Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc

《Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc（27頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè) 1.1 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2000 Server/Advanced Server Microsoft Windows 2003 Server/Advanced Server 1.2 更新要求 本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。 各操作系統(tǒng)廠商推出新版本時(shí)，亦必須重新審查內(nèi)容及修正。 2.1 windows系統(tǒng)安全模型 Windows系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。由于訪問任何系統(tǒng)資源必須經(jīng)過內(nèi)核安全模塊的驗(yàn)證，從而保證沒有得到正確的授權(quán)的用戶不能訪問相應(yīng)資源。 用戶使用Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號(hào)，其次，此賬號(hào)必須具有一定的“權(quán)力”和“權(quán)限”。在Windows系統(tǒng)中，“權(quán)力”指用戶對(duì)整個(gè)系統(tǒng)能夠做的事情，如關(guān)閉系統(tǒng)、增加設(shè)備、更改系統(tǒng)時(shí)間等等。“權(quán)限”指用戶對(duì)系統(tǒng)資源所能做的事情 ，如對(duì)某文件的讀、寫控制，對(duì)打印機(jī)隊(duì)列的管理。、Windows系統(tǒng)使用安全帳號(hào)數(shù)據(jù)庫(kù)，存放用戶賬號(hào)以及該賬號(hào)所具有的權(quán)力等。用戶對(duì)系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。 在Windows系統(tǒng)中，安全模型由本地安全認(rèn)證、安全賬號(hào)管理器和安全監(jiān)督器構(gòu)成。除此之外還包括注冊(cè)、訪問控制和對(duì)象安全服務(wù)等。它們之間的相互作用和集成構(gòu)成了安全模型的主要部分。 Windows 安全模型的主要功能是用戶身份驗(yàn)證和訪問控制。身份驗(yàn)證過程通過某種技術(shù)手段確認(rèn)用戶所提供的身份的真實(shí)性，并在確認(rèn)用戶身份的真實(shí)性后賦予用戶相應(yīng)的權(quán)利和系統(tǒng)身份標(biāo)識(shí)。訪問控制機(jī)制利用用戶獲得的系統(tǒng)身份標(biāo)識(shí)，以及事先分配給用戶的對(duì)系統(tǒng)資源的權(quán)限來確保系統(tǒng)資源被合理的使用。 用戶身份驗(yàn)證：Windows安全子系統(tǒng)提供了兩種類型的身份驗(yàn)證：通過控制臺(tái)交互式登錄系統(tǒng)(根據(jù)用戶的計(jì)算機(jī)的本地賬戶來確認(rèn)用戶的身份)和通過網(wǎng)絡(luò)登錄系統(tǒng)（根據(jù)域控制器中保留的域賬戶來確認(rèn)用戶的身份）從而使得用戶可以訪問網(wǎng)絡(luò)上遠(yuǎn)程主機(jī)的資源。為保證通過網(wǎng)絡(luò)登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗(yàn)證機(jī)制：Kerberos V5（僅Windows 2000系統(tǒng)提供）、公鑰證書和 NTLM。 基于對(duì)象的訪問控制：Windows采用對(duì)象模型描述系統(tǒng)資源，管理員可以通過對(duì)特定資源配置相應(yīng)的用戶訪問權(quán)限來控制用戶對(duì)系統(tǒng)資源的訪問。管理員可以通過域控制器實(shí)現(xiàn)對(duì)整個(gè)域的資源的統(tǒng)一管理與控制。Windows系統(tǒng) 通過允許管理員以對(duì)象安全描述符的方式描述具體的訪問控制策略。安全描述符列出了允許訪問對(duì)象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。安全描述符還指定了該對(duì)象需要安全審核特定事件，如特定用戶的讀，寫，執(zhí)行文件。文件、打印機(jī)和服務(wù)都是對(duì)象的具體例子。通過管理對(duì)象的屬性，管理員可以設(shè)置權(quán)限，分配所有權(quán)以及監(jiān)視用戶訪問。 2.2用戶名和密碼 Windows 系統(tǒng)的安全機(jī)制通過分配用戶帳號(hào)和用戶密碼來幫助保護(hù)計(jì)算機(jī)及其資源。給值得信任的使用者，按其使用的要求和網(wǎng)絡(luò)所能給與的服務(wù)分配合適的用戶帳號(hào)，并且使用足夠安全的帳號(hào)密碼。使用對(duì)帳號(hào)的用戶權(quán)力的限制以及對(duì)文件的訪問管理權(quán)限的策略，可以達(dá)到對(duì)服務(wù)器的數(shù)據(jù)的保護(hù)。其中用戶帳號(hào)有用戶名、全名、描述三個(gè)部分。用戶名是用戶帳號(hào)的標(biāo)識(shí)，全名是對(duì)應(yīng)用戶名的全稱，描述是對(duì)用戶所擁有的權(quán)限的較具體的說明。組有組名和描述兩個(gè)部份，組名是標(biāo)識(shí)，描述是說明。一定的用戶帳號(hào)對(duì)應(yīng)一定的權(quán)限，NT 對(duì)權(quán)限的劃分比較細(xì)，例如：備份、遠(yuǎn)程管理、更改系統(tǒng)時(shí)間等等，通過對(duì)用戶的授權(quán)（在規(guī)則菜單中）可以細(xì)化一個(gè)用戶或組的權(quán)限。用戶的帳號(hào)和密碼有一定的規(guī)則，包括帳號(hào)長(zhǎng)度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過對(duì)這些的綜合修改可以保證用戶帳號(hào)的安全使用。 系統(tǒng)將用戶分為管理者、用戶和來賓三類，各有其不同的權(quán)限。雙擊“我的電腦/控制面板/用戶和密碼”圖標(biāo)，打開“用戶和密碼”對(duì)話框。系統(tǒng)在安裝完成后自動(dòng)建立Administrator(系統(tǒng)管理員)和Guest（來賓）用戶。你可在第一次啟動(dòng)按Ctrl＋Alt＋Del后選“更改密碼”更改系統(tǒng)管理員的密碼。你還可按“添加/刪除”來添加/刪除用戶或用戶組。 