资源描述
全国信息化计算机应用技术资格认证管理中心 ,网络安全设计标准教程,全国信息化计算机应用技术资格认证管理中心 ,第1章 网络安全概论 第2章 网络攻击的目的、方法和原理第3章 服务器操作系统基础 第4章 用户管理 第5章 数据文件的安全管理 第6章 身份验证和证书服务 第7章 文件共享与打印服务 第8章 Internet信息服务 第9章 网络监视与调整 第10章 安全审核 第11章 终端服务 第12章 网络传输安全,全国信息化计算机应用技术资格认证管理中心 ,第7章 文件共享与打印服务,全国信息化计算机应用技术资格认证管理中心 ,教学重点,访问控制的概念 访问控制的构成 访问控制的模型 访问控制的管理 共享文件的权限设置与管理 打印服务的安装与设置 打印服务器角色的配置与删除,全国信息化计算机应用技术资格认证管理中心 ,访问控制基本概念,访问控制的定义 主体 对象 访问控制 访问控制的构成 权限 用户权利 对象审核,全国信息化计算机应用技术资格认证管理中心 ,访问控制基本概念(续),逻辑访问控制 逻辑访问控制可以协助: 防止操作系统或其他系统软件被非法更改或处理进而确保系统的完整性和可用性 通过限制访问用户和进程的数量保证信息的完整性和可用性 防止机密信息被非法泄露,全国信息化计算机应用技术资格认证管理中心 ,访问控制基本概念(续),访问控制和内部控制的关系 内部控制(Internal Control)在组织内保障实现的目标 信息的可靠性和完整性 政策、计划、规程、法律、法规和合同的执行 资产的保护 资源使用的经济性和有效性 业务及计划既定目的和目标的达成,全国信息化计算机应用技术资格认证管理中心 ,访问控制基本概念(续),访问控制和内部控制的关系(续) 访问控制(Access Control)与计算机信息系统相关的内容 限制主体对客体的访问 限制主体和其他主体通信或使用计算机系统或网络中的功能或服务的权力或能力,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制,设置文件夹的访问控制 启动 Windows 资源管理器,右击文件名,然后单击“属性”。,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹访问权限设置,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“权限”选项卡 在文件夹的“属性”窗口,单击 “高级”按钮,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“权限”选项卡 在“高级安全设置”对话框的“权限”选项卡中可以完成 为其他组或用户设置特殊权限,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“权限”选项卡 (续) 在“高级安全设置”对话框的“权限”选项卡中可以完成(续) 查看或更改现有组或用户的特殊权限 删除现有组或用户及其特殊权限,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“审核”选项卡 设置审核项目,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“所有者”选项卡 设置对象的所有权 选择用户、计算机或组,全国信息化计算机应用技术资格认证管理中心 ,设置访问控制(续),文件夹高级安全设置“有效权限”选项卡 计算指定用户或组授予的权限 单击“选择” 键入要选择的对象名字,全国信息化计算机应用技术资格认证管理中心 ,访问控制管理,集中式管理 由一个管理者设置访问控制。 分布式管理 把访问的控制权交给了文件的拥有者或创建者。 混合式管理 是集中式管理和分布式管理的结合。,全国信息化计算机应用技术资格认证管理中心 ,文件共享资源类型,一般文件共享 使用文件共享资源提供基本文件共享。 共享或隐藏子目录 使用文件共享资源公布多个网络名称。 DFS 根 使用“文件共享”资源类型创建一个管理独立分布式文件系统(DFS)根目录的资源。,全国信息化计算机应用技术资格认证管理中心 ,共享文件夹管理工具,共享文件夹管理工具 选择“开始”菜单“管理工具”“计算机管理”命令,全国信息化计算机应用技术资格认证管理中心 ,共享文件夹管理工具(续),共享 “共享”文件夹,全国信息化计算机应用技术资格认证管理中心 ,共享文件夹管理工具(续),会话 会话”文件夹,全国信息化计算机应用技术资格认证管理中心 ,共享文件夹管理工具(续),打开文件 “打开文件”文件夹,全国信息化计算机应用技术资格认证管理中心 ,创建及删除共享文件夹,创建共享文件夹 打开“资源管理器” ,找到设置为共享的文件夹,右击文件夹,在菜单中选择“共享和安全”命令 停止对文件夹的共享,选择 “不共享该文件夹”的单选按钮,全国信息化计算机应用技术资格认证管理中心 ,创建及删除共享文件夹(续),设置共享文件夹的权限 在共享设置对话框中单击“权限”按钮,全国信息化计算机应用技术资格认证管理中心 ,创建及删除共享文件夹(续),共享资源的脱机设置 指定其他用户是否可以脱机使用共享文件夹 隐藏共享 使用“开始”菜单中的“运行”对话框连接共享。按住Win+R快捷键,输入共享文件路径及名字,在后面加上“$”。,全国信息化计算机应用技术资格认证管理中心 ,文件共享的安全性,实现文件共享和信息共享 通过NetBIOS和Windows下的135-139号端口服务(在Windows 2000是445号端口)实现。 在UNIX NFS中通过2049端口实现。