《操作系统安全》第五章-Windows-系统资源安全保护

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第5章Windows系统资源的安全保护目的要求掌握资源共享的实现方法以及共享资源的安全设置。掌握设置打印机的方法。了解注册表基础知识,初步掌握通过注册表的设置提高系统安全的方法。了解安全审核基础知识,初步掌握审核策略的设置和安全日志的分析方法。5.1文件系统和共享资源的安全设置5.1.1Windows中的常用文件系统5.1.2EFS加密原理5.1.3资源共享5.1.4资源访问权限的控制5.1文件系统和共享资源的安全设置文件系统操作系统用于明确磁盘或分区上存储文件的方法和数据结构,即在磁盘上组织文件的方法。从系统角度来看,文件系统是对文件存储器空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立、存入、读出、修改文件以及撤销文件等。5.1文件系统和共享资源的安全设置文件系统新的硬盘上并没有文件系统,必须使用分区工具对其进行分区并格式化后才会有管理文件的系统。一块硬盘就像一个块空地,文件就像不同的物资,我们首先得在空地上建起仓库(分区),并且指定好(格式化)仓库对材料的管理规范(文件系统),这样才能将物资运进仓库保管。5.1.1Windows中的常用文件系统1.FAT16:DOS、Windows95都使用FAT16文件系统,现在常用的Windows98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但由于采用16位长的文件分配表(FileAllocationTable)每个分区最多只能有65525个簇(“簇”是磁盘空间保存信息的基本单位),由于FAT16管理“簇”的能力有限,随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。并且随着计算机硬件和应用的不断提高,FAT16文件系统已不能很好地适应系统的要求。5.1.1Windows中的常用文件系统2.FAT32:随着大容量硬盘的出现,从Windows98开始,FAT32开始流行。它是FAT16的增强版本,采用32位长的文件分配表来管理文件的存储。同FAT16相比,FAT32主要具有以下特点:(1)管理“簇”的能力增强,支持的分区容量增大;(2)“簇”的尺寸变小,FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%。(3)FAT32文件系统可以重新定位根目录和使用FAT的备份副本,减少了计算机系统崩溃的可能性。5.1.1Windows中的常用文件系统3.NTFS:WindowsNT/2000/XP及以上系统支持NTFS文件系统。与FAT文件系统相比,NTFS功能更强大,适合更大的磁盘和分区,支持安全性,是更为完善和灵活的文件系统,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。相较于FAT文件系统,NTFS具有以下这些重要的安全特性:(1)容错性;(2)权限控制;(3)支持EFS(EncryptingFileSystem)加密;(4)支持文件压缩;(5)磁盘配额;(6)审核策略与安全日志5.1.2EFS加密原理1.EFS的加密和解密过程(1)文件被复制到临时文件。若复制过程中发生错误,则利用此文件进行恢复。(2)文件被一个随机产生的Key加密,这个Key叫作文件加密密钥(FEK),文件使用DESX对称加密算法进行加密。(3)数据加密区域(DDF)产生,这个区域包含了使用用户的公钥加密的FEK,FEK使用RSA非对称加密算法进行加密。(4)数据恢复区域(DRF)产生,产生这个区域的目的是为了防止用户在特殊情况下发生无法对加密文件进行解密的情况,从而设置了恢复代理这一特殊用户,恢复代理在加密数据恢复策略(EDRP)中定义。DRF包含使用恢复代理的公钥加密的FEK。