用戶名列表上方有一個(gè)復(fù)選框“要使用本機(jī)，必須輸入用戶名和密碼”，要使用用戶管理必須使之有效，即：選中它。 系統(tǒng)管理員對(duì)用戶和密碼的管理權(quán)限主要有：添加用戶、刪除用戶及更改用戶。系統(tǒng)會(huì)在你添加新用戶時(shí)詢問其權(quán)限的設(shè)置。選擇“高級(jí)”標(biāo)簽，再點(diǎn)擊“高級(jí)”按鈕，就會(huì)出現(xiàn)“本地用戶和組”管理對(duì)話框窗口，上面列出了全部用戶和按組分類的用戶名單。在上述界面右邊窗口中選中某個(gè)用戶，點(diǎn)右鍵，在彈出的快捷菜單中選“屬性”，彈出“用戶屬性”窗口，在其中可對(duì)此用戶賬號(hào)進(jìn)行是否允許修改密碼、是否停用賬號(hào)等項(xiàng)設(shè)置。注意：停用賬戶和刪除賬戶是有區(qū)別的，停用賬戶是臨時(shí)停止某個(gè)賬戶的使用，隨時(shí)可以恢復(fù)，而刪除掉的賬戶必須重建后才能使用。 另外，Windows系統(tǒng)支持工作組概念，可以方便的給一組用戶授予特權(quán)和權(quán)限，同時(shí)一個(gè)用戶同時(shí)屬于一個(gè)或多個(gè)工作組。方便了對(duì)用戶權(quán)限的細(xì)化。在Windows系統(tǒng)中有兩種類型的工作組：全局工作組和本地工作組。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。 Win2000的默認(rèn)安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來破壞，這是整個(gè)網(wǎng)絡(luò)中的最大不安全因素之一 2.3域和委托 以Windows 系統(tǒng)組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其它計(jì)算機(jī)的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶帳號(hào)信息。每個(gè)用戶有一個(gè)帳號(hào)，每次登錄的是整個(gè)域，而不是某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個(gè)域上，域的集中化用戶帳號(hào)數(shù)據(jù)庫(kù)和安全策略使得系統(tǒng)管理員可以用一個(gè)簡(jiǎn)單而有效的方法維護(hù)整個(gè)網(wǎng)絡(luò)的安全。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效。這里我們應(yīng)該注意到在NT中，關(guān)于域的所用的安全機(jī)制信息或用戶帳號(hào)信息都存放在目錄數(shù)據(jù)庫(kù)中（稱為安全帳號(hào)管理器（SAM）數(shù)據(jù)庫(kù)）。目錄數(shù)據(jù)庫(kù)存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。通過有規(guī)律的同步處理，可以保證數(shù)據(jù)庫(kù)的安全性、有效性。在用戶每次登錄時(shí)，通過目錄數(shù)據(jù)庫(kù)檢查用戶的帳號(hào)和密碼。所以在對(duì) NT進(jìn)行維護(hù)時(shí)應(yīng)該特別小心目錄數(shù)據(jù)庫(kù)的完整性，一般來講只有管理員才具有對(duì)此的編輯權(quán)限。 　　域的最大的優(yōu)點(diǎn)是域中的控制器服務(wù)器形成了共享的安全機(jī)制和用戶帳號(hào)信息的單個(gè)管理單元，大大地節(jié)省了管理員和用戶的精力和時(shí)間，在管理上較方便，也顯得集中。在使用“域”的劃分時(shí)，我們應(yīng)該注意到“域”是建立在一個(gè)子網(wǎng)范圍內(nèi)，其基礎(chǔ)是相互之間的信任度。由NT組網(wǎng)區(qū)別于一般的TCP/IP的組網(wǎng)，TCP/IP是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而NT組網(wǎng)是一種緊密的聯(lián)合，服務(wù)器之間是靠安全信任建立他們的聯(lián)系的。主從關(guān)系，委托關(guān)系是建立在信任度上的。委托是一種管理辦法，它將多個(gè)域連接在一起，并且允許域中的用戶互相訪問。委托關(guān)系可使用戶帳號(hào)和工作組能夠在建立它們的域之外的域中使用。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。 2.4活動(dòng)目錄 活動(dòng)目錄的概念 Active Directory 是用于 Windows 2000 Server 的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點(diǎn)：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其它目錄服務(wù)的互操作性、靈活的查詢。　　 域 域提供了多項(xiàng)優(yōu)點(diǎn)： ? 組織對(duì)象。 ? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。 ? 將組策略對(duì)象應(yīng)用到域可加強(qiáng)資源和安全性管理。 ? 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。 要?jiǎng)?chuàng)建域，用戶必須將一個(gè)或更多的運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。 　　域樹和域林 　　活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí)，并且需要一個(gè)或多個(gè)域控制器。如果用戶的網(wǎng)絡(luò)需要一個(gè)以上的域，則用戶可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱為域林。如果樹林中的多個(gè)域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱為域樹。 如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱空間，則稱之為域林。 　　域樹和域林的組合為用戶提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。 