第6章计算机操作系统安全与配置课件

《第6章计算机操作系统安全与配置课件》由会员分享，可在线阅读，更多相关《第6章计算机操作系统安全与配置课件（68页珍藏版）》请在装配图网上搜索。

1、网络安全与应用第6章1 第6章 计算机操作系统的安全与配置 本章要点：&WindowsXP的安全性&Windows 2003的安全基础&Windows 2008的安全基础&Unix系统的安全性&Linux系统的安全性网络安全与应用第6章26.1 WindowsXP操作系统的安全性操作系统的安全性6.1.1 WindowsXP的登录机制1交互式登录（1）本地用户账号（2）域用户账号2网络登录 3服务登录 4批处理登录 网络安全与应用第6章36.1.2 Windows XP的屏幕保护机制的屏幕保护机制 网络安全与应用第6章46.1.3 Windows XP的文件保护机制的文件保护机制1WFP 的工

2、作原理WFP 把某些文件认为是非常重要的系统文件。在Windows XP刚装好后，系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹，这个dllcache 文件夹的位置默认保存在%SYSTEMROOT%system32dllcache目录下。网络安全与应用第6章56.1.3 Windows XP的文件保护机制的文件保护机制2WFP(Windows File Protection)功能的工作方式 WFP 功能使用两种机制为系统文件提供保护。第一种机制在后台运行。在 WFP 收到受保护目录中的文件的目录更改通知后，就会触发这种保护机制。WFP 收到这一通知后，就会确定更改了哪个文件

3、。如果此文件是受保护的文件，WFP 将在编录文件中查找文件签名，以确定新文件的版本是否正确。WFP 功能提供的第二种保护机制是系统文件检查器(Sfc.exe)工具。图形界面模式安装结束时，系统文件检查器工具对所有受保护的文件进行扫描，确保使用无人参与安装过程安装的程序没有对它们进行修改。网络安全与应用第6章66.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全1注册表受到损坏的主要原因（1）用户反复添加或更新驱动程序时，多次操作造成失误，或添加的程序本身存在问题，安装应用程序的过程中注册表中添加了不正确的项。（2）驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备

4、性能的用户将不配套的设备安装在一起，尤其是一些用户在更新驱动时一味追求最新、最高端，却忽略了设备的兼容性。当操作系统中安装了不能兼容的驱动程序时，就会出现问题。（3）通过“控制面板”的“添加/删除程序”添加程序时，由于应用程序自身的反安装特性，或采用第三方软件卸载自己无法卸载的系统自带程序时，都可能会对注册表造成损坏。另外，删除程序、辅助文件、数据文件和反安装程序也可能会误删注册表中的参数项。网络安全与应用第6章76.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全1注册表受到损坏的主要原因（4）当用户经常安装和删除字体时，可能会产生字体错误。可能造成文件内容根本无

5、法显示。（5）硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身有问题或用电故障等。（6）用户手动改变注册表导致注册表受损也是一个重要原因。由于注册表的复杂性，用户在改动过程中难免出错，如果简单地将其它计算机上的注册表复制过来，可能会造成非常严重的后果。网络安全与应用第6章82WindowsXP系统注册表的结构6.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全网络安全与应用第6章96.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全2WindowsXP系统注册表的结构Windows XP注册表共有5个根键。HKEY_CLASSES_R

6、OOT此处存储的信息可以确保当使用Windows资源管理器打开文件时，将使用正确的应用程序打开对应的文件类型。HKEY_CURRENT_USER包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色和“控制面板”设置存储在此处。该信息被称为用户配置文件。在用户登录Windows XP时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。网络安全与应用第6章106.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全2WindowsXP系统注册表的结构Windows XP注册表共有5个根键。HKEY_LOCAL_MACHINE包含针对该计

7、算机（对于任何用户）的配置信息。HKEY_USERS包含计算机上所有用户的配置文件的根目录。HKEY_CURRENT_CONFIG管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU），应用程序配置和其他有关当用户的Windows XP中文版的安装的信息。网络安全与应用第6章116.1.4 利用注册表提高利用注册表提高Windows XP系统的安全系统的安全3通过修改WindowsXP注册表提高系统的安全性（1）修改注册表的访问权限（2）让文件彻底隐藏（3）禁止使用控制面板 网络安全与应用第6章126.2 Windows 2003

