网络安全设计标准教程(上)208

网络平安设计标准教程网络平安设计标准教程第第1章章 网络平安概论网络平安概论 第第2章章 网络攻击的目的、方法和原理网络攻击的目的、方法和原理第第3章章 效劳器操作系统根底效劳器操作系统根底 第第4章章 用户管理用户管理 第第5章章 数据文件的平安管理数据文件的平安管理 第第6章章 身份验证和证书效劳身份验证和证书效劳 第第7章章 文件共享与打印效劳文件共享与打印效劳 第第8章章 Internet信息效劳信息效劳 第第9章章 网络监视与调整网络监视与调整 第第10章章 平安审核平安审核 第第11章章 终端效劳终端效劳 第第12章章 网络传输平安网络传输平安 第第1章章 网络平安概论网络平安概论教学重点教学重点n了解互联网开展趋势了解互联网开展趋势n了解解决网络平安的两大方法了解解决网络平安的两大方法n防火墙防火墙n加密加密n对黑客入侵手段做常识性了解对黑客入侵手段做常识性了解互联网开展现状分析互联网开展现状分析表1-1 互联网开展人数比照图统计截至时间上网人数（万）上网计算机数（万）网络国际出口带宽(M)2004.6.3087003630539412003.12.3179503089272162003.6.3068002572185992000.6.30169065012341999.6.304001462411998.6.30117.554.284.641997.10.316229.925.408建立平安机制的必要性建立平安机制的必要性n互联网的平安划分互联网的平安划分n网络运行的平安网络运行的平安n信息平安信息平安n中国互联网的平安现状中国互联网的平安现状n信息和网络的平安防护能力较差信息和网络的平安防护能力较差n根底信息产业严重依靠国外根底信息产业严重依靠国外n信息平安管理机构权威性不够信息平安管理机构权威性不够n全社会的信息平安意识淡薄全社会的信息平安意识淡薄网络平安的根本概念网络平安的根本概念n从技术角度来说，网络平安的目标可归纳为从技术角度来说，网络平安的目标可归纳为4个方个方面：面：n可用性可用性n机密性机密性n完整性完整性n不可抵赖性不可抵赖性网络平安的根本概念网络平安的根本概念(续续)n可用性可用性l可用性指信息或者信息系统可被合法用户访问，并按其要求运行的特性。n机密性机密性l机密性将对敏感数据的访问权限制在那些经授权的个人，只有他们才能查看数据。n完整性完整性l完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。网络平安的根本概念网络平安的根本概念(续续)n不可抵赖性不可抵赖性l不可抵赖性也叫不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。防火墙技术防火墙技术加密技术加密技术n加密技术加密技术n所谓加密技术，即是对信息进行编码和解码的技所谓加密技术，即是对信息进行编码和解码的技术，编码是把原来可读信息又称明文译成代术，编码是把原来可读信息又称明文译成代码形式又称密文，其逆过程就是解码解密码形式又称密文，其逆过程就是解码解密。加密技术加密技术(续续)n加密算法加密算法l对称加密l非对称加密l不可逆加密 加密技术加密技术(续续)n对称加密算法对称加密算法加密技术加密技术(续续)n非对称加密算法非对称加密算法加密技术续加密技术续n不可逆加密算法不可逆加密算法l加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。加密技术续加密技术续n加密技术加密技术n非否认非否认Non-repudiation技术技术nPGPPrettyGoodPrivacy技术技术n数字签名数字签名DigitalSignature技术技术nPKIPublicKeyInfrastructure技术技术管理黑客活动管理黑客活动n黑客活动分类黑客活动分类l入侵l攻击l窃听管理黑客活动管理黑客活动n黑客入侵实例分析黑客入侵实例分析n2004年年10月，广州某软件公司的效劳器遭到入侵，月，广州某软件公司的效劳器遭到入侵，局部数据正被人非法下载。经过入侵检测分析检局部数据正被人非法下载。经过入侵检测分析检查发现，此次入侵即是首先监听获得某些敏感数查发现，此次入侵即是首先监听获得某些敏感数据而进入系统的。据而进入系统的。习题习题1简述中国互联网的开展状况及其存在的平安问题。简述中国互联网的开展状况及其存在的平安问题。2什么是信息平安？用以保障信息平安的常见手段什么是信息平安？用以保障信息平安的常见手段有哪些？有哪些？3简单比较对称加密和非对称加密的异同。简单比较对称加密和非对称加密的异同。4列举常见的黑客行为。列举常见的黑客行为。5谈谈对某些青少年热中于做黑客的看法。谈谈对某些青少年热中于做黑客的看法。第第2章章 网络攻击的目的、网络攻击的目的、方法和原理方法和原理教学重点教学重点n计算机网络平安的成因计算机网络平安的成因什么是网络攻击及网络平安设计的目的什么是网络攻击及网络平安设计的目的n网络攻击网络攻击l利用网络非法获取他人信息或影响计算机正常运行、通信以及导致计算机有异常动作的行为均称为网络攻击。网络攻击的根本步骤网络攻击的根本步骤n网络攻击网络攻击l隐藏自已的位置 l寻找并分析目标主机 l获取账户和密码，登录主机 l保持访问 l隐藏踪迹 l窃取网络资源和特权 网络攻击的根本步骤续网络攻击的根本步骤续n隐藏自已的位置隐藏自已的位置l攻击者都会利用各种手段隐藏他们真实的IP地址。n寻找并分析目标主机寻找并分析目标主机l攻击者首先要寻找目标主机。真正标识主机的是计算机的IP地址。n获取账户和密码，登录主机获取账户和密码，登录主机l攻击者会先设法盗窃账户文件，进行破解，从中获取某用户的账户和口令，再以此身份进入主机。