第十章WindowsServer2003操作系统的安全性

第十章WindowsServer2003操作系统的安全性本章学习要求：掌握安装WindowsServer2003系统的基本过程；掌握在计算机上创建活动目录，并管理域内计算机的方法；掌握利用NTFS实现文件系统的安全；掌握数据备份、还原的方法；熟悉WindowsServer2003系统的基本安全配置过程。10.2WindowsServer2003活动目录介绍与配置10.2.1活动目录概念介绍（1）活动目录的概念活动目录主要体现在以下四个方面。活动目录中对象的数目是没有限制的。活动目录中对象的属性可以增加。可以方便的添加或删除域。10.2WindowsServer2003活动目录介绍与配置利用活动目录管理网络资源有以下特点：（1）方便组织资源（2）方便信息组织和查找（3）方便集中管理和分布管理相结合的资源访问的分级管理。目录服务的功能组织管理控制资源集中管理单点管理单点登陆可访问所有的目录服务资源目录服务的功能组织管理控制资源集中管理单点管理单点登陆可访问所有的目录服务资源ActiveDirectory（2）活动目录对象的概念简单来说，在活动目录中可以被管理的一切资源都称为活动目录对象。（3）活动目录域的概念域（Domain）是WindowsServer2003活动目录逻辑结构的核心单元，是活动目录对象存储的地方。是活动目录的核心单元，是一个容器对象，是一组用户、计算机及安全信息的容器，这些对象有相同的安全管理要求。活动目录中采用DNS域名来对域进行标记，如lqc.edu.cn；活动目录为每个域建立一个目录数据库用来存储用于这个域的对象。（3）活动目录域的概念域是安全的边界用户在自己的域中进行身份验证；除非管理员得到其他域的明确授权，否则域管理员只能在该域内有必要的管理权限（3）活动目录域的概念域是一个复制单元（3）活动目录域的概念信任关系两个域之间安全信息的通信连接，WindowsServer2003内置完成。(是安全信息，不是一般信息）（4）活动目录域树的概念域树（DomainTree）是由一组具有连续命名空间的域组成。（5）活动目录中的森林的概念森林（Forest）是一组彼此互联的域树，每棵域树独享连续的命名空间，不同域树之间没有命名空间的连续性。（6）组织单位（OU）组织单位（OU）是活动目录中一个特殊容器，它可以把用户、组、计算机和打印机等对象组织起来。（7）域控制器域控制器（DC）实际上是存储活动目录的地方，用来管理用户登录进程、验证和目录搜索的任务。（8）站点站点（Site）一般与地理位置相对应，它由一个或几个物理子网组成。创建站点的目的是为了优化DC之间复制的通信量。站点的特点如下：一个站点可以有一个或多个网段。一个站点中可以有一个或多个域。一个域可以属于多个站点。使用NTFS实现文件安全NTFS权限是用来控制用户对该文件或文件夹的访问权。利用NTFS权限可以控制用户帐号和组对文件夹、文件的访问NTFS权限仅适用于NTFS分区NTFS对分区，文件夹，文件都起作用访问控制列表（AccessControlList）每个文件和文件夹都维护一个访问控制列表（ACL）ACL对用户来讲是不可见的。使用NTFS实现文件安全NTFS文件夹的权限ListFolderContents||Read||Write||Modify||Read&Execute||FullControl读取：允许用户查看该文件夹内的所有子文件夹和子文件，包括它们的属性、所有权和权限等。写入：允许用户在该文件夹内添加子文件或文件夹，更改文件夹的属性、权限和所有权等。列出文件夹目录：在读取权限的基础上增加了浏览文件夹的权限，以便访问子文件夹。读取和运行：和列出文件夹目录基本相同，不同的是列出文件夹目录只能被子文件夹继承，而“读取和运行”既可以被文件夹继承又可以被文件继承。修改：允许用户删除子文件或文件夹。