8、的安全基础的安全基础操作系统的安全问题是整个网络安全的一个核心问题，Windows2003在其安全性上远远超过Windows2000操作系统，微软在设计的初期就把网络身份验证、基于对象的授权、安全策略及数据加密和审核等作为Windows2003系统的核心功能之一，因此可以说Windows2003系统是建立在一套完整的安全机制之上的。网络安全与应用第6章136.2.1 Windows2003的安全基础概念的安全基础概念用户账号用户账号就是在网络中用来表示使用者的一个标识。它能够让用户以授权的身份登录到计算机或域中并访问其资源。有些账号是在安装Windows2003时提供的，它是由系统自动建立的，

9、称为内置用户账号。内置用户账号已经被系统赋予一些权力和权限，不能删除但可以改名。用户也可以创建新的用户账号，这些新的用户账号称为用户自定义的用户账号，可以删除并可以改名。Administrator为系统管理员账号，拥有最高的权限，用户可以利用它来管理Windows2003的资源。Guest为来宾账号，是为那些临时访问网络而又没有用户账号的使用者准备的系统内置账号。网络安全与应用第6章146.2.1 Windows2003的安全基础概念的安全基础概念组使用组可以简化对用户和计算机访问网络资源的管理。组是可以包括其它账号的特殊账号。组中不仅可以包含用户账号，还可以包含计算机账号、打印机账号等对象。

10、给组分配了资源访问权限后，其成员自动继承组的权限。一个用户可以成为多个组的成员。有两种类型的组：安全组和通讯组。通讯组只有在电子邮件应用程序（如 Exchange）中，才能使用通讯组将电子邮件发送给一组用户。安全组用于将用户、计算机和其他组收集到可管理的单位中。安全组除包含了分布组的功能之外，还有安全功能。通过指派权限或权力给安全组而非个别用户可以简化管理员的工作。网络安全与应用第6章156.2.1 Windows2003的安全基础概念的安全基础概念域域是网络对象的分组。域中所有的对象都存储在活动目录下。域是Windows2003活动目录的核心单元。域是安全的最小边界。安全边界的作用就是保证域

11、的管理者只能在该域内有必要的管理权限，除非管理者得到其它域的明确授权。域也是复制的单元。为保证数据库的同步，包括安全信息的活动目录会定期复制到域中每个域控制器。一个域的管理员要管理其它的域，需要专用的授权。网络安全与应用第6章166.2.1 Windows2003的安全基础概念的安全基础概念身份验证身份验证是保证系统安全的一个基本方面。它负责确认试图登录或访问网络资源的任何用户身份。Windows2003身份验证允许对整个网络资源进行单独登记。采用单独登记的方法，用户可以使用单个密码或智能卡一次登录到域，然后通过身份验证向域中的所有计算机表明身份。Windows2003系统支持的身份验证类型有

12、：Kerberos V5身份验证交互验证网络验证网络安全与应用第6章176.2.1 Windows2003的安全基础概念的安全基础概念授权用户权利可以应用于单个用户账号，但是若在组账号基础上进行管理，可以简化用户账户管理的工作。当组中的用户都需要有相同的用户权利时，这时可以把所有的用户加入到一个组中，然后再对该组指派用户权利。如果用户是多个组的成员，则用户权利是累加的。要删除用户的权利，管理员只需简单地从组中删除用户。这样，用户就不再拥有指派给这个组的权利。在Windows2003的授权中主要添加了有效的权限选项卡，默认活动目录对象安全描述符的改变和活动目录对象配额概念的使用。网络安全与应用第

13、6章186.2.1 Windows2003的安全基础概念的安全基础概念审核安全审核是Windows2003的一项功能，负责监视各种与安全性有关的事件。应该被审核的事件类型包括：访问对象、用户和组账户的管理、用户登录以及从系统注销时。除了审核与安全性有关的事情，Windows2003还建立了日志，用它来报告系统存在哪些隐患。网络安全与应用第6章196.2.2 用户账号的管理用户账号的管理indows2003中的用户账号共有两类：本地用户账号和域用户账号。1本地用户账号(Local User Accounts)本地用户账号的适用范围仅限于某台计算机。在每台独立服务器、成员服务器或工作站上都有本地用

