Windows 2000网络操作系统 教学课件 作者 张宪海 宋一兵 第9章 安全管理.ppt

第9章 安全管理 第9章 安全管理 9.1 安全管理概述 9.1.1 Windows 2000的安全功能 9.1.2 Windows 2000的默认安全设置 9.1.3 Windows 2000的密码策略 9.1.1 Windows 2000的安全功能 Windows 2000 引进了一些新的安全功能，包括： 安全策略和账户信息的集中存储 域控制器之间的所有安全策略以及账户信息的自动更新和同步 对象的每属性访问控制 域之间的可转移信任关系 对内部和外部用户进行身份验证的多重身份验证机制 管理访问控制和账户信息的公用管理工具 支持安全存储用户凭据的智能卡 对网络上传输的和存储在磁盘上的数据加密 　　Windows 2000还提供了安全模板功能，使得用户方便地设置安全策略。在设置这些安全策略时，要注意以下事项： 不应当为不包含任何计算机的组织单位配置账户策略，因为仅包含用户的组织单位总是从域接收账户策略 在 Active Directory 中设置账户策略时，只允许一个域账户策略，即域目录树的根域应用的账户策略 在升级 Windows 2000 域成员计算机上的 Windows 2000 Professional 时，账户和密码策略将优先于该域中任何域控制器、服务器和工作站上的本地策略 在没有经过测试，确保网络和系统体系结构有正确的应用程序功能级别之前，不应将预定义的安全模板应用于产品系统 应当定义“事件日志”的大小和日志环绕，以满足在设计企业安全计划时决定的商业和安全需要。考虑在站点、域或组织单位级别执行这些“事件日志”设置，以便利用“组策略”设置 如果选择将系统服务启动设置为自动，则需进行充分的测试，以验证该服务不需要用户的参与就可以启动 跟踪计算机上使用的系统服务。为了优化性能，将不必要或不使用的服务设置为只通过手动启动 在安全设置导入 Active Directory 中的“组策略”对象后，将影响所有应用“组策略”对象的计算机账户的本地安全设置。另一种情况下，如果本地策略设置替代了这些权限，则用户账户权利将不再适用。 “受限制的组”中没有指定的组和用户将从指定的组中删除。此外，反向成员配置选项确保每个受限组只是指定组的成员。由于这些原因，为了安全使用，“受限制的组”应该限于工作站或成员服务器上本地组的主要配置成员。 将安全模板导入“组策略”对象可以确保所有应用该“组策略”对象的账户在“组策略”设置刷新时，将自动接收该模板的安全设置。 9.1.2 Windows 2000的默认安全设置 　　Windows 2000 的默认安全设置可以概括为对4个默认组（Administrators 组、Power Users 组、Users 组和 Backup Operators 组）和3个特殊组的权限许可。 1．管理员（ Administrators ） 　　管理员组的成员可以执行操作系统支持的所有功能，也就是说具有默认情况下没有给予他们的任何权限。管理员通常用于： 安装操作系统和组件（例如硬件驱动程序、系统服务等等） 安装 Service Packs 和 Windows Packs 升级、修复操作系统 配置关键操作系统参数 获取已经不能访问的文件所有权 管理安全措施和审核日志 备份和还原系统 2．用户（Users） 　　Users 组提供了一个最安全的程序运行环境。默认的安全设置禁止该组的成员危及操作系统的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。用户可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。Users 组成员可以运行由管理员安装和配置的 Windows 2000 认可的程序，并对他们自己的所有数据文件和自己的那一部分注册表 （HKEY_CURRENT_USER） 有完全的控制权。 　　用户无法安装其他用户运行的程序，也不能访问其他用户的私人数据或桌面设置。为确保 Windows 2000 系统的安全性，一般情况下，最终用户只属于 Users 组。 3．超级用户（Power Users） 　　超级用户组的成员拥有的权限比用户组的成员多，但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。Power Users 可以完成： 除了 Windows 2000 Server认可的应用程序外，还可以运行一些安全性不太严格的应用程序 安装不修改操作系统文并且不需要安装系统服务的应用程序 自定义系统资源，包括打印机、日期/时间、电源选项和其他控制面板资源 创建和管理本地用户账户和组 启动或停止默认情况下不启动的服务 　　超级用户没有将自己添加到管理员组的权限，也不能访问在 NTFS 卷上的其他用户的数据，