完全控制：获得上述所有权限，即具备了所有NTFS权限。NTFS权限的设置对于一个NTFS分区上的文件夹或者文件，用右键单击该文件，在弹出的菜单中选择“属性”命令，在随后出现的“属性”对话框中，选择“安全”选项卡，就可以在此界面上进行NTFS权限设置。如图10-30所示。下面从两方面进行介绍如何设置NTFS权限：（1）添加/删除用户和组图10-30NTFS权限设置界面1图10-31NTFS权限设置界面2（2）为用户和组设置权限在图10-31的界面上选中刚添加的用户或者组，在下面的对话框中选择相应的NTFS权限。在这个对话框中看到的都是NTFS标准权限，每一种权限都可以设置为“允许”或者“拒绝”两种访问，这种不可编辑的选项继承自该用户或组对该文件或文件夹所在上一级文件夹的NTFS权限，如果需要进一步设置NTFS权限，可以在图10-31的界面上单击“高级”按钮，在弹出的对话框中进行设置，如图10-32所示。图10-32权限高级安全设置界面。设置NTFS权限的基本原则（1）权限最大化：用户对于某个对象的NTFS权限追求最大化原则，所有可获得权限的和总和是其最后权限。（2）拒绝权最大化：在NTFS权限设置中，一个用户对某个对象的权限是其所有权限的综合，但是如果存在拒绝权限，则拒绝权限将覆盖其他相应的权限。（3）继承原则：在一个文件夹或文件未被进行NTFS权限设置时，其默认NTFS权限由其所在的文件夹继承而来。在图10-32所示的界面上有两个复选框用于对继承关系的操作：图10-33修改NTFS权限的应用范围NTFS文件加密在WindowsServer2003的NTFS的磁盘分区上可以利用“加密文件系统”对文件或文件夹进行加密，加密后的文件或文件夹只有对其进行加密操作的用户或者被授权的其他用户可以访问，从而提高了安全性。在图10-31界面上，选择“常规”选项卡，在单击“高级”按钮，将弹出如图10-34所示的“高级属性”对话框。将“加密内容以便保存数据”选中并单击“确定”按钮退出该对话框，在“属性”对话框中单击“应用”按钮，在弹出的对话框有两个复选框，分别是“仅将更改应用于该文件夹”和“将更改应用于该文件夹、子文件夹和文件”，根据情况选择其一，连续单击“确定”按钮，加密操作就实现了。图10-34高级属性界面10.4.3WindowsServer2003实现灾难恢复10.4.3.1数据备份下面基于WindowsServer2003来介绍一下如何实现数据备份。详细步骤如下：（1）打开备份向导界面，单击“开始”→“所有程序”→“附件”→“系统工具”→“备份”，将出现“备份或还原向导”。（2）单击“下一步”按钮，将出现“备份或还原选择界面。（3）单击“下一步”按钮，进入“选择备份内容”界面。（4）单击“下一步”按钮，进入“要备份的项目”界面。（5）单击“下一步”按钮，进入“备份类型、目标和名称”界面。（6）单击“下一步”，进入“备份设置完成”界面。在“选择备份类型”选项中，主要有下列几个选项。正常：这是首次在系统中执行备份操作时通用的选项。副本：与“正常”相似，不同的是不将文件表示为已备份。增量：只备份上一次正常或增量备份后新建或变动过的文件，并将文件表示为已备份。差异：与增量备份相似，该选项只备份没有被标示为已备份的文件，且备份后不会对文件标识已备份。每日：在指定的范围内，备份每天创建或修改的文件，备份后不会对文件标识已备份。（7）选择了备份类型后，单击“下一步”按钮，将出现“如何备份”界面，在此界面有三种选择，它们分别是：选择是否需要备份后进行数据验证。是否使用硬件压缩。是否禁用卷影复制。用户根据实际情况，自行选择。（8）单击“下一步”按钮，进入“备份选项”界面”。（9）单击“下一步”按钮，如果选择“现在”，然后单击“下一步”按钮可以立即执行备份操作；如果选择“以后”，在“作业名”文本框里输入作业名（作业名称中间尽量能明确备份的内容和时间），还可以进行更加详细的设置。