Windows Server 2003系统管理（第三版） 教学课件 作者 978 7 302 22364 1 ch19.ppt

第19章 系统与网络安全 教学目标 了解Windows Server 2003的安全特性 熟悉安全策略配置 了解加密文件系统 掌握网络安全体系结构 熟悉网络攻击手段 熟悉网络安全防范策略 教学重点 Windows Server 2003的安全特性 Windows Server 2003的安全验证 安全策略配置 加密文件系统 网络安全体系结构 网络攻击手段 网络安全防范策略 教学过程 Windows Server 2003系统安全概述 系统安全验证 安全策略配置 加密文件系统 网络安全体系结构 网络攻击手段 网络安全防范策略 19.1 系统安全概述 安全的基本概念 Windows Server 2003的Kerberos安全验证服务 Windows Server 2003的安全特性 安全的基本概念 Windows Server 2003的安全特性 用户验证 基于对象的访问控制(Object-based access control) Active Directory和安全性 19.2 Windows Server 2003的安全验证 Kerberos V5验证 安全策略配置 数据保护 Kerberos V5验证 Kerberos V5工作方式 Kerberos V5和域控制器 验证的分派 Kerberos V5的内部可操作性 安全策略配置 安全配置和分析管理单元 配置审核策略 安全配置模板 数据保护 存储数据保护 网络数据保护 19.3 加密文件系统(EFS) EFS概述 EFS的结构组件 数据恢复 实现EFS服务 19.4 系统及网络端口安全防护 常用端口及其分类 如何查看本机开放了哪些端口 关闭本机不用的端口 重定向本机默认端口，保护系统安全 常用端口及其分类 系统保留端口（从0到1023） 动态端口（从1024到65535） 如何查看本机开放了哪些端口 利用netstat命令 使用端口监视类软件 关闭本机不用的端口 137、138、139、445端口 关闭UDP123端口 关闭UDP1900端口 其他端口 19.5 网络安全概述 网络安全5层体系 19.6 网络安全防范体系 物理环境的安全性(物理层安全) 操作系统的安全性(系统层安全) 网络的安全性(网络层安全) 应用的安全性(应用层安全) 管理的安全性(管理层安全) 19.7 网络安全风险种类 与人有关的风险 与硬件和网络设计有关的风险 与协议和软件有关的风险 与Internet访问有关的风险 19.8 网络攻击手段 拒绝服务攻击(DOS) 泛洪攻击 端口扫描 利用TCP报文的标志进行攻击 分片IP报文攻击 带源路由选项的IP报文 IP地址欺骗 针对路由协议的攻击 针对设备转发表的攻击 Script/ActiveX攻击 19.9 网络安全防范策略 物理安全策略 访问控制策略 信息加密策略 防病毒技术 防火墙技术 网络入侵检测技术 网络安全管理策略 访问控制策略 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 * Windows Server 2003 系统管理（第三版） 清华大学出版社 教学目标 教学重点 教学过程 对称加密 非对称加密 公钥体系 数字签名 公钥与证书的区别 SSL协议 EFS概述 Windows Server 2003的EFS基于公钥加密，并利用了操作系统的CryptoAPI体系结构。EFS采用一个随机生成的密钥对每个文件进行加密，这种密钥独立于用户的公钥/私钥。如不存在，EFS会为用户自动生成一个密钥对和一个证书。 EFS的结构组件 EFS驱动程序 EFS文件系统运行时间库 EFS服务 Win32 API 数据恢复 数据恢复是EFS的一个特性，便于人们获取加密信息。例如，如用户忘记了自己的密码，默认的域系统管理员就能进行解密，拯救加密文件。此外，默认域系统管理员还能将这种解密全线指派给其他系统管理员帐户。本节将讲解数据恢复机制，并展示如何在用户的安全策略中实现它。 实现EFS服务 加密文件夹或文件 解密文件或文件夹 使用加密文件或文件夹 复制加密文件或文件夹 加密远程服务器上的文件和文件夹 加密脱机文库 * * * Windows Server 2003 系统管理（第三版） 清华大学出版社