,全国信息化计算机应用技术资格认证管理中心 ,文件共享的建议,共享文件需要注意 把权限指派给组 指派用户所需的最小权限 用户在本机登录访问共享资源 共享权限只适合通过网络访问共享资源的用户 组织资源 共享应用程序,全国信息化计算机应用技术资格认证管理中心 ,文件共享的建议(续),共享文件需要注意(续) 将全部的应用程序组织在一个共享文件夹中可简化管理 要防止访问网络资源时出现问题 避免显式地给共享资源分配拒绝权限 在覆盖已分配的指定权限时,才有必要显式地分配拒绝权限 限制 Adiministrators 组中授予其“完全控制”权限的成员数量,全国信息化计算机应用技术资格认证管理中心 ,文件共享的建议(续),共享文件需要注意(续) 使用域用户账户授予用户访问权限 使用集中数据文件夹 共享资源共享名字简明扼要,全国信息化计算机应用技术资格认证管理中心 ,打印服务概述,打印配置 非远程本地打印 非远程的网络打印,全国信息化计算机应用技术资格认证管理中心 ,打印服务概述(续),打印配置(续) 远程的本地打印,全国信息化计算机应用技术资格认证管理中心 ,打印服务概述(续),打印配置(续) 远程的网络打印,全国信息化计算机应用技术资格认证管理中心 ,打印服务概述(续),打印过程 网络打印优势 提高工作效率,降低办公费用 管理性,可靠性 易用性,可适应性,全国信息化计算机应用技术资格认证管理中心 ,安装打印机,添加本地打印机 在“打印机和传真” 中选择“文件”“添加打印机”命令 单击“下一步”按钮,清除“自动检测并安装我的即插即用打印机”复选框 单击“下一步”按钮,按照屏幕上的说明进行操作,全国信息化计算机应用技术资格认证管理中心 ,安装打印机(续),添加本地打印机(续) 通过浏览查找局域网中的打印机 。,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性,设置打印机属性 在“打印机和传真”管理工具中选择所要查看的打印机,然后右击打印机,在弹出的菜单中选择“属性”选项,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“常规”选项卡 更改打印机的名称,设置打印机的位置和注释 “共享”选项卡 设置打印机是否需要网络共享,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“端口”选项卡 可以添加、删除和配置端口,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“端口”选项卡 可用的端口选项,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“高级”选项卡 打印机高级属性,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“高级”选项卡(续) “高级”选项卡可以 计划打印机的可用性 指定打印机的优先级 更改打印机驱动程序 设置后台打印选项,全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“高级”选项卡(续),全国信息化计算机应用技术资格认证管理中心 ,设置打印机属性(续),“安全”选项卡 打印机安全设置,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器,准备工作 将服务器配置为打印服务器之前,验证是否: 正确配置操作系统 计算机作为成员服务器加入活动目录域中 所有现有的磁盘卷都使用NTFS文件系统 需要了解的信息 在添加打印服务器角色之前,必须准确了解 确定将作业发送到该打印机的客户端的操作系统版本,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),需要了解的信息(续) 在添加打印服务器角色之前,必须准确了解(续) 在打印机上,打印配置或测试页 确定打印服务器如何与打印机连接 确定是否需要新的或更新的打印机驱动程序 选择打印机名称 选择共享名称 选择位置说明和注释,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器 选择“开始”菜单“管理工具”“配置您的服务器向导”,打开“配置您的服务器向导”,单击“下一步”,进入预备步骤,默认设置即可,也可以单击下一步,进入 “服务器角色”页面上,单击“打印服务器”,然后单击“下一步”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器(续) 在“打印机和打印机驱动程序”页面上,执行操作 单击“Windows 2000和Windows XP客户端” 单击“所有Windows 客户端”,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器(续) 在 “选择总结”页面上,查看和确认已经选择的选项 使用“添加打印机向导”为服务器添加打印机 使用“添加打印机向导”为服务器添加打印机 使用“添加打印机驱动程序向导”为此服务器添加打印机驱动程序,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器(续) 使用“添加打印机向导” 使用“添加打印机驱动程序向导” 打印机驱动程序选择,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器(续) 处理器和操作系统选择 正在完成添加打印机向导,全国信息化计算机应用技术资格认证管理中心 ,配置打印服务器(续),配置打印服务器(续) 可以在打印服务器上执行其他任务 设置与安装选项匹配的配置 设置打印默认值 指派打印机权限 选择分隔页 配置网络客户端使用打印机 设置高级打印机任务 在活动目录中发布打印机,全国信息化计算机应用技术资格认证管理中心 ,习题,1简述访问控制的定义和内容。 2简述文件夹访问控制设置方法及各项内容含义。 3访问控制模型是什么? 4访问控制的手段都有哪些? 5如何设置和管理计算机上的共享资源? 6应采取哪些措施加强共享资源的安全性? 7打印服务配置的网络拓扑结构有哪些?应如何配置和管理打印服务? 8简述打印服务器的配置与删除过程。