网络攻击的根本步骤续网络攻击的根本步骤续n保持访问保持访问n攻击者进入目标主机获得控制权之后，会尽量试攻击者进入目标主机获得控制权之后，会尽量试图能够保持对目标主机的访问，会更改某些系统图能够保持对目标主机的访问，会更改某些系统设置，留下后门，或是植入特洛伊木马。设置，留下后门，或是植入特洛伊木马。n隐藏踪迹隐藏踪迹n攻击者会去除日志文件中有关他攻击的记录。攻击者会去除日志文件中有关他攻击的记录。n窃取网络资源和特权窃取网络资源和特权n攻击者找到攻击目标后，会在恰当的时机继续下攻击者找到攻击目标后，会在恰当的时机继续下一步的攻击。一步的攻击。常见攻击手法常见攻击手法n口令入侵口令入侵n获取合法用户的账户获取合法用户的账户n利用目标主机的利用目标主机的Finger功能功能n利用目标主机的利用目标主机的X.500效劳效劳n从电子邮件地址中收集从电子邮件地址中收集n查看主机是否有习惯性的账户查看主机是否有习惯性的账户n植入特洛伊木马程序植入特洛伊木马程序n特洛伊木马程序可以被直接侵入目标主机。特洛伊木马程序可以被直接侵入目标主机。常见攻击手法续常见攻击手法续nWWW的欺骗技术的欺骗技术n攻击者将用户预备浏览的网页的攻击者将用户预备浏览的网页的URL，改写为指，改写为指向攻击者的计算机向攻击者的计算机n电子邮件攻击电子邮件攻击n电子邮件轰炸和电子邮件电子邮件轰炸和电子邮件“滚雪球。滚雪球。n电子邮件欺骗。电子邮件欺骗。n通过一个节点攻击其他节点通过一个节点攻击其他节点n攻击者在突破一台目标主机后，以此目标主机作攻击者在突破一台目标主机后，以此目标主机作为根据地，攻击其他主机。为根据地，攻击其他主机。常见攻击手法续常见攻击手法续n网络监听网络监听n网络监听是计算机的一种工作模式。网络监听是计算机的一种工作模式。n黑客软件黑客软件n利用黑客软件攻击是互联网上比较多的一种攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。手法。n平安漏洞攻击平安漏洞攻击n任何系统都会存在一定数量的平安漏洞。任何系统都会存在一定数量的平安漏洞。n端口扫描攻击端口扫描攻击n端口扫描利用端口扫描利用Socket编程与目标主机的某些端口编程与目标主机的某些端口建立建立TCP连接、进行传输协议的验证等。连接、进行传输协议的验证等。网络攻击手法的原理剖析网络攻击手法的原理剖析n网络攻击手法背后的原理网络攻击手法背后的原理l缓冲区溢出攻击l注入攻击lddos攻击 缓冲区溢出攻击的原理和防范措施缓冲区溢出攻击的原理和防范措施n缓冲区溢出的原理缓冲区溢出的原理l攻击者向一个有限空间的缓冲区中置入过长的字符串，会带来后果：过长的字符串覆盖了邻近的存储单元，结果导致了其他程序运行失败，严重的可能会引起系统崩溃；利用这种漏洞执行任意指令，甚至是取得系统控制权。缓冲区溢出攻击的原理和防范措施续缓冲区溢出攻击的原理和防范措施续n对缓冲区溢出攻击的防范对缓冲区溢出攻击的防范n针对缓冲区溢出攻击，系统管理员必须做到：针对缓冲区溢出攻击，系统管理员必须做到：n关闭不需要的特权程序关闭不需要的特权程序n关闭不需要使用的端口和效劳关闭不需要使用的端口和效劳n及时给软件漏洞打补丁及时给软件漏洞打补丁n尽量不以管理员的身份运行软件尽量不以管理员的身份运行软件拒绝效劳攻击的原理和防范措施拒绝效劳攻击的原理和防范措施n目标效劳器遭受到了拒绝效劳攻击或分布式拒绝目标效劳器遭受到了拒绝效劳攻击或分布式拒绝效劳效劳n目标主机上有大量等待的目标主机上有大量等待的TCP连接。连接。n网络中充满着大量的无用的数据包，源地址那么网络中充满着大量的无用的数据包，源地址那么并不存在。并不存在。n存在高流量的无用数据，网络拥塞，目标主机无存在高流量的无用数据，网络拥塞，目标主机无法响应正常请求。法响应正常请求。n利用目标主机提供的效劳或传输协议上的缺陷，利用目标主机提供的效劳或传输协议上的缺陷，反复高速出现特定的效劳请求。反复高速出现特定的效劳请求。n目标主机系统死机。目标主机系统死机。拒绝效劳攻击的原理和防范措施续拒绝效劳攻击的原理和防范措施续n分布式拒绝效劳的原理分布式拒绝效劳的原理n一个比较完善的一个比较完善的DDoS攻击体系通常由四局部构成。攻击体系通常由四局部构成。n攻击者攻击者n中间傀儡机中间傀儡机n攻击傀儡机攻击傀儡机n目标主机目标主机拒绝效劳攻击的原理和防范措施续拒绝效劳攻击的原理和防范措施续n分布式拒绝效劳的防范分布式拒绝效劳的防范n主机系统主机系统n关闭不必要的效劳。关闭不必要的效劳。n及时更新系统补丁。及时更新系统补丁。n防火墙防火墙n关闭不必要的效劳。关闭不必要的效劳。n限制特定限制特定IP地址的访问。地址的访问。n启用防火墙的防启用防火墙的防DDoS的属性。的属性。n严格限制对外开放的效劳器的向外访问。严格限制对外开放的效劳器的向外访问。网络平安设计的原那么网络平安设计的原那么n标识并加强最弱的环节标识并加强最弱的环节n提供彻底防御提供彻底防御n平安故障的管理平安故障的管理n最小特权最小特权n划分划分n使平安策略保持简单使平安策略保持简单n隐私隐私n不要试图隐藏所有的秘密不要试图隐藏所有的秘密n不要轻易扩展信任不要轻易扩展信任网络平安设计的原那么续网络平安设计的原那么续n原那么一：保护最薄弱的环节原那么一：保护最薄弱的环节n攻击者倾向于设法攻击最易攻击的环节，也就是攻击者倾向于设法攻击最易攻击的环节，也就是系统最薄弱的环节。系统最薄弱的环节。n原那么二：纵深防御原那么二：纵深防御n纵深防御的思想是：使用多级防御策略来管理风纵深防御的思想是：使用多级防御策略来管理风险，以便在一层防御不够时，还有第二、第三层险，以便在一层防御不够时，还有第二、第三层防御将会阻止完全的破坏。防御将会阻止完全的破坏。n原那么三：保护故障原那么三：保护故障n任何足够精巧复杂的系统都难免会有故障方式。任何足够精巧复杂的系统都难免会有故障方式。