Windows系統(tǒng)通用安全標準手冊.doc

《Windows系統(tǒng)通用安全標準手冊.doc》由會員分享，可在線閱讀，更多相關(guān)《Windows系統(tǒng)通用安全標準手冊.doc（21頁珍藏版）》請在裝配圖網(wǎng)上搜索。

Windows系統(tǒng)通用安全標準 1 windows系統(tǒng)安全模型 Windows系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。由于訪問任何系統(tǒng)資源必須經(jīng)過內(nèi)核安全模塊的驗證，從而保證沒有得到正確的授權(quán)的用戶不能訪問相應資源。 用戶使用Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號，其次，此賬號必須具有一定的“權(quán)力”和“權(quán)限”。在Windows系統(tǒng)中，“權(quán)力”指用戶對整個系統(tǒng)能夠做的事情，如關(guān)閉系統(tǒng)、增加設備、更改系統(tǒng)時間等等?！皺?quán)限”指用戶對系統(tǒng)資源所能做的事情 ，如對某文件的讀、寫控制，對打印機隊列的管理。、Windows系統(tǒng)使用安全帳號數(shù)據(jù)庫，存放用戶賬號以及該賬號所具有的權(quán)力等。用戶對系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。 在Windows系統(tǒng)中，安全模型由本地安全認證、安全賬號管理器和安全監(jiān)督器構(gòu)成。除此之外還包括注冊、訪問控制和對象安全服務等。它們之間的相互作用和集成構(gòu)成了安全模型的主要部分。 Windows 安全模型的主要功能是用戶身份驗證和訪問控制。身份驗證過程通過某種技術(shù)手段確認用戶所提供的身份的真實性，并在確認用戶身份的真實性后賦予用戶相應的權(quán)利和系統(tǒng)身份標識。訪問控制機制利用用戶獲得的系統(tǒng)身份標識，以及事先分配給用戶的對系統(tǒng)資源的權(quán)限來確保系統(tǒng)資源被合理的使用。 用戶身份驗證：Windows安全子系統(tǒng)提供了兩種類型的身份驗證：通過控制臺交互式登錄系統(tǒng)(根據(jù)用戶的計算機的本地賬戶來確認用戶的身份)和通過網(wǎng)絡登錄系統(tǒng)（根據(jù)域控制器中保留的域賬戶來確認用戶的身份）從而使得用戶可以訪問網(wǎng)絡上遠程主機的資源。為保證通過網(wǎng)絡登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗證機制：Kerberos V5（僅Windows 2000系統(tǒng)提供）、公鑰證書和 NTLM。 基于對象的訪問控制：Windows采用對象模型描述系統(tǒng)資源，管理員可以通過對特定資源配置相應的用戶訪問權(quán)限來控制用戶對系統(tǒng)資源的訪問。管理員可以通過域控制器實現(xiàn)對整個域的資源的統(tǒng)一管理與控制。Windows系統(tǒng) 通過允許管理員以對象安全描述符的方式描述具體的訪問控制策略。安全描述符列出了允許訪問對象的用戶和組，以及分配給這些用戶和組的特殊權(quán)限。安全描述符還指定了該對象需要安全審核特定事件，如特定用戶的讀，寫，執(zhí)行文件。文件、打印機和服務都是對象的具體例子。通過管理對象的屬性，管理員可以設置權(quán)限，分配所有權(quán)以及監(jiān)視用戶訪問。 2用戶名和密碼 Windows 系統(tǒng)的安全機制通過分配用戶帳號和用戶密碼來幫助保護計算機及其資源。給值得信任的使用者，按其使用的要求和網(wǎng)絡所能給與的服務分配合適的用戶帳號，并且使用足夠安全的帳號密碼。使用對帳號的用戶權(quán)力的限制以及對文件的訪問管理權(quán)限的策略，可以達到對服務器的數(shù)據(jù)的保護。其中用戶帳號有用戶名、全名、描述三個部分。用戶名是用戶帳號的標識，全名是對應用戶名的全稱，描述是對用戶所擁有的權(quán)限的較具體的說明。組有組名和描述兩個部份，組名是標識，描述是說明。一定的用戶帳號對應一定的權(quán)限，NT 對權(quán)限的劃分比較細，例如：備份、遠程管理、更改系統(tǒng)時間等等，通過對用戶的授權(quán)（在規(guī)則菜單中）可以細化一個用戶或組的權(quán)限。用戶的帳號和密碼有一定的規(guī)則，包括帳號長度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過對這些的綜合修改可以保證用戶帳號的安全使用。 系統(tǒng)將用戶分為管理者、用戶和來賓三類，各有其不同的權(quán)限。雙擊“我的電腦/控制面板/用戶和密碼”圖標，打開“用戶和密碼”對話框。系統(tǒng)在安裝完成后自動建立Administrator(系統(tǒng)管理員)和Guest（來賓）用戶。你可在第一次啟動按Ctrl＋Alt＋Del后選“更改密碼”更改系統(tǒng)管理員的密碼。你還可按“添加/刪除”來添加/刪除用戶或用戶組。 用戶名列表上方有一個復選框“要使用本機，必須輸入用戶名和密碼”，要使用用戶管理必須使之有效，即：選中它。 系統(tǒng)管理員對用戶和密碼的管理權(quán)限主要有：添加用戶、刪除用戶及更改用戶。系統(tǒng)會在你添加新用戶時詢問其權(quán)限的設置。選擇“高級”標簽，再點擊“高級”按鈕，就會出現(xiàn)“本地用戶和組”管理對話框窗口，上面列出了全部用戶和按組分類的用戶名單。在上述界面右邊窗口中選中某個用戶，點右鍵，在彈出的快捷菜單中選“屬性”，彈出“用戶屬性”窗口，在其中可對此用戶賬號進行是否允許修改密碼、是否停用賬號等項設置。