,全国信息化计算机应用技术资格认证管理中心 ,第8章 Internet信息服务,全国信息化计算机应用技术资格认证管理中心 ,教学重点,IIS应用程序池的配置与管理 Web服务器的配置与管理 FTP站点的配置与管理 IIS配置数据库的备份与恢复 IIS服务器的安全应用准则,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0内核体系,W3SVC http.sys W3Core,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0内核,IIS6.0的请求处理架构 HTTP.sys 和内核模式请求队列排序 Web 管理服务(WAS) 工作进程隔离模式 IIS5隔离状态 完全隔离用户代码和服务器 IIS 6.0的特性 多应用程序池 更好地支持负载平衡,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0内核(续),IIS 6.0的特性(续) 健康监视 使用应用程序池定位网站和应用程序 快速失败防护 多处理器计算机上的 Web 园配置 策略和线程管理 永久ASP 模板缓冲 X86超大内存支持 服务质量,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0安全特性,IIS 6.0安全特性 服务器锁定 可配置工作进程验证 IIS默认使用低特权账户运行 增强的SSL 集成Passport URL授权 高级摘要式身份验证 增强的日志机制,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0中默认的安全性设置,IIS 6.0的默认安全性设置 默认不安装IIS 6.0组件 默认只安装静态HTTP服务器 默认不安装应用范例 增强的文件访问控制 虚拟目录不再具有执行权限 去除了子验证模块 父目录被禁用,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0中默认的安全性设置(续),全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0的管理特性,IIS 6.0的管理特性 纯文本配置数据库 存储配置数据库历史 在 IIS 运行时编辑配置数据库文件 导入和导出站点和应用程序配置 服务器独立备份 配置数据库的可靠性 IIS WMI 提供程序,全国信息化计算机应用技术资格认证管理中心 ,IIS 6.0的管理特性(续),IIS 6.0的管理特性(续) FTP 用户隔离 FrontPage 2000 Server Extensions 可远程管理的证书对象,全国信息化计算机应用技术资格认证管理中心 ,安装Internet信息服务器,利用“管理您的服务器”安装IIS 6.0服务器 在“开始”菜单中的“管理工具”中选择“管理您的服务器”选项,全国信息化计算机应用技术资格认证管理中心 ,安装Internet信息服务器 (续),利用“管理您的服务器”安装IIS 6.0服务器 (续) 选择“添加或删除角色”选项 在“配置服务器向导”中可以看到一系列可配置的服务器角色,选择“应用程序服务器(IIS,ASP.NET)”选项 。,全国信息化计算机应用技术资格认证管理中心 ,安装Internet信息服务器 (续),利用“管理您的服务器”安装IIS 6.0服务器 (续) 单击“下一步”按钮。 根据建立网站的需要做出选择,单击“下一步”按钮。 单击“下一步”按钮。,全国信息化计算机应用技术资格认证管理中心 ,安装Internet信息服务器(续),利用“添加/删除Windows组件”安装IIS 6.0服务器 在向导中选择“应用程序服务器”选项,单击“详细信息”按钮 选中“Internet信息服务”选项,单击“详细信息”按钮。,全国信息化计算机应用技术资格认证管理中心 ,安装Internet信息服务器(续),利用“添加/删除Windows组件”安装IIS 6.0服务器(续) 安装完成后的“IIS 6.0服务器管理器”工具,全国信息化计算机应用技术资格认证管理中心 ,利用“添加/删除Windows组件”安装IIS 6.0服务器(续),全国信息化计算机应用技术资格认证管理中心 ,利用“添加/删除Windows组件”安装IIS 6.0服务器(续),(接上页续表),全国信息化计算机应用技术资格认证管理中心 ,创建应用程序池,创建新的应用程序池 在“IIS信息服务管理器”中右击“应用程序池”节点,在快捷菜单中依次选择“新建”“应用程序池” 在“应用程序池”文本框中输入新的应用程序池的名称,在“应用程序池设置”区域中选择对新创建的应用程序池所采用的设置。,全国信息化计算机应用技术资格认证管理中心 ,设置应用程序池,“回收”选项卡 “性能”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置应用程序池(续),“运行状况”选项卡 “标识”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置Web站点属性,“网站”选项卡 “性能”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置Web站点属性(续),“主目录”选项卡 “文档”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置Web站点属性(续),“HTTP头”选项卡 “自定义错误”选项卡,全国信息化计算机应用技术资格认证管理中心 ,Web站点安全性配置,“ISAPI筛选器”选项卡 筛选器应用程序处于客户端的网络连接与HTTP服务器之间,全国信息化计算机应用技术资格认证管理中心 ,Web站点安全性配置(续),“目录安全性”选项卡 单击“身份验证和访问控制”区域中的“编辑”按钮,全国信息化计算机应用技术资格认证管理中心 ,Web站点安全性配置(续),“目录安全性”选项卡(续) 设置需要采用的身份验证方法 匿名身份验证 基本身份验证 摘要式身份验证 集成Windows身份验证 NET Passport身份验证 IP地址和域名限制,全国信息化计算机应用技术资格认证管理中心 ,创建FTP站点,建立FTP站点 打开“Internet信息服务管理器”,右击左侧窗口树形结构中的“FTP站点”选项,在弹出的菜单中选择“新建”“FTP站点”命令 输入FTP站点的描述信息 单击对话框中的“下一步”按钮,全国信息化计算机应用技术资格认证管理中心 ,创建FTP站点(续),建立FTP站点(续) 从列表框中指定一个IP地址或键入用于访问站点的新IP地址 单击“下一步”按钮,选择所创建的FTP站点的用户隔离模式 。 