网络平安设计的原那么续网络平安设计的原那么续n原那么四：最小特权原那么四：最小特权n最小特权原那么：最小特权原那么指只授予执行最小特权原那么：最小特权原那么指只授予执行操作所必需的最少访问权，并且对于该访问权只操作所必需的最少访问权，并且对于该访问权只准许使用所需的最少时间。准许使用所需的最少时间。n原那么五：分隔原那么五：分隔n分隔的根本思想是指将系统分成尽可能多的独立分隔的根本思想是指将系统分成尽可能多的独立单元，那么，系统遭到攻击后的损失可以降至最单元，那么，系统遭到攻击后的损失可以降至最低。低。n原那么六：简单性原那么六：简单性n保持简单性意味着，不应该添加看上去花哨的功保持简单性意味着，不应该添加看上去花哨的功能。能。网络平安设计的原那么续网络平安设计的原那么续n原那么七：提升隐私原那么七：提升隐私n常见的解决方案常见的解决方案n在客户端显示局部信用卡号，而隐藏某些数字，在客户端显示局部信用卡号，而隐藏某些数字，同时总是对信用卡号加锁。同时总是对信用卡号加锁。n在效劳器端，应该加密信用卡号，然后将它输入在效劳器端，应该加密信用卡号，然后将它输入数据库。数据库。n在另一台机器上保存信用卡号的密钥。在另一台机器上保存信用卡号的密钥。网络平安设计的原那么续续网络平安设计的原那么续续n原那么八：不要试图隐藏所有的秘密原那么八：不要试图隐藏所有的秘密n平安性通常是有关保守秘密的。用户不想让其个平安性通常是有关保守秘密的。用户不想让其个人数据泄漏出去，然而事实上很难满足这些所有人数据泄漏出去，然而事实上很难满足这些所有的保密需求。的保密需求。n原那么九：不要轻易扩展信任原那么九：不要轻易扩展信任n不要轻易扩展信任指不要轻易认为信任可传递。不要轻易扩展信任指不要轻易认为信任可传递。习题习题1什么是网络攻击以及网络平安设计的目的是什么什么是网络攻击以及网络平安设计的目的是什么？2简述网络攻击的根本步骤。简述网络攻击的根本步骤。3试编写程序实现缓冲区溢出攻击。试编写程序实现缓冲区溢出攻击。4简述分布式拒绝效劳的原理。简述分布式拒绝效劳的原理。5简述平安根本原那么并举出生活中实际案例来说简述平安根本原那么并举出生活中实际案例来说明这些原那么的有效性。明这些原那么的有效性。第第3章章 效劳器操作效劳器操作系统根底系统根底 教学重点教学重点n操作系统开展趋势操作系统开展趋势n操作系统根本原理操作系统根本原理nWindows2003的平安模块的平安模块操作系统根本原理操作系统根本原理计算机系统的组成 操作系统根本原理续操作系统根本原理续n操作系统四个根本特征操作系统四个根本特征n并发性并发性Concurrencen共享性共享性Sharingn互斥共享互斥共享n同时共享同时共享n虚拟性虚拟性Virtualn异步性异步性Asynchronism不确定性不确定性n程序执行的结果是不确定的程序执行的结果是不确定的n进程是以异步方式运行的。进程是以异步方式运行的。常见的操作系统分类及其典型代表常见的操作系统分类及其典型代表n微机操作系统微机操作系统n多用户多任务操作系统多用户多任务操作系统nUNIX主要特点主要特点n短小精悍短小精悍n简洁有效简洁有效n易移植易移植n可扩充可扩充n开放性开放性n多处理机操作系统多处理机操作系统n主主-从式从式Master-SlaveMode多处理机操作系多处理机操作系统统n对称式多处理操作系统对称式多处理操作系统常见的操作系统分类及其典型代表续常见的操作系统分类及其典型代表续n网络操作系统网络操作系统n可把计算机网络可把计算机网络n广域网广域网WideAreaNetwork，WANn局域网局域网LocalAreaNetwork，LANn分布式操作系统分布式操作系统n分布式操作一种多处理机或多计算机系统。分布式操作一种多处理机或多计算机系统。WindowsServer2003的安装和配置的安装和配置nWindowsServer2003概述概述lWindows Server 2003 Web Edition lWindows Server 2003 Standard Edition lWindows Server 2003 Enterprise Edition lWindows Server 2003 DataCenter Edition WindowsServer2003的安装和配置续的安装和配置续nWindowsServer2003的安装的安装n硬件配置硬件配置nCPU要求要求n内存要求内存要求n硬盘硬盘n系统规划系统规划n效劳器用做什么用途，网站是什么定位效劳器用做什么用途，网站是什么定位n分区分区n格式化驱动器格式化驱动器WindowsServer2003平安特性概述平安特性概述n活动目录活动目录n域可以做的事情域可以做的事情n集中存储用户和密码列表集中存储用户和密码列表n提供一组效劳器作为提供一组效劳器作为“身份验证效劳器或身份验证效劳器或“登登录效劳器录效劳器n对域中的资源维护一个可供搜索的索引对域中的资源维护一个可供搜索的索引n创立带有不同级别权限的用户创立带有不同级别权限的用户n将域分解为子域，然后将针对这些组织单位的各将域分解为子域，然后将针对这些组织单位的各种级别的控制和权限，分配给指定的个体种级别的控制和权限，分配给指定的个体WindowsServer2003平安特性概述续平安特性概述续n活动目录续活动目录续n域作为域作为“平安的边界而存在，活动目录的信任平安的边界而存在，活动目录的信任传递关系就简化了对多域的管理传递关系就简化了对多域的管理WindowsServer2003平安特性概述续平安特性概述续n公钥密码系统公钥密码系统n公钥系统所能做到的典型应用公钥系统所能做到的典型应用n证书效劳证书效劳n可伸缩的可伸缩的CA层次模型层次模型n平安的平安的Web通信通信n平安通信标准平安通信标准n认证码认证码WindowsServer2003平安特性概述续平安特性概述续n加密文件系统加密文件系统n右击需要加密的文件或文件夹，在菜单中选择右击需要加密的文件或文件夹，在菜单中选择“属性命令。属性命令。n在属性对话框中单击在属性对话框中单击“高级按钮。