如果在EDRP列表中有多个恢复代理,则FEK必须用每个恢复代理的公钥进行加密。(5)包含加密数据、DDF及所有DRF的加密文件被写入磁盘。(6)在第(1)步中创建的临时文件被删除。5.1.2EFS加密原理1.EFS的加密和解密过程5.1.2EFS加密原理当用户解密文件时,EFS将执行以下操作:(1)使用DDF和用户的私钥解密FEK。(2)使用FEK解密文件。5.1.3资源共享创建共享(1)简单文件共享(2)高级文件共享5.1.3资源共享简单文件共享在要共享的文件夹上单击鼠标右键,选中“共享和安全…”菜单项,点选“共享”标签项,然后勾选“在网络上共享这个文件夹”项,如果允许网络上用户修改你的共享文件,还可以勾选“允许网络用户更改我的文件”项。5.1.3资源共享简单文件共享共享磁盘驱动器。在驱动器盘符上单击鼠标右键,选中“共享和安全…”菜单项,点选“共享”标签项,出现了一个安全提示,提示你注意驱动器共享后风险。如果你继续要共享的话,点击“共享驱动器根”链接,以下操作与文件夹共享操作一样。5.1.3资源共享简单文件共享开启GUEST帐户依次展开“控制面板→管理工具→计算机管理→本地用户和组→用户”选项,在右边的GUEST账号上单击鼠标右键,选中“属性”菜单项,然后祛除“账号已停用”选项即可。5.1.3资源共享简单文件共享更改设置本地安全策略在启用了GUEST用户或本地相应账号的前提下,依次展开“控制面板→管理工具→本地安全策略→用户权利指派”项,在“拒绝从网络访问这台计算机”的用户列表中,直接删除其中的GUEST账号即可,这样用户访问共享则不需任何密码,访问更加简捷明了,但是安全保障就比较差了5.1.3资源共享简单文件共享更改设置本地安全策略5.1.3资源共享高级文件共享禁止简单文件共享任意打开一个文件夹,点击菜单栏的“工具→文件夹选项”,选中“查看”标签项,在高级设置里,去掉“使用简单文件共享(推荐)”5.1.3资源共享高级文件共享设置帐户为不同权限的用户设置不同的帐户。添加新帐户的方法:依次展开“控制面板→管理工具→计算机管理→系统工具→本地用户和组→用户”项,在右边的窗口中,单击鼠标右键选中“新用户“菜单项。5.1.3资源共享高级文件共享设置帐户如果希望网络用户可以通过该帐户访问系统而不必要输入密码,也可以随时更改xp系统的安全策略:打开“控制面板→管理工具→本地安全策略→本地策略→安全选项”,双击“账户:使用空白密码的本地账户只允许进行控制台登录”选项,点选“已停用”项,最后确定完成。5.1.3资源共享高级文件共享设置共享及共享权限文件夹上单击鼠标左键,选中“共享和安全”项,此时,可以看到和“简单文件共享”相比,下面多了个“权限”按钮。5.1.3资源共享高级文件共享设置共享及共享权限点击权限按钮,默认权限设置是网络上每个用户(EVERYONE)都拥有完全控制的权限。这样设置是不安全的,应把EVERYONE权限删除,添加指定账户的权限(如“JJ”),按“添加”,查找帐户名“JJ”,并确定,之后根据实际情况设置访问用户的权限:读取权限,允许用户浏览或执行文件夹中的文件;更改权限,允许用户改变文件内容或删除文件;完全控制权限,允许用户完全访问共享文件夹。5.1.3资源共享管理共享查看本地机器上已创建的共享文件夹依次展开“控制面板→管理工具→计算机管理→共享文件夹→共享”项可以看到本机上开放了哪些共享。5.1.3资源共享管理共享查看局域网上已创建的共享文件夹通过“网上邻居”来查看多台电脑的共享文件效率不高,可以尝试使用“LanDiscovery”软件来查看局域网上已创建的共享文件夹5.1.3资源共享管理共享查看局域网上已创建的共享文件夹除此之外,还可以在“开始→运行”窗口中输入“cmd”命令,在弹出的运行对话框中输入“netshare”命令查看共享资源。5.1.3资源共享管理共享查看连接本机的用户依次展开“控制面板→管理工具→计算机管理→共享文件夹→会话”项可以看到连接本机的用户,在用户名上单击鼠标右键,选中“关闭会话”项,即可断开该用户连接。