14、户账号，并存放在该机的目录数据库（SAM）里。正因为这样，本地账号只能登录到该账号所在计算机上，而且账号的合法性的验证也由该计算机完成。用户登录后，只能访问本台计算机上的资源。要访问其他计算机上的资源，必须使用另一台计算机的用户账号才可以。本地用户账号在工作组的模式下使用。网络安全与应用第6章206.2.2 用户账号的管理用户账号的管理indows2003中的用户账号共有两类：本地用户账号和域用户账号。1本地用户账号(Local User Accounts)创建用户账号的步骤如下：（1）打开“计算机管理”，在控制台树的“本地用户和组”中，单击“用户”；（2）单击“操作”，然后单击“新用户”；（

15、3）在窗口中输入适当的信息;（4）单击“创建”。然后单击“关闭”。要创建其他用户，重复执行第3步和第4步即可。网络安全与应用第6章216.2.2 用户账号的管理用户账号的管理网络安全与应用第6章226.2.2 用户账号的管理用户账号的管理2.域用户账号（Domain User Accounts）域用户账号的作用范围是整个域。域用户账号都集中保存在域控制器（DC）上的活动目录里，身份验证由域控制器来完成。因此，能够在域中任意一台计算机上登录到域，登录后可以访问域中所有允许访问的资源。在域中，同样存在内置的域用户账号，也可以自定义用户账号。域用户账号的管理要比本地用户账号的管理灵活。创建用户账号的

16、步骤如下：（1）打开“Active Directory用户和计算机”工具；（2）右击“Users”，选择“新建”，单击“用户”。网络安全与应用第6章236.2.2 用户账号的管理用户账号的管理网络安全与应用第6章246.2.2 用户账号的管理用户账号的管理3.管理用户账号(1)输入用户的信息在用户属性对话框中的“常规”标签中可以输入有关用户的描述信息，如：办公室、电话、电子邮件、网页等信息。(2)用户环境的设置可以设置每一个用户的环境，如登录时启动相关的程序和有关客户端设备的设置等。(3)限制用户登录时间具体步骤如下：1）以域管理员的身份打开“Active Directory用户和计算机”工具

17、；2）单击“Users”，右击zed账号，选择“属性”；3）单击“帐户”标签，单击“登录时间”按钮；4）设定用户登录时间，单击“允许登录”，单击【确定】按钮。网络安全与应用第6章256.2.2 用户账号的管理用户账号的管理(4)限制用户登录所使用的客户端计算机具体步骤如下：1）以域管理员的身份打开“Active Directory用户和计算机”工具；2）单击“Users”，右击zed账号，选“属性”；3）单击“帐户”标签，单击“登录到”；4）设定用户登录的计算机列表，单击【确定】按钮。(5)设置账户的有效期默认情况下账户是永久有效的，但对于临时用户来说，设置账户的有效期就非常有用，有效期限到期

18、后，该账户自动被标记为失效。1）以域管理员的身份打开“Active Directory用户和计算机”工具；2）单击“Users”，右击zed账号，选“属性”；3）单击“帐户”标签。(6)管理用户账号在创建用户账号后，可以根据需要对账户进行重新设置密码、修改、重命名等操作。网络安全与应用第6章266.2.3 组的管理组的管理创建组创建组的具体步骤如下：（1）单击任务栏上的“开始”，单击“程序”，单击“管理工具”，然后单击“计算机管理”，展开“本地用户和组”；（2）右击“组”，单击“新建组”;（3）填写组名、组的描述，添加组的成员;（4）单击“添加”，选择加入组的成员后，单击“确定”。网络安全与应

19、用第6章276.2.3 组的管理组的管理2指定用户隶属的组把某一用户加入到某个组中，具体步骤为：单击鼠标右键选择某一用户名的“属性”一项，选择“隶属于”选项卡。然后点击【添加】，在出现的“选择组”窗口中，输入要将某个用户加入的组名的用户名即可。网络安全与应用第6章286.2.3 组的管理组的管理3管理组将组转换为另一种组类型的具体步骤如下：（1）打开“Active Directory用户和计算机”工具；（2）在控制台树中，双击域节点；（3）单击包含该组的文件夹；（4）在详细信息栏中，右击组，然后单击“属性”，在“常规”选项卡的“组类型”中，单击“安全组”或“通讯组”。删除组的具体步骤如下：（1

