用户管理与安全策略一、安全管理与管理基础:•1.评价一个操作系统好坏的标准是什么?•从以下几方面:易用性、安全性、是否易于管理;•1)隐藏文件或文件夹:把对象更改为隐藏的属性;工具/文件夹选项/查看选项卡/勾选不显示隐藏的文件或文件夹;•2)隐藏显示受保护的系统文件:工具/文件夹选项/查看选项卡下2.不要经常以管理员的身份运行计算机,为什么?•因为管理员帐户拥有最大的权限,在管理状态下,系统受限程度最低,系统中各种程序都有较大的运行权限,给病毒提供了可乘之机;特洛伊木马•“特洛伊木马”(trojanhorse)简称“木马”,据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将“木马”作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为“特洛伊木马”。如今黑客程序借用其名,有“一经潜入,后患无穷”之意。•完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。如果以管理员身份登录,较容易中木马病毒.相反,如果以受限帐户登录,仍可以执行日常任务,同时又防止了计算机遭受不必要的损失.3.事件查看器:•位置:控制面版/管理工具/事件查看器;•显示计算机上的程序、安全性、及系统事件的相关信息。如果系统出现问题,可通过事件查看器来快速找到问题所在;4.cookie管理•用户上网时,由网站提供的用来记录用户帐户,密码、及其它个人信息的小文件;保存在本地计算机上.下次再登录网站时,可被创建它的网站读取.•可以通过限制隐私和级别来禁止cookie存储在本地计算机上;(internet属性/隐私)多用户管理:1.计算机管理员帐户:管理员•(administrator)帐户拥有最大的权限,可以对计算机进行系统更改,安装程序和访问计算机上的所在文件的人而设置的;2.受限帐户:•拥有部分权限,可以更改帐户图标,创建或者删除其帐户及密码。访问大多数程序,无法安装软件、硬件。不能更改帐户名及其类型;3.来宾帐户(guest):•任何人都可以通过这个帐户访问电脑。它是默认的帐户没有密码。权限是最低的。一般管理员会把这个帐户禁用。新建帐户:•方法一:我的电脑右键/管理/打开用户和组/在用户上右键选择新用户。默认是受限帐户.•要升级为管理员:选择帐户右键属性/添加到管理员组下面来;•另一种方法:开始/设置/控制面版/打开用户帐户:创建帐户;如何更改帐户类型:选择帐户/更改帐户类型;关于帐户的其它设置:•1.更改用户登录或注销的方式?•开始/控制面板/用户帐户下菜单设置;2.禁止或激活帐户?•我的电脑右键/管理/打开用户/选择帐户属性/勾选“帐户已停用”复选框来禁用帐户;如果是取消该复选框就是激活;操作题:•新建一个管理员的帐户,再新建一个受限帐户;并把它们禁用然后删除;组管理:•计算机管理员组:具有对计算机的所有操作权限;•备份操作组:组成员具有备份操作的权限;•来宾用户组:不需要密码可登录计算机,成员权限最低;•超级用户组(powerusers):拥有大部分的管理权限;•Windowsxp提供了九个具有不同权限的组.用户还可根据需要自己创建组.•例如创建一个平面设计小组,要求里面的成员具有poweruser的权限.策略设置:•作用:可以设置密码策略和用户权限,还可以设置帐户锁定策略;•本地安全策略工具位于:控制面版/管理工具/本地安全策略;①密码是否要符合复杂性的要求?②密码最少位数③密码的最长存留日期④密码最短存留日期⑤强制密码历史复杂密码包含条件:•密码不包含全部或部分帐户名;长度至少为6个字符;包含以下四个类别中的三个字母(英文大写字母,英文小写字母,10个基本数字和非字母字符)帐户锁定策略:•1)帐户锁定的阈值;•设置几次无效登录后,帐户锁定.•锁定时间•复位帐户锁定计数器时间•本地策略:•1、用户权限指派:可以通过添加用户来指派权限。或删除用户来取消其权限;2、安全选项:•禁止或激活管理员帐户、禁止或激活来宾帐户、禁止或者说允许使用空白密码帐户的设置、对帐户重命名;系统防火墙•指充当网络与外部世界之间的过滤设备的安全系统,可监视通过其路径的的所有通信内容,使系统更为安全.•设置防火墙:•启用防火墙:控制面版/网络连接/高级;•防火墙的作用:可监视通过其路径的所有通信内容,检查所处理的每个消息源和目标地址,充当网络与外部连接世界连接的过滤设备的安全系统;用来限制本地电脑接受不良信息。