注意：停用賬戶和刪除賬戶是有區(qū)別的，停用賬戶是臨時停止某個賬戶的使用，隨時可以恢復，而刪除掉的賬戶必須重建后才能使用。 另外，Windows系統(tǒng)支持工作組概念，可以方便的給一組用戶授予特權(quán)和權(quán)限，同時一個用戶同時屬于一個或多個工作組。方便了對用戶權(quán)限的細化。在Windows系統(tǒng)中有兩種類型的工作組：全局工作組和本地工作組。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。 Win2000的默認安裝允許所有用戶通過空用戶名和空密碼得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡帶來破壞，這是整個網(wǎng)絡中的最大不安全因素之一 3域和委托 以Windows 系統(tǒng)組建的網(wǎng)絡是一個局域網(wǎng)范圍的網(wǎng)。所謂“域”是指網(wǎng)絡服務器和其它計算機的邏輯分組，凡是在共享域范圍內(nèi)的用戶都使用公共的安全機制和用戶帳號信息。每個用戶有一個帳號，每次登錄的是整個域，而不是某一個服務器。即使在物理上相隔較遠，但在邏輯上可以在一個域上，域的集中化用戶帳號數(shù)據(jù)庫和安全策略使得系統(tǒng)管理員可以用一個簡單而有效的方法維護整個網(wǎng)絡的安全。在網(wǎng)絡環(huán)境下，使用域的管理就顯得更為有效。這里我們應該注意到在NT中，關(guān)于域的所用的安全機制信息或用戶帳號信息都存放在目錄數(shù)據(jù)庫中（稱為安全帳號管理器（SAM）數(shù)據(jù)庫）。目錄數(shù)據(jù)庫存放在服務器中，并且復制到備份服務器中。通過有規(guī)律的同步處理，可以保證數(shù)據(jù)庫的安全性、有效性。在用戶每次登錄時，通過目錄數(shù)據(jù)庫檢查用戶的帳號和密碼。所以在對 NT進行維護時應該特別小心目錄數(shù)據(jù)庫的完整性，一般來講只有管理員才具有對此的編輯權(quán)限。 　　域的最大的優(yōu)點是域中的控制器服務器形成了共享的安全機制和用戶帳號信息的單個管理單元，大大地節(jié)省了管理員和用戶的精力和時間，在管理上較方便，也顯得集中。在使用“域”的劃分時，我們應該注意到“域”是建立在一個子網(wǎng)范圍內(nèi)，其基礎是相互之間的信任度。由NT組網(wǎng)區(qū)別于一般的TCP/IP的組網(wǎng)，TCP/IP是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而NT組網(wǎng)是一種緊密的聯(lián)合，服務器之間是靠安全信任建立他們的聯(lián)系的。主從關(guān)系，委托關(guān)系是建立在信任度上的。委托是一種管理辦法，它將多個域連接在一起，并且允許域中的用戶互相訪問。委托關(guān)系可使用戶帳號和工作組能夠在建立它們的域之外的域中使用。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。 4活動目錄 活動目錄的概念 Active Directory 是用于 Windows 2000 Server 的目錄服務。它存儲著網(wǎng)絡上各種對象的有關(guān)信息，并使該信息易于管理員和用戶查找及使用。Active Directory 目錄服務使用結(jié)構(gòu)化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結(jié)構(gòu)的基礎。Active Directory 的優(yōu)點：信息安全性 、基于策略的管理 、可擴展性 、可伸縮性 、信息的復制 、與 DNS 集成 、與其它目錄服務的互操作性、靈活的查詢?！　? 域 域提供了多項優(yōu)點： ? 組織對象。 ? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。 ? 將組策略對象應用到域可加強資源和安全性管理。 ? 委派授權(quán)使用戶不再需要大量的具有廣泛管理權(quán)利的管理員。 要創(chuàng)建域，用戶必須將一個或更多的運行 Windows 2000 Server 的計算機升級為域控制器。域控制器為網(wǎng)絡用戶和計算機提供 Active Directory 目錄服務、存儲目錄數(shù)據(jù)并管理用戶和域之間的交互作用，包括用戶登錄過程、驗證和目錄搜索。每個域至少必須包含一個域控制器。 　　域樹和域林 　　活動目錄中的每個域利用 DNS 域名加以標識，并且需要一個或多個域控制器。如果用戶的網(wǎng)絡需要一個以上的域，則用戶可以創(chuàng)建多個域。共享相同的公用架構(gòu)和全局目錄的一個或多個域稱為域林。如果樹林中的多個域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱為域樹。 如果相關(guān)域樹共享相同的 Active Directory 架構(gòu)以及目錄配置和復制信息，但不共享連續(xù)的 DNS 名稱空間，則稱之為域林。 　　域樹和域林的組合為用戶提供了靈活的域命名選項。連續(xù)和非連續(xù)的 DNS 名稱空間都可加入到用戶的目錄中。 域和帳戶命名 　　Active Directory 域名通常是該域的完整 DNS 名稱。但是，為確保向下兼容，每個域還有一個 Windows 2000 以前版本的名稱，以便在運行 Windows 2000 以前版本的操作系統(tǒng)的計算機上使用。