20、）打开“Active Directory用户和计算机”工具；（2）在控制台树中，双击域节点；（3）单击包含该组的文件夹；（4）在详细信息栏中，右击组，然后单击【删除】按钮。网络安全与应用第6章296.2.4Windows2003的安全模型的安全模型Windows2003操作系统的安全模型主要是基于以下两个方面的因素。首先，必须在Windows2003系统中拥有一个账号；其次，要规定该账号在系统中的权力和权限。在Windows2003统中还有一个安全账号数据库SAM（Security Accounts Management），除了包含有域内所有用户的账号信息之外，目录数据库中还有两种其他类型的账

21、号-计算机账号和组账号。其中计算机账号用于实际验证域内及委托关系的计算机成员，而组账号则用来保存有关用户组及其成员的信息。网络安全与应用第6章306.2.4Windows2003的安全模型的安全模型1Windows2003的用户登录管理Windows2003系统中有一个登录进程，当用户按下“Ctrl+Alt+Del”三键时，Windows2003系统就会启动这个进程，它是Windowssystem32目录下的Winlogon.exe文件。这时系统会弹出一个对话框，要求输入用户名和密码，如果要登录域，还要输入域名，才能登录系统。此过程是一个强制性的登录过程。登录进程在收到用户输入的账号和密码后，

22、就会到安全账号数据库SAM中去查找相应的信息。如果内容相符，则能成功登录；否则取消用户的登录请求。如果账户和密码有效，则把安全账号数据库中的有关账号的信息收集在一起，形成一个存取标识SID（Security Identifier）。SID为记录身份的标识，类似于身份证。网络安全与应用第6章316.2.4Windows2003的安全模型的安全模型2资源访问管理在Windows2003系统中用惟一名字标识一个注册用户，它也可以用来标识一个用户或一个组。一个SID和数值代表一个用户的SID值在以后永远不会被另外一个用户使用，也就是说没有两个相同的SID值，在一台计算机上可以多次创建相同的用户账号，其

23、实，这些相同用户号的账号并不相同，因为每一个用户名都有一个惟一的SID。存取标识包含的内容并没有访问许可权限，而存取标识又是用户在系统中的通行证，那么Windows2003如何根据存取标识控制用户对资源的访问呢？其实，给资源分配的权限作为该资源的一个属性，与资源一起存放。资源对象的属性在Windows2003内部以访问控制列表ACL（Access Control List）的形式存放。网络安全与应用第6章326.2.5Windows2003的安全机制的安全机制Windows2003的安全机制的建立主要从域、组和文件系统等方面来考虑。Windows2003主要是通过组策略来保证网络的安全。只有升

24、级为域控制器(Domain Control)才有组策略。账户策略：是由密码策略、账户锁定策略和Kerberos策略组成。本地策略：只对本地计算机起作用。事件日志：主要是对各种事件进行记录。为应用程序日志、系统日志和安全日志等配置最大值、访问方式和保留天数等参数。受限制的组：管理内置组的成员资格。一般内置组都有预定义功能，利用受限制组可以更改这些预定义的功能。系统服务：为运行在计算机上的服务配置安全性和选择启动模式。注册表：在Windows2003中，注册表是一个集中式层次结构数据库，它存储了Windows2003所需要的必要信息。网络安全与应用第6章336.2.5Windows2003的安全机

25、制的安全机制文件系统：指定文件路径配置安全性。无线网络策略：无线技术使得人们使用品种广泛的设备在世界任何位置访问数据的愿望成为可能。无线网络可以降低甚至省去铺设昂贵的光纤和电缆所需的费用，并为有线网络提供备份功能。公钥策略：配置加密的数据恢复代理、自动证书申请设置、受信任的证书颁发机构和企业信任。证书是软件服务证书可以提供身份鉴定的支持，包括安全的E-mail功能，基于web的身份鉴定和SAM(安全账号数据库)身份鉴定。软件限制策略：提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。IP安全性策略：配置IPSec。IPSec是一个工业标准，用于对TCP/IP网络数据流加密

