1、第9章 操作系统及站点安全,上海市高校精品课程上海高校优秀教材奖,网络安全技术及应用,(第3版),国家“十三五”重点出版规划项目,上海市高校精品课程上海高校优秀教材奖,(第3版),国家“十三五”重点出版规划项目,网络安全技术及应用,主编 贾铁军 陶卫东副主编 俞小怡 罗宜元 彭浩 王坚,目 录,9.6 Windows Server2016安全配置实验,6,国家十三五重点出版规划项目上海高校精品课程/优秀教材奖,教 学 目 标, 教学目标 理解网络操作系统安全的概念和内容 掌握Windows、UNIX系统和Linux安全策略 掌握网络站点安全技术相关概念和应用 掌握Windows Server2
2、016安全配置实验,重点,国家十三五重点出版规划项目上海高校精品课程/优秀教材奖,重点,9.1 Windows操作系统的安全,9.1.1 Windows系统的安全性1. Windows系统的主要安全问题(1)操作系统是应用软件和服务运行的公共平台,操作系统安全漏洞是网络安全的主要隐患和风险。(2)通过操作系统漏洞或端口,获得授权或篡改未授权或越权数据信息,危害信息系统的保密性和完整性。(3)利用操作系统,破坏或影响计算机系统的正常运行或用户的正常使用,危害计算机系统的可用性。(4)以操作系统为对象,破坏或影响系统完成的功能,除了电脑病毒破坏系统正常运行和用户正常使用外,还有一些人为因素或自然因
3、素,如干扰、设备故障和误操作也会影响软件的正常运行。,中国自主研发操作系统解决安全问题。中国科学院软件研究所与上海联彤网络通讯技术有限公司在北京钓鱼台国宾馆联合发布了具有自主知识产权的操作系统COS (China Operating System)。意在打破国外在基础软件领域的垄断地位,引领并开发具有中国自主知识产权和中国特色的操作系统,更好地解决有关的安全问题。,案例9-1,9.1 Windows操作系统的安全,2. Windows 系统安全1)Windows NT文件系统 NTFS,保护文件和目录数据基础上,安全存取控制及容错2)域(Domain)由网络连接的计算机组群,Win安全-集中管
4、理基本单位.3)用户和用户组-账号-安全账号管理器SAM-安全标识符SID4)身份验证-2种:交互式登录过程,网络身份验证5)访问控制-2种:自主访问控制,强制访问控制6)组策略-注册表,组策略,用户权限身份验证访问控制,数据,是采用分散管理方式,网中每台计算机既作为客户机又可作为服务器工作,每个用户都管理自己机器上资源。是最简单的网络,非常适合家庭、校园和小型办公室。投资少,易连接。,(5)以软件为对象,非法复制或非法使用。通常网络入侵者通过相应的扫描工具,找出被攻击目标的系统漏洞,并策划相关的手段利用该漏洞进行攻击。,9.1 Windows操作系统的安全,9.1.2 Windows 安全配
5、置1.设置和管理账户2.删除所有网络资源共享(管理工具)3.关闭不需要的服务(我电脑-管理)4.打开相应的审核策略5.安全管理网络服务6.清除页面交换文件7.文件和文件夹加密,Windows Server服务器管理和安全性,运行gpedit.msc,运行gpedit.msc,运行gpedit.msc,运行Regedit,资源管理器-属性-常规-高级-加密内容以保护数据,(网络)动画视频,动画视频,讨论思考:(1)微软在Windows Server 2016中采用什么文件系统,主要满足什么需求?(2)Windows Server 2016 在安全和身份标识管理方面新增和改进了哪些功能?,9.2
6、UNIX操作系统的安全,9.2.1 UNIX系统的安全性 1.UNIX安全基础 UNIX系统不仅因为其简练、高效的内核和丰富的核外程序而著称,而且在防止非授权访问和防止信息泄密方面也很成功。UNIX系统设置了3道安全屏障用于防止非授权访问.首先,必须通过口令认证,确认用户身份合法后才能允许访问系统;但是,对系统内任何资源的访问还必须越过第2道屏障,即必须获得相应访问权限;对系统中的重要信息,UNIX系统提供第3道屏障: 1)标识和口令 2)文件权限 3)文件加密,9.2 UNIX操作系统的安全,1)标识和口令 UNIX系统通过注册用户和口令对用户身份进行认证.因此,设置安全的账户并确定其安全性
