第5章Windows操作系统的安全机制.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 18 2018/9/27
全局编录
全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外, 全局编录还存储了每个对象最常用的一些可搜 索的属性。 全局编录担当了以下目录角色: 查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息
第5章 Windows操作系统的安全机制
5.1
Windows操作系统的安全性概述 Active Directory的结构与功能
5.2
5.3
Active Directory组策略
5.4
用户和工作组的安全管理 审核机制
2018/9/27
5.5
Page 1
5.1 Windows操作系统的安全性概述
5.1.1 Windows操作系统概述
Page 24 2018/9/27
5.3.2 组策略的创建
1.组策略配置设置 组策略可以设置的策略如下。 (1)软件安装 (2)管理模板 (3)脚本 (4)安全性 (5)文件夹重定向
Page 25 2018/9/27
2.组策略对象的构成 3.创建组策略对象 4.创建未连接的组策略对象 5.组策略对象链接
Page 20 2018/9/27
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访
问控制集成在Active Directory之中。 通过单点网络登录,管理员可以管理分散在 网络各处的目录数据和组织单位,经过授权 的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及 用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号,管 理员得以更加有效地管理系统的安全性。
用于企业级网络的Kerberos
公钥验证协议
安全套接字层 IP的安全性
(SSL) / 传输层安全 (TLS)
Active
Page 8
Directory身份验证的多种方式
2018/9/27
5.1.5 Windows 2000的网络模式
1.工作组模式:是一种简单的网络模式, 各个工作站的用户通过加入一个用户组共 享资源。 2.域模式:在此模式中,用户账号数据库 和计算机策略是以共享方式存储的。 3.安全限制:系统在共享级访问控制和用 户级访问控制方面是安全的,因为其有严 格的登录要求。
Page 11
2018/9/27
MMC 控制台窗口 Windows 2000的MMC控制台窗口由两个窗 格组成,左窗格称为控制台目录树,右窗格则称 为结果窗格,如下图所示的“组件服务”控制台 窗口。 控制台目录树显示给定控制台中可用的项目, 结果窗格则包含有关这些项目功能的信息。在控 制台目录树中,当用户单击不同项目时,结果窗 格中的信息将相应改变,结果窗格可以显示很多 类型的信息,包括网页、图形、图表、表格和列 表等。
2018/9/27
5.2 Active Directory的结构与功能
Active Directory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对 象的信息,例如用户、组、计算机、共 享资源、打印机和联系人等,并且让管 理员和用户能够轻松地查找和使用这些 信息。
Page 9 2018/9/27
5.1.6 Windows 2000安全管理工具
1 .Microsoft 管理控制台( MMC):是指进行系 统维护的各种管理工具工作的地方,通过它用户可 以创建、保存和打开用于管理硬件、软件和 Windows 系统组件的工具。 MMC 本身不执行管 理功能,但可以接纳执行各种系统功能的工具, 可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任 务。 用户使用 MMC 有两种方法,第一种是在用 户模式下使用现有的 MMC 控制台管理系统,第 二种是在作者模式下创建新控制台和修改现有的 MMC控制台。
Microsoft公司从1983年开始研制Windows系 统,最初的研制目标是在MS-DOS的基础上提供 一个多任务的图形用户界面 。 第一个版本的Windows 1.0于1985年问世,它 是一个具有图形用户界面的系统软件。1987年推 出了Windows 2.0版,最明显的变化是采用了相互 叠盖的多窗口界面形式 。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功 确定了Windows系统在PC领域的垄断地位 。现今 流行的 Windows 窗口界面的基本形式也是从 Windows 3.0开始基本确定的 。
