的本地安全性。只有administrator组成员才能有效设置NTFS权限 每个文件和文件夹有一个ACL（Access Control List），记录每一个用户和组对该资源的访问权限。 2 NTFS权限的使用原则 （1）权限最大原则 （2）文件权限超越文件夹权限原则 （3）拒绝权限超越其他权限原则 3 NTFS权限设置操作 文件（文件夹）的“属性”----”安全” 第八页，共十七页。 4.3 windows文件系统安全 如：用户Teacher同时属于Group1、Group2、Manager个组，对于资源Data文件夹分别具有如下权限： 组或用户 权限 Teacher 完全控制 Group1 读取 Group2 写入 Manager 列出文件夹目录 则：Teacher对Data文件夹的最终权限为 完全控制 若Manager组对Data文件夹的权限为“拒绝”，则Teacher对Data文件夹的最终权限为： 拒绝 若用户对Data文件夹下的一个文件被赋予“读取”权限，则最终用户对该文件的权限为： 读取 第九页，共十七页。 4.3 windows文件系统安全 二、NTFS权限的继承性 1 在同一个NTFS分区内移动文件或文件夹：保留一切NTFS权限 2 在不同NTFS分区之间移动文件或文件夹：继承目的分区中文件夹的权限 3 在同一个NTFS分区内复制文件或文件夹：继承目的位置中文件夹的权限 4在不同NTFS分区之间复制文件或文件夹：继承目的位置中文件夹的权限 第十页，共十七页。 4.3 wi