7、是系统管理的一项重要工作。在UNIX操作系统中,与标识和口令有关信息存储在/etc/passwd文件中。每个用户的信息占一行,并且系统正常工作必需的标准系统标识等同于用户。文件中每行的一般格式为: LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL 每行包含若干项,各项之间用冒号(:)分割。第1项是用户名,第2项加密后的口令,第3项是用户标识,第4项是用户组标识,第5项是系统管理员设置的用户扩展信息,第6项是用户工作主目录,最后一项是用户登录后将执行的shell全路径(若为空格则缺省为/bin/sh)。,用户和Linux间的接口,9.2 UNIX操作系统的
8、安全,2)文件权限 文件系统是整个UNIX系统的“物质基础”。UNIX以文件形式管理计算机上的存储资源,并以文件形式组织各种硬件存储设备如硬盘、CD-ROM、USB盘等。这些硬件设备存放在/dev以及/dev/disk目录下,是设备的特殊文件。文件系统中对硬件存储设备的操作只涉及“逻辑设备”(物理设备的一种抽象,基础是物理设备上的一个个存储区),而非物理设备。,9.2 UNIX操作系统的安全,3)文件加密 文件权限的正确设置在一定程度上可以限制非法用户的访问,但是,对于一些高明的入侵者和超级用户仍然不能完全限制读取文件。UNIX系统提供文件加密的方式来增强文件保护,常用的加密算法有crypt(
9、最早的加密工具)、DES(目前最常用的)、IDEA(国际数据加密算法)、RC4、Blowfish(简单高效的DES)、RSA。 crypt命令给用户提供对文件加密的工具。使用一个关键词将标准输入的信息编码为不可读的杂乱字符串,送到标准输出设备。再次使用此命令,用同一关键词作用于加密后的文件,可恢复文件内容。此外,UNIX系统中的一些应用程序也提供文件加/解密功能,如ed、vi和emacs。这类编辑器提供-x选项,具有生成并加密文件的能力:在文件加载时对文件解密,回写时重新进行加密。,9.2 UNIX操作系统的安全,*利用pack压缩并加密文件.%pack example.txt%cat exa
10、mple.txt.z | crypt out.file解密时要对文件进行扩张(unpack),此外,压缩后通常可节约原文件20%到40%的空间。%cat out.file | crypt example.txt.z%unpack example.txt.z,案例9-2,9.2 UNIX操作系统的安全,2不安全因素 (1)口令失密 由于UNIX允许用户不设置口令,因而非法用户可以通过查看/etc/passwd文件获得未设置口令的用户(或虽然设置口令但是泄露),并借合法用户名进入系统,读取或破坏文件。此外,攻击者通常使用口令猜测程序获取口令。攻击者通过暴力破解的方式不断试验可能的口令,并将加密后口
11、令与/etc/passwd文件中口令密文进行比较。由于用户在选择口令方面的局限性,通常暴力破解成为获取口令的最有效方式。 (2)文件权限 某些文件权限(尤其是写权限)的设置不当将增加文件的不安全因素,对目录和使用调整位的文件更是危险。 UNIX系统有一个/dev/kmem的设备文件,是一个字符设备文件,存储核心程序要访问的数据,包括用户口令。所以,该文件不能给普通用户读写,权限设为: cr-r- 1 root system 2, 1 May 25 1998 kmem 但ps等程序却需要读该文件而ps的权限设置如下: -r-xr-sr-x 1 bin system 59346 Apr 05 19