域和帳戶命名 　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個(gè)域還有一個(gè) Windows 2000 以前版本的名稱，以便在運(yùn)行 Windows 2000 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶帳戶 　　在 Active Directory 中，每個(gè)用戶帳戶都有一個(gè)用戶登錄名、一個(gè) Windows 2000 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個(gè)用戶主要名稱后綴。在創(chuàng)建用戶帳戶時(shí)，管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個(gè)字節(jié)。 　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標(biāo)準(zhǔn)用法。表準(zhǔn)格式為：user@domain.com (類似個(gè)人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號(hào)。Active Directory 在創(chuàng)建用戶主要名稱時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶主要名稱是無效的。 　　在 Active Directory 中，默認(rèn)的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對(duì)于底層用戶的域名可能很長(zhǎng)。對(duì)于該域中的用戶，默認(rèn)的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱后綴 - "root" 使同一用戶使用更簡(jiǎn)單的登錄名 user@root.com 就可以登錄。 域間信任關(guān)系 　　對(duì)于 Windows 2000 計(jì)算機(jī)，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗(yàn)證。 　　在域樹中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個(gè)域樹的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的，所以可以在域樹或域林中的任何域之間進(jìn)行用戶和計(jì)算機(jī)的身份驗(yàn)證。 　　如果將 Windows 2000 以前版本的 Windows 域升級(jí)為 Windows 2000 域時(shí)，Windows 2000 域?qū)⒈Ａ粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。 　　所有域信任關(guān)系都只能有兩個(gè)域：信任域和受信任域。域信任關(guān)系按以下特征進(jìn)行描述： 　單向 　　單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。 　雙向 　　Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。 　可傳遞 　　Windows 2000 樹林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向：此關(guān)系中的兩個(gè)域相互信任。 　　可傳遞信任不受信任關(guān)系中的兩個(gè)域的約束。每次當(dāng)用戶建立新的子域時(shí)，在父域和新子域之間就隱含地（自動(dòng)）建立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹中按其形成的方式向上流動(dòng)，并在域樹中的所有域之間建立起可傳遞信任。　　 　不可傳遞 　　不可傳遞信任受信任關(guān)系中的兩個(gè)域的約束，并不流向樹林中的任何其它域。在大多數(shù)情況下，用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級(jí)至 Windows 2000 時(shí)，目前所有的 Windows NT 信任都保持不動(dòng)。在混和模式環(huán)境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認(rèn)為單向信任關(guān)系。 　外部信任 　　外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶可以通過樹林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非轉(zhuǎn)移的信任 　快捷信任 　　快捷信任是雙向可傳遞的信任，使用戶可以縮短復(fù)雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創(chuàng)建的。快捷信任具有優(yōu)化的性能，能縮短與 Windows 2000 安全機(jī)制有關(guān)的信任路徑以便進(jìn)行身份驗(yàn)證。在樹林中的兩個(gè)域樹之間使用快捷信任是最有效的。 站點(diǎn) 　　站點(diǎn)是由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī)，確保目錄信息的有效交換，站點(diǎn)中的計(jì)算機(jī)需要很好地連接，尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。站點(diǎn)和域名稱空間之間沒有必要的連接。站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立，所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性，Active Directory 允許單個(gè)站點(diǎn)中有多個(gè)域，單個(gè)域中有多個(gè)站點(diǎn)。 　　如果配置方案未組織成站點(diǎn)，則域和客戶之間的信息交換可能非?；靵y。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。站點(diǎn)服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效：服務(wù)請(qǐng)求和復(fù)制。 　　當(dāng)客戶從域控制器請(qǐng)求服務(wù)時(shí)，只要相同域中的域控制器有一個(gè)可用，此請(qǐng)求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請(qǐng)求的客戶連接良好的域控制器將使該請(qǐng)求的處理效率更高。 