实训6-1--Windows访问控制功能

《实训6-1--Windows访问控制功能》由会员分享，可在线阅读，更多相关《实训6-1--Windows访问控制功能（10页珍藏版）》请在装配图网上搜索。

1、实训6.1Windows访问控制功能本节实训与 思考的目的是：(1) 熟悉访问控制技术的基本概念，理解访问控制技术的工作原理和基本内容。(2) 通过学习配备安全的Windows操作系统，来加深理解访问控制技术，掌握Windows的访问控制功能。1 工具/准备工作在开始本实训之前，请认真阅读本课程的有关内容。需要准备一台运营Windows XP Professional操作系统，并带有浏览器，可以访问因特网的计算机。2 实训内容与环节(1) 概念理解1) 请通过查阅有关资料，尽量用自己的语言解释如下有关访问控制技术的概念： 自主访问控制：是一种比较宽松的访问控制机制，一种主体的访问权限具有传递性

2、，拥有资源的顾客来决定其她一种或某些主体可以在什么限度上访问哪些资源。 强制访问控制：这是一种比较强硬的控制机制，系统为所有的主体和客体指定安全级别，不同级别标记了不同重要限度和能力的实体，不同级别的主体对不同级别的客体的访问是在强制的安全方略下实现的。 角色和基于角色的访问控制：就是通过定义角色的权限，为系统中的主体分派角色来实现访问控制，顾客先经认证后获得一定角色，该角色被分派了一定的权限，顾客以特定角色访问系统资源，访问控制机制检查角色的权限，并决定与否容许访问。2) 请查阅有关资料，根据你的理解和见解，给出“访问控制技术”的定义：访问控制是在保障授权顾客能获取所需资源的同步回绝非授权顾

3、客的安全机制，也是信息安全理论基本的重要构成部分。这个定义的来源是： 课本 (2) 配备安全的Windows操作系统关注网络安全，一方面就要关注操作系统及其安全设立。根据顾客的不同规定，操作系统的选择也有所不同。从整体上来说，操作系统可以分为3种类型：第一类是选用Windows 98/ME；第二类是选用Windows /XP甚至；第三类是使用Unix/Linux操作系统。从安全角度看，多种操作系统都存在着一定的漏洞，或多或少，有的漏洞也许还没有被发现。而正是这些还没被发现的漏洞严重的威胁着人们计算机的安全。但这些漏洞都是可以通过自己修改系统来减小危害的。1) Windows 98/ME操作系统

4、。这一类操作系统所受到的网络袭击相对比较少，因素是其重要面对家庭顾客，网络功能较弱，一般的服务器不会选择此类操作系统。但是，漏洞还是存在的。例如Windows 98有一种很出名的共享导致蓝屏的漏洞：当你共享一种分区，例如C盘时，只要在运营里输入ipcconcon或者机器名cconcon，就会导致蓝屏。其因素是由于硬件冲突，这是Windows 98的一种bug。黑客常常运用这些漏洞袭击电脑。其解决的措施就是不共享和安装补丁。目前来看，Windows 98/ME操作系统的安全防备重要就是针对那些菜鸟级别的黑客，只要注意安装网络防火墙，小心木马之类的软件就可以了。安装的时候应尽量选用正版软件。下面的

5、内容重要是针对Windows /XP/操作系统安全设立的。2) Windows版本选择。 版本选择。Windows /XP/等均有多种语言的版本。国内顾客见到的基本都是简体中文版和英文版，如果没有语言障碍，建议选择使用英文版的操作系统。这重要是由于Windows操作系统是基于英文开发的，一般来说，中文版的bug肯定要多于英文版，并且由于多种补丁一般都是先刊登英文版的，中文版往往要延迟一段时间，那么延迟的这段时间就相称凶险了。 对的安装系统。建议尽量不要采用网络安装方式，并强烈建议不要采用升级安装，而是进行全新安装，这样可以避免升级方式带来的种种问题。安装完毕后，多种服务均自动运营，此时的机器是

6、漏洞浑身，非常危险，因此，建议一定要在安装完毕，并且安装好多种补丁后才接入网络。 硬盘的分区问题。硬盘如果只有一种分区，直接安装系统，这样做的风险很大。建议划分3个以上分区。第一种用来安装系统和日记，第二个放IIS，第三个放FTP。这样，IIS或FTP虽然出了安全问题也不会影响系统。IIS和FTP分开重要是为了避免黑客入侵时上传程序并且从IIS运营。此外，硬盘分区应当选用NTFS格式，由于NTFS格式的安全性能要远高于FAT/FAT32。 修改默认的安装途径。Windows的默认安装途径为C: ，这也存在着一定的安全隐患，建议修改一下，例如安装在D: 上，这也能在一定的限度上保护系统。请分析：