5.1.3资源共享管理共享查看连接本机的用户还可以使用一款小巧软件“ShareWatch”查看局域网上的哪些用户正在访问本机开放的共享文档。安装该软件后,运行ShareWatch.exe就可以看到如图显示的本机共享目录,还可以看到访问该目录的局域网用户WJJ-ER。5.1.4资源访问权限的控制系统默认的组和用户的权限默认情况下,系统为用户分了6个组,并给每个组赋予不同的操作权限,依次为:管理员组(Administrators):对计算机/域有不受限制的完全访问权;高权限用户组(PowerUsers):拥有大部分管理权限,但也有限制;普通用户组(Users):用户无法对系统进行有意或无意的改动;来宾用户组(Guests):来宾组和用户组有同等访问权,但来宾账户的限制更多;备份操作组(BackupOperators):允许备份或还原系统文件;文件复制组(Replicator):允许域中的文件复制5.1.4资源访问权限的控制2.NTFS权限读取(Read)写入(Write)读取及运行(Read&Execute)修改(Modify)完全控制(FullControl)列出文件夹目录(ListFolderContents,只用于文件夹)5.1.4资源访问权限的控制2.NTFS权限NTFS文件权限设置步骤如下:右键点选需要进行权限设置的文件夹或文件,选择“属性”,在弹出的对话框中,选择“安全”选项卡,为相对应的用户/组设置权限,也可以删除某个用户/组的访问权限,或者添加某个用户/组,为其设置相对应的权限,还可以点选“高级”,对权限做进一步的设置。5.1.4资源访问权限的控制3.文件/文件夹的共享权限完全控制更改读取5.2打印机的安全管理5.2.1打印服务器的安装5.2.2共享网络打印机5.2.3打印机权限的设置5.2.1打印服务器的安装将打印机连接至主机,通过主机的“控制面板”进入到“打印机和传真”文件夹,在空白处单击鼠标右键,选择“添加打印机”命令,打开添加打印机向导窗口。选择“连接到此计算机的本地打印机”,并勾选“自动检测并安装即插即用的打印机”复选框;5.2.1打印服务器的安装主机将会进行新打印机的检测,之后根据提示安装好打印机的驱动程序,此时在“打印机和传真”文件夹内便会出现该打印机的图标了;在新安装的打印机图标上单击鼠标右键,选择“共享”命令,打开打印机的属性对话框,切换至“共享”选项卡,选择“共享这台打印机”,并在“共享名”输入框中填入需要共享的名称,例如“CompaqIJ”,单击“确定”按钮即可完成共享的设定;5.2.1打印服务器的安装如果希望局域网内其他版本的操作系统在使用共享打印机时不再需要费力地查找驱动程序,可以在主机上预先将这些不同版本操作系统所对应的驱动程序安装好,只要单击“其他驱动程序”按钮,选择相应的操作系统版本,单击“确定”后即可进行安装了。为了让打印机共享顺畅,必须在打印服务器和客户机上都安装“网络文件和打印机的共享协议”。右击桌面上的“网上邻居”,选择“属性”命令,进入到“网络连接”文件夹,在“本地连接”图标上点击鼠标右键,选择“属性”命令,如果在“常规”选项卡的“此连接使用下列项目”列表中没有找到“Microsoft网络的文件和打印机共享”,则需要单击“安装”按钮,在弹出的对话框中选择“服务”,然后点击“添加”,在“选择网络服务”窗口中选择“文件和打印机共享”,最后单击“确定”按钮即可完成。5.2.2共享网络打印机单击“开始→设置→打印机和传真”,启动“添加打印机向导”,选择“网络打印机”选项。在“指定打印机”页面中提供了几种添加网络打印机的方式。如果你不知道网络打印机的具体路径,则可以选择“浏览打印机”选择来查找局域网同一工作组内的打印服务器,再选择服务器上的打印机后,点击“确定”按钮;如果已经知道了打印机的网络路径,则可以使用访问网络资源的“通用命名规范”(UNC)格式输入共享打印机的网络路径,例如“

1 / 76
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功