（10）选择“以后”复选框，单击“设定备份计划”。图10-36设置备份计划（11）单击“确定”后弹出“完成”对话框，界面上将出现对整体设置的总结，最后单击“完成”按钮即可。设置好的备份计划可以通过“任务计划”查看。10.4.3.2数据还原数据还原过程比较简单，详细步骤如下：（1）打开备份向导界面，具体操作是单击“开始”→“所有程序”→“附件”→“系统工具”→“备份”，将出现“备份或还原向导”界面。（2）单击“下一步”按钮，将出现“备份或还原选择”界面，在此界面上有两种选择，一种是选择“备份文件和设置”；另一种是选择“还原文件和设置”，用户可根据自己的实际情况而定，在这里我们选择后者。（3）单击“下一步”按钮，进入“还原项目”界面，通过“浏览”，选择要还原的备份文件。（4）单击“下一步”按钮，出现“正在完成备份或还原向导”界面，此界面上将出现还原设置内容。通过单击“高级”按钮，还可以进行详细设置。（5）单击“高级”按钮，弹出“还原位置”界面，通常将文件还原到原位置，如果有特殊情况也可选择“备用位置”或“单个文件夹”。（6）单击“下一步”按钮，弹出“如何还原”界面，在此界面上有三种选择：①保留现有文件（推荐）。②如果现有文件比备份文件旧，将其替换。③替换现有文件。（7）单击“下一步”，进入“高级还原选项”界面，在此界面中可以就还原的安全措施和特殊系统文件的处理进行设置。（8）单击“下一步”按钮，在随后出现的对话框中点击“完成”按钮。至此还原备份操作完成。10.4.3.3故障诊断下面将介绍两种诊断方法：（1）启动故障诊断在计算机启动时按F8键进入“Windows高级选项菜单”。下面分别介绍一下各选项。安全模式；带网络连接的安全模式；带命令行提示的安全模式；启用启动日志；启用VGA模式；最后一次正确的配置；目录服务还原模式；调试模式；（2）使用系统信息工具详细操作步骤是：单击“开始”→“运行”，在打开的文本框中输入“Msinfo32.exe”，单击确定就可以启动系统信息工具，如图10-37所示。10.5WindowsServer2003操作系统的安全配置方案10.5.1初级配置方案初级安全配置方案包括10条基本原则，下面来介绍一下。（1）物理安全服务器应该放在安装了监控器的隔离房间内，监控器的录像保存时间为15天以上，硬件设备要上锁加密。（2）停止Guest账号10.5WindowsServer2003操作系统的安全配置方案10.5.1初级配置方案（3）限制用户数量删除所有的测试账户、共享账户和普通账户，删除或禁用不适用的账户。（4）多个管理员账号创建一个一般用户权限账号或一个拥有Administrator权限账号进行日常事务管理。10.5WindowsServer2003操作系统的安全配置方案10.5.1初级配置方案（5）修改管理员账号名修改Administrator账号，伪装成普通用户。（6）陷阱账号创建一个名为Administrator的本地账号，密码复杂，权限最低，使用这个账号登录系统后不允许有任何修改和新建权限。10.5WindowsServer2003操作系统的安全配置方案10.5.1初级配置方案（7）更改默认权限将共享文件的权限从“Everyone”组改成“授权用户”。（8）密码安全密码不得使用公司名、计算机名或者是一些容易猜到的字符作为用户名，密码的安全期为42天。10.5WindowsServer2003操作系统的安全配置方案10.5.1初级配置方案（9）设置屏幕保护密码（10）磁盘权限a.系统盘只给Administrator和System权限b.系统盘\DocumentsandSettings及\DocumentsandSettings\AllUsers目录只给Administrator和System权限c.系统盘\Windows目录只给Administrator、System和Users权限10.5.2中级配置方案中级安全配置方案包