高级按钮。WindowsServer2003平安特性概述续平安特性概述续n加密文件系统续加密文件系统续n在高级对话框中选中在高级对话框中选中“加密内容以便保护数据加密内容以便保护数据复选框，单击复选框，单击“确定按钮。确定按钮。n在属性对话框中单击在属性对话框中单击“确定按钮后。确定按钮后。n单击单击“确定按钮。确定按钮。WindowsServer2003平安特性概述续平安特性概述续n使用使用Windwos的平安配置工具集的平安配置工具集nWindows的平安配置工具为管理员提供了单独的的平安配置工具为管理员提供了单独的管理点管理点n在基于在基于Windows2003的一台或多台计算机上配的一台或多台计算机上配置平安设置。置平安设置。n在基于在基于Windows2003的一台或多台计算机上配的一台或多台计算机上配置平安分析。置平安分析。n把平安配置当作组策略的一局部使用。把平安配置当作组策略的一局部使用。n命令行模式的命令行模式的Secedit.exen单击单击“开始菜单，单击开始菜单，单击“运行命令运行命令WindowsServer2003平安特性概述续平安特性概述续n使用使用Windwos的平安配置工具集续的平安配置工具集续n命令行模式的命令行模式的Secedit.exe续续n在在“翻开文本框中输入翻开文本框中输入“cmd，单击，单击“确定确定按钮按钮n此时会运行命令提示符，输入此时会运行命令提示符，输入“seceditWindowsServer2003平安特性概述续平安特性概述续n使用使用Windwos的平安配置工具集续的平安配置工具集续n窗口模式的平安配置与分析工具窗口模式的平安配置与分析工具n启动管理控制台启动管理控制台n使用快捷键使用快捷键Win+Rn输入输入“mmc，单击，单击“确定按钮运行管理控制台确定按钮运行管理控制台n如果管理控制台还没有添加过如果管理控制台还没有添加过“平安配置与分析平安配置与分析工具，那么工具，那么n在控制台界面中，选择在控制台界面中，选择“文件菜单中的文件菜单中的“添加添加/删除管理单元。删除管理单元。n在弹出的在弹出的“添加添加/删除管理单元对话框中，单击删除管理单元对话框中，单击“添加按钮。添加按钮。WindowsServer2003平安特性概述续平安特性概述续n使用使用Windwos的平安配置工具集续的平安配置工具集续n窗口模式的平安配置与分析工具续窗口模式的平安配置与分析工具续n如果管理控制台还没有添加过如果管理控制台还没有添加过“平安配置与分析平安配置与分析工具，那么续工具，那么续n在在“添加独立的管理单元对话框中，在添加独立的管理单元对话框中，在“可用可用的独立的管理单元列表中选择的独立的管理单元列表中选择“平安配置和分平安配置和分析单击析单击“添加按钮，依次单击添加按钮，依次单击“确定按钮确定按钮WindowsServer2003平安特性概述续平安特性概述续n使用使用Windwos的平安配置工具集续的平安配置工具集续n平安模板平安模板n账户策略账户策略n目录对象目录对象n事务日志事务日志n本地文件系统本地文件系统n系统效劳系统效劳习题习题1试述计算机系统的组成以及操作系统在其间的位试述计算机系统的组成以及操作系统在其间的位置和作用。置和作用。2简述操作系统的根本特性。简述操作系统的根本特性。3当前的操作系统一般分为几类？当前的操作系统一般分为几类？4WindowsServer2003系列有几个版本？各有系列有几个版本？各有什么优势？什么优势？5试安装试安装WindowsServer2003。6简述简述WindowsServer2003的平安特性和主要的平安特性和主要平安模块。平安模块。7试配置试配置WindowsServer2003的平安特性。的平安特性。第第4章章 用用 户户 管管 理理 就教学重点就教学重点n创立及管理本地用户账户创立及管理本地用户账户n创立及管理域用户账户创立及管理域用户账户n创立及管理计算机账户创立及管理计算机账户n组的创立和管理组的创立和管理n组策略的创立及应用组策略的创立及应用用户账户和组账户的概念和根本类型用户账户和组账户的概念和根本类型n账户可以用于：账户可以用于：n验证计算机或用户的身份。验证计算机或用户的身份。n授权或拒绝访问计算机和域中的资源。授权或拒绝访问计算机和域中的资源。n审核用户或计算机账号的活动。审核用户或计算机账号的活动。n管理其他平安主体管理其他平安主体用户账户和组账户的概念和根本类型续用户账户和组账户的概念和根本类型续nWindowsServer2003用户账户用户账户l内置账户 l本地用户账户 l域账户 用户账户和组账户的概念和根本类型续用户账户和组账户的概念和根本类型续nWindowsServer2003组账户组账户n组的类型组的类型n平安组平安组n通信组通信组n组的作用域组的作用域n域本地组域本地组n全局组全局组n通用组通用组n计算机账户计算机账户n计算机账户也是一个平安主体。计算机账户也是一个平安主体。用户账户的管理用户账户的管理n在在WindowsServer2003中，根据本地计算机是中，根据本地计算机是否作为否作为“域控制器而拥有不同的用户管理工具。域控制器而拥有不同的用户管理工具。n如果本地计算机是独立效劳器或者成员效劳器如果本地计算机是独立效劳器或者成员效劳器即非即非“域控制器，可以通过域控制器，可以通过“开始菜单开始菜单“管理工具管理工具“计算机管理计算机管理“本地用户和组本地用户和组管理工具来管理本地计算机用户账户和用户组。管理工具来管理本地计算机用户账户和用户组。n如果本地计算机是域控制器，那么可以使用如果本地计算机是域控制器，那么可以使用“开开始菜单始菜单“管理工具管理工具“ActiveDirectory用户用户和计算机管理工具来管理本地计算机用户账户和计算机管理工具来管理本地计算机用户账户和用户组。和用户组。