站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少?gòu)?fù)制，用戶的網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory 在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其它站點(diǎn)中的域控制器接收對(duì)目錄所進(jìn)行的更改，但不頻繁，以降低網(wǎng)絡(luò)帶寬的消耗。 Active Directory 用戶和計(jì)算機(jī)帳戶 　　Active Directory 用戶和計(jì)算機(jī)帳戶代表物理實(shí)體，諸如計(jì)算機(jī)或人。用戶賬戶和計(jì)算機(jī)賬戶（以及組）稱為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對(duì)象。帶安全標(biāo)識(shí)符的對(duì)象可登錄到網(wǎng)絡(luò)并訪問域資源。用戶或計(jì)算機(jī)賬戶用于： ? 驗(yàn)證用戶或計(jì)算機(jī)的身份。 ? 授權(quán)或拒絕訪問域資源。 ? 管理其它安全主體。 ? 審計(jì)使用用戶或計(jì)算機(jī)帳戶執(zhí)行的操作。 　　Windows 2000 提供了可用于登錄到運(yùn)行 Windows 2000 的計(jì)算機(jī)的預(yù)定義用戶帳戶。這些預(yù)定義帳戶為： ? 管理員賬戶 ? 來賓賬戶 預(yù)定義賬戶就是允許用戶登錄到本地計(jì)算機(jī)并訪問本地計(jì)算機(jī)上資源的默認(rèn)用戶賬戶。設(shè)計(jì)這些賬戶的主要目的是本地計(jì)算機(jī)的初始登錄和配置。每個(gè)預(yù)定義賬戶均有不同的權(quán)利和權(quán)限組合。管理員賬戶有最廣泛的權(quán)利和權(quán)限，同時(shí)來賓賬戶有受限制的權(quán)利和權(quán)限。 組策略 組策略設(shè)置影響計(jì)算機(jī)或用戶賬戶并且可應(yīng)用于站點(diǎn)、域或組織單位。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。 集成DNS 　　由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要： 　DNS 是一種名稱解析服務(wù)。 　　DNS 客戶機(jī)向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱查詢。DNS 服務(wù)器接收名稱查詢，然后通過本地存儲(chǔ)的文件解析名稱查詢，或者查詢其它 DNS 服務(wù)器進(jìn)行名稱解析。DNS 不需要 Active Directory 就能運(yùn)行。 　Active Directory 是一種目錄服務(wù)。 Active Directory 提供信息儲(chǔ)存庫(kù)以及讓用戶和應(yīng)用程序訪問信息的服務(wù)。Active Directory 客戶使用"輕量級(jí)目錄訪問協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢。要定位 Active Directory 服務(wù)器，Active Directory 客戶機(jī)將查詢 DNS。Active Directory 需要 DNS 才能工作。 Active Directory 用于組織資源，而 DNS 用于查找資源。只有它們共同工作才能為用戶或其它請(qǐng)求類似信息的過程返回信息。DNS 是 Active Directory 的關(guān)鍵組件，如果沒有 DNS，Active Directory 就無法將用戶的請(qǐng)求解析成資源的IP地址，因此在安裝和配置 Active Directory 之前，用戶必須對(duì) DNS 有深入的理解。 組織單位 　　包含在域中的特別有用的目錄對(duì)象類型就是組織單位。組織單位是可將用戶、組、計(jì)算機(jī)和其它單位放入其中的 Active Directory 容器。組織單位不能包括來自其它域的對(duì)象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位，用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。 2.5登錄 Windows系統(tǒng)首先必須在系統(tǒng)中擁有一個(gè)賬號(hào)，其次，規(guī)定該賬號(hào)在系統(tǒng)中 的權(quán)力和權(quán)限。 　　在沒有用戶登錄時(shí)，可以看到屏幕上顯示一個(gè)對(duì)話框，提示用戶登錄在NT系統(tǒng)中。實(shí)際上，NT系統(tǒng)中有一個(gè)登錄進(jìn)程。當(dāng)用戶在開始登錄時(shí)，按下Ctrl+Alt +Del鍵，NT系統(tǒng)啟動(dòng)登錄進(jìn)程，彈出登錄對(duì)話框，讓用戶輸入帳號(hào)名及口令。按 下Ctrl+Alt+Del鍵時(shí)，NT系統(tǒng)保證彈出的登錄對(duì)話框是系統(tǒng)本身的，而不是一個(gè)貌似登錄對(duì)話框的應(yīng)用程序，以防止被非法竊取用戶名及口令。登錄進(jìn)程收到用戶輸入的賬號(hào)和口令后，就查找安全賬戶數(shù)據(jù)庫(kù)中的信息。如果帳戶及口令無效，則用戶的登錄企圖被拒絕；如果帳戶及口令有效，則把安全帳戶數(shù)據(jù)庫(kù)中有關(guān)該賬戶的信息收集在一起，形成一個(gè)存取標(biāo)識(shí)。 　　存取標(biāo)識(shí)中的主要內(nèi)容有： ? 用戶名以及SID ? 用戶所屬的組及組SID ? 用戶對(duì)系統(tǒng)所具有的權(quán)力 　　然后NT就啟動(dòng)一個(gè)用戶進(jìn)程，將該存取標(biāo)識(shí)與之連在一起，這個(gè)存取標(biāo)識(shí)就成了用戶進(jìn)程在NT系統(tǒng)中的通行證。用戶進(jìn)行任何操作，NT中負(fù)責(zé)安全的進(jìn)程都會(huì)檢查其存取標(biāo)識(shí)，以確定其操作是否合法。 　　用戶成功地登錄之后，只要用戶沒有注銷自己，其在系統(tǒng)中的權(quán)力就以存取 標(biāo)識(shí)為準(zhǔn)，NT安全系統(tǒng)在此期間不再檢查安全帳戶數(shù)據(jù)庫(kù)。這主要是考慮到效率。 　　存取標(biāo)識(shí)的作用相當(dāng)于緩存，只不過存取標(biāo)識(shí)緩存的是用戶安全信息，使得 系統(tǒng)不必再?gòu)挠脖P上查找。安全帳戶數(shù)據(jù)庫(kù)是由域用戶管理器來維護(hù)的，在某個(gè) 用戶登錄后，有可能管理員會(huì)修改其帳戶以及權(quán)力等，但這些修改只有在用戶下 次登錄時(shí)才有效，因?yàn)镹T安全系統(tǒng)在用戶登錄后只檢查存取標(biāo)識(shí)，而不是檢查安全帳戶數(shù)據(jù)庫(kù)。