12、98 ps,9.2 UNIX操作系统的安全,(3)设备特殊文件UNIX系统的两类设备(块设备和字符设备)被看作文件,存放在/dev目录下。对于这类特别文件的访问,实际在访问物理设备,所以,这些特别文件是系统安全的一个重要方面。 内存,块设备,字符设备(4)网络系统 在各种UNIX版本中,UUCP(UNIX to UNIX Copy)是唯一都可用的标准网络系统,并且是最便宜、广泛使用的网络实用系统。UUCP可以在UNIX系统之间完成文件传输、执行系统之间的命令、维护系统使用情况的统计、保护安全。但是,由于历史原因,UUCP也可能是UNIX系统中最不安全的部分。,9.2 UNIX操作系统的安全,9
13、.2.2 UNIX系统安全配置 1设定较高的安全级 UNIX系统共有4种安全级别:High(高级);Improved(改进);Traditional(一般);Low(低级),安全性由高到低。High级别安全性大于美国国家C2级标准,Improved级别安全性接近于C2级。因此为保证系统具有较高的安全性,最好将UNIX系统级别定为High级。在安装UNIX 系统过程中,通过选项可以设置系统级别。同时,级别越高,对参数的要求越高,安全性越好,但对用户的要求也越高,限制也越多。所以,用户需要根据实际情况进行设定。如果在安装时用户设定的级别过高或较低,可在系统中使用relax命令进行安全级别设定:用#
14、sysadmsh system configure Security Relax,进行级别设定。,9.2 UNIX操作系统的安全,2强用户口令管理 超级用户口令必须加密,而且要经常更换口令,如发现口令泄密需要及时更换。其他用户账户也要求口令加密,也要做到及时更换。用户账户登录及口令的管理信息默认放在/etc/ default/passwd和/etc/default/login文件中,系统通过两个文件进行账户及口令的管理。在两个文件中,系统管理员可以设定口令的最大长度、最小长度、口令的最长生存周数、最小生存周数、允许用户连续登录失败的次数、要求口令注册情况(是否要口令注册)等。系统管理员可以对这
15、些参数进行合理化配置,以此完善或增强系统管理。,9.2 UNIX操作系统的安全,3设立自启动终端 UNIX是一个多用户系统,一般用户对系统的使用是通过用户注册进入。用户进入系统后便拥有删除、修改操作系统和应用系统的程序或数据的可能性,这样,不利于操作系统或应用于系统程序或数据的安全.通过建立自启动终端的方式,可以避免操作系统或应用系统的程序或数据被破坏.具体方法: 修改/etc/inittab文件,将相应终端号状态由off改为respawn。这样,开机后系统自动执行相应的应用程序,终端不需用户登录,用户也无法在login状态下登录。这样,在一定程度上保障了系统的安全。,重新执行,9.2 UNI
16、X操作系统的安全,4建立封闭的用户系统 建立封闭帐户的方法是:修改相应帐户的.profile文件.在.profile文件中运行相应的应用程序,在.profile文件的前面再加上中断屏蔽命令,命令格式为trap“”1 2 3 15,在.profile文件末尾再加上一条exit命令。这样,系统运行结束退回login状态。使用trap命令的目的就是防止用户在使用过程中使用ctrl-c或ctrl-backspace命令中止系统程序,退回SHELL状态。 为避免用户修改自已的.profile文件,还需修改.profile的文件权限,权限为640,用户属性为root,用户组为root。通过上述操作便可以建
