实验4-2 信息资源管理的技术基础- Windows的安全机制

实验4-2 信息资源管理的技术基础- Windows的安全机制

1. 背景知识

本实验通过使用和设置Windows的安全机制，帮助读者回顾和加深了解现代操作系统的安全机制和特性。

(1) 安全特性

Windows为用户提供了一套广泛的安全性防卫措施，以确保系统能够阻止非法访问、故意破坏和错误操作等的侵害。

1) 安全区域。在计算机领域，网络操作系统的安全性定义为用来阻止未授权用户的使用、访问、修改或毁坏，也就是对客户的信息进行保密，以防止他人的窥视和破坏。通常所说的数据安全大部分是指数据在网络上的安全。

如果将网络按区域划分，可分为4大区域。

本地企业网区域：该区域包括不需要代理服务器的地址，其中包含的地址由系统管理员用Internet Explorer管理工具包定义。本地企业网区域的默认安全级为中级。

可信站点区域：该区域包含可信的站点，即可以直接从该站点下载或运行文件而不用担心会危害到用户的计算机或数据的安全，因此用户可以将某些站点分配到该区域。可信站点区域的默认安全级为低级。

受限站点区域：该区域包括不可信站点，即不能确认下载或运行程序是否会危害到用户的计算机或数据，用户也可以将某些站点分配到该区域。受限站点区域的默认安全级别为高级。

Internet区域：在默认情况下，该区域包括用户的计算机或Internet上的全部站点，Internet区域的默认安全级别为中级。

另外，本地计算机上所有文件都认为是安全的，不需进行安全设置。这样，打开和运行本机上的文件和程序时不会出现任何提示，而且用户也无法将本机上的文件夹或驱动器分配到所谓安全区域。

2) 安全模型。Windows安全模型的主要特性是用户验证和访问控制。

用户验证：它检查尝试登录到域或访问网络资源的所有用户的身份。

基于对象的访问控制：允许管理员控制对网络中资源或对象的访问。管理员通过对存储在活动目录中的对象指定安全描述符的方式来执行访问控制。安全描述符将列出获得访问许可权限的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定了针对对象审核的各类访问事件，对象实例包括文件、打印机和服务等。通过管理对象属性，管理员可以设置权限、指定所有权和监视用户访问。

活动目录和安全性：活动目录通过使用对象的访问控制和用户凭据提供用户账户和组信息的保护存储。由于活动目录不仅存储用户凭据，还包括访问控制信息，所以登录到网络的用户可同时获得访问系统资源的验证和授权。

3) 公用密钥。公用密钥加密技术是保证认证和完整性的安全质量最高的加密方法，是用来确定某一特定电子文档，确认其是否来自于某一特定客户机的最佳系统。公用密钥基本系统简称DKI，是一个进行数字认证、证书授权和其他注册授权的系统。

通过公用系统密钥基本体系，管理员验证访问信息人员的身份，并在验证身份的前提下控制其访问信息的范围，在组织中方便安全地分配和管理识别凭据等安全问题。

Windows公用密钥基本体系的组件包括：

证书：一个由权威部门颁布的电子声明，其作用在于担保证书持有者的身份，证书将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起，供各种公用密钥安全服务和应用程序使用，并在诸如Internet等非安全网上提供验证数据完整性和安全通信的程序。

智能卡支持：Windows支持智能卡上的证书登录，同时还支持使用智能卡存储用户上网证书、安全E-Mail和其他与公用密钥密码活动相关的证书。智能卡是一种为一系列任务提供安全解决方案的方法，其中包括了客户机验证、登录到Windows域、代码签名和保护E-Mail等安全机制。

公用密钥策略：公用密钥策略可使用Windows的组策略向计算机自动颁发证书，建立证书信任列表和公用委托证书颁发机构，此外还可以管理加密文件系统的恢复策略。

4) 数据保护。数据的保密性和完整性从网络验证开始，用户可以使用正确的凭据登录到网络，并在该过程中获得访问存储数据的权限。

Windows支持两种数据保护类型——存储数据和网络数据：

存储数据保护：用户可以使用加密文件系统(EFS) 和数字签名方法存储数据。

网络数据保护：站点内的网络数据由验证协议保护。用户可以用来保护传入和传出站点网络数据的实用工具包括：IP Security、路由和远程访问、代理服务器。

(2) 账户和组的安全性

在Windows计算机上建立安全体系需要一个管理员。管理员为访问Windows计算机的用户建立账户，否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特权都由他所在的组决定。

在域内建立安全体系需要域管理员。域管理员首先需要为用户和计算机建立账户，然后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括进哪一个安全策略之中，并将这些操作的结果放进安全策略数据库。

在Windows中，组内可以包含任何用户、计算机和组账户，而不用顾及这些用户和账户在域目录中的什么位置。另外，动态目录服务把域详细地划分成组织单元(OU) ，分别管理域中的一些用户、计算机、组、文件和打印机等资源对象。

(3) 域的安全性

域在活动目录中是用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥有与其他域相关的安全策略和安全关系。域提供以下便利：

1) 两个不同域的安全策略和设置(诸如管理权限和访问控制列表) 不能相互交叉。

2) 分派管理权限消除了需要大量具有广泛管理权限的管理员的必要。

3) 将对象分成不同的组放入域中有助于在网络中反映公司的组织结构。

4) 每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩展成数量庞大的对象。

域通常分为两种类型：主域(存储用户和组账户) 和资源域(存储文件、打印机、应用服务等等) 。在这种多域计算环境中，资源域需要具有所有主域的多委托关系。这些委托关系允许主域中的用户访问资源域中的资源。

(4) 文件系统的安全性

Windows推荐使用的NTFS文件系统提供了FAT和FAT32文件系统所没有的全面的性能、可靠性和兼容性。NTFS文件系统的设计目标就是能够在很大的硬盘上很快地执行诸如读、写和搜索这样的标准文件操作，甚至包括像文件系统恢复这样的高级操作。NTFS文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据完整性的数据访问控制和私有权限。除了可以赋予Windows计算机中的共享文件夹特定权限外，NTFS文件和文件夹无论共享与否都可以赋予权限。