比如User1已登錄到了NT系統(tǒng)中，管理員發(fā)現(xiàn)其缺少了某種權(quán)力，就用域用戶管理器做了相應(yīng)的修改，那么，除非User1重新登錄一次，否則User1仍無法享有該權(quán)力。 在Windows系統(tǒng)中登錄過程還包括網(wǎng)絡(luò)登錄，在網(wǎng)絡(luò)登錄中，每次登錄到Windows系統(tǒng)中都會(huì)產(chǎn)生一個(gè)訪問令牌，訪問令牌是由用戶帳號(hào)和工作組帳號(hào)的安全標(biāo)示符（SID）以及用戶LUID（用戶特權(quán)和工作組特權(quán)）組合而成的，訪問令牌有兩個(gè)用途： ? 訪問令牌保存全部安全信息，可以加速訪問驗(yàn)證過程。當(dāng)某個(gè)用戶進(jìn)程要訪問某個(gè)對(duì)象時(shí)，安全子系統(tǒng)檢查該進(jìn)程的訪問令牌，判斷該用戶的訪問特權(quán)。 ? 每個(gè)進(jìn)程均有一個(gè)與之相關(guān)聯(lián)的訪問令牌，因此，每個(gè)進(jìn)程都可以在不影響其它代表該用戶運(yùn)行的進(jìn)程的條件下，在某種可允許的范圍內(nèi)修改進(jìn)程的安全特性。 2.6存儲(chǔ)控制 Windows系統(tǒng)啟動(dòng)一個(gè)用戶進(jìn)程，將存儲(chǔ)標(biāo)識(shí)與之連在一起。存取標(biāo)識(shí)包含的內(nèi)容并沒有訪問許可權(quán)限，而存取標(biāo)識(shí)又是用戶在系統(tǒng)中的通行證，那么NT如何根據(jù)存取標(biāo)識(shí)控制用戶對(duì)資源的訪問呢？ 當(dāng)某個(gè)進(jìn)程要訪問一個(gè)對(duì)象時(shí)，進(jìn)程的SID與訪問控制項(xiàng)列表比較，決定是否可以訪問該對(duì)象，訪問控制列表由訪問控制項(xiàng)（ACE）組成，每個(gè)訪問控制項(xiàng)標(biāo)識(shí)用戶和工作組對(duì)該對(duì)象的訪問權(quán)限。一般情況下，訪問控制列表有三個(gè)訪問控制項(xiàng)，分別代表如下含義：拒絕對(duì)該對(duì)象的訪問；允許對(duì)該對(duì)象讀取和寫入；允許執(zhí)行該對(duì)象。訪問控制列表首先列出拒絕訪問的訪問控制項(xiàng)，然后才是允許的訪問控制項(xiàng)。 給資源分配的權(quán)限作為該資源的一個(gè)屬性與資源一起存放。比如目錄為D：\Files，對(duì)其指定User1只讀，User2可完全控制，則這兩個(gè)權(quán)限都作為 D：\Files目錄的屬性與該目錄連在一起，在NT內(nèi)部以訪問控制列表的形式存放。ACL中包含了每個(gè)權(quán)限的分配，以訪問控制項(xiàng)來表示。ACL中包含了用戶名以及該用戶的權(quán)限。比如上面提到的這個(gè)例子中，D：\Files的ACL中有兩個(gè)ACE，分別是User1：只讀，User2：完全控制。當(dāng)User1訪問該目錄時(shí)，NT安全系統(tǒng)檢查用戶的存取標(biāo)識(shí)，與目錄的ACL對(duì)照，發(fā)現(xiàn)用戶存取標(biāo)識(shí)中的用戶名與ACL中有對(duì)應(yīng)關(guān)系且所要求的權(quán)限合法，則訪問獲得允許，否則，訪問被拒絕。 控制對(duì)象訪問過程如下： 1．設(shè)置、查看、更改或刪除文件和文件夾權(quán)限 　　步驟1 打開 "Windows 資源管理器"，然后定位到用戶要設(shè)置權(quán)限的文件和文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項(xiàng)卡， 如圖： 步驟3 執(zhí)行以下任一項(xiàng)操作： 要設(shè)置新組或用戶的權(quán)限，請(qǐng)單擊"添加"。按照域名\名稱的格式鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對(duì)話框。要更改或刪除現(xiàn)有的組或用戶的權(quán)限，請(qǐng)單擊該組或用戶的名稱。 步驟4 如果必要，請(qǐng)?jiān)?權(quán)限"中單擊每個(gè)要允許或拒絕的權(quán)限的"允許"或"拒絕"。 或者若要從權(quán)限列表中刪除組或用戶，請(qǐng)單擊"刪除"。 注意： 只能在格式化為使用 NTFS 的驅(qū)動(dòng)器上設(shè)置文件和文件夾權(quán)限。 要更改訪問權(quán)限，用戶必須是所有者或已經(jīng)由所有者授權(quán)執(zhí)行該操作。 無論保護(hù)文件和子文件夾的權(quán)限如何，被準(zhǔn)許對(duì)文件夾進(jìn)行完全控制的組或用戶都可以刪除該文件夾內(nèi)的任何文件和子文件夾。 如果"權(quán)限"下的復(fù)選框?yàn)榛疑?，或者沒有"刪除"按鈕，則文件或文件夾已經(jīng)繼承了父文件夾的權(quán)限。 2．設(shè)置、查看或刪除共享文件夾或驅(qū)動(dòng)器的權(quán)限 　　步驟1 打開 "Windows 資源管理器"，然后定位到要設(shè)置權(quán)限的共享文件夾或驅(qū)動(dòng)器。 　　步驟2 右鍵單擊共享文件夾或驅(qū)動(dòng)器，然后單擊"共享"。 　　步驟3 在"共享"選項(xiàng)卡上，單擊"權(quán)限"。 　　步驟4 要設(shè)置共享文件夾權(quán)限，請(qǐng)單擊"添加"。鍵入要設(shè)置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對(duì)話框。要?jiǎng)h除權(quán)限，請(qǐng)?jiān)?名稱"中選擇組或用戶，然后單擊"刪除"。 步驟5 在"權(quán)限"中，如果需要，請(qǐng)對(duì)每個(gè)權(quán)限單擊"允許"或"拒絕"。如圖 3.取得文件或文件夾的所有權(quán) 　　步驟1 打開 "Windows 資源管理器"，然后定位到要取得其所有權(quán)的文件或文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項(xiàng)卡。 步驟3 單擊"高級(jí)"，然后單擊"所有者"選項(xiàng)卡 ，如圖 步驟4 單擊新的所有者，然后單擊"確定" 2.7管理安全模板 　　啟動(dòng)安全模板流程如下： 步驟1 決定是否將安全模板添加到現(xiàn)有的控制臺(tái)，或創(chuàng)建新控制臺(tái)。要?jiǎng)?chuàng)建控制臺(tái)，請(qǐng)單擊"開始"，單擊"運(yùn)行"，然后鍵入"mmc"，然后單擊"確定"。要將安全模板添加到現(xiàn)有的控制臺(tái)中，打開控制臺(tái)，然后進(jìn)行下一步。 