单击“下一步”按钮,设置FTP站点的主目录的路径。,全国信息化计算机应用技术资格认证管理中心 ,创建FTP站点(续),建立FTP站点(续) 设置主目录后,设置FTP站点的访问权限 选择“读取”选项 选择“写入”选项 单击“完成”按钮,全国信息化计算机应用技术资格认证管理中心 ,创建FTP站点(续),在 FTP 站点中使用虚拟目录 虚拟目录是服务器硬盘上通常不在主目录下的物理目录或另一台计算机上的主目录的别名。,全国信息化计算机应用技术资格认证管理中心 ,设置FTP站点属性,“FTP站点”选项卡 “安全账户”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置FTP站点属性(续),“消息”选项卡 “主目录”选项卡,全国信息化计算机应用技术资格认证管理中心 ,设置FTP站点属性(续),“目录安全性”选项卡 拒绝指定TCP/IP地址,允许其他所有地址访问 允许指定TCP/IP地址,拒绝其他所有地址访问,全国信息化计算机应用技术资格认证管理中心 ,IIS配置数据库管理,IIS配置数据库概述 XML格式的纯文本配置数据库文件的优点 可使用常见的文本编辑器直接编辑配置数据库文件 经过改善的配置数据库的损坏恢复和疑难解答 改善了可能出现严重错误的计算机上的配置数据库备份和还原功能,全国信息化计算机应用技术资格认证管理中心 ,IIS配置数据库管理 (续),IIS配置数据库概述(续) 配置数据库架构,全国信息化计算机应用技术资格认证管理中心 ,备份和还原配置数据库,备份配置数据库 在“IIS信息服务管理器”中右击本地计算机,在弹出的菜单中依次选择“所有任务”“备份/还原配置”命令。 单击“创建备份”按钮,全国信息化计算机应用技术资格认证管理中心 ,备份和还原配置数据库(续),还原配置数据库 在“IIS信息服务管理器”中右击本地计算机,在弹出的菜单中依次选择“所有任务”“备份/还原配置”命令。 在“备份”列表中,单击要还原的备份,然后单击“还原”。,全国信息化计算机应用技术资格认证管理中心 ,备份和还原配置数据库(续),还原配置数据库(续) 如果要还原安全备份,系统将提示输入在创建备份时键入的密码 。 从历史文件还原配置数据库 在“IIS信息服务管理器”中右击本地计算机,在弹出的菜单中依次选择 “所有任务”“备份/还原配置”命令,在“备份”列表中,单击要还原的“自动备份”,然后单击“还原”。,全国信息化计算机应用技术资格认证管理中心 ,配置数据库的安全性,为确保配置数据库安全而建议采取的方法: 确保计算机上所有账户的密码都是强密码,且未写在计算机旁边或看得见的位置。 对于在文件级安全中列出的配置数据库文件,维护严格的访问控制权限。 在计算机上采用“最小权限”的概念。 不要针对配置数据库文件运行cipher命令或使用加密文件系统(EFS)。 当手动编辑MetaBase.xml文件时,首先复制MetaBase.xml文件,然后对副本进行操作。,全国信息化计算机应用技术资格认证管理中心 ,配置数据库的安全性(续),为确保配置数据库安全而建议采取的方法(续) 在配置数据库中进行重大更改时,使用备份/还原配置工具创建配置数据库文件的备份。 不要使用配置数据库导入和导出功能创建定期备份文件。 监视事件日志中是否有IIS事件消息。 为影响配置数据库的各种文件设置文件审核。,全国信息化计算机应用技术资格认证管理中心 ,习题,1简述IIS 6.0的内核结构。 2简述IIS 6.0安全特性,以及它的默认安全设置。 3应用程序池的作用是什么?应该如何设置? 4理解Web站点及FTP站点的作用与创建方法。 5在Web站点和FTP站点的管理过程中应该怎样提高它们的安全性? 6简述如何备份(安全备份)和还原IIS配置数据库。 7在管理IIS信息服务器的过程中有哪些准则用于增强它的安全性?,全国信息化计算机应用技术资格认证管理中心 ,第9章 网络监视与调整,全国信息化计算机应用技术资格认证管理中心 ,教学重点,工具的使用技巧 观察数据特征,全国信息化计算机应用技术资格认证管理中心 ,网络监视工具概述,Windows Server 2003提供了五种用于网络监视的工具: 系统监视器 网络监视器 事件查看器 性能日志和警报 任务管理器,全国信息化计算机应用技术资格认证管理中心 ,系统监视器,系统监视器 选择“开始”“管理工具”“性能”命令,全国信息化计算机应用技术资格认证管理中心 ,添加计数器,将计数器添加到Windows Server 2003系统监视器 打开“性能”工具。 右击“系统监视器”详细信息窗格,并单击“添加计数器”命令。,全国信息化计算机应用技术资格认证管理中心 ,添加计数器(续),将计数器添加到Windows Server 2003系统监视器(续) 要监视运行监视控制台的所有计算机,单击“使用本地计算机计数器”单选按钮。 在“性能对象”下拉列表中,选择要监视的对象。 要监视所选计数器的全部实例,单击“所有实例”单选按钮。 单击“添加”按钮,然后单击“确定”按钮。,全国信息化计算机应用技术资格认证管理中心 ,添加计数器(续),添加计数器需要注意: 在系统默认情况下,计数器以实例名和实例索引显示。 当选择相同计数器的两个实例索引时,索引号并不一定在进程的整个生命周期中都要与同一线程对应。 创建导出监视控制台时,要确保选择了“使用本地计算机计数器”。,全国信息化计算机应用技术资格认证管理中心 ,添加计数器(续),添加计数器需要注意(续) 要了解特定计数器的说明,可单击“添加计数器”中的计数器名,然后单击“说明”按钮。 使用“系统监视器属性”对话框中的“数据”选项卡 。,全国信息化计算机应用技术资格认证管理中心 ,选择要监视的数据,服务器上常见的性能瓶颈来源 内存 处理器 磁盘 网络,全国信息化计算机应用技术资格认证管理中心 ,选择要监视的数据(续),全国信息化计算机应用技术资格认证管理中心 ,系统监视器的配置技巧,监视 Windows Server 2003系统 选择以图表方式查看数据,右击“系统监视器”详细信息窗格,在弹出的“系统监视器属性”对话框中选择“常规”选项卡 。