17、立封闭帐户。,9.2 UNIX操作系统的安全,5撤消不用的帐户 在系统使用过程中,根据需要可以建立不同权限的帐户。但是,有些帐户随着情况的变化不再使用,这时,最好将帐户撤消。具体撤消方法是: # sysadmsh Account Users Retire 输入计划撤消的帐户名称即可。,9.2 UNIX操作系统的安全,6限制注册终端功能 对于多用户系统UNIX,可设有多个终端,终端可放在不同的地理位置、不同的部门.为防止其他部门非法使用应用程序,可限定某些应用程序在限定的终端使用。具体的方法:在相应帐户的.profile文件中增加识别终端的语句。如: trap“”1 2 3 15casetty
18、in / dev/ tty21 a - d # 如终端非/ dev/tty21 a - d 则无法执行clearecho“非法终端!”exitesacbanking em b4461 # 执行应用程序exit,9.2 UNIX操作系统的安全,7锁定暂不用终端 有些终端暂不使用,可用命令进行锁定,避免其他人在此终端上使用。 具体锁定方法是: # sysadmsh Accounts Terminal Lock 输入要锁定的终端号.如果需要解锁:# sysadmsh Accounts TerminalUnlock输入要解锁的终端号。,讨论思考:(1)Unix的不起安全因素有哪些,体现在什么方面?(2
19、)如何进行对Unix的安全配置,以使Unix操作系统更加安全?,*9.3 Linux操作系统的安全,9.3.1 Linux系统的安全性1权限提升类漏洞2拒绝服务类漏洞3Linux内核中的整数溢出漏洞4IP地址欺骗类漏洞,do_brk()漏洞在2003年9月份被Linux内核开发人员发现,并在9月底发布的Linux kernel 2.6.0-test6中对其进行了修补。brk系统调用可以对用户进程的堆的大小进行操作,使堆扩展或者缩小。而brk内部就是直接使用do_brk()函数来做具体操作,do_brk()函数在调整进程堆的大小时既没有对参数len进行任何检查(不检查大小也不检查正负),也没有对
20、addr+len是否超过TASK_SIZE做检查,使用户进程的大小任意改变,以至可以超过TASK_SIZE的限制,使系统认为内核范围的内存空间也是可以被用户访问的,这样的话普通用户就可以访问到内核的内存区域。通过一定的操作,攻击者就可以获得管理员权限。,案例9-3,9.3 Linux操作系统的安全,9.3.2 Linux系统安全配置1取消不必要的服务2限制系统的出入3保持最新的系统核心4检查登录密码,网络视频,讨论思考:(1)Linux在发展历史中发布过哪些对系统造成安全影响的漏洞?(2)对Linux系统的安全设定包括哪些方面?,9.4 Web站点的安全,9.4.1 Web站点安全措施浏览器和
21、Web站点通信包括4个步骤: (1)连接:Web浏览器与Web服务器建立连接,打开一个称为socket(套接字)的虚拟文件,此文件的建立标志着连接建立成功。 (2)请求:Web浏览器通过socket向Web服务器提交请求。 (3)应答:Web浏览器提交请求后,通过HTTP协议传送给Web服务器,Web服务器接到后进行事务处理,处理结果又通过HTTP协议回传给Web浏览器,从而在Web浏览器上显示出所请求的页面。 (4)关闭连接:当应答结束后,Web浏览器与Web服务器必须断开,以保证其它Web浏览器能够与Web服务器建立连接。,站点攻击,9.4 Web站点的安全,Web网站应该从全方位实施安全
22、措施:(1)硬件安全是不容忽视的问题,所存在的环境不应该存在对硬件有损伤和威胁的因素,如温湿度的不适宜、过多的灰尘和电磁干扰、水火隐患的威胁等。(2)增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁;建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。 (3)恰当地配置Web服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。(4)对服务器进行远程管理时,使用如SSL等安全协议,避免使用Telnet、FTP等程序,明文传输。(5)及时的升级病毒库和防火墙安全策略表。(6)做好系统审计功能的设置,定期对各种日志进行整理和分析。(7)制定相应的符合本部门情况的