创立新用户账户创立新用户账户n设置用户账户登录名和用户根本信息设置用户账户登录名和用户根本信息n翻开翻开“ActiveDirectory用户和计算机管理工具，用户和计算机管理工具，选择选择Users组织单元。在菜单栏中依次选择组织单元。在菜单栏中依次选择“操作操作“新建新建“用户命令。用户命令。创立新用户账户续创立新用户账户续n设置用户账户登录名和用户根本信息设置用户账户登录名和用户根本信息续续创立新用户账户续创立新用户账户续n设置用户账户登录密码设置用户账户登录密码l强密码的要求长度至少有七个字符。不包含用户名、真实姓名或公司名称。不包含完整的字典词汇。与先前的密码大不相同。创立新用户账户续创立新用户账户续n设置密码的过程设置密码的过程n单击单击“新建对象用户对话框中的新建对象用户对话框中的“下一步下一步按钮按钮n设置用户账户密码设置用户账户密码n在在“密码对话框中输入用户账户的密码密码对话框中输入用户账户的密码n在在“新建对象用户密码设置对话框有四个复新建对象用户密码设置对话框有四个复选框选框n用户下次登录时须修改密码用户下次登录时须修改密码n用户不能更改密码用户不能更改密码n密码永不过期密码永不过期n账户已经禁用账户已经禁用创立新用户账户续创立新用户账户续n完成用户账户创立完成用户账户创立n在在“新建对象用户密码设置对话框中单击新建对象用户密码设置对话框中单击“下一步按钮下一步按钮n如果输入的密码不满足组策略的强密码要求，在如果输入的密码不满足组策略的强密码要求，在单击单击“完成按钮时会弹出对话框，提示用户密完成按钮时会弹出对话框，提示用户密码不符合强密码策略。码不符合强密码策略。用户账户密码策略用户账户密码策略n修改用户账户密码修改用户账户密码n在菜单栏中依次选择在菜单栏中依次选择“操作操作“重设密码重设密码n在在“新密码文本框中输入新的用户账户密码，新密码文本框中输入新的用户账户密码，在在“确认密码对话框中再输入一次新密码确认密码对话框中再输入一次新密码用户账户密码策略续用户账户密码策略续n鼓励用户遵循最正确密码保护策略鼓励用户遵循最正确密码保护策略n最正确密码保护策略：最正确密码保护策略：n始终使用强密码。始终使用强密码。n如果不得不将密码写在纸上，请将纸张保存在平如果不得不将密码写在纸上，请将纸张保存在平安位置，并在不再需要时销毁。安位置，并在不再需要时销毁。n永远不要与任何人共享密码。永远不要与任何人共享密码。n对所有用户账户都分别使用不同的密码。对所有用户账户都分别使用不同的密码。n密码一旦泄露，应立即更改密码。密码一旦泄露，应立即更改密码。n谨慎选择密码在计算机上保存的位置。谨慎选择密码在计算机上保存的位置。设置用户账户属性设置用户账户属性n修改、设置用户账户的属性修改、设置用户账户的属性n双击双击“ActiveDirectory用户和计算机中的用户用户和计算机中的用户账户，或者右击用户账户，并在上下文菜单中选账户，或者右击用户账户，并在上下文菜单中选择择“属性选项。属性选项。设置用户账户属性续设置用户账户属性续n“常规选项卡常规选项卡n在选项卡中输入用户的根本信息。在选项卡中输入用户的根本信息。n“地址选项卡地址选项卡n选择选择“地址选项卡，输入用户的详细通信地址地址选项卡，输入用户的详细通信地址信息信息。设置用户账户属性续设置用户账户属性续n“账户选项卡账户选项卡n在创立用户账户时设置的用户账户根本信息，如在创立用户账户时设置的用户账户根本信息，如登录名、所在域等信息可以在此窗口更改登录名、所在域等信息可以在此窗口更改。设置用户账户属性续设置用户账户属性续n“账户选项卡续账户选项卡续n登录时间登录时间n单击单击“账户窗口中的账户窗口中的“登录时间按钮登录时间按钮n单击日期和钟点构成的二维表中的方块，并在右单击日期和钟点构成的二维表中的方块，并在右侧选择侧选择“允许登录或允许登录或“拒绝登录拒绝登录。设置用户账户属性续设置用户账户属性续n“账户选项卡续账户选项卡续n登录到计算机登录到计算机n在在“账户选项卡中可以设置用户可以登录的计账户选项卡中可以设置用户可以登录的计算机，默认设置为用户可以登录所有计算机算机，默认设置为用户可以登录所有计算机。设置用户账户属性续设置用户账户属性续n“账户选项卡续账户选项卡续n账户选项账户选项n使用可逆的加密保存密码使用可逆的加密保存密码n交互式登录必须使用智能卡交互式登录必须使用智能卡n账户可以委派其他账户账户可以委派其他账户n敏感账户，不能被委派敏感账户，不能被委派n此账户需要使用此账户需要使用DES加密类型加密类型n不要求不要求Kerberos预身份验证预身份验证n账户过期账户过期n在在“账户选项卡上账户选项卡上“账户过期区域内可以决账户过期区域内可以决定用户账户是否会过期。定用户账户是否会过期。设置用户账户属性续设置用户账户属性续n“配置文件选项卡配置文件选项卡n“配置文件选项卡，包括配置文件选项卡，包括“用户配置文件和用户配置文件和“主文件夹两个区域。主文件夹两个区域。设置用户账户属性续设置用户账户属性续n“选项卡选项卡n选项卡中可以保存与用户相关的联系选项卡中可以保存与用户相关的联系及一些及一些备注信息备注信息。设置用户账户属性续设置用户账户属性续n“单位选项卡单位选项卡n在在“单位选项卡中可以输入用户所在公司、该单位选项卡中可以输入用户所在公司、该用户的职务、部门、部门经理等信息用户的职务、部门、部门经理等信息。设置用户账户属性续设置用户账户属性续n“隶属于选项卡隶属于选项卡n允许把用户添加到当前所在域的组中，或者添加允许把用户添加到当前所在域的组中，或者添加到树林里其他域的组中到树林里其他域的组中。n要将用户添加到某个组中要将用户添加到某个组中n单击单击“添加按钮添加按钮n“隶属于选项卡隶属于选项卡续续n要将用户添加到某个组中续要将用户添加到某个组中续n在在“输入对象名称来选择文本框中输入用户所输入对象名称来选择文本框中输入用户所属的组的名称。属的组的名称。