,全国信息化计算机应用技术资格认证管理中心 ,通过命令行来使用系统监视器,以命令行的方式使用系统监视器 命令语法 perfmon.exe FileName /HTMLFILE:ConvertedFile SettingsFile,全国信息化计算机应用技术资格认证管理中心 ,网络监视器,网络监视器为用户提供的特定类型的信息 设置触发器,让网络监视器在发生某种或某些情况时开始或停止捕获信息。 设置筛选程序,以便控制网络监视器捕获或显示的信息类型。 通过修改信息在屏幕上的显示方式使信息分析更加简便,还可以保存或打印信息以供日后查看。 网络监视器还可以识别出某些有助于预防或解决问题的模式。 网络监视器提供了有关网络通信的信息。,全国信息化计算机应用技术资格认证管理中心 ,网络监视器的工作原理,数据是以帧的格式在网络中发送的 每个帧包含的信息: 源地址。 目标地址。 数据报头信息。 数据。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器,安装网络监视器 鼠标左键依次单击“开始”“控制面板”“添加或删除程序”,单击左边的“添加/删除Windows组件”。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),安装网络监视器 (续) 在 “Windows 组件”向导中,单击“管理和监视工具”选项,然后单击“详细信息”。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),安装网络监视器 (续) 在 “管理和监视工具的子组件”对话框中,选中“网络监视工具”复选框,然后单击“确定”按钮。 如果系统提示提供其他文件,则插入操作系统的安装光盘,或键入指向网络上文件位置的路径。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),捕获筛选器 设计捕获筛选器 从“管理工具”中打开“网络监视器”。 如果出现提示,则选择在默认情况下要从中捕获数据的本地网络。 单击“捕获”菜单上的“筛选器”命令。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),捕获筛选器(续) 设计捕获筛选器(续) 在捕获筛选程序对话框中,执行 指定捕获筛选程序协议,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),捕获筛选器(续) 设计捕获筛选器(续) 在捕获筛选程序对话框中,执行(续) 在捕获筛选程序中指定地址对 指定模式匹配,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),显示筛选器 加载显示筛选程序 打开网络监视器。 如果出现提示,则选择在默认情况下要从中捕获数据的本地网络。 执行下列任一操作: 单击“文件”菜单上的“打开”命令,双击保存的捕获文件 单击“捕获”菜单上的“开始”命令,在捕获完帧之后单击“停止并查看” 。,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),显示筛选器(续) 加载显示筛选程序(续) 单击“显示”菜单上的“筛选器”命令 单击“加载” 指定显示筛选程序文件 (.df),单击“确定”按钮,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),显示筛选器(续) 仅显示包含指定协议的帧 鼠标左键双击“protocol = Any”行,选中不需要使用的协议单击“禁用”按钮,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序,全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序 (续表),全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序 (续表),全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序 (续表),全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序 (续表),全国信息化计算机应用技术资格认证管理中心 ,使用网络监视器(续),网络监视器所附带的协议分析程序 (续表),全国信息化计算机应用技术资格认证管理中心 ,通过命令行管理网络监视器,从命令行启动网络监视器的用户界面 start netmon命令语法 start netmon /net Number /capturefilter Path /displayfilter Path /buffersize Number /quickfilter ATM | ETHERNET | IP | IPX | VINES | TOKENRING | FDDI, Address /quickfiltername FilterName /autostart /autostop,全国信息化计算机应用技术资格认证管理中心 ,事件查看器,事件查看器工具可以完成 Windows Server 2003的系统日志中存放了操作系统产生的信息、警告或错误 安全日志中存放了审核事件是否成功的信息 应用程序日志中存放应用程序产生的信息、警告或错误 计算机被配置位域控制器,则系统还将提供: 目录服务日志 文件复制服务日志,全国信息化计算机应用技术资格认证管理中心 ,事件的结构和类型,事件属性 双击事件查看器右部详细窗格中的任意事件 。,全国信息化计算机应用技术资格认证管理中心 ,事件的结构和类型(续),全国信息化计算机应用技术资格认证管理中心 ,事件的结构和类型(续),全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器,事件查看器的使用 “开始”“管理工具”打开“事件查看器”,单击左部窗格的日志类型,或者是双击右部窗格的日志类型。,全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器(续),添加事件日志的其他视图 选定日志类型后,在“操作”菜单上,单击“新建日志查看”命令。 