用戶帳戶 　　在 Active Directory 中，每個用戶帳戶都有一個用戶登錄名、一個 Windows 2000 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。在創(chuàng)建用戶帳戶時，管理員輸入其登錄名并選擇用戶主要名稱。Active Directory 建議 Windows 2000 以前版本的用戶登錄名使用此用戶登錄名的前 20 個字節(jié)。 　　所謂用戶主要名稱是指由用戶賬戶名稱和表示用戶賬戶所在的域的域名組成。這是登錄到 Windows 2000 域的標準用法。表準格式為：user@domain.com (類似個人的電子郵件地址)。但不要在用戶登錄名或用戶主要名稱中加入 @ 號。Active Directory 在創(chuàng)建用戶主要名稱時自動添加此符號。包含多個 @ 號的用戶主要名稱是無效的。 　　在 Active Directory 中，默認的用戶主要名稱后綴是域樹中根域的 DNS 名。如果用戶的單位使用由部門和區(qū)域組成的多層域樹，則對于底層用戶的域名可能很長。對于該域中的用戶，默認的用戶主要名稱可能是 grandchild.child.root.com。該域中用戶默認的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱后綴 - "root" 使同一用戶使用更簡單的登錄名 user@root.com 就可以登錄。 域間信任關(guān)系 　　對于 Windows 2000 計算機，通過基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶驗證。 　　在域樹中創(chuàng)建域時，相鄰域（父域和子域）之間自動建立信任關(guān)系。在域林中，在樹林根域和添加到樹林的每個域樹的根域之間自動建立信任關(guān)系。因為這些信任關(guān)系是可傳遞的，所以可以在域樹或域林中的任何域之間進行用戶和計算機的身份驗證。 　　如果將 Windows 2000 以前版本的 Windows 域升級為 Windows 2000 域時，Windows 2000 域?qū)⒈Ａ粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。 　　所有域信任關(guān)系都只能有兩個域：信任域和受信任域。域信任關(guān)系按以下特征進行描述： 　單向 　　單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗證請求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。 　 雙向 　　Windows 2000 樹林中的所有域信任都是雙向可傳遞信任。建立新的子域時，雙向可傳遞信任在新的子域和父域之間自動建立。 　可傳遞 　　Windows 2000 樹林中的所有域信任都是可傳遞的?？蓚鬟f信任始終為雙向：此關(guān)系中的兩個域相互信任。 　　可傳遞信任不受信任關(guān)系中的兩個域的約束。每次當用戶建立新的子域時，在父域和新子域之間就隱含地（自動）建立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹中按其形成的方式向上流動，并在域樹中的所有域之間建立起可傳遞信任。　　 　不可傳遞 　　不可傳遞信任受信任關(guān)系中的兩個域的約束，并不流向樹林中的任何其它域。在大多數(shù)情況下，用戶必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級至 Windows 2000 時，目前所有的 Windows NT 信任都保持不動。在混和模式環(huán)境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認為單向信任關(guān)系。 　外部信任 　　外部信任創(chuàng)建了與樹林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點在于使用戶可以通過樹林的信任路徑不包含的域進行身份驗證。所有的外部驗證都是單向非轉(zhuǎn)移的信任 　快捷信任 　　快捷信任是雙向可傳遞的信任，使用戶可以縮短復雜樹林中的路徑。Windows 2000 同一樹林中域之間的快捷信任是明確創(chuàng)建的?？旖菪湃尉哂袃?yōu)化的性能，能縮短與 Windows 2000 安全機制有關(guān)的信任路徑以便進行身份驗證。在樹林中的兩個域樹之間使用快捷信任是最有效的。 站點 　　站點是由一個或多個 IP 子網(wǎng)中的一組計算機，確保目錄信息的有效交換，站點中的計算機需要很好地連接，尤其是子網(wǎng)內(nèi)的計算機。站點和域名稱空間之間沒有必要的連接。站點反映網(wǎng)絡的物理結(jié)構(gòu)，而域通常反映用戶單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨立，所以網(wǎng)絡的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒有必要的相關(guān)性，Active Directory 允許單個站點中有多個域，單個域中有多個站點。 　　如果配置方案未組織成站點，則域和客戶之間的信息交換可能非?；靵y。站點能提高網(wǎng)絡使用的效率。站點服務在以下兩方面令網(wǎng)絡操作更為有效：服務請求和復制。 　　當客戶從域控制器請求服務時，只要相同域中的域控制器有一個可用，此請求就將會發(fā)給這個域控制器。選擇與發(fā)出請求的客戶連接良好的域控制器將使該請求的處理效率更高。 站點使目錄信息以流水線的方式復制。