步驟2 在"控制臺(tái)"菜單上，請(qǐng)單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選擇"安全模板"，單擊"添加"，單擊"關(guān)閉"，然后單擊"確定"。 如圖： 步驟4 在"控制臺(tái)"菜單上，單擊"保存"。 步驟5 輸入指派給此控制臺(tái)的名稱，然后單擊"保存"。 在安全模板啟動(dòng)后，用戶可以執(zhí)行以下操作： ? 要自定義預(yù)定義安全模板 ? 定義安全模板 ? 刪除安全模板 ? 刷新安全模板列表 ? 設(shè)置安全模板說明 ? 將安全模板應(yīng)用到本地計(jì)算機(jī) ? 將安全模板導(dǎo)入到"組策略"對(duì)象 ? 查看有效的安全設(shè)置 安全配置和分析流程如下： 1.開始安全配置和分析 步驟1 進(jìn)行以下某項(xiàng)操作： 要將安全配置和分析添加到新的控制臺(tái)，請(qǐng)單擊"開始"，單擊"運(yùn)行"，然后鍵入"mmc"并單擊"確定"。要將安全配置和分析添加到現(xiàn)有的控制臺(tái)中，請(qǐng)直接進(jìn)行下一步。 步驟2 在"控制臺(tái)"菜單上，請(qǐng)單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選中"安全配置和分析"，然后單擊"添加"。 步驟4 單擊"關(guān)閉"，然后單擊"確定"。 步驟5 在"控制臺(tái)"菜單上，單擊"保存"。 步驟6 輸入指派給此控制臺(tái)的名稱，然后單擊"保存"?？刂婆_(tái)將出現(xiàn)在"我的文檔"中，可以在桌面上或從"開始"菜單訪問。 2.設(shè)置工作的安全數(shù)據(jù)庫(kù) 步驟1 在安全配置和分析管理單元中，請(qǐng)右鍵單擊"安全配置和分析"。詳細(xì)信息，請(qǐng)參閱相關(guān)主題。 步驟2 請(qǐng)單擊"打開數(shù)據(jù)庫(kù)"。 步驟3 選擇現(xiàn)有的個(gè)人數(shù)據(jù)庫(kù)，或鍵入文件名創(chuàng)建新的個(gè)人數(shù)據(jù)庫(kù)，如圖： 步驟4 單擊"打開"。 步驟5 如果這不是當(dāng)前配置使用的數(shù)據(jù)庫(kù)，系統(tǒng)將提示用戶選擇要加載到數(shù)據(jù)庫(kù)的安全模板。 步驟6 如果選擇可能已包含模板的現(xiàn)有個(gè)人數(shù)據(jù)庫(kù)，并且 要替換此模板，而不是將它合并到已存儲(chǔ)的模板，請(qǐng)選中"覆蓋數(shù)據(jù)庫(kù)中現(xiàn)有的配置"。 步驟7 單擊"打開"。 此數(shù)據(jù)庫(kù)現(xiàn)在可以用于配置系統(tǒng)。 3.分析系統(tǒng)的安全性 步驟1 在安全配置和分析中，設(shè)置工作數(shù)據(jù)庫(kù)（如果當(dāng)前沒有設(shè)置的話）。 步驟2 右鍵單擊"安全配置和分析"，然后單擊"立即分析系統(tǒng)"。 步驟3 單擊"確定"使用默認(rèn)的分析日志，或輸入日志的文件名和有效路徑。 當(dāng)分析它們時(shí)，將顯示不同的安全區(qū)域，一旦完成操作，就可以檢查日志文件或復(fù)查結(jié)果，如圖： 分析結(jié)果如圖： 利用"安全配置和分析"用戶還可以執(zhí)行以下任務(wù)： ? 設(shè)置工作的安全數(shù)據(jù)庫(kù) ? 導(dǎo)入安全模板 ? 檢查安全性分析結(jié)果 ? 配置系統(tǒng)安全性 ? 編輯基本安全配置 ? 查看有效的安全設(shè)置 ? 導(dǎo)出安全模板 2.8 windows審計(jì)子系統(tǒng) Windows2000的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志等等，這些日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB。 ? 安全日志文件：%systemroot%\system32\config\SecEvent.EVT ? 系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT ? 應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT 這些LOG文件在注冊(cè)表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 在Windows中通過策略可以實(shí)現(xiàn)對(duì)系統(tǒng)的各部分審核。 審核策略的設(shè)置 為運(yùn)行Windows 2000 Professional的計(jì)算機(jī)設(shè)置審核策略，需要運(yùn)行管理工具中的本地安全策略工具進(jìn)行設(shè)置。具體設(shè)置步驟如下： 1. 在“開始”菜單上選擇“程序”→“管理工具”→“本地安全策略”。如果在“開始”菜單中找不到“管理工具”程序組，則進(jìn)入“控制面板”，打開“管理工具”程序組，選擇“本地安全策略”。（如果在“開始”菜單的設(shè)置中沒有選擇“顯示管理工具”。則“管理工具”不會(huì)出現(xiàn)在“開始”菜單中）； 2. 在“本地安全策略”窗口的控制臺(tái)目錄樹中，單擊“本地策略”，然后選擇“審核策略”； 3. 選中要審核的事件，在操作菜單中選擇“安全性”，或是雙擊所選擇的審核事件。 對(duì)文件和文件夾訪問的審核 對(duì)文件和文件夾訪問的審核，首先要求審核的對(duì)象必須位于NTFS分區(qū)之上，其次必須為對(duì)象訪問事件設(shè)置審核策略。符合以上條件，就可以對(duì)特定的文件或文件夾進(jìn)行審核，并且對(duì)哪些用戶或組指定哪些類型的訪問進(jìn)行審核。 設(shè)置的步驟如下： 1. 在所選擇的文件或文件夾的屬性窗口的“安全”頁(yè)面上，點(diǎn)擊“高級(jí)”按鈕； 2. 在“審核”頁(yè)面上，點(diǎn)擊“添加”按鈕，選擇想對(duì)文件或文件夾訪問進(jìn)行審核的用戶，單擊“確定”；在“審核項(xiàng)目”對(duì)話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框，選擇完成后確定； 3. 返回到“訪問控制設(shè)置”對(duì)話框。默認(rèn)情況下，對(duì)父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，清空檢查框“允許將來自父系的可繼承審核項(xiàng)目傳播給該對(duì)象”即可。 對(duì)打印機(jī)訪問的審核 對(duì)打印機(jī)訪問進(jìn)行審核，要求必須為對(duì)象訪問事件設(shè)置審核策略。滿足這個(gè)條件就能夠?qū)μ囟ǖ拇蛴C(jī)進(jìn)行審核，并能夠?qū)徍酥付ǖ脑L問類型以及審核擁有訪問權(quán)限的用戶。