n单击单击“检查名称按钮以确认组的名称是否输入检查名称按钮以确认组的名称是否输入正确正确。n单击单击“高级按钮高级按钮。设置用户账户属性续设置用户账户属性续设置用户账户属性续设置用户账户属性续n“拨入选项卡拨入选项卡n设置用户账户的设置用户账户的一组拨入属性，一组拨入属性，控制用户如何从控制用户如何从远程位置连接到远程位置连接到网络。网络。n“环境选项卡环境选项卡n启动程序启动程序n客户端设备客户端设备设置用户账户属性续设置用户账户属性续n“会话选项卡会话选项卡n“会话选项卡主要包括内容会话选项卡主要包括内容n结束已断开的会话结束已断开的会话n活动会话限制活动会话限制n空闲会话限制空闲会话限制n当到达会话极限或者连接被中断时当到达会话极限或者连接被中断时n允许重新连接允许重新连接设置用户账户属性续设置用户账户属性续n“远程控制选项卡远程控制选项卡n选择选择“启用远程控制复选框来设置是否要远程启用远程控制复选框来设置是否要远程控制或者观察用户的会话。控制或者观察用户的会话。设置用户账户属性续设置用户账户属性续n“终端效劳配置文件终端效劳配置文件选项卡选项卡n终端效劳配置文件终端效劳配置文件n终端效劳主文件夹终端效劳主文件夹n允许登录到终端效劳器允许登录到终端效劳器n“COM+选项卡选项卡n“COM+选项卡可以用选项卡可以用来将用户指派为某来将用户指派为某COM+分区集的成员分区集的成员。管理用户账户管理用户账户n用户账户用户账户l用户账户在不再使用的时候可以删除。l用户账户管理的建议禁用和启用用户账户 重命名用户账户 删除用户账户 创立和修改计算机账户创立和修改计算机账户n创立计算机账户创立计算机账户n在在“ActiveDirectory用户和计算机中选择要放用户和计算机中选择要放置计算机的组织单元置计算机的组织单元，然后在菜单栏中依次选择，然后在菜单栏中依次选择“操作操作“新建新建“计算机计算机。n输入计算机的名称。输入计算机的名称。创立和修改计算机账户续创立和修改计算机账户续n修改计算机账户属性修改计算机账户属性n右击需要设置属性的计算机账户，在弹出的菜单右击需要设置属性的计算机账户，在弹出的菜单中选择中选择“属性。属性。WindowsServer2003默认组默认组n本地域组本地域组nAccountOperators账户操作员账户操作员nAdministrators管理员管理员nBackupOperators备份操作员备份操作员nGuests来宾来宾nIncomingForestTrustBuilders仅出现在林根仅出现在林根域中域中nNetworkConfigurationOperators网络配置操网络配置操作员作员WindowsServer2003默认组续默认组续n本地域组续本地域组续nPerformanceMonitorUsers性能监视用户性能监视用户nPerformanceLogUsers性能日志用户性能日志用户nPrintOperators打印操作员打印操作员nRemoteDesktopUsers远程桌面用户远程桌面用户nReplicator复制器复制器nServerOperators效劳器操作员效劳器操作员nUsers用户用户WindowsServer2003默认组续默认组续n全局组全局组nDomainAdmins域管理员域管理员nDomainComputers域计算机域计算机nDomainControllers域控制器域控制器nDomainGuests域来宾域来宾nDomainUsers域用户域用户nEnterpriseAdmins仅出现在林根域中仅出现在林根域中nSchemaAdmins仅出现在林根域中仅出现在林根域中WindowsServer2003默认组续默认组续n系统组系统组nEveryone每一个每一个nInteractive交互交互nNetwork网络网络nNetworkService网络效劳网络效劳nSystem系统系统nCreatorOwner创立者所有者创立者所有者nAuthenticatedUsers已授权组已授权组创立组创立组n创立组创立组n在在“ActiveDirectory用户和计算机中选择需要用户和计算机中选择需要建立新组的组织单元。建立新组的组织单元。n选择选择“操作操作“新建新建“组命令。组命令。n在在“组名文本框内输入组的名称，然后分别在组名文本框内输入组的名称，然后分别在“组作用域和组作用域和“组类型区域内选择适宜的组组类型区域内选择适宜的组作用域和组类型。作用域和组类型。设置组属性设置组属性n“常规选项卡常规选项卡n组的作用域可以做如下改变。组的作用域可以做如下改变。n改变全局组为通用组。改变全局组为通用组。n改变域本地组到通用组。改变域本地组到通用组。设置组属性续设置组属性续n“成员选项卡成员选项卡n在在“成员选项卡中可以为组添加成员账户。组成员选项卡中可以为组添加成员账户。组中的成员可以包含用户账户、联系人、计算机和中的成员可以包含用户账户、联系人、计算机和其他组。在对话框中单击其他组。在对话框中单击“添加按钮添加按钮。设置组属性续设置组属性续n“隶属于选项卡隶属于选项卡n在组属性的在组属性的“隶属于选项卡中可以将本组添加隶属于选项卡中可以将本组添加到其他组中，使其成为其他组的成员到其他组中，使其成为其他组的成员。n在在“选择组对话框中单击选择组对话框中单击“高级按钮，在弹高级按钮，在弹出的出的“选择组对话框中单击选择组对话框中单击“立即查找按钮。立即查找按钮。设置组属性续设置组属性续n“管理者选项卡管理者选项卡n单击单击“更改按钮，在弹出的更改按钮，在弹出的“选择用户或联系选择用户或联系人对话框中输入这个组的管理者的名称。人对话框中输入这个组的管理者的名称。删除组删除组n删除组删除组n在删除组上单击鼠标右键，然后在弹出的上下文在删除组上单击鼠标右键，然后在弹出的上下文菜单中选择菜单中选择“删除命令。删除命令。组策略概述组策略概述n组策略的优势组策略的优势l保护用户环境 l增强用户环境n组策略的应用顺序组策略的应用顺序l惟一的本地组策略对象。