在控制台树中以默认名称显示该日志的一个副本。 更改新日志视图的名称,在“操作”菜单上单击“重命名”命令 。,全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器(续),搜索特定事件 选定日志类型后,在“查看”菜单上单击“查找”命令。 在“事件类型”下,选择要查找的事件类型。 单击“查找下一个”按钮。,全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器(续),连接到另一台计算机 在控制台树中,右击“事件查看器(本地)”,然后单击“连接到另一台计算机”命令。 单击“另一台计算机”单选按钮,键入该计算机的名称,然后单击“确定”按钮。,全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器(续),指定事件日志中的排序顺序 选定日志类型后,在右部详细窗格上方单击要排序的列标题。 反转排序顺序,再次单击列标题。,全国信息化计算机应用技术资格认证管理中心 ,使用事件查看器(续),筛选事件 选定日志类型后在“查看”菜单上,单击“筛选”命令。 在“筛选”选项卡上,指定要在筛选器中使用的特征 。,全国信息化计算机应用技术资格认证管理中心 ,通过命令行管理事件日志,从命令行启动“事件查看器”,全国信息化计算机应用技术资格认证管理中心 ,性能日志和警报,性能日志和警报的主要功能 以不同的账户运行日志集合 两个新安全组,可帮助用户确保只有受信任的用户才可访问和操作敏感的性能数据。 支持超过 1GB 大小的日志文件。 “性能日志和警报”收集逗号分隔或制表符分隔格式的数据。 以收集 SQL 数据库格式的数据。,全国信息化计算机应用技术资格认证管理中心 ,性能日志和警报(续),性能日志和警报的主要功能(续) 可以在收集数据期间,也可以在停止收集后查看由“性能日志和警报”收集的计数器数据。 不管是否有用户登录到被监视的计算机,数据收集都会发生。 可以定义用于自动日志生成的起始和终止时间、文件名、文件大小以及其他参数。 可以从单个控制台窗口管理多个日志会话。 可以设定计数器上的性能警报。,全国信息化计算机应用技术资格认证管理中心 ,性能对象和计数器,系统最频繁使用的性能对象 Cache Memory Objects Paging File PhysicalDisk Process Processor Server,全国信息化计算机应用技术资格认证管理中心 ,性能对象和计数器,系统最频繁使用的性能对象(续) System Thread,全国信息化计算机应用技术资格认证管理中心 ,性能数据的分析和解决,全国信息化计算机应用技术资格认证管理中心 ,性能数据的分析和解决(续表),全国信息化计算机应用技术资格认证管理中心 ,通过命令行监视性能,使用命令行工具 Logman Perfmon Relog Tracerpt Typeperf Lodctr,全国信息化计算机应用技术资格认证管理中心 ,任务管理器,打开任务管理器的方式 通过Ctrl+Alt+Del组合键来选择打开“Windows安全”对话框,单击“任务管理器”按钮即可 通过Ctrl+Shift+Esc组合键启动 右击任务栏空白处,在弹出菜单中选取“任务管理器”命令。,全国信息化计算机应用技术资格认证管理中心 ,任务管理器(续),Windows Server 2003提供的任务管理器上的选项卡: “应用程序”选项卡显示计算机上正在运行的程序的状态。 “进程”选项卡显示计算机上正在运行的进程的相关信息。,全国信息化计算机应用技术资格认证管理中心 ,任务管理器(续),Windows Server 2003提供的任务管理器上的选项卡:(续) “联网”选项卡显示了网络性能的图形化表示。 “用户”选项卡显示了可以访问该计算机的用户,以及会话的状态与名称。,全国信息化计算机应用技术资格认证管理中心 ,习题,1Windows Server 2003提供了哪几种关于网络监视和调整的工具,简述各自的主要用途。 2系统监视器可以通过哪些方法衡量自己计算机或网络中其他计算机的性能? 3主要的系统瓶颈都有哪些?它们对应的计数器分别是什么? 4数据帧包含哪些信息?试述网络监视器的工作原理。 5捕获筛选器的作用及过程是什么?显示筛选器的作用是什么?,全国信息化计算机应用技术资格认证管理中心 ,习题(续),6事件查看器记录了哪几种类型的日志?分别主要记录哪些内容? 7事件的结构是什么?有哪几类? 8Windows Server 2003提供的性能日志和警报有哪些主要功能? 9造成系统瓶颈的主要原因是什么?一般有哪几种? 10任务管理器可以完成哪些工作?,全国信息化计算机应用技术资格认证管理中心 ,第10章 安 全 审 核,全国信息化计算机应用技术资格认证管理中心 ,教学重点,安全审核的基本概念 安全审核的前期准备工作 使用Windows Server 2003自带的安全审核的工具,全国信息化计算机应用技术资格认证管理中心 ,安全审核概述,利用审核有助于解决 审核和入侵检测有助于确定是谁发起的攻击; 审核和入侵检测的结合使用有助于将信息进行关联,以识别攻击模式; 定期复查安全日志有助于发现未知的安全配置问题。 检测到攻击之后,审核有助于确定哪些网络资源被非法使用。,全国信息化计算机应用技术资格认证管理中心 ,安全审核概述(续),在Windows Server 2003中应该被审核的最普通的事件类型 被访问对象。 用户账户和组账户的管理。 用户登录到系统和从系统注销。 执行审核前需要考虑 进行审核的原因。 哪些用户负责日志的收集和归档工作?这种归档是否独立于系统备份?,全国信息化计算机应用技术资格认证管理中心 ,安全审核概述(续),执行审核前需要考虑下述问题(续) 哪些用户有权访问审核日志? 是否可以接受丢失部分审核信息的情况? 日志需要保持多长时间? 审查日志的时间间隔是多少? 审核日志都需要哪些工具的支持? 审核出的问题如何处理?,全国信息化计算机应用技术资格认证管理中心 ,安全审核概述(续),执行审核时应该 指定要审核的事件的类别。 设置安全日志的大小和特性。 