目錄架構(gòu)和配置信息分布在整個樹林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過有策略地減少復制，用戶的網(wǎng)絡擁塞也會同樣減少。Active Directory 在一個站點內(nèi)比在站點之間更頻繁地復制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復制的內(nèi)容。其它站點中的域控制器接收對目錄所進行的更改，但不頻繁，以降低網(wǎng)絡帶寬的消耗。 Active Directory 用戶和計算機帳戶 　　Active Directory 用戶和計算機帳戶代表物理實體，諸如計算機或人。用戶賬戶和計算機賬戶（以及組）稱為安全主體。安全主體是自動分配安全標識符的目錄對象。帶安全標識符的對象可登錄到網(wǎng)絡并訪問域資源。用戶或計算機賬戶用于： ? 驗證用戶或計算機的身份。 ? 授權(quán)或拒絕訪問域資源。 ? 管理其它安全主體。 ? 審計使用用戶或計算機帳戶執(zhí)行的操作。 　　Windows 2000 提供了可用于登錄到運行 Windows 2000 的計算機的預定義用戶帳戶。這些預定義帳戶為： ? 管理員賬戶 ? 來賓賬戶 預定義賬戶就是允許用戶登錄到本地計算機并訪問本地計算機上資源的默認用戶賬戶。設計這些賬戶的主要目的是本地計算機的初始登錄和配置。每個預定義賬戶均有不同的權(quán)利和權(quán)限組合。管理員賬戶有最廣泛的權(quán)利和權(quán)限，同時來賓賬戶有受限制的權(quán)利和權(quán)限。 組策略 組策略設置影響計算機或用戶賬戶并且可應用于站點、域或組織單位。它可用于配置安全選項、管理應用程序、管理桌面外觀、指派腳本并將文件夾從本地計算機重新定向到網(wǎng)絡位置。 集成DNS 　　由于 Active Directory 與 DNS 集成而且共享相同的名稱空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要： 　DNS 是一種名稱解析服務。 　　DNS 客戶機向配置的 DNS 服務器發(fā)送 DNS 名稱查詢。DNS 服務器接收名稱查詢，然后通過本地存儲的文件解析名稱查詢，或者查詢其它 DNS 服務器進行名稱解析。DNS 不需要 Active Directory 就能運行。 　Active Directory 是一種目錄服務。 Active Directory 提供信息儲存庫以及讓用戶和應用程序訪問信息的服務。Active Directory 客戶使用"輕量級目錄訪問協(xié)議 (LDAP)"向 Active Directory 服務器發(fā)送查詢。要定位 Active Directory 服務器，Active Directory 客戶機將查詢 DNS。Active Directory 需要 DNS 才能工作。 Active Directory 用于組織資源，而 DNS 用于查找資源。只有它們共同工作才能為用戶或其它請求類似信息的過程返回信息。DNS 是 Active Directory 的關(guān)鍵組件，如果沒有 DNS，Active Directory 就無法將用戶的請求解析成資源的IP地址，因此在安裝和配置 Active Directory 之前，用戶必須對 DNS 有深入的理解。 組織單位 　　包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其它單位放入其中的 Active Directory 容器。組織單位不能包括來自其它域的對象。組織單位是可以指派組策略設置或委派管理權(quán)限的最小作用域或單位。使用組織單位，用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶就可以根據(jù)用戶的組織模型管理帳戶和資源的配置和使用。 5登錄 Windows系統(tǒng)首先必須在系統(tǒng)中擁有一個賬號，其次，規(guī)定該賬號在系統(tǒng)中 的權(quán)力和權(quán)限。 　　在沒有用戶登錄時，可以看到屏幕上顯示一個對話框，提示用戶登錄在NT系統(tǒng)中。實際上，NT系統(tǒng)中有一個登錄進程。當用戶在開始登錄時，按下Ctrl+Alt +Del鍵，NT系統(tǒng)啟動登錄進程，彈出登錄對話框，讓用戶輸入帳號名及口令。按 下Ctrl+Alt+Del鍵時，NT系統(tǒng)保證彈出的登錄對話框是系統(tǒng)本身的，而不是一個貌似登錄對話框的應用程序，以防止被非法竊取用戶名及口令。登錄進程收到用戶輸入的賬號和口令后，就查找安全賬戶數(shù)據(jù)庫中的信息。如果帳戶及口令無效，則用戶的登錄企圖被拒絕；如果帳戶及口令有效，則把安全帳戶數(shù)據(jù)庫中有關(guān)該賬戶的信息收集在一起，形成一個存取標識。 　　存取標識中的主要內(nèi)容有： ? 用戶名以及SID ? 用戶所屬的組及組SID ? 用戶對系統(tǒng)所具有的權(quán)力 　　然后NT就啟動一個用戶進程，將該存取標識與之連在一起，這個存取標識就成了用戶進程在NT系統(tǒng)中的通行證。用戶進行任何操作，NT中負責安全的進程都會檢查其存取標識，以確定其操作是否合法。 　　用戶成功地登錄之后，只要用戶沒有注銷自己，其在系統(tǒng)中的權(quán)力就以存取 標識為準，NT安全系統(tǒng)在此期間不再檢查安全帳戶數(shù)據(jù)庫。這主要是考慮到效率。 　　存取標識的作用相當于緩存，只不過存取標識緩存的是用戶安全信息，使得 系統(tǒng)不必再從硬盤上查找。安全帳戶數(shù)據(jù)庫是由域用戶管理器來維護的，在某個 用戶登錄后，有可能管理員會修改其帳戶以及權(quán)力等，但這些修改只有在用戶下 次登錄時才有效，因為NT安全系統(tǒng)在用戶登錄后只檢查存取標識，而不是檢查安全帳戶數(shù)據(jù)庫。