l站点组策略对象l域组策略对象l组织单位组策略对象 创立组策略创立组策略n创立组策略对象创立组策略对象GPOn在在“ActiveDirectory用户和计算机中翻开站点用户和计算机中翻开站点或者域的的属性对话框，选择或者域的的属性对话框，选择“组策略选项卡，组策略选项卡，单击对话框中的单击对话框中的“新建按钮。新建按钮。创立组策略续创立组策略续n组策略对象权限组策略对象权限创立组策略续创立组策略续n使用组策略编辑器编辑组策略使用组策略编辑器编辑组策略n选择要编辑的组策略对象，单击选择要编辑的组策略对象，单击“编辑按钮。编辑按钮。n右击右击“关闭自动播放，在弹出的菜单中选择关闭自动播放，在弹出的菜单中选择“属性，弹出属性设置窗口。属性，弹出属性设置窗口。创立组策略续创立组策略续n设置组策略对象属性设置组策略对象属性n组策略对象的组策略对象的“属性对话框共有四个选项卡属性对话框共有四个选项卡n“常规选项卡常规选项卡n“连接选项卡连接选项卡n“平安选项卡平安选项卡n“WMI筛选器选项卡筛选器选项卡创立组策略续创立组策略续n设置组策略对象属性设置组策略对象属性续续创立组策略续创立组策略续n设置组策略对象选项设置组策略对象选项l禁止替代 l已禁用 组策略应用建议组策略应用建议n组策略应用建议组策略应用建议n不要处理未被配置的策略设置不要处理未被配置的策略设置n尽量少用尽量少用“阻止策略继承和阻止策略继承和“禁止替代功能禁止替代功能n对于不同的组策略对象，不要使用相同的名称对于不同的组策略对象，不要使用相同的名称n将组策略对象使用的将组策略对象使用的WMI筛选器数量减到最少筛选器数量减到最少n根据平安组成员身份筛选策略根据平安组成员身份筛选策略n仅在必要时才用基于计算机的组策略替代基于用仅在必要时才用基于计算机的组策略替代基于用户的组策略户的组策略组策略应用建议续组策略应用建议续n组策略应用建议续组策略应用建议续n使用组策略而不是系统策略使用组策略而不是系统策略n防止跨域指派组策略对象防止跨域指派组策略对象n不要在由不要在由NTFS文件复制系统文件复制系统FRS所复制的驱所复制的驱动器或目录上设置文件系统策略动器或目录上设置文件系统策略n不要将一个组策略对象屡次链接到同一组织单位不要将一个组策略对象屡次链接到同一组织单位习题习题1简述用户账户、计算机账户、组对象的概念及意简述用户账户、计算机账户、组对象的概念及意义。义。2WindowsServer2003都有哪些内置账户？其都有哪些内置账户？其作用是什么？作用是什么？3简述创立用户账户的过程以及要注意的问题。简述创立用户账户的过程以及要注意的问题。4WindowsServer2003都有哪些内置组？其作都有哪些内置组？其作用是什么？用是什么？5简述组的创立及组属性设置。简述组的创立及组属性设置。6组策略的应用顺序是什么？如何防止策略被覆盖组策略的应用顺序是什么？如何防止策略被覆盖？习题续习题续7在创立及应用组策略的过程中要注意哪些问题？在创立及应用组策略的过程中要注意哪些问题？第第5章章 数据文件的数据文件的 平安管理平安管理 教学重点教学重点n磁盘管理磁盘管理n利用平安原那么进行磁盘的平安配置利用平安原那么进行磁盘的平安配置n掌握磁盘操作的根本技巧掌握磁盘操作的根本技巧磁盘管理的根本知识磁盘管理的根本知识n磁盘磁盘l磁盘包括常见的软盘、硬盘及不太常见的磁带盘等。n分区分区l分区指一种组织磁盘可用空间的方法。n文件系统文件系统l文件系统是操作系统用于组织磁盘或分区上文件的方法和数据结构。根本磁盘管理根本磁盘管理n针对根本磁盘，可以进行以下操作：针对根本磁盘，可以进行以下操作：n创立和删除主分区和扩展分区。创立和删除主分区和扩展分区。n创立和删除主分区内的逻辑驱动器。创立和删除主分区内的逻辑驱动器。n格式化任意分区，并将其标记为活动分区。格式化任意分区，并将其标记为活动分区。根本磁盘管理续根本磁盘管理续n“磁盘管理的新功能磁盘管理的新功能n简化的任务和直观的用户界面。简化的任务和直观的用户界面。n根本和动态磁盘存储。根本和动态磁盘存储。n动态磁盘包含所提供的功能比根本磁盘要多的动动态磁盘包含所提供的功能比根本磁盘要多的动态卷态卷。n本地和远程磁盘管理。本地和远程磁盘管理。n可使用可使用“磁盘管理在本地磁盘管理在本地NTFS卷上的任何空文卷上的任何空文件夹中连接或装入本地驱动器。件夹中连接或装入本地驱动器。n持存储区域网络持存储区域网络(SANs)。n从命令行管理磁盘。从命令行管理磁盘。根本磁盘的平安管理根本磁盘的平安管理n平安管理平安管理n在在“属性对话框中选择属性对话框中选择“平安选项卡平安选项卡n单击单击“添加按钮增添用户组或用户，删除组或添加按钮增添用户组或用户，删除组或是用户。是用户。n选定某组或者是用户，对它所具有的权限进行分选定某组或者是用户，对它所具有的权限进行分配。配。根本磁盘的平安管理续根本磁盘的平安管理续n平安管理平安管理续续根本磁盘的平安管理续根本磁盘的平安管理续n共享设置共享设置n右击需要设置的磁盘，选取右击需要设置的磁盘，选取“属性命令，在属性命令，在“属性对话框中选择属性对话框中选择“共享选项卡，或者直接共享选项卡，或者直接右击需要设置共享的磁盘，选取右击需要设置共享的磁盘，选取“共享和平安共享和平安选项。选项。根本磁盘的平安管理续根本磁盘的平安管理续n共享设置共享设置续续n需要让所有的用户都能使用共享磁盘，单击需要让所有的用户都能使用共享磁盘，单击“新新建共享按钮。建共享按钮。n键入共享名和描述。键入共享名和描述。n指定使用共享的最大用户数，确定返回属性共享指定使用共享的最大用户数，确定返回属性共享选项卡。选项卡。n单击单击“权限按钮。权限按钮。根本磁盘的平安管理续根本磁盘的平安管理续n共享设置共享设置续续n对可以使用共享磁盘的用户或用户组进行权限分对可以使用共享磁盘的用户或用户组进行权限分配。