Windows2000的安全配置.pdf

Windows2000安全特性 Windows2000的安全配置 系统漏洞和修复 Windows2000安全特性 ÿ用户身份验证 ÿ访问控制 ÿ证书服务 ÿEFS加密文件系统 ÿ加密传输IPSec 用户身份验证 • 交互式登录 使用域帐号 使用本地计算机帐户 • 网络身份验证 Kerberos V5 NTLM验证 安全套接字层/传输层安全 （SSL/TLS） 访问控制 ¸NTFS与FAT分区文件属性 ¸文件权限 ¸用户权限 ¸权限控制原则 NTFS 与FAT 分区权限 FAT32 NTFS 文件权限 用户权限 ?Administrators组 ?Users组 ?Power Users组 ?Backup Operators组 Administrators组权限 ¸安装操作系统和组件 （例如硬件驱动程序、系统服务等 等）。 ¸安装Service Packs和Windows Packs。 ¸升级操作系统。 ¸修复操作系统。 ¸配置关键操作系统参数 （例如密码策略、访问控制、审核 策略、内核模式驱动程序配置等等）。 ¸获取已经不能访问的文件的所有权。 ¸管理安全措施和审核日志。 ¸备份和还原系统 USERS组权限 ¸ 用户不能修改系统注册表设置，操作系统文件或程序文 件。 ¸ 用户可以关闭工作站不能关闭服务器 ¸可以创建本地组，但只能修改自己创建的本地组 ¸他们可以运行由管理员安装和配置的 认 可的程序 ¸对自己的所有数据文件 (%userprofile%)和自己的那一部 分注册表 (HKEY_CURRENT_USER)有完全的控制权。 ¸ 用户无法安装其他用户运行的程序 ¸不能访问其他用户的私人数据或桌面设置 POWER USERS组权限 ¸可以运行一些安全性不太严格的应用程序 ¸安装不修改操作系统文件并且不需要安装系统服务的应用 程序 ¸ 自定义系统资源，包括打印机、日期/时间、电源选项和 其他控制面板资源。 ¸创建和管理本地用户帐户和组 ¸启动或停止默认情况下不启动的服务。 ¸超级用户没有将自己添加到管理员组的权限 ¸不能访问在NTFS卷上的其他用户的数据 组 ¸可以备份和还原计算机上的文件，而不管保护这 些文件的权限如何。 ¸可以登录到计算机和关闭计算机，但不能更改安 全性设置。 ¸备份和还原数据文件和系统文件都需要对这些文 件的读写权限。 权限控制原则 ?1权限是累计的：如果一个用户同时属于两个 组，那么他就有了这两个组所允许的所有权 限； 2拒绝的权限要比允许的权限高 （拒绝策略会 先执行） 3文件权限比文件夹权限高 ?4利用用户组来进行权限控制是一个成熟的系 统管理员必须具有的优良习惯之一； 5仅给用户真正需要的权限，权限的最小化原 则是安全的重要保障； 为什么需要证书 从网上获得Bob 公钥 Alice 使用Bob公钥加密 Bob 使用本身私钥解密 如何确定公钥为真？ 证书服务 使用独立机构— — 安全的第三方CA证书验证 1、发送请求 2、验证信息 3、使用CA私有密钥对对方公