比如User1已登錄到了NT系統(tǒng)中，管理員發(fā)現(xiàn)其缺少了某種權(quán)力，就用域用戶管理器做了相應的修改，那么，除非User1重新登錄一次，否則User1仍無法享有該權(quán)力。 在Windows系統(tǒng)中登錄過程還包括網(wǎng)絡登錄，在網(wǎng)絡登錄中，每次登錄到Windows系統(tǒng)中都會產(chǎn)生一個訪問令牌，訪問令牌是由用戶帳號和工作組帳號的安全標示符（SID）以及用戶LUID（用戶特權(quán)和工作組特權(quán)）組合而成的，訪問令牌有兩個用途： ? 訪問令牌保存全部安全信息，可以加速訪問驗證過程。當某個用戶進程要訪問某個對象時，安全子系統(tǒng)檢查該進程的訪問令牌，判斷該用戶的訪問特權(quán)。 ? 每個進程均有一個與之相關(guān)聯(lián)的訪問令牌，因此，每個進程都可以在不影響其它代表該用戶運行的進程的條件下，在某種可允許的范圍內(nèi)修改進程的安全特性。 6存儲控制 Windows系統(tǒng)啟動一個用戶進程，將存儲標識與之連在一起。存取標識包含的內(nèi)容并沒有訪問許可權(quán)限，而存取標識又是用戶在系統(tǒng)中的通行證，那么NT如何根據(jù)存取標識控制用戶對資源的訪問呢？ 當某個進程要訪問一個對象時，進程的SID與訪問控制項列表比較，決定是否可以訪問該對象，訪問控制列表由訪問控制項（ACE）組成，每個訪問控制項標識用戶和工作組對該對象的訪問權(quán)限。一般情況下，訪問控制列表有三個訪問控制項，分別代表如下含義：拒絕對該對象的訪問；允許對該對象讀取和寫入；允許執(zhí)行該對象。訪問控制列表首先列出拒絕訪問的訪問控制項，然后才是允許的訪問控制項。 給資源分配的權(quán)限作為該資源的一個屬性與資源一起存放。比如目錄為D：\Files，對其指定User1只讀，User2可完全控制，則這兩個權(quán)限都作為 D：\Files目錄的屬性與該目錄連在一起，在NT內(nèi)部以訪問控制列表的形式存放。ACL中包含了每個權(quán)限的分配，以訪問控制項來表示。ACL中包含了用戶名以及該用戶的權(quán)限。比如上面提到的這個例子中，D：\Files的ACL中有兩個ACE，分別是User1：只讀，User2：完全控制。當User1訪問該目錄時，NT安全系統(tǒng)檢查用戶的存取標識，與目錄的ACL對照，發(fā)現(xiàn)用戶存取標識中的用戶名與ACL中有對應關(guān)系且所要求的權(quán)限合法，則訪問獲得允許，否則，訪問被拒絕。 控制對象訪問過程如下： 1．設置、查看、更改或刪除文件和文件夾權(quán)限 　　步驟1 打開 "Windows 資源管理器"，然后定位到用戶要設置權(quán)限的文件和文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項卡， 如圖： 步驟3 執(zhí)行以下任一項操作： 要設置新組或用戶的權(quán)限，請單擊"添加"。按照域名\名稱的格式鍵入要設置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對話框。要更改或刪除現(xiàn)有的組或用戶的權(quán)限，請單擊該組或用戶的名稱。 步驟4 如果必要，請在"權(quán)限"中單擊每個要允許或拒絕的權(quán)限的"允許"或"拒絕"。 或者若要從權(quán)限列表中刪除組或用戶，請單擊"刪除"。 注意： 只能在格式化為使用 NTFS 的驅(qū)動器上設置文件和文件夾權(quán)限。 要更改訪問權(quán)限，用戶必須是所有者或已經(jīng)由所有者授權(quán)執(zhí)行該操作。 無論保護文件和子文件夾的權(quán)限如何，被準許對文件夾進行完全控制的組或用戶都可以刪除該文件夾內(nèi)的任何文件和子文件夾。 如果"權(quán)限"下的復選框為灰色，或者沒有"刪除"按鈕，則文件或文件夾已經(jīng)繼承了父文件夾的權(quán)限。 2．設置、查看或刪除共享文件夾或驅(qū)動器的權(quán)限 　　步驟1 打開 "Windows 資源管理器"，然后定位到要設置權(quán)限的共享文件夾或驅(qū)動器。 　　步驟2 右鍵單擊共享文件夾或驅(qū)動器，然后單擊"共享"。 　　步驟3 在"共享"選項卡上，單擊"權(quán)限"。 　　步驟4 要設置共享文件夾權(quán)限，請單擊"添加"。鍵入要設置權(quán)限的組或用戶的名稱，然后單擊"確定"關(guān)閉對話框。要刪除權(quán)限，請在"名稱"中選擇組或用戶，然后單擊"刪除"。 步驟5 在"權(quán)限"中，如果需要，請對每個權(quán)限單擊"允許"或"拒絕"。如圖 3.取得文件或文件夾的所有權(quán) 　　步驟1 打開 "Windows 資源管理器"，然后定位到要取得其所有權(quán)的文件或文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項卡。 步驟3 單擊"高級"，然后單擊"所有者"選項卡 ，如圖 步驟4 單擊新的所有者，然后單擊"確定" 7管理安全模板 　　啟動安全模板流程如下： 步驟1 決定是否將安全模板添加到現(xiàn)有的控制臺，或創(chuàng)建新控制臺。要創(chuàng)建控制臺，請單擊"開始"，單擊"運行"，然后鍵入"mmc"，然后單擊"確定"。要將安全模板添加到現(xiàn)有的控制臺中，打開控制臺，然后進行下一步。 