如果希望审核目录的服务访问或对象访问,则确定要监控其访问的对象,以及要监控的访问类型。,全国信息化计算机应用技术资格认证管理中心 ,Windows Server 2003的审核功能,日志备份分类 系统日志 安全日志 应用程序日志 目录服务日志 文件复制服务日志 DNS服务器日志,全国信息化计算机应用技术资格认证管理中心 ,Windows Server 2003的审核功能(续),未装域控制器时的事件查看器 安装域控制器后的事件查看器,全国信息化计算机应用技术资格认证管理中心 ,查看和备份日志,查看日志 打开事件查看器,选中任意日志,右击选取“属性”菜单项。 保存的方式为:在事件查看器中选中需要另存的日志,然后用鼠标左键依次单击“操作”“另存日志文件”,全国信息化计算机应用技术资格认证管理中心 ,查看和备份日志(续),查看日志(续) Windows Server 2003提供了三种格式来存储备份日志文件 事件日志格式(*.evt) 文本格式(*.txt) 逗号分隔值格式(*.csv),全国信息化计算机应用技术资格认证管理中心 ,查看和备份日志(续),查看日志 分别显示同一份日志文件,全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略,审核账户登录事件 要设置为“无审核”,可在该策略设置的“属性”对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”复选框。 如果在域控制器上启用了账户登录事件的成功审核,则将为该域控制器所验证的每位用户记录一个条目。,全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),审核账户管理 确定是否审核计算机上的每一个账户管理事件。 审核目录服务访问 确定是否审核用户访问那些指定自己的系统访问控制列表(SACL)的Active Directory对象的事件。 审核登录事件 确定是否审核每一个登录或注销计算机的用户实例。,全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),审核对象访问 确定是否审核用户访问某个对象的事件。 审核策略更改 确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。 审核特权使用 确定是否审核用户实施其用户权利的每一个实例。,全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),审核过程跟踪 确定是否审核事件。例如程序激活、进程退出、句柄复制和间接对象访问等的详细跟踪信息。 审核系统事件 确定当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件发生时是否予以审核。,全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),审核系统事件(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),(接上页表),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置高级审核策略(续),全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略,应用或修改文件或文件夹的审核策略 打开Windows 资源管理器。 右击要审核的文件或文件夹,选取“属性”命令,然后单击“安全选项卡。 单击“高级”,然后单击“审核”选项卡 。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),应用或修改文件或文件夹的审核策略(续) 执行以下任一操作: 建立新用户或组的审核,单击“添加”按钮。在“输入要选择的对象名称”中,键入用户或组的名称,然后单击“确定”按钮。 删除现有组或用户的审核,单击该组或用户的名称,单击“删除”按钮,单击“确定”按钮。 查看或更改现有组或用户的审核,单击相应的名称,然后单击“编辑”按钮。 在“应用到”框中,单击希望审核发生的位置。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),应用或修改文件或文件夹的审核策略(续) 在“访问”框中,通过选中相应的复选框,指出审核的操作: 审核成功事件,选中“成功”复选框。 终止对成功事件的审核,清除“成功”复选框。 审核未成功事件,选中“失败”复选框。 终止对未成功事件的审核,清除“失败”复选框。 终止对所有事件的审核,单击“全部清除”。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),应用或修改文件或文件夹的审核策略(续) 要防止初始对象的后续文件和子文件夹继承审核项,选中“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。 使用组策略应用或修改其他对象的审核策略 打开Microsoft 管理控制台(MMC),同时按住键Win+R,在文本框内输入“mmc”,运行。 在“文件”菜单上,单击“添加/删除管理单元”,在随后出现的对话框中单击“添加”按钮。 单击“组策略对象编辑器”,然后单击“添加”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),使用组策略应用或修改其他对象的审核策略(续) 单击“组策略向导”中“选择组策略对象”页上的“浏览” 。 在“浏览组策略对象”中,选择相应的域、站点或组织单位中的“组策略对象(GPO)”或新建一个,单击“确定”按钮,然后单击“完成”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),使用组策略应用或修改其他对象的审核策略(续) 单击“关闭”按钮,然后单击“确定”按钮。 执行一项或多项操作。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),使用组策略应用或修改其他对象的审核策略(续) 单击“高级”,然后单击“审核”选项卡。 