Page 23 2018/9/27
•安全设置:组策略管理员可以限制用户访 问文件和文件夹 。
管理模板:包括基于注册表的组策略,可以利用它
来强制注册表设置,控制桌面的外观和状态,包括 操作系统组件和应用程序。 远程安装服务(RIS):当运行用户安装向导时, 控制显示给用户的RIS安装选项。 文件夹重定向:可以重定向Windows Server 2000指 定的文件夹从用户配置文件缺省位置到另一个网络 位置,从而对这些文件夹集中管理 。
Page 21 2018/9/27
5.3 Active Directory组策略
5.3.1 组策略简介
组策略(GP)提供进一步控制和集中管理 用户桌面环境的功能。组策略是一组配置 设置,组策略管理员应用于活动目录存储 中的一个或多个对象,也可以控制域中用 户的工作环境。 组策略还授予用户和组权 力。
Page 16 2018/9/27
5.2.1 Active Directory的功能和特 点
1.高度的集成性 2.集成的安全性 3.自定义的用户环境 4 . Active Directory 与域名系统( Domain Name System,DNS)高度集成 5 . Active Directory 可 直 接 支 持 Lightweight Directory Access Protocol (LDAP) 及 Hypertext Transfer Protocol (HTTP) 6.Active Directory支持许多常用的标准名称格式 7.服务配置 8.支持目录的应用程序和软件安装
Page 28
2018/9/27
组策略模板
组策略模板(GRT)是包含在域控制 器的 %systemroot%\SYSVOL\sysvol\<domain_na me>\Policies文件夹下的文件夹结构。 GPT是存储管理模板、安全设置、脚 本文件和软件设置的组策略设置信息的容 器。
Page 29 2018/9/27
Page 17 2018/9/27
5.2.2 Active Directory组件
1.名称空间和命名环境 2.Active Directory中的对象和对象名称 3.全局编录 4.架构 5.域 6.域目录树和目录林 7.组织单位(Organizational Unit, OU) 8.组策略 9.站点
Page 5 2018/9/27
5.1.3 Windows 2000的安全特性
1.安全利益 2.数据安全性 用户登录时的安全性 使用VPN保护网络数据 存储数据的保护 3.企业间通信的安全性 在目录服务中创建专门为外部企业开设的用户 账号 建立域之间的信任关系 公用密钥体制
Page 6 2018/9/27
Page 26
2018/9/27
5.3.3 管理组策略
1.默认权限 2.委派组策略的控制权 3.Microsoft 管理控制台的策略 4.使用安全组筛选组策略 5.使用组策略控制组策略 6.添加模板
Page 27
2018/9/27
5.3.4 应用组策略
1.处理组策略 2.刷新组策略 3.解决冲突的组策略 4.组策略的继承关系
4.企业和Internet的单点安全登录 5ห้องสมุดไป่ตู้易用的管理性和高扩展性 6.其他的安全特性 加密应用程序编程接口 设备驱动程序签名
Page 7
2018/9/27
5.1.4 Windows 2000的安全结构
一个安全模型
共享密钥协议
Windows
NTLM身份验证 V5
NTLM – Windows NT LAN管理器
Page 12
2018/9/27
Page 13
2018/9/27
添加/删除管理单元 为了便于统一管理和增强控制台的功能, 用户可以向控制台添加管理单元。但有时, 某一项控制台管理单元的功能可能不再为 用户所使用,这时用户可以将它删除。 步骤:A. 启动MMC,在“运行”菜单输入 mmc.exe,此时打开一个空白的MMC。 B. 选择“控制台”—“添加/删除管理单 元”,打开对话框,选择独立(或扩展)管 理单元类型。
Page 3 2018/9/27
5.1.2 Windows XP的安全特性
1.适合需要的文件系统 Windows XP支持3种文件系统,即NTFS、 FAT16和FAT32。 2.保护系统免受病毒侵害 系统中的软件限制策略,可以避免计算机 感染病毒和其他通过电子邮件和 Internet 传 播的恶意代码。
Page 2 2018/9/27
接下来是Windows 9X系列,包括Windows Me, Windows 9X的系统是一种16位/32位混合源代码的准 32位操作系统,故不稳定。 Windows 2000是发行于1999年12月19日的32位 图形商业性质的操作系统。Windows xp是微软公司 发布的一款视窗操作系统。它发行于2001年8月25日。 Windows Server 2003是目前微软推出的使用最广泛 的服务器操作系统,于2003年3月28日发布。 Windows Vista已在2006年11月30日发布。 Windows 7是微软的下一代操作系统,正式版已于 2009年10月23日发布。据国外媒体报道,日前有消 息称Windows 8计划的发布将是2012年下半年 。