7、以Windows XP为例，虽然是同一种操作系统，也尚有面向不同应用对象的版本，下列操作系统的应用对象是： Windows XP HomeEdition：_ Windows XP Professional：_ Windows XP Server：_3) 目录文献权限。为了控制好服务器上顾客的权限，同步也为了避免后来也许的入侵和溢出，我们必须设立目录和文献的访问权限。Windows NT的访问权限分为读取、写入、执行、修改列目录和完全控制等。设立的时候应注意如下原则： 权限是合计的。如果一种顾客同步属于两个组，那么她就有了这两个组所容许的所有权限。 回绝的权限要比容许的权限高 (回绝方略会先执行

8、) 。如果一种顾客属于一种被回绝访问某个资源的组，那么不管其她的权限设立给她开放了多少权限，她也一定不能访问这个资源。 文献权限比文献夹权限高。 运用顾客组来进行权限控制是一种成熟的系统管理员所必须具有的良好习惯之一。 仅给顾客真正需要的权限，权限的最小化原则是安全的重要保障。4) 顾客管理 (账号方略) 。 删除所有不需要的账号，严禁使用所有临时不用的账号。在账号管理界面中选择“此顾客已禁用”。 系统开的账号要尽量地少，由于每多一种账号，就增长了一分被暴力攻破的概率。要严格控制账号的权限。 重命名Administrator，将其改为一种不容易猜到的顾客名，以避免暴力破解。Windows系统默

9、认的管理员Administrator可以从远程访问系统，常常被黑客用口令猜想的手段破解后使用，导致危害。建议安装后把这个顾客改名，然后再创立一种名为Administrator的顾客，并分派给这个新顾客一种复杂无比的口令，最后不让它属于任何组。这样我们就有了一种假的管理员顾客，就算口令被解出 (这几乎是不也许的了) ，也不能由此获得任何权限。 禁用guest账号。由于不仅黑客们常常运用它袭击系统，病毒也会借用guest来传播和开后门。 建立强健的口令，不要使用诸如：zhangsan，iloveyou等容易猜到的口令。 常常变化口令，检查账号。5) 打开安全审核。Windows XP的安全审计功能

10、是默认关闭的。激活此功能有助于管理员较好地掌握机器的状态，有助于系统的入侵检测。你可以从日记中理解到机器与否在被人野蛮袭击、非法的文献访问等。配备的环节是：在Windows“开始”“所有程序”菜单中单击“控制面板”命令，双击“管理工具”图标，然后选择“本地安全方略”，再选择“本地方略”中的“审核方略”，进行方略设立和调节。若想查看审核日记信息，可以在Windows“控制面板”中双击“管理工具”图标，打开“事件查看器”窗口。作为一名系统管理员，要学会定期查看日记，并且善于发现入侵者的痕迹。6) IIS安全配备。默认的IIS发布目录为C:Inetpub，请将这个目录删除。在D盘或E盘新建一种目录

11、(目录名随意) ，然后新建一种站点，在IIS管理器中将主目录指向你新建的目录。这样做的目的是为了将站点和系统分开，使站点的安全设立出问题时不至于危及到系统安全。另一方面，删掉IIS默认安装时的scripts等目录。根据自己的需要建立，最后备份IIS。7) 禁用不必要的网络合同与网络共享。虽然Windows系统提供了基于主机Net-BIOS名进行网络通信的简朴易用的方式，但Net-BIOS合同从一开始就受到黑客和病毒的青睐。建议在网络属性中关闭“Microsoft网络客户端”和“Microsoft网络文献与打印机共享”选项。此外，Windows系统在刚刚安装完毕之后，为了远程管理需要，会把每个分

12、区都自动共享出来，名为C$、D$、E$此外还会把C:windows目录作为ADMIN$共享出来。这些共享在正常状况下对顾客没有什么用处，建议去掉。删除这些默认共享一般有两种措施： 批解决。在记事本中输入如下面内容：net share C$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /deletenet share admin$ /deletenet share ipc$ /delete以 .bat为后缀名保存，如noshare.bat，将其放到“开始”“所有程序”“启动”文献夹中，重起即可。 修改注册表键值。对于服务