審核步驟如下： 1. 在選擇的打印機(jī)的屬性窗口，選擇“安全”頁(yè)面，點(diǎn)擊“高級(jí)”按鈕； 2. 在“審核”頁(yè)面，點(diǎn)擊“添加”按鈕，選擇想對(duì)打印機(jī)訪問進(jìn)行審核的用戶或組，點(diǎn)擊“確定”。 審核結(jié)果的查看和維護(hù) 設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。 1．打開“開始”菜單，指向“程序”→“管理工具”→“事件查看器”。如果“開始”菜單中沒有“管理工具”，則進(jìn)入控制面板，打開“管理工具”，運(yùn)行“事件查看器”。 2．在事件查看器窗口的控制臺(tái)樹選擇“安全日志”。在右邊的窗格顯示日志條目的列表，以及每一條目的摘要信息，包括日期、事件、來源、分類、事件、用戶和計(jì)算機(jī)名。成功的事件前顯示一鑰匙圖標(biāo)，而失敗的事件則顯示鎖的圖標(biāo)。 3．如果想查看某一條目的詳細(xì)信息，雙擊選擇的條目；或是選擇一條目后，點(diǎn)擊“操作”菜單的“屬性”項(xiàng)。 4．如果要查看某一指定類型的事件，或某一時(shí)間段發(fā)生的事件，或某一用戶的事件，就需要運(yùn)用事件查看器的查找功能。具體操作如下： 確認(rèn)控制樹中當(dāng)前選定的項(xiàng)目是“安全日志”，點(diǎn)擊查看菜單的“查找”項(xiàng)。 在查找窗口中，選擇或輸入相應(yīng)的條件，點(diǎn)擊“查找下一個(gè)”按鈕，符合條件的事件就會(huì)在事件查看器的事件列表窗格中反顯出來。 5．如果想在事件查看器的事件列表窗格中只列出符合相應(yīng)條件的事件，這時(shí)要用到篩選功能。具體操作如下： 確認(rèn)控制樹中當(dāng)前選定的項(xiàng)目是“安全日志”，點(diǎn)擊“查看”→“篩選”。 在“篩選器”頁(yè)面中，選擇或輸入相應(yīng)的條件后，點(diǎn)擊“確定”按鈕，符合條件的事件就會(huì)在事件查看器的事件列表窗格中顯示出來。 6．隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認(rèn)情況下是512KB。如何更改日志文件的大小，或當(dāng)日志文件達(dá)到了所設(shè)定的大小時(shí)，自動(dòng)進(jìn)行那些操作呢？所有這些都可以通過更改日志文件的屬性來實(shí)現(xiàn)。在事件查看器的控制樹選中“安全日志”項(xiàng)，點(diǎn)擊“操作”菜單的“屬性”項(xiàng)，進(jìn)入安全日志的屬性窗口，在“常規(guī)”標(biāo)簽頁(yè)面上，可以對(duì)日志文件的大小進(jìn)行設(shè)置；對(duì)于日志文件達(dá)到最大尺寸時(shí)，用戶根據(jù)需要可以有以下三種選擇：改寫事件；改寫久于設(shè)定天數(shù)的事件和不改寫事件。 2.9注冊(cè)表 在Windows文件夾中有system.dat和user.dat這樣兩個(gè)隱藏文件，其中保存了至關(guān)重要的注冊(cè)表信息。我們可以通過運(yùn)行regedit.exe來修改windows的設(shè)置，達(dá)到其它方法不能達(dá)到的效果，使Windows更如你意。本說明書的內(nèi)容以Win98第一版為準(zhǔn)，但多數(shù)也是適用于Win95、Win95osr2、Win98se甚至Win2000的。 注冊(cè)表根鍵說明 hkey_classes_root： 包含注冊(cè)的所有OLE信息和文檔類型，是從 hkey_local_machine\software\classes復(fù)制的。 　　hkey_current_user ：包含登錄的用戶配置信息，是從hkey_users\當(dāng)前用戶子樹復(fù)制的。 　　hkey_local_machine ：包含本機(jī)的配置信息。其中config子樹是顯示器打印機(jī)信息； enum子樹是即插即用設(shè)備信息；system子樹是設(shè)備驅(qū)動(dòng)程序和服務(wù)參數(shù)的控制集合；software子樹是應(yīng)用程序?qū)Ｓ迷O(shè)置。 　　hkey_users： 所有登錄用戶信息。 hkey_current_config： 包含常被用戶改變的部分硬件軟件配置，如字體設(shè)置、顯示器類型、打印機(jī)設(shè)置等。是從hkey_local_machine\config復(fù)制的。 　　hkey_dyn_data： 包含現(xiàn)在計(jì)算機(jī)內(nèi)存中保存的系統(tǒng)信息。 注冊(cè)表詳細(xì)內(nèi)容 Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\user shell folders 保存?zhèn)€人文件夾、收藏夾的路徑。 Hkey_local_machine\system\currentControlSet\control\keyboard Layouts保存鍵盤使用的語(yǔ)言以及各種中文輸入法。 Hkey_users\.Default\software\microsoft\internet explorer\typeURLs保存IE瀏覽器地址欄中輸入的URL地址列表信息。清除文檔菜單時(shí)將被清空。 Hkey_users\.Default\so..\Mi..\wi..\currentVersion\ex..\menuOrder\startMenu 保留程序菜單排序信息。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU 保存“開始 * 運(yùn)行...“中運(yùn)行的程序列表信息。清除文檔菜單時(shí)將被清空。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\ecentDocs 保存最近使用的十五個(gè)文檔的快捷方式(刪除掉可解決文檔名稱重復(fù)的毛病)，清除文檔菜單時(shí)將被清空。 Hkey_local_machine\software\microsoft\windows\currentVersion\uninstall 保存已安裝的Windows應(yīng)用程序卸載信息。 hkey_users\.default\software\microsoft\windows\currentVersion\applets 保存Windows應(yīng)用程序的紀(jì)錄數(shù)據(jù)。 Hkey_local_machine\system\CurrentControlSet\services\class 保存控制面板-增添硬件設(shè)備-設(shè)備類型目錄。 Hkey_local_machine\system\CurrentControlSet\control\update 立即刷新設(shè)置。