Page 10 2018/9/27
Windows 2000可以创建一个或多个 “控制台”,这些控制台内可以包含一个 或多个的管理单元。所有这些特性都能被 远程计算机使用,并允许管理员从同一网 络上的任何其他计算机上修复和配置其中 的某台计算机。“管理控制台”和“管理 单元”帮助用户更容易地管理本地或远程 计算机。
Page 14
2018/9/27
C. 打开“管理单元列表”对话框,选定其 中一个(例如:事件查看器)管理单元。 D. 打开“选择计算机”对话框,选择事件 查看器将监视哪一台计算机(可选择远程 计算机),此处选择本地计算机。 E. 完成后可在“程序”—“管理工具”查看 到新建的管理单元。
Page 15
Page 22 2018/9/27
组策略优点
(1)保护用户环境 (2)增强用户环境
自动安装应用程序到用户的“开始”菜单。
启动应用程序分发,方便用户在网络上找到并
安装相应应用程序。 安装文件或快捷方式到网络上相应位置或用户 计算机上的特定文件夹。 当用户登录或注销、计算机启动或关闭时自动 执行任务或应用程序。 重定向文件夹到网络位置增强数据可靠性。
组策略包括:计算机配置、用户配置 其组策略包含以下内容: 1)管理模板:包括Windows组件、网络、 桌面以及任务栏和开始菜单等相关的策略。 2)Windows设置:包括脚本、安全设置 (用户策略和本地策略)等相关的策略。 3)软件设置:包括软件安装策略,可以 进行应用程序的指派与发布。
Page 4 2018/9/27
3.在连接Internet期间保证系统安全 Internet协议安全 Kerberos V5身份验证协议 Internet连接防火墙 Cookie管理 4.使用智能卡增强安全性 使用智能卡可存储证书和私钥并实现公钥 操作,比如身份验证、数字签名和密钥交 换,Windows xp允许在安装了相应硬件和 软件的计算机上充分利用智能卡的优点。
Page 19
2018/9/27
域:是网络对象的集合,这些对象可以包 括组织单元、用户、组和计算机,它们都 共享与安全性有关的公用目录数据库。它 是Active Directory的基础,是其逻辑体系 结构的核心单元。
组策略:它提供了将安全性和配置设置组 合为模板的能力,可将这种模板应用于单 独的系统和域。
全局编录
全局编录是一台存储了森林中所有Active Directory对象的一个副本的域控制器。此外, 全局编录还存储了每个对象最常用的一些可搜 索的属性。 全局编录担当了以下目录角色: 查找对象 提供了根据用户主名的身份验证 在多域环境下提供通用组的成员身份信息
第5章 Windows操作系统的安全机制
5.1
Windows操作系统的安全性概述 Active Directory的结构与功能
5.2
5.3
Active Directory组策略
5.4
用户和工作组的安全管理 审核机制
2018/9/27
5.5
Page 1
5.1 Windows操作系统的安全性概述
5.1.1 Windows操作系统概述
Page 24 2018/9/27
5.3.2 组策略的创建
1.组策略配置设置 组策略可以设置的策略如下。 (1)软件安装 (2)管理模板 (3)脚本 (4)安全性 (5)文件夹重定向
Page 25 2018/9/27
2.组策略对象的构成 3.创建组策略对象 4.创建未连接的组策略对象 5.组策略对象链接
Page 20 2018/9/27
Active Directory和安全性
安全性通过登录身份验证以及目录对象的访
问控制集成在Active Directory之中。 通过单点网络登录,管理员可以管理分散在 网络各处的目录数据和组织单位,经过授权 的网络用户可以访问网络任意位置的资源。 Active Directory通过对象访问控制列表以及 用户凭据保护其存储的用户帐号和组信息。 Active Directory允许管理员创建组帐号,管 理员得以更加有效地管理系统的安全性。
用于企业级网络的Kerberos
公钥验证协议
安全套接字层 IP的安全性
(SSL) / 传输层安全 (TLS)
Active
Page 8
Directory身份验证的多种方式
2018/9/27
5.1.5 Windows 2000的网络模式
1.工作组模式:是一种简单的网络模式, 各个工作站的用户通过加入一个用户组共 享资源。 2.域模式:在此模式中,用户账号数据库 和计算机策略是以共享方式存储的。 3.安全限制:系统在共享级访问控制和用 户级访问控制方面是安全的,因为其有严 格的登录要求。