13、器而言：Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName: AutoShareServerType: DWORDValue: 0对于工作站而言：Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName: AutoShareWksType: DWORDValue: 0修改注册表后需要重启Server服务或重新启动机器。这些键值在默认状况下在主机上是不存在的，需要自己手动添加。请记录：操作可以顺利完毕吗？如果不能，请分析因素。_(3) Wi

14、ndows Vista的系统安全设立“Vista”一词源于拉丁文的“Vedere”，在涉及英语在内的大多数语言中有“远景、展望”之意。微软公司将其下一代具有里程碑意义的操作系统命名为Vista，除了但愿它能展望将来，继续执掌操作系统大旗之外，更是为将来个人电脑乃至其她个人电子设备的技术和创新铺路，引领下一代计算体验。1) 安全可靠。一般，顾客电脑的安全威胁有两种状况：一类是来自外界的入侵，另一类则是由于顾客自身的失误操作导致的安全漏洞。为此，Vista开发出Windows Defender的程序，可以协助顾客抵御木马、间谍软件导致的弹出，低性能以及安全威胁。同步，微软为Vista提供顾客帐户控

15、制 (UAC) 功能。该功能对授权进程规定所有顾客以原则顾客模式运营，并且限制管理员的权限，用以限制歹意软件对电脑所带来的损害，有效地避免外界的入侵威胁，进而实现对顾客使用电脑的保护。此外，Windows Vista加入了家长控制按钮、强大的反钓鱼功能等。可以说，整体安全保护的意识已经融入到Vista操作系统的内核，并成为Vista最基本、最核心的特性。2) Vista与XP安全功能比拼。 安全性能方面。XP：在最初的Windows XP以及SP1中，Windows XP内置的防火墙提供了良好的反黑客保护。Windows XP的SP2则大大改善了防火墙的保护功能，并且可以制止歹意程序访问网络，

16、但是它对于商业应用来讲仍旧显得相对简朴，因此许多注重安全性能的顾客仍然会使用第三方提供的功能更强的防火墙或是互联网安全组件。Vista：Vista拥有一种与Windows XP SP2相似却又有较大改善的防火墙。Internet Explorer 7具有“反钓鱼”功能，可对部分钓鱼站点进行清理。网络钓鱼：是网络上众多诱骗手法之中的一种，由于它的手段基本就是通过网络用某些诱饵(例如假冒的网站)等使用者上当，很像现实生活中的钓鱼过程。当你启用反钓鱼专家后，无论顾客访问任何网站，该软件都会通过IE窗口右下角对顾客进行安全提示。安全提示为三个不同颜色的提示灯，顾客可以根据该提示灯察看该网站与否安全。除

17、了上述的积极提示功能，“反钓鱼”专家还整合了上网助手的举报和系统诊断功能，并对反钓鱼名单库定期更新升级，给顾客提供多重保护，从而避免顾客被假银行网站欺骗。Windows中具有新的“随机”层，可以增长Vista系统中对内存配备的更改难度，以此来增长歹意代码的袭击难度。Vista具有的一项新技术，就是内核补丁保护 (KPP)技术，尽管KPP并不可以避免所有病毒、rootkits或者其他歹意软件对系统的袭击，但是从安全角度来讲，KPP在众多的防护屏障上又加了一层保护，这对于Intel和AMD的新x64解决器来说，它的确是有益无害的。 父母控制。XP：如果没有安装第三方软件，那么在Windows XP

18、中的几乎不能避免孩子访问互联网中不合适的网站。Vista：优秀的父母控制已内置于Vista中，与目前第三方提供的软件功能相差无几，父母可以完全控制她们孩子的访问，并且可以查看她们访问过和试图访问的站点。通过对软件的设立，父母还可以查看她们孩子玩过的游戏、运营过的软件、发送邮件的痕迹以及即时消息等。 网络方面。XP：除非你懂得你想做什么，并且能自己解决，否则，微软提供的有线连接/无线连接“设立向导”很少可以迅速精确的完毕工作，这也大大增长的了顾客网络连接的难度。Vista：大量的设立改善使得Vista成为了连接网络最容易的操作系统，使用Vista可以轻松的设立有线/无线网络连接。请记录：上述内容能通过操作得到体验吗？如果不能，请分析因素。_3 实训总结_4 实训评价 (教师)_