步驟2 在"控制臺"菜單上，請單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選擇"安全模板"，單擊"添加"，單擊"關(guān)閉"，然后單擊"確定"。 如圖： 步驟4 在"控制臺"菜單上，單擊"保存"。 步驟5 輸入指派給此控制臺的名稱，然后單擊"保存"。 在安全模板啟動后，用戶可以執(zhí)行以下操作： ? 要自定義預定義安全模板 ? 定義安全模板 ? 刪除安全模板 ? 刷新安全模板列表 ? 設置安全模板說明 ? 將安全模板應用到本地計算機 ? 將安全模板導入到"組策略"對象 ? 查看有效的安全設置 安全配置和分析流程如下： 1.開始安全配置和分析 步驟1 進行以下某項操作： 要將安全配置和分析添加到新的控制臺，請單擊"開始"，單擊"運行"，然后鍵入"mmc"并單擊"確定"。要將安全配置和分析添加到現(xiàn)有的控制臺中，請直接進行下一步。 步驟2 在"控制臺"菜單上，請單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選中"安全配置和分析"，然后單擊"添加"。 步驟4 單擊"關(guān)閉"，然后單擊"確定"。 步驟5 在"控制臺"菜單上，單擊"保存"。 步驟6 輸入指派給此控制臺的名稱，然后單擊"保存"。控制臺將出現(xiàn)在"我的文檔"中，可以在桌面上或從"開始"菜單訪問。 設置工作的安全數(shù)據(jù)庫 步驟1 在安全配置和分析管理單元中，請右鍵單擊"安全配置和分析"。詳細信息，請參閱相關(guān)主題。 步驟2 請單擊"打開數(shù)據(jù)庫"。 步驟3 選擇現(xiàn)有的個人數(shù)據(jù)庫，或鍵入文件名創(chuàng)建新的個人數(shù)據(jù)庫，如圖： 步驟4 單擊"打開"。 步驟5 如果這不是當前配置使用的數(shù)據(jù)庫，系統(tǒng)將提示用戶選擇要加載到數(shù)據(jù)庫的安全模板。 步驟6 如果選擇可能已包含模板的現(xiàn)有個人數(shù)據(jù)庫，并且 要替換此模板，而不是將它合并到已存儲的模板，請選中"覆蓋數(shù)據(jù)庫中現(xiàn)有的配置"。 步驟7 單擊"打開"。 此數(shù)據(jù)庫現(xiàn)在可以用于配置系統(tǒng)。 3.分析系統(tǒng)的安全性 步驟1 在安全配置和分析中，設置工作數(shù)據(jù)庫（如果當前沒有設置的話）。 步驟2 右鍵單擊"安全配置和分析"，然后單擊"立即分析系統(tǒng)"。 步驟3 單擊"確定"使用默認的分析日志，或輸入日志的文件名和有效路徑。 當分析它們時，將顯示不同的安全區(qū)域，一旦完成操作，就可以檢查日志文件或復查結(jié)果，如圖： 分析結(jié)果如圖： 利用"安全配置和分析"用戶還可以執(zhí)行以下任務： ? 設置工作的安全數(shù)據(jù)庫 ? 導入安全模板 ? 檢查安全性分析結(jié)果 ? 配置系統(tǒng)安全性 ? 編輯基本安全配置 ? 查看有效的安全設置 ? 導出安全模板 8 windows審計子系統(tǒng) Windows2000的系統(tǒng)日志文件有應用程序日志，安全日志、系統(tǒng)日志、DNS服務器日志等等，這些日志默認位置：%systemroot%\system32\config，默認文件大小512KB。 ? 安全日志文件：%systemroot%\system32\config\SecEvent.EVT ? 系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT ? 應用程序日志文件：%systemroot%\system32\config\AppEvent.EVT 這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 在Windows中通過策略可以實現(xiàn)對系統(tǒng)的各部分審核。 審核策略的設置 為運行Windows 2000 Professional的計算機設置審核策略，需要運行管理工具中的本地安全策略工具進行設置。具體設置步驟如下： 1. 在“開始”菜單上選擇“程序”→“管理工具”→“本地安全策略”。如果在“開始”菜單中找不到“管理工具”程序組，則進入“控制面板”，打開“管理工具”程序組，選擇“本地安全策略”。（如果在“開始”菜單的設置中沒有選擇“顯示管理工具”。則“管理工具”不會出現(xiàn)在“開始”菜單中）； 2. 在“本地安全策略”窗口的控制臺目錄樹中，單擊“本地策略”，然后選擇“審核策略”； 3. 選中要審核的事件，在操作菜單中選擇“安全性”，或是雙擊所選擇的審核事件。 對文件和文件夾訪問的審核 對文件和文件夾訪問的審核，首先要求審核的對象必須位于NTFS分區(qū)之上，其次必須為對象訪問事件設置審核策略。符合以上條件，就可以對特定的文件或文件夾進行審核，并且對哪些用戶或組指定哪些類型的訪問進行審核。 設置的步驟如下： 1. 在所選擇的文件或文件夾的屬性窗口的“安全”頁面上，點擊“高級”按鈕； 2. 在“審核”頁面上，點擊“添加”按鈕，選擇想對文件或文件夾訪問進行審核的用戶，單擊“確定”；在“審核項目”對話框中，為想要審核的事件選擇“成功”或是“失敗”復選框，選擇完成后確定； 3. 返回到“訪問控制設置”對話框。默認情況下，對父文件夾所做的審核更改將應用于其所包含子文件夾和文件。如果不想將父文件夾所進行的審核更改應用到當前所選擇的文件或文件夾，清空檢查框“允許將來自父系的可繼承審核項目傳播給該對象”即可。 對打印機訪問的審核 對打印機訪問進行審核，要求必須為對象訪問事件設置審核策略。滿足這個條件就能夠?qū)μ囟ǖ拇蛴C進行審核，并能夠?qū)徍酥付ǖ脑L問類型以及審核擁有訪問權(quán)限的用戶。審核步驟如下： 1. 在選擇的打印機的屬性窗口，選擇“安全”頁面，點擊“高級”按鈕； 2. 