26、以及保护企业内部网内部通讯和跨越Internet的虚拟专用网络通讯的安全。网络安全与应用第6章346.2.5Windows2003的安全机制的安全机制网络安全与应用第6章356.2.6Windows2003的安全性的安全性在Windows2003的身份验证模型中，安全系统提供了两种类型的身份验证：交互式访问非交互式访问。网络安全与应用第6章366.2.7Windows2003安全访问控制安全访问控制1对文件或文件夹的权限设置在Windows2003系统中，可以采用NTFS（New Technical File System）的分区格式。在WindowsNT操作系统里，NTFS分区格式的最大优点

27、就是使文件夹和文件增加了安全性，它可以对文件夹和文件进行权限设置，以限制用户的访问。具体设置步骤为：（1）在文件或文件夹处单击鼠标右键，选择“属性”；（2）选择“安全”选项卡，（3）通过“添加”和“删除”按钮就可以修改用户对文件夹和文件的访问权限了。网络安全与应用第6章376.2.7Windows2003安全访问控制安全访问控制网络安全与应用第6章386.2.7Windows2003安全访问控制安全访问控制2共享文件权限的设置有时为了工作需要，我们常常要和他人共享某一资料，但是为了安全性，还是应该限定共享的权限，具体步骤为：（1）选择某一文件夹，单击鼠标右键，选择“共享和安全”一项；（2）在“

28、共享”选项卡中，选择“共享该文件夹”；（3）再选择共享窗口的“权限”按钮。网络安全与应用第6章396.2.7Windows2003安全访问控制安全访问控制3事件的审核（1）在文件或文件夹处单击鼠标右键，选择“属性”；（2）选择“安全”选项卡；（3）单击“高级”，然后选择“审核”一项；（4）点击“添加”按钮，选择要审核的对象。网络安全与应用第6章406.2.7Windows2003安全访问控制安全访问控制网络安全与应用第6章416.2.7Windows2003安全访问控制安全访问控制4NTFS分区的加密属性加密属性是Windows2003系统的属性，通过对NTFS分区上的文件或文件夹进行加密，为

29、用户数据提供更高的安全性。加密文件系统(EFS)提供了一种核心文件加密文件，该技术用于在NTFS分区上存储已加密的文件。加密的文件或文件夹，还可以像使用其他文件和文件夹一样使用。对加密该文件的用户而言，加密是透明的，在使用前不必解密。但是，非用用户试图访问加密的文件和文件夹时将会被拒绝访问。具体操作步骤为：（1）右击鼠标选择要加密的文件或文件夹，再单击“属性”；（2）单击“常规”选择项卡上的【高级】按钮；（3）选中“加密内容以便保护数据”一项。网络安全与应用第6章426.2.8 在在Windows2003系统中监视和优化性能系统中监视和优化性能1监视事件日志（1）日志记录方式Windows20

30、03记录的常用事件日志分为三类：系统日志、应用程序日志和安全日志。1）系统日志。该日志包含Windows2003系统组件所记录的事件。系统日志记录在%systemroot%system32configSysEvent.Evt文件中，所有用户都有权限查看系统日志。2）应用程序日志。该日志包含程序所记录的事件。应用程序日志记录在%systemroot%system32configAppEvent.Evt文件中，所有用户都有权限查看系统日志。3）安全日志。该日志包括有效和无效的登录尝试以及与资源使用相关的事件。在默认情况下，安全日志是关闭的，另外只有管理员才有权限访问安全日志。网络安全与应用第6章4

31、36.2.8 在在Windows2003系统中监视和优化性能系统中监视和优化性能1监视事件日志（2）日志类型事件查看器显示的事件日志分为多种类型：包括错误、警告、信息、成功审核和失败审核五种。1）错误：记录重要的事件，例如在启动过程中某个服务加载失败，则会将这个错误记录下来。2）警告：并不是特别重要，但说明将来可能存在的潜在问题的事件。3）信息：描述了应用程序、驱动程序或服务的成功操作的事件。例如，当U盘驱动程序加载成功时，将会记录一个信息事件。4）成功审核：成功的审核安全访问尝试。例如，用户登录系统成功会被当作成功审核事件记录下来。5）失败审核：失败的审核安全访问尝试。例如，用户试图登录系统

