WindowsServer2003网络安全讲义.pptx

第5章 Windows Server 2003 网络安全5.1 Windows Server 2003网络安全特性 Microsoft Windows Server 2003是在Windows Server 2000的基础上，依据.NET架构进行构建，提供了更高更好的安全性，稳定性和可伸缩性，为服务器提供了一个高效的结构平台。 5.1.1 Windows Server 2003简介Windows Server 2003主要优点有：可靠：Windows Server 2003是迄今为止提供的最快、最可靠和最安全的Windows服务器操作系统。高效：Windows Server 2003提供各种工具，允许用户部署、管理和使用网络结构以获得最大效率。联网：连接Windows Server 2003可以帮助用户创建业务解决方案结构，以便与雇员、合作伙伴、系统和用户更好地沟通。经济：与来自微软公司的许多硬件、软件和渠道合作伙伴的产品和服务相结合， Windows Server 2003提供了有助于使用户的结构投资获得最大回报的选择。Windows Server 2003的核心技术可靠性高效率联网能力可拥有成本低。XML Web服务和.NET。 Windows Server 2003新增的安全功能授权管理器。存储用户名和密码。软件限制策略。证书颁发机构。受限委派。有效权限工具。加密文件系统 (EFS)。基于操作的审核。 5.1.2 Windows Server 2003安全概述 Windows Server 2003 系统的安全模型的主要功能是用户身份验证和访问控制及Active Directory 目录服务。身份验证 身份验证：指的是用于验证实体或对象是否与自己所声明的实体或对象相同的过程，包括确认信息的来源和完整性。身份验证是系统安全的一个基础方面，它将对尝试登录到域或访问网络资源的任何用户进行身份确认。身份验证包括两种方式：交互式登录：向用户的本地计算机或 Active Directory 帐户确认用户的身份。 网络身份验证：向用户尝试访问的任何网络服务确认用户的身份。基于对象的访问控制 访问控制：指的是批准用户、组和计算机访问网络上的对象的过程。访问控制主要内容是权限、用户权利和对象审查。 权限：权限定义了授予用户或组对某个对象或对象属性的访问类型。用户权利：用户权利授予计算环境中的用户和组特定的特权和登录权利。对象审核：可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。 Active Directory 目录服务 Active Directory是基于 Windows 的目录服务。Active Directory存储有关网络上对象的信息，并让用户和网络管理员可以使用这些信息。Active Directory允许网络用户使用单个登录进程来访问网络中任意位置的许可资源。 5.2 Windows Server 2003用户安全策略 在Windows Server 2003中，安全设置和安全策略是配置在一台或多台计算机上的规则，用于保护计算机或网络上的资源。 用户或计算机帐户 在Active Directory中， 用户帐户和计算机帐户代表物理实体。用户帐户和计算机帐户（以及组）也称为安全主体，是被自动指派了安全标识符 (SID)（可用于访问域资源）的目录对象。用户或计算机帐户用于：验证用户或计算机的身份：用户帐户使用户能够利用经域验证后的标识登录到计算机和域。授权或拒绝访问域资源：一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。管理其他安全主体：Active Directory 在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。审核使用用户或计算机帐户执行的操作：审核有助于监视帐户的安全性。5.2.1 Windows Server 2003帐户策略和本地策略 帐户策略包含：密码策略：用于域或本地用户帐户。帐户锁定策略：用于域或本地用户帐户。Kerberos 策略：用于域用户帐户。本地策略，主要应用于本地计算机，包含：审核策略：确定是否将安全事件记录到计算机上的安全日志中。同时也确定是否记录登录成功或登录失败，或二者都记录。 用户权限分配：确定具有登录本地计算机的权利或特权的用户或组。 安全选项： 启用或禁用计算机的安全设置。在“组策略”中设置本地策略 单击“开始”|“运行”，在文本框中输入“gpedit.msc”打开“组策略”窗口，在其中依次单击展开“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”文件夹，在其中可以进行本地策略的各种安全设置。5.2.2 Windows Server 2