在“審核”頁面，點擊“添加”按鈕，選擇想對打印機訪問進行審核的用戶或組，點擊“確定”。 審核結(jié)果的查看和維護 設置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細信息。 1．打開“開始”菜單，指向“程序”→“管理工具”→“事件查看器”。如果“開始”菜單中沒有“管理工具”，則進入控制面板，打開“管理工具”，運行“事件查看器”。 2．在事件查看器窗口的控制臺樹選擇“安全日志”。在右邊的窗格顯示日志條目的列表，以及每一條目的摘要信息，包括日期、事件、來源、分類、事件、用戶和計算機名。成功的事件前顯示一鑰匙圖標，而失敗的事件則顯示鎖的圖標。 3．如果想查看某一條目的詳細信息，雙擊選擇的條目；或是選擇一條目后，點擊“操作”菜單的“屬性”項。 4．如果要查看某一指定類型的事件，或某一時間段發(fā)生的事件，或某一用戶的事件，就需要運用事件查看器的查找功能。具體操作如下： 確認控制樹中當前選定的項目是“安全日志”，點擊查看菜單的“查找”項。 在查找窗口中，選擇或輸入相應的條件，點擊“查找下一個”按鈕，符合條件的事件就會在事件查看器的事件列表窗格中反顯出來。 5．如果想在事件查看器的事件列表窗格中只列出符合相應條件的事件，這時要用到篩選功能。具體操作如下： 確認控制樹中當前選定的項目是“安全日志”，點擊“查看”→“篩選”。 在“篩選器”頁面中，選擇或輸入相應的條件后，點擊“確定”按鈕，符合條件的事件就會在事件查看器的事件列表窗格中顯示出來。 6．隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認情況下是512KB。如何更改日志文件的大小，或當日志文件達到了所設定的大小時，自動進行那些操作呢？所有這些都可以通過更改日志文件的屬性來實現(xiàn)。在事件查看器的控制樹選中“安全日志”項，點擊“操作”菜單的“屬性”項，進入安全日志的屬性窗口，在“常規(guī)”標簽頁面上，可以對日志文件的大小進行設置；對于日志文件達到最大尺寸時，用戶根據(jù)需要可以有以下三種選擇：改寫事件；改寫久于設定天數(shù)的事件和不改寫事件。 9注冊表 在Windows文件夾中有system.dat和user.dat這樣兩個隱藏文件，其中保存了至關(guān)重要的注冊表信息。我們可以通過運行regedit.exe來修改windows的設置，達到其它方法不能達到的效果，使Windows更如你意。本說明書的內(nèi)容以Win98第一版為準，但多數(shù)也是適用于Win95、Win95osr2、Win98se甚至Win2000的。 注冊表根鍵說明 hkey_classes_root： 包含注冊的所有OLE信息和文檔類型，是從 hkey_local_machine\software\classes復制的。 　　hkey_current_user ：包含登錄的用戶配置信息，是從hkey_users\當前用戶子樹復制的。 　　hkey_local_machine ：包含本機的配置信息。其中config子樹是顯示器打印機信息； enum子樹是即插即用設備信息；system子樹是設備驅(qū)動程序和服務參數(shù)的控制集合；software子樹是應用程序?qū)Ｓ迷O置。 　　hkey_users： 所有登錄用戶信息。 hkey_current_config： 包含常被用戶改變的部分硬件軟件配置，如字體設置、顯示器類型、打印機設置等。是從hkey_local_machine\config復制的。 　　hkey_dyn_data： 包含現(xiàn)在計算機內(nèi)存中保存的系統(tǒng)信息。 注冊表詳細內(nèi)容 Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\user shell folders 保存?zhèn)€人文件夾、收藏夾的路徑。 Hkey_local_machine\system\currentControlSet\control\keyboard Layouts保存鍵盤使用的語言以及各種中文輸入法。 Hkey_users\.Default\software\microsoft\internet explorer\typeURLs保存IE瀏覽器地址欄中輸入的URL地址列表信息。清除文檔菜單時將被清空。 Hkey_users\.Default\so..\Mi..\wi..\currentVersion\ex..\menuOrder\startMenu 保留程序菜單排序信息。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU 保存“開始 * 運行...“中運行的程序列表信息。清除文檔菜單時將被清空。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\ecentDocs 保存最近使用的十五個文檔的快捷方式(刪除掉可解決文檔名稱重復的毛病)，清除文檔菜單時將被清空。 Hkey_local_machine\software\microsoft\windows\currentVersion\uninstall 保存已安裝的Windows應用程序卸載信息。 hkey_users\.default\software\microsoft\windows\currentVersion\applets 保存Windows應用程序的紀錄數(shù)據(jù)。 Hkey_local_machine\system\CurrentControlSet\services\class 保存控制面板-增添硬件設備-設備類型目錄。 Hkey_local_machine\system\CurrentControlSet\control\update 立即刷新設置。