32、失败了，则会将它作为失败审核事件记录下来。网络安全与应用第6章446.2.8 在在Windows2003系统中监视和优化性能系统中监视和优化性能1监视事件日志（3）查看事件的详细信息可以通过以下步骤了解事件的详细内容：1）单击任务栏上的“开始”“程序”“管理工具”“事件查看器”；2）在事件查看器控制台树中，单击要查看的事件日志；3）在详细信息窗口中，单击要查看的事件；4）在“操作”菜单上，单击“属性”可以看到该事件的具体信息。网络安全与应用第6章456.2.8 在在Windows2003系统中监视和优化性能系统中监视和优化性能2使用任务管理器去监视系统资源在Windows2003操作系统中，任

33、务管理器的功能更加强大了。它提供了有关计算机性能、计算机上运行的程序和进程的信息。使用Windows任务管理器，可以结束程序或进程、启动程序、查看计算机性能的动态信息。（1）监视应用程序Windows2003系统是一个多任务的操作系统，同时可以执行多个应用程序。在任务管理器的“应用程序”选项卡，可以查看、切换、结束或启用应用程序。“应用程序”的正常状态为“正在运行”，当状态为“未响应”时，可以单击【结束任务】按钮，将异常的程序结束。当需要运行新的应用程序时，可以单击新任务。在对框中输入具体命令去执行新的任务。网络安全与应用第6章466.2.8 在在Windows2003系统中监视和优化性能系统

34、中监视和优化性能2使用任务管理器去监视系统资源（2）监视进程Windows2003的任务管理器提供了对进程控制的能力。进程是指执行中的程序，是一个动态的概念，而程序是指保存在媒介上的可执行的文件，是一个静态的概念。要运行程序，操作系统必须对每个程序至少创建一个进程。“进程”选项卡中显示了关于计算机上正在运行的进程的信息。例如，关于CPU和内存的使用情况等。任务管理器可以查看、结束进程，以及调整进程的优先级。系统提供了多种级别。(3)监视CPU和内存的性能在任务管理器的“性能”选项卡中，显示计算机性能的动态概况，其中包括CPU和内存的使用情况；计算机上正在运行的句柄、线程和进程的总数；物理、核心

35、和认可的内存总数。网络安全与应用第6章476.2.8 在在Windows2003系统中监视和优化性能系统中监视和优化性能3性能监视器使用任务管理器只能监视内存和CPU使用的简单情况，要了解系统中其它组件的详细性能，就需要使用“性能”这个工具。监视系统最常用的默认对象有：缓存、内存、页面文件、物理磁盘、进程、处理器等。网络安全与应用第6章486.2.9 Windows2003的安全措施的安全措施为了加强Window2003操作系统的安全管理，我们从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全等方面制定安全的防范措施。1加强物理安全管理去掉或封锁软盘驱动器；禁止其他操作系统访问N

36、TFS分区；在BIOS中设置口令，禁止使用软盘或光盘引导系统；保证机房的物理安全，检查门、窗、锁是否牢固；网络安全与应用第6章496.2.9 Windows2003的安全措施的安全措施2对用户名的管理和设置对于试图猜测口令的非法用户，Windows2003可以通过设置账号锁定限制来防止它的发生，建议3次口令输入错误后就锁定该账号，在适当的锁定时间后被锁定的账号自动打开，或者只有管理员才能打开，用户才可恢复正常。问题在于Administrator这个账号却用不上这项防范措施，因为Administrator这个账号不能删除或禁用，因此非法用户仍然可以对Administrator账号进行攻击。首先，

37、将系统管理员的用户名由原来的”Administrator”改为一个无意义的字符组合。这样试图攻击系统的非法用户不但要猜出密码，还要先猜出用户名。另外，还有一个Guest账号，它是为那些临时访问网络而又没有用户账号的使用者准备的系统内置账号。从安全方面考虑，Guest 账号默认情况下是被禁用的。网络安全与应用第6章506.2.9 Windows2003的安全措施的安全措施3设置用户的访问权限用过Windows2003的用户都清楚，有些默认的设置并没有给出相应安全的功能。例如：对于一个文件夹给了Everyone这个工作组授予了“完全控制”的权限，没有实施口令策略等等，这些都会给网络的安全留下漏洞。