配。n对选择的用户进行权限分配，选择可以赋予的权对选择的用户进行权限分配，选择可以赋予的权限的复选框。限的复选框。命令行工具命令行工具n最根本最常用的命令最根本最常用的命令nChkdsknConvert命令行工具续命令行工具续nFormat格式化的语法格式化的语法lformat Volume/fs:FileSystem/v:Label/q/a:UnitSize/c/x lformat Volume/v:Label/q/f:Size lformat Volume/v:Label/q/t:Tracks/n:Sectorslformat Volume/v:Label/q lformat Volume/q 命令行工具续命令行工具续命令行工具续命令行工具续命令行工具续命令行工具续加密文件系统的概念加密文件系统的概念n加密文件系统的核心局部加密文件系统的核心局部nEFS驱动程序驱动程序nEFS文件系统运行库文件系统运行库nEFS效劳效劳nWin32API加密文件系统的使用加密文件系统的使用n加密文件系统加密文件系统l使用FEK加密文件的过程 加密文件系统的使用续加密文件系统的使用续n加密方法加密方法n右击要加密的文件或文件夹，单击右击要加密的文件或文件夹，单击“属性命令属性命令n在在“常规选项卡上，单击常规选项卡上，单击“高级按钮高级按钮n选中选中“加密内容以便保护数据复选框，单击加密内容以便保护数据复选框，单击“确定按钮。确定按钮。加密文件系统的使用续加密文件系统的使用续n加密方法续加密方法续n在属性对话框中，单击在属性对话框中，单击“确定按钮，然后执行确定按钮，然后执行以下操作：以下操作：n要只加密文件夹，在要只加密文件夹，在“确认属性更改对话框中，确认属性更改对话框中，单击单击“仅将更改应用于该文件夹仅将更改应用于该文件夹。n要加密文件夹及其子文件夹和文件，在要加密文件夹及其子文件夹和文件，在“确认属确认属性更改对话框中，单击性更改对话框中，单击“将更改应用于该文件将更改应用于该文件夹、子文件夹和文件夹、子文件夹和文件。加密文件系统的使用续加密文件系统的使用续n需要注意：需要注意：n只可以加密只可以加密NTFS文件系统卷上的文件和文件夹。文件系统卷上的文件和文件夹。n不能加密压缩的文件或文件夹。不能加密压缩的文件或文件夹。n无法加密标记为无法加密标记为“系统属性的文件，并且无法系统属性的文件，并且无法加密加密systemroot文件夹中的文件。文件夹中的文件。n如果在加密单个文件时选择加密其父文件夹，那如果在加密单个文件时选择加密其父文件夹，那么以后添加到该文件夹的所有文件和子文件夹在么以后添加到该文件夹的所有文件和子文件夹在添加时都将被加密。添加时都将被加密。加密文件系统的使用续加密文件系统的使用续n需要注意：续需要注意：续n如果在加密某个文件夹时选择加密所有文件和子如果在加密某个文件夹时选择加密所有文件和子文件夹，那么会加密当前位于该文件夹中的所有文件夹，那么会加密当前位于该文件夹中的所有文件和子文件夹，以及将来添加到该文件夹中的文件和子文件夹，以及将来添加到该文件夹中的任何文件和子文件夹。任何文件和子文件夹。加密文件系统的使用续加密文件系统的使用续n解密方法解密方法n翻开翻开Windows资源管理器。资源管理器。n右击加密文件或文件夹，单击右击加密文件或文件夹，单击“属性命令。属性命令。n在在“常规选项卡上，单击常规选项卡上，单击“高级按钮。高级按钮。n去除去除“加密内容以便保护数据复选框的选择。加密内容以便保护数据复选框的选择。加密文件系统的使用续加密文件系统的使用续nCipher命令加密命令加密加密文件系统的高级用法加密文件系统的高级用法n如何识别加密文件夹如何识别加密文件夹/文件文件l在默认情况下，Windows资源管理器会用绿色来表示加密对象的名称。加密文件系统的高级用法续加密文件系统的高级用法续n如何识别加密文件夹如何识别加密文件夹/文件续文件续n在在Windows资源管理器中使用详细信息查看方式。资源管理器中使用详细信息查看方式。n在命令提示符中输入不带参数的在命令提示符中输入不带参数的cipher命令。命令。n在在“命令提示符中输入命令命令提示符中输入命令cipher/u/n。加密文件系统的高级用法续加密文件系统的高级用法续n如何识别加密文件夹如何识别加密文件夹/文件续文件续n加密文件和普通文件在使用上的不同加密文件和普通文件在使用上的不同n使用不同于加密文件时使用的账号登录使用不同于加密文件时使用的账号登录n将加密文件复制或移动到另一个卷中将加密文件复制或移动到另一个卷中n要在不同的计算机上使用加密文件要在不同的计算机上使用加密文件加密文件系统的高级用法续加密文件系统的高级用法续n如何与其他用户共享加密文件如何与其他用户共享加密文件n使得可信任用户共享用户自己的加密文件使得可信任用户共享用户自己的加密文件n右击加密文件，在菜单中选取右击加密文件，在菜单中选取“属性选项属性选项n在在“属性对话框中单击属性对话框中单击“高级按钮高级按钮n在在“高级属性对话框中，单击高级属性对话框中，单击“详细信息按详细信息按钮钮加密文件系统的高级用法续加密文件系统的高级用法续n如何与其他用户共享加密文件续如何与其他用户共享加密文件续n使得可信任用户共享用户自己的加密文件续使得可信任用户共享用户自己的加密文件续n在在“详细信息对话框中单击详细信息对话框中单击“添加按钮，在添加按钮，在“选择用户对话框中，选择可以信任的用户，选择用户对话框中，选择可以信任的用户，单击单击“确定按钮确定按钮加密文件系统的高级用法续加密文件系统的高级用法续n如何禁用或者重新启用加密文件系统如何禁用或者重新启用加密文件系统n利用注册表编辑器利用注册表编辑器n翻开翻开“注册表编辑器，同时按住键注册表编辑器，同时按住键Win+R，在，在文本框中输入文本框中输入“rgedit并回车。并回车。n翻开目录翻开目录HKEY_MACHINESoftwareM