值為00設置為自動刷新，01設置為手工刷新[在資源管理器中按F5刷新]。 HKEY_CURRENT_USER\Control Panel\Desktop 新建串值名MenuShowDelay=0 可使“開始”菜單中子菜單的彈出速度提高。新建串值名MinAnimate，值為1啟動動畫效果開關(guān)窗口，值為0取消動畫效果。 Hkey_local_machine\software\microsoft\windows\currentVersion\run 保存由控制面板設定的計算機啟動時運行程序的名稱，其圖標顯示在任務條右邊。[啟動文件夾程序運行時圖標也在任務條右邊]。 hkey_users\.default\software\microsoft\windows\currentVersion\run保存由用戶設定的計算機啟動時運行程序的名稱，其圖標顯示在任務條右側(cè)。 HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon 默認圖片的圖標。雙擊窗口右側(cè)的字符串，在打開的對話框中刪除原來的鍵值，輸入%1。重新啟動后，在“我的電腦”中打開Windows目錄，選擇“大圖標“，然后你看到的Bmp文件的圖標再也不是千篇一律的畫板圖標了，而是每個Bmp文件的略圖。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ Policies\ Ratings 保存IE4.0中文版“安全”*“分級審查”中設置的口令(數(shù)據(jù)加密)。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ explorer\ desktop\nameSpace保存桌面中特殊的圖標,如回收站、收件箱、MS Network等。 注冊表中設有若干保護層，保護這些文件中的數(shù)據(jù)。所有注冊表文件均以加密的二進制格式存儲，如果沒有相應的工具和用戶授權(quán)，就無法讀取這些文件，使用純文本編輯器是無法進入注冊表的，也就是說，通過類似于Editor的編輯器是不能直接編輯User.dat和System.dat文件的。 注冊表文件標有只讀或隱藏的系統(tǒng)文件之類的標記，防止被無意刪除或發(fā)現(xiàn)。此外，即使擁有管理員權(quán)限也無法刪除注冊表文件，用戶可以通過注冊表編輯器（Registry Editor）查看和編輯注冊表，通過它可以修改系統(tǒng)低層的配置。 10 文件系統(tǒng) 文件系統(tǒng)介紹 文件系統(tǒng)就是在硬盤上存儲信息的格式。Windows 2000 Professional支持使用 NTFS文件系統(tǒng)和文件分配表文件系統(tǒng)（FAT或FAT32）。NTFS具有FAT文件系統(tǒng)的所有基本功能，并且提供FAT或FAT32文件系統(tǒng)所沒有的優(yōu)點。 NTFS支持WindowsNT的所有優(yōu)點。這些優(yōu)點中最重要的是WindowsNT的安全性。與NTFS文件系統(tǒng)相結(jié)合，能夠指定誰能訪問某一文件或目錄和對它作什么操作。在創(chuàng)建一個文件時，可以通知WindowsNT，哪些用戶可以讀該文件，哪些用戶可以修改該文件；另外，還可以指定誰可以列出一個目錄的內(nèi)容和誰可以在該目錄下增加文件。即使用戶知道文件的路徑，仍可以禁止訪問目錄中的文件，只有NTFS分區(qū)中的文件才有這種稱為任意訪問控制的能力。 NTFS的第二個優(yōu)點是它具有先進的容錯能力。NTFS使用一種稱為事務(transaction)登錄的技術(shù)跟蹤對磁盤的修改，因此，NTFS可以在幾秒鐘內(nèi)恢復錯誤而不是HPFS的幾分鐘或幾小時（取決于HPFS分區(qū)的大?。?。 NTFS的第三個優(yōu)點是其文件不易受到病毒和系統(tǒng)崩潰的侵襲，這種抗干擾直接源于WindowsNT操作系統(tǒng)的高度安全性能。即使在FAT和NTFS兩種文件系統(tǒng)在一個磁盤中并存時，由于NTFS文件系統(tǒng)只能被WindowsNT識別，一般的病毒還是很難在NTFS文件系統(tǒng)中找到生存空間。 對于大分區(qū)，NTFS比FAT和HPFS效率都高，F(xiàn)AT和HPFS比NTFS需要更多的空間來存儲文件系統(tǒng)用于管理硬盤上文件和目錄的信息。 此外，由于NTFS文件系統(tǒng)支持長文件名，人們給文件命名時現(xiàn)也不需受8.3命名規(guī)則限制，從而可以給文件起一個反映其意義的文件名。NTFS支持向下兼容，甚至可以從新的長文件名中產(chǎn)生老式的短文件名。當文件寫入可移動媒體（如軟盤）時，它自動采用FAT文件名FAT文件系統(tǒng)。 實際上NTFS的主要弱點是它只能被WindowsNT所識別。NTFS文件系統(tǒng)可以存取FAT文件系統(tǒng)和HPFS文件系統(tǒng)的文件，但其文件卻不能被FAT文件系統(tǒng)和HPFS文件系統(tǒng)所存取，兼容性不是特別好。但從網(wǎng)絡安全性的角度來說，這種限制也是一種優(yōu)點，它可以保證如果其它操作系統(tǒng)沒有Windows的安全控制，其用戶就不能對NTFS分區(qū)中的文件進行訪問。另外，如果引導驅(qū)動器（也就是C驅(qū)動器）使用NTFS文件系統(tǒng)，就不能使用Flexboot選項，因為DOS系統(tǒng)只能從C驅(qū)動器引導，但不能從NTFS驅(qū)動器引導。相對WindowsNT來說，它的引導分區(qū)可以是FAT、NTFS和HPFS。最后它還存在一個問題，那就是即使使用WindowsNT驅(qū)動程序，許多備份實用程序在操作NTFS分區(qū)時仍有問題。