38、为了服务器安全，必须重新设置这些功能。应始终设置用户所能允许的最小的文件夹和文件的访问权限。网络安全与应用第6章516.2.9 Windows2003的安全措施的安全措施4文件系统系统用NTFS，不用FATNTFS可以对文件夹和文件使用ACL(Access Control List)，ACL可以管理共享目录的合理使用，而FAT却只能管理共享级的安全。NTFS的好处在于，如果它授权用户对某分区具有全部存取权限，但共享权限为“只读”，则最终的有效权限为“只读”。Windows2003取NTFS和共享权限的交集。出于安全方面的考虑，我们必须把与Internet相连的计算机的分区格式变为NTFS格式。

39、例：将盘由FAT分区转为NTFS分区的操作步骤如下：1）以管理员的身份登录2）在命令行中执行下列命令：convert d:/fs:ntfs注意：如果将NTFS分区转化为FAT分区时，只能使用格式化的方式，并且分区上所有数据将丢失。网络安全与应用第6章526.2.9 Windows2003的安全措施的安全措施5确保注册表安全前面，我们已经多次提出注册表对于系统的重要性，概括来说，要取消或限制对regedit.exe的访问，并且只有管理员才有权限修改注册表等。6打开审核系统首先，打开User Manager中的PoliciesAudit菜单，这时可以激发控制审核事件的屏幕。审核的事件包括成功的事件

40、和失败的事件，失败的情况通常比成功的情况少得多，但从安全角度考虑，失败的事情更应值得关注，还有不常用的操作也需注意。另外，每设置对一个事件的审核都需要大量的存储空间，而且对跟踪所得的数据进行分析也不是一件容易的事情，所以在设置审核的事件时，应注意不是审核的事件越多越好。网络安全与应用第6章536.3 Windows2008操作系统的安全性操作系统的安全性在2008年初，微软推出了Windows 2008。Windows 2008是一款面向高级专业用户的操作系统。与早期几个版本相比，它的安全性有了大大的改善。主要表现在安全防护、安全配置向导、可信平台模块管理和BitLocker驱动器加密等几个方

41、面。网络安全与应用第6章546.3.1 windows安全安全Windows安全提供了许多安全基础，包括windows防火墙、windows update和Internet选项。1windows防火墙在Windows防火墙设置对话框中，包含“常规”、“例外”和“高级”3个选项卡。在“常规”选项卡中，包括“启用”、“阻止所有传入连接”和“关闭”3个选项。“启用”是指启用windows防火墙，默认情况下已选中该项。当windows防火墙处于开启状态时，没有被允许执行的程序都将被windows防火墙阻止。“阻止所有传入连接”就是指将传输到计算机的数据连接阻止住，也就是相当于该计算机只允许向外访问其他

42、资源，而不允许其他资源访问本计算机，即许出不许进。“关闭”就是指关闭windows防火墙。一般情况下不使用该设置。网络安全与应用第6章556.3.1 windows安全安全网络安全与应用第6章566.3.1 windows安全安全2Windows Update由于使用Window操作系统的用户非常多，因此很容易受到攻击。不法分子可以利用这些漏洞进行破坏、窃取等活动，使用户的重要信息受到严重威胁。为此，在Windows server 2008安全中心中也集成了Windows Update。使用Windows Update功能，就可以检查适用于用户计算机的更新，并自动检查这些更新。默认情况下，Wi

43、ndows Update已经启用。如果已关闭更新，则安全中心将显示一个通知，并且在通知区域中放置一个安全中心图标，可以单击该提示来打开自动更新。用户可以设置自动更新方式。3Internet选项“Internet选项”。这里主要显示Internet选项中的安全设置、删除历史纪录和cookies，以及管理浏览器加载项等影响浏览器安全的功能链接。网络安全与应用第6章576.3.1 windows安全安全网络安全与应用第6章586.3.2 安全配置向导安全配置向导安全配置向导（Security Configuration Wizard，SCW）可以确定服务器角色所需要的最少功能，并禁用不需要的功能。安

