1、第 5章 Windows系统资源的安全保护 目的要求o 掌握资源共享的实现方法以及共享资源的安全设置。o 掌握设置打印机的方法。o 了解注册表基础知识,初步掌握通过注册表的设置提高系统安全的方法。o 了解安全审核基础知识,初步掌握审核策略的设置和安全日志的分析方法。5.1 文件系统和共享资源的安全设置 5.1.1 Windows中的常用文件系统5.1.2 EFS加密原理5.1.3资源共享5.1.4资源访问权限的控制 5.1 文件系统和共享资源的安全设置o 文件系统n 操作系统用于明确磁盘或分区上存储文件的方法和数据结构,即在磁盘上组织文件的方法。n 从系统角度来看,文件系统是对文件存储器空间进
2、行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。n 负责为用户建立、存入、读出、修改文件以及撤销文件等。 5.1 文件系统和共享资源的安全设置o 文件系统n 新的硬盘上并没有文件系统,必须使用分区工具对其进行分区并格式化后才会有管理文件的系统。 n 一块硬盘就像一个块空地,文件就像不同的物资,我们首先得在空地上建起仓库 (分区 ),并且指定好 (格式化 )仓库对材料的管理规范 (文件系统 ),这样才能将物资运进仓库保管。 5.1.1 Windows中的常用文件系统o 1. FAT16:n DOS、 Windows 95都使用 FAT16文件系统,现在常用的 Windows 98/
3、2000/XP等系统均支持 FAT16文件系统。它最大可以管理大到 2 GB的分区,但由于采用 16位长的文件分配表( File Allocation Table)每个分区最多只能有 65525个簇( “簇 ”是磁盘空间保存信息的基本单位),由于 FAT16管理 “簇 ”的能力有限,随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。并且随着计算机硬件和应用的不断提高, FAT16文件系统已不能很好地适应系统的要求。5.1.1 Windows中的常用文件系统o 2. FAT32:随着大容量硬盘的出现,从 Windows 98开始, FAT32开始流行。它是 FAT16
4、的增强版本,采用 32位长的文件分配表来管理文件的存储。同 FAT16相比, FAT32主要具有以下特点: ( 1)管理 “簇 ”的能力增强,支持的分区容量增大 ; ( 2) “簇 ”的尺寸变小, FAT32就比 FAT16的存储效率要高很多,通常情况下可以提高 15%。 ( 3) FAT32文件系统可以重新定位根目录和使用 FAT的备份副本,减少了计算机系统崩溃的可能性。5.1.1 Windows中的常用文件系统o 3 NTFS: Windows NT/2000/XP及以上系统支持 NTFS文件系统。与 FAT文件系统相比, NTFS功能更强大,适合更大的磁盘和分区,支持安全性,是更为完善和
5、灵活的文件系统,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。相较于 FAT文件系统, NTFS具有以下这些重要的安全特性:( 1)容错性 ;( 2)权限控制 ;( 3)支持 EFS( Encrypting File System)加密 ;( 4)支持文件压缩 ;( 5)磁盘配额 ;( 6)审核策略与安全日志5.1.2 EFS加密原理o 1. EFS的加密和解密过程( 1)文件被复制到临时文件。若复制过程中发生错误,则利用此文件进行恢复。( 2)文件被一个随机产生的 Key加密,这个 Key叫作 文件加密密钥 ( FEK),文件使用 DESX对称
6、加密算法进行加密。( 3)数据加密区域( DDF)产生,这个区域包含了使用用户的公钥加密的 FEK, FEK使用 RSA非对称加密算法进行加密。( 4)数据恢复区域( DRF)产生,产生这个区域的目的是为了防止用户在特殊情况下发生无法对加密文件进行解密的情况,从而设置了恢复代理这一特殊用户,恢复代理在加密数据恢复策略( EDRP)中定义。 DRF包含使用恢复代理的公钥加密的FEK。如果在 EDRP列表中有多个恢复代理,则 FEK必须用每个恢复代理的公钥进行加密。( 5)包含加密数据、 DDF及所有 DRF的加密文件被写入磁盘。( 6)在第( 1)步中创建的临时文件被删除。5.1.2 EFS加密原理o 1. EFS的加密和解密过程