执行以下任一操作: 要建立新用户或组的审核,单击“添加”按钮。在“名称”中,键入所需的用户或组名称,然后单击“确定”按钮。 要查看或更改现有组或用户的审核,单击所需的名称,然后单击“编辑”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),使用组策略应用或修改其他对象的审核策略(续) 执行以下任一操作: (续) 要删除现有组或用户的审核,单击所需的名称,单击“删除”按钮,单击“确定”按钮,然后跳过其他步骤 在“应用到”列表中选择相应的项 在“访问”框中,通过选中相应的复选框,指出想要审核的操作: 要审核成功事件,则选中“成功”复选框,全国信息化计算机应用技术资格认证管理中心 ,配置对象审核策略(续),使用组策略应用或修改其他对象的审核策略(续) 在“访问”框中,通过选中相应的复选框,指出想要审核的操作:(续) 要终止对成功事件的审核,清除“成功”复选框 要审核未成功事件,选中“失败”复选框 要终止对未成功事件的审核,清除“失败”复选框 要终止对所有事件的审核,单击“全部清除”,全国信息化计算机应用技术资格认证管理中心 ,习题,1为什么要进行审核?审核可以解决哪些问题? 2审核前应该考虑哪些问题?为什么? 3简述Windows Server 2003系统中事件查看器查看日志的过程。 4可被选来进行审核的事件类别有哪些?各自的目的是什么? 5对象审核的特点是什么?,全国信息化计算机应用技术资格认证管理中心 ,第11章 终 端 服 务,全国信息化计算机应用技术资格认证管理中心 ,教学重点,终端服务 配置终端服务 配置远程桌面,全国信息化计算机应用技术资格认证管理中心 ,终端服务概述,终端服务的好处: 更快地显示Windows Server 2003的桌面。 可以充分利用已有的硬件。 使得程序可以集中配置。 可以远程管理。 终端服务的实现模式: 应用程序服务器。 远程管理模式。,全国信息化计算机应用技术资格认证管理中心 ,终端服务概述(续),Windows Server 2003终端服务由五个组件组成: 多用户内核。 远程桌面协议。 终端服务客户端。 终端服务许可服务。 终端服务管理工具。,全国信息化计算机应用技术资格认证管理中心 ,安装终端服务器,安装前的准备工作 是否正确配置操作系统 计算机是否是网络上或域中的服务器,但不是域控制器。 计算机是否能满足处理器和内存的需要。 计算机上是否没安装任何程序。 没有用户能远程登录到该计算机上。 所有现有的磁盘卷都使用 NTFS 文件系统。,全国信息化计算机应用技术资格认证管理中心 ,安装终端服务器(续),安装终端服务器的步骤 选择“开始”“控制面板”“添加或删除程序”选项,在“添加或删除程序”对话框中单击“添加/删除Windows组件”选项卡。 选取“组件”列表中的“终端服务器”选项。,全国信息化计算机应用技术资格认证管理中心 ,安装终端服务器(续),安装终端服务器的步骤(续) 仔细阅读页面说明后单击“下一步” 。,全国信息化计算机应用技术资格认证管理中心 ,安装终端服务器(续),安装终端服务器的步骤(续) 在 “为应用程序兼容性选择默认权限”对话框中,选择“完整安全模式”并单击“下一步”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器,配置终端服务器 启动“配置您的服务器向导”,单击“开始”和“控制面板”,进入“管理工具”,选取“管理您的服务器” 。 在“在终端服务器”一栏中选取“打开终端服务配置” 。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),赋予用户权限 单击“开始”“管理工具”打开“终端服务配置”。 双击右侧窗格中的“RDP-Tcp”连接。 切换到“权限”选项卡,单击“添加”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),赋予用户权限(续) 单击“添加”按钮,在“输入对象名称来源”编辑框中填入赋予权限的用户名,单击“确定”按钮。 在“组和用户名称”列表中单击用户,勾选权限列表框中的复选框 。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),限制并发连接数量 在“RDP-Tcp属性”对话框中切换至“网卡”选项卡。 在“网卡”下拉列表中选中使用RDP-Tcp协议的网卡。 选取“最多连接数”单选按钮,并在右侧的微调框中调整并发连接数值。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),设置客户端可用的本地资源 在“RDP-Tcp属性”对话框中切换至“客户端设置”选项卡。 勾选“禁用下列项目”区域中的项目。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),在终端服务器许可证服务器上安装客户端访问许可证 在终端服务器许可证服务器上安装CAL 在终端服务器许可证服务器上,打开终端服务器授权。 确认终端服务器许可证服务器的安装方法设置为“自动化”,右击要为其安装CAL的终端服务器许可证服务器,单击“属性”命令。 如果必要,在“安装方法”选项卡上,将安装方法更改为“自动连接”,然后单击“确定”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),在终端服务器许可证服务器上安装客户端访问许可证(续) 在终端服务器许可证服务器上安装CAL(续) 在“终端服务器授权”控制台树中,右击要在其上安装CAL的终端服务器许可证服务器,单击“安装许可证”,然后单击“下一步”按钮。 在“授权计划”页面上,选择购买许可证所遵循的许可证计划,然后单击“下一步”按钮。,全国信息化计算机应用技术资格认证管理中心 ,配置终端服务器(续),在终端服务器许可证服务器上安装客户端访问许可证(续) 在终端服务器许可证服务器上安装CAL(续) 在“许可证代码”页面上,为所购买的每个许可证键入许可证代码,每次输入完后都单击“添加”。 单击“下一步”按钮。 “正在完成终端服务器CAL
展开阅读全文