44、全配置向导可以以单独的方式运行，也可以在服务器管理器中运行。使用安全配置向导，可以方便地创建、编辑、应用或回滚安全策略。使用安全配置向导创建的安全策略是一个.xml文件。这些策略包括配置服务、网络安全、特定注册表值和审核策略。1创建新的安全策略2编辑现有安全策略3应用现有安全策略4回滚上一次应用的安全策略网络安全与应用第6章596.3.2 安全配置向导安全配置向导网络安全与应用第6章606.3.3可信平台模块管理可信平台模块管理可信平台模块（TPM），是一种植于计算机内部为计算机提供可信根的芯片，用于存储加密信息。TPM通常安装在台式计算机或便携式计算机的主板上，通过硬件总线与系统其余部分通信

45、。可信平台模块管理服务是Windows Vista和Windows Server 2008中的一个全新功能集，用于管理计算机中的TPM安全硬件。通过提供对TPM的访问并保证应用程序级别的TPM共享，TPM服务体系结构可提供基于硬件的安全基础结构。TPM管理控制台是一个MMC管理单元，管理员可借助它与TPM服务进行交互。管理员可以在Windows Server 2008的管理控制器MMC中打开TPM管理器。网络安全与应用第6章616.3.4 BitLocker驱动器加密驱动器加密在Windows 2008中，提供了BitLocker驱动器加密的功能。BitLocker可确保存储在运行Window

46、s 2008的计算机上的数据始终处于加密状态，即使计算机在未运行操作系统时被篡改也是如此。BitLocker驱动器加密将加密整个系统驱动器，包括启动和登录所需要的Windows系统文件。BitLocker使用TPM为数据提供增强保护，并确保这些数据在没有正确的解密密钥时不被篡改。使用TPM芯片加密后，只能通过使用TPM中存储的解密密钥来解密计算机硬盘上的数据，因此将该加密硬盘连到其他计算机上也无法获取这些加密数据。因此存储在TPM芯片上的信息会更安全。BitLocker驱动器加密可能会使用户的计算机无法正常启动，因此需要清楚的知道什么是Windows BitLocker驱动器加密后再设置该功能

47、。此外，在第一次使用BitLocker时，一定要创建好恢复密码并妥善保存。网络安全与应用第6章626.4 Unix系统的安全性系统的安全性Unix操作系统简介操作系统简介Unix操作系统是目前网络系统中主要的服务器操作系统 Unix操作系统是于1969年由Ken Thompson、Dennis Ritchie和其他一些人在AT&T贝尔实验室开发成功的Unix操作系统是一个分时多用户多任务的通用操作系统 分时系统，是指允许多个联机用户同时使用同一台计算机进行处理的操作系统用户可以请求系统同时执行多个任务 在运行一个作业的时候，可以同时运行其他作业网络安全与应用第6章63Unix系统的安全性系统的

48、安全性口令安全root帐号文件许可和目录许可设置用户ID和同组用户ID许可文件加密其他安全问题 6.4 Unix系统的安全性系统的安全性网络安全与应用第6章646.5 Linux系统的安全性系统的安全性Linux系统的常用命令系统的常用命令ls命令功能：列出当前目录下的文件格式：ls 参数目标路径常用参数：-l：使用详细格式显示文件-a：显示所有文件，包含以开始的隐含文件-d：仅显示目标名，不显示目录内容 -F：在目录下，可执行文件-R：递归处理网络安全与应用第6章65Linux系统的常用命令系统的常用命令rm命令功能：删除文件格式：rm参数目标文件常用参数：-i：删除前进行提示-f：删除前不

49、进行提示，强行删除-r：递归删除cp命令功能：拷贝文件格式：cp参数源地址目标地址常用参数：-b：删除、覆盖先前的备份-i：覆盖前进行提示-f：覆盖前不进行提示，强行覆盖 -v：使用详细模式-h：列出简洁帮助网络安全与应用第6章66Linux系统的常用命令系统的常用命令cd命令功能：改变目录格式：cd 目标路径su命令功能：用于临时切换身份格式：su 参数用户名常用参数：-c：执行完指定的命令后，即恢复原来身份-m：变更身份时，不更改环境变量 clear命令功能：清除屏幕 网络安全与应用第6章67Linux系统的网络安全系统的网络安全取消不必要的服务允许/拒绝服务器口令安全保持最新的系统核心检查登录密码设定用户账号的安全级别监视程序和运行日志消除黑客犯罪的温床root账号的使用定期对服务器进行备份网络安全与应用第6章68 End