Page 11
2018/9/27
MMC 控制台窗口 Windows 2000的MMC控制台窗口由两个窗 格组成,左窗格称为控制台目录树,右窗格则称 为结果窗格,如下图所示的“组件服务”控制台 窗口。 控制台目录树显示给定控制台中可用的项目, 结果窗格则包含有关这些项目功能的信息。在控 制台目录树中,当用户单击不同项目时,结果窗 格中的信息将相应改变,结果窗格可以显示很多 类型的信息,包括网页、图形、图表、表格和列 表等。
2018/9/27
5.2 Active Directory的结构与功能
Active Directory是一个与Windows 2000集成在一起的目录服务。 Active Directory存储了有关网络对 象的信息,例如用户、组、计算机、共 享资源、打印机和联系人等,并且让管 理员和用户能够轻松地查找和使用这些 信息。
Page 9 2018/9/27
5.1.6 Windows 2000安全管理工具
1 .Microsoft 管理控制台( MMC):是指进行系 统维护的各种管理工具工作的地方,通过它用户可 以创建、保存和打开用于管理硬件、软件和 Windows 系统组件的工具。 MMC 本身不执行管 理功能,但可以接纳执行各种系统功能的工具, 可在MMC中添加的插件包括管理工具、Active X 控制、链接到网页、文件夹、控制台任务板和任 务。 用户使用 MMC 有两种方法,第一种是在用 户模式下使用现有的 MMC 控制台管理系统,第 二种是在作者模式下创建新控制台和修改现有的 MMC控制台。
Microsoft公司从1983年开始研制Windows系 统,最初的研制目标是在MS-DOS的基础上提供 一个多任务的图形用户界面 。 第一个版本的Windows 1.0于1985年问世,它 是一个具有图形用户界面的系统软件。1987年推 出了Windows 2.0版,最明显的变化是采用了相互 叠盖的多窗口界面形式 。1990年推出Windows 3.0是一个重要的里程碑,它以压倒性的商业成功 确定了Windows系统在PC领域的垄断地位 。现今 流行的 Windows 窗口界面的基本形式也是从 Windows 3.0开始基本确定的 。
Page 23 2018/9/27
•安全设置:组策略管理员可以限制用户访 问文件和文件夹 。
管理模板:包括基于注册表的组策略,可以利用它
来强制注册表设置,控制桌面的外观和状态,包括 操作系统组件和应用程序。 远程安装服务(RIS):当运行用户安装向导时, 控制显示给用户的RIS安装选项。 文件夹重定向:可以重定向Windows Server 2000指 定的文件夹从用户配置文件缺省位置到另一个网络 位置,从而对这些文件夹集中管理 。
Page 21 2018/9/27
5.3 Active Directory组策略
5.3.1 组策略简介
组策略(GP)提供进一步控制和集中管理 用户桌面环境的功能。组策略是一组配置 设置,组策略管理员应用于活动目录存储 中的一个或多个对象,也可以控制域中用 户的工作环境。 组策略还授予用户和组权 力。
Page 16 2018/9/27
5.2.1 Active Directory的功能和特 点
1.高度的集成性 2.集成的安全性 3.自定义的用户环境 4 . Active Directory 与域名系统( Domain Name System,DNS)高度集成 5 . Active Directory 可 直 接 支 持 Lightweight Directory Access Protocol (LDAP) 及 Hypertext Transfer Protocol (HTTP) 6.Active Directory支持许多常用的标准名称格式 7.服务配置 8.支持目录的应用程序和软件安装
Page 28
2018/9/27
组策略模板
组策略模板(GRT)是包含在域控制 器的 %systemroot%\SYSVOL\sysvol\<domain_na me>\Policies文件夹下的文件夹结构。 GPT是存储管理模板、安全设置、脚 本文件和软件设置的组策略设置信息的容 器。
Page 29 2018/9/27
Page 17 2018/9/27
5.2.2 Active Directory组件
1.名称空间和命名环境 2.Active Directory中的对象和对象名称 3.全局编录 4.架构 5.域 6.域目录树和目录林 7.组织单位(Organizational Unit, OU) 8.组策略 9.站点
Page 5 2018/9/27
5.1.3 Windows 2000的安全特性
1.安全利益 2.数据安全性 用户登录时的安全性 使用VPN保护网络数据 存储数据的保护 3.企业间通信的安全性 在目录服务中创建专门为外部企业开设的用户 账号 建立域之间的信任关系 公用密钥体制