值為00設(shè)置為自動(dòng)刷新，01設(shè)置為手工刷新[在資源管理器中按F5刷新]。 HKEY_CURRENT_USER\Control Panel\Desktop 新建串值名MenuShowDelay=0 可使“開始”菜單中子菜單的彈出速度提高。新建串值名MinAnimate，值為1啟動(dòng)動(dòng)畫效果開關(guān)窗口，值為0取消動(dòng)畫效果。 Hkey_local_machine\software\microsoft\windows\currentVersion\run 保存由控制面板設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱，其圖標(biāo)顯示在任務(wù)條右邊。[啟動(dòng)文件夾程序運(yùn)行時(shí)圖標(biāo)也在任務(wù)條右邊]。 hkey_users\.default\software\microsoft\windows\currentVersion\run保存由用戶設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱，其圖標(biāo)顯示在任務(wù)條右側(cè)。 HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon 默認(rèn)圖片的圖標(biāo)。雙擊窗口右側(cè)的字符串，在打開的對(duì)話框中刪除原來的鍵值，輸入%1。重新啟動(dòng)后，在“我的電腦”中打開Windows目錄，選擇“大圖標(biāo)“，然后你看到的Bmp文件的圖標(biāo)再也不是千篇一律的畫板圖標(biāo)了，而是每個(gè)Bmp文件的略圖。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ Policies\ Ratings 保存IE4.0中文版“安全”*“分級(jí)審查”中設(shè)置的口令(數(shù)據(jù)加密)。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ explorer\ desktop\nameSpace保存桌面中特殊的圖標(biāo),如回收站、收件箱、MS Network等。 注冊(cè)表中設(shè)有若干保護(hù)層，保護(hù)這些文件中的數(shù)據(jù)。所有注冊(cè)表文件均以加密的二進(jìn)制格式存儲(chǔ)，如果沒有相應(yīng)的工具和用戶授權(quán)，就無法讀取這些文件，使用純文本編輯器是無法進(jìn)入注冊(cè)表的，也就是說，通過類似于Editor的編輯器是不能直接編輯User.dat和System.dat文件的。 注冊(cè)表文件標(biāo)有只讀或隱藏的系統(tǒng)文件之類的標(biāo)記，防止被無意刪除或發(fā)現(xiàn)。此外，即使擁有管理員權(quán)限也無法刪除注冊(cè)表文件，用戶可以通過注冊(cè)表編輯器（Registry Editor）查看和編輯注冊(cè)表，通過它可以修改系統(tǒng)低層的配置。 2.10 文件系統(tǒng) 文件系統(tǒng)介紹 文件系統(tǒng)就是在硬盤上存儲(chǔ)信息的格式。Windows 2000 Professional支持使用 NTFS文件系統(tǒng)和文件分配表文件系統(tǒng)（FAT或FAT32）。NTFS具有FAT文件系統(tǒng)的所有基本功能，并且提供FAT或FAT32文件系統(tǒng)所沒有的優(yōu)點(diǎn)。 NTFS支持WindowsNT的所有優(yōu)點(diǎn)。這些優(yōu)點(diǎn)中最重要的是WindowsNT的安全性。與NTFS文件系統(tǒng)相結(jié)合，能夠指定誰能訪問某一文件或目錄和對(duì)它作什么操作。在創(chuàng)建一個(gè)文件時(shí)，可以通知WindowsNT，哪些用戶可以讀該文件，哪些用戶可以修改該文件；另外，還可以指定誰可以列出一個(gè)目錄的內(nèi)容和誰可以在該目錄下增加文件。即使用戶知道文件的路徑，仍可以禁止訪問目錄中的文件，只有NTFS分區(qū)中的文件才有這種稱為任意訪問控制的能力。 NTFS的第二個(gè)優(yōu)點(diǎn)是它具有先進(jìn)的容錯(cuò)能力。NTFS使用一種稱為事務(wù)(transaction)登錄的技術(shù)跟蹤對(duì)磁盤的修改，因此，NTFS可以在幾秒鐘內(nèi)恢復(fù)錯(cuò)誤而不是HPFS的幾分鐘或幾小時(shí)（取決于HPFS分區(qū)的大小）。 NTFS的第三個(gè)優(yōu)點(diǎn)是其文件不易受到病毒和系統(tǒng)崩潰的侵襲，這種抗干擾直接源于WindowsNT操作系統(tǒng)的高度安全性能。即使在FAT和NTFS兩種文件系統(tǒng)在一個(gè)磁盤中并存時(shí)，由于NTFS文件系統(tǒng)只能被WindowsNT識(shí)別，一般的病毒還是很難在NTFS文件系統(tǒng)中找到生存空間。 對(duì)于大分區(qū)，NTFS比FAT和HPFS效率都高，F(xiàn)AT和HPFS比NTFS需要更多的空間來存儲(chǔ)文件系統(tǒng)用于管理硬盤上文件和目錄的信息。 此外，由于NTFS文件系統(tǒng)支持長(zhǎng)文件名，人們給文件命名時(shí)現(xiàn)也不需受8.3命名規(guī)則限制，從而可以給文件起一個(gè)反映其意義的文件名。NTFS支持向下兼容，甚至可以從新的長(zhǎng)文件名中產(chǎn)生老式的短文件名。當(dāng)文件寫入可移動(dòng)媒體（如軟盤）時(shí)，它自動(dòng)采用FAT文件名FAT文件系統(tǒng)。 實(shí)際上NTFS的主要弱點(diǎn)是它只能被WindowsNT所識(shí)別。NTFS文件系統(tǒng)可以存取FAT文件系統(tǒng)和HPFS文件系統(tǒng)的文件，但其文件卻不能被FAT文件系統(tǒng)和HPFS文件系統(tǒng)所存取，兼容性不是特別好。但從網(wǎng)絡(luò)安全性的角度來說，這種限制也是一種優(yōu)點(diǎn)，它可以保證如果其它操作系統(tǒng)沒有Windows的安全控制，其用戶就不能對(duì)NTFS分區(qū)中的文件進(jìn)行訪問。另外，如果引導(dǎo)驅(qū)動(dòng)器（也就是C驅(qū)動(dòng)器）使用NTFS文件系統(tǒng)，就不能使用Flexboot選項(xiàng)，因?yàn)镈OS系統(tǒng)只能從C驅(qū)動(dòng)器引導(dǎo)，但不能從NTFS驅(qū)動(dòng)器引導(dǎo)。相對(duì)WindowsNT來說，它的引導(dǎo)分區(qū)可以是FAT、NTFS和HPFS。最后它還存在一個(gè)問題，那就是即使使用WindowsNT驅(qū)動(dòng)程序，許多備份實(shí)用程序在操作NTFS分區(qū)時(shí)仍有問題。