Page 6 2018/9/27
Page 26
2018/9/27
5.3.3 管理组策略
1.默认权限 2.委派组策略的控制权 3.Microsoft 管理控制台的策略 4.使用安全组筛选组策略 5.使用组策略控制组策略 6.添加模板
Page 27
2018/9/27
5.3.4 应用组策略
1.处理组策略 2.刷新组策略 3.解决冲突的组策略 4.组策略的继承关系
4.企业和Internet的单点安全登录 5ห้องสมุดไป่ตู้易用的管理性和高扩展性 6.其他的安全特性 加密应用程序编程接口 设备驱动程序签名
Page 7
2018/9/27
5.1.4 Windows 2000的安全结构
一个安全模型
共享密钥协议
Windows
NTLM身份验证 V5
NTLM – Windows NT LAN管理器
Page 12
2018/9/27
Page 13
2018/9/27
添加/删除管理单元 为了便于统一管理和增强控制台的功能, 用户可以向控制台添加管理单元。但有时, 某一项控制台管理单元的功能可能不再为 用户所使用,这时用户可以将它删除。 步骤:A. 启动MMC,在“运行”菜单输入 mmc.exe,此时打开一个空白的MMC。 B. 选择“控制台”—“添加/删除管理单 元”,打开对话框,选择独立(或扩展)管 理单元类型。
Page 3 2018/9/27
5.1.2 Windows XP的安全特性
1.适合需要的文件系统 Windows XP支持3种文件系统,即NTFS、 FAT16和FAT32。 2.保护系统免受病毒侵害 系统中的软件限制策略,可以避免计算机 感染病毒和其他通过电子邮件和 Internet 传 播的恶意代码。
Page 2 2018/9/27
接下来是Windows 9X系列,包括Windows Me, Windows 9X的系统是一种16位/32位混合源代码的准 32位操作系统,故不稳定。 Windows 2000是发行于1999年12月19日的32位 图形商业性质的操作系统。Windows xp是微软公司 发布的一款视窗操作系统。它发行于2001年8月25日。 Windows Server 2003是目前微软推出的使用最广泛 的服务器操作系统,于2003年3月28日发布。 Windows Vista已在2006年11月30日发布。 Windows 7是微软的下一代操作系统,正式版已于 2009年10月23日发布。据国外媒体报道,日前有消 息称Windows 8计划的发布将是2012年下半年 。
Page 10 2018/9/27
Windows 2000可以创建一个或多个 “控制台”,这些控制台内可以包含一个 或多个的管理单元。所有这些特性都能被 远程计算机使用,并允许管理员从同一网 络上的任何其他计算机上修复和配置其中 的某台计算机。“管理控制台”和“管理 单元”帮助用户更容易地管理本地或远程 计算机。
Page 14
2018/9/27
C. 打开“管理单元列表”对话框,选定其 中一个(例如:事件查看器)管理单元。 D. 打开“选择计算机”对话框,选择事件 查看器将监视哪一台计算机(可选择远程 计算机),此处选择本地计算机。 E. 完成后可在“程序”—“管理工具”查看 到新建的管理单元。
Page 15
Page 22 2018/9/27
组策略优点
(1)保护用户环境 (2)增强用户环境
自动安装应用程序到用户的“开始”菜单。
启动应用程序分发,方便用户在网络上找到并
安装相应应用程序。 安装文件或快捷方式到网络上相应位置或用户 计算机上的特定文件夹。 当用户登录或注销、计算机启动或关闭时自动 执行任务或应用程序。 重定向文件夹到网络位置增强数据可靠性。
组策略包括:计算机配置、用户配置 其组策略包含以下内容: 1)管理模板:包括Windows组件、网络、 桌面以及任务栏和开始菜单等相关的策略。 2)Windows设置:包括脚本、安全设置 (用户策略和本地策略)等相关的策略。 3)软件设置:包括软件安装策略,可以 进行应用程序的指派与发布。
Page 4 2018/9/27
3.在连接Internet期间保证系统安全 Internet协议安全 Kerberos V5身份验证协议 Internet连接防火墙 Cookie管理 4.使用智能卡增强安全性 使用智能卡可存储证书和私钥并实现公钥 操作,比如身份验证、数字签名和密钥交 换,Windows xp允许在安装了相应硬件和 软件的计算机上充分利用智能卡的优点。
Page 19
2018/9/27
域:是网络对象的集合,这些对象可以包 括组织单元、用户、组和计算机,它们都 共享与安全性有关的公用目录数据库。它 是Active Directory的基础,是其逻辑体系 结构的核心单元。
组策略:它提供了将安全性和配置设置组 合为模板的能力,可将这种模板应用于单 独的系统和域。