23、系统软硬件访问制度。,9.4 Web站点的安全,9.4.2 Web站点的安全策略1系统安全策略的配置1)限制匿名访问本机用户选择“开始”“控制面板”“管理工具”“本地安全策略”“本地策略”“安全选项” 双击“对匿名连接的额外限制”,在下拉菜单中选择“不允许枚举SAM帐号和共享”,单击“确定”完成设置。2)限制远程用户对光驱或软驱的访问选择“开始”“控制面板”“管理工具”“本地安全策略”“本地策略”“安全选项” 双击“只有本地登录用户才能访问软盘”,在单选按钮中选择“已启用(E)”,单击“确定”完成设置。3)限制远程用户对NetMeeting的共享“开始”“运行”输入“gpedit.msc”“计
24、算机配置”“管理模板”“Windows组件”“NetMeeting”“禁用远程桌面共享”右键后在单选按钮中选择“启用(E)”,单击“确定”完成。4)限制用户执行Windows安装任务此策略可防止在系统上安装软件,设置方法同3).,“系统和安全”或,9.4 Web站点的安全,2IIS安全策略的应用一般不使用默认的Web站点,避免外界对网站的攻击,具体做法如下:1)停止默认的Web站点选择“开始”“控制面板”“管理工具”“Internet服务管理器”“计算机名称”,选择“默认Web站点”并通过右键,在出现的窗口中选择“停止”完成设置。2)删除不必要的虚拟目录选择“开始”“控制面板”“管理工具”“I
25、nternet服务管理器”“计算机名称” 选择“默认Web站点” 选择scripts 在右键窗口中选择“删除”完成更改。3)分类设置站点资源访问权限对于Web中的虚拟目录和文件,右键单击“属性”选择适当的权限。4)修改端口值选择相应站点的属性,在“Web站点”选项卡中修改Web服务器默认端口值。Web服务默认端口值为80,给攻击者扫描端口和攻击网站带来便利,根据需要可以改变默认端口值,增强其站点的安全性。,9.4 Web站点的安全,3审核日志策略的配置1)设置登录审核日志“开始”“控制面板”“管理工具”“本地安全策略”“本地策略”“审核策略”双击“审核账户登录事件”,在复选框中选择“成功(S)
26、,失败(F)”.2)设置HTTP审核日志(1)设置日志的属性,具体方法如下:“开始”“控制面板”“管理工具”“Internet服务管理器”“计算机名称”选择站点名称 右键 “属性”在Web选项卡中,选择“W3C扩充日志文件格式”的“属性”对“常规属性”和“扩充的属性”设置。(2)修改日志的存放位置HTTP审核日志的默认位置在安装目录的system32LogFile下,建议与Web主目录文件放在不同的分区,防止攻击者恶意篡改日志,操作与(1)类似,但是,在“常规属性”选项卡中,选择“日志文件目录(L):”的“浏览”,并指定一个新目录,单击“确定”完成设置。, 讨论思考:(1)Web安全包含哪些方
27、面?(2)如何通过日志观察Web的是否遭到攻击?,9.5 系统的恢复,9.5.1 系统恢复和数据修复 数据修复是指通过技术手段,将受到病毒攻击、人为损坏或硬件损坏等遭到破坏的电子数据进行抢救和恢复的技术。数据修复的方式可分为软件恢复方式与硬件修复方式,如图9-1所示。,9.5 系统的恢复,1. 软件(系统)恢复软件恢复可分为系统级恢复与文件级恢复。系统恢复是指在系统无法正常运作的情况下,通过调用已经备份好的系统资料或系统数据、使用恢复工具等,使系统按照备份时候的部分或全部正常启动运行的数值特征来进行运作。2. 硬件修复硬件修复方式可分为硬件替代、固件修复、盘片读取三种。,主引导记录损坏后的恢复
28、。一块IBM 40GB的台式机硬盘,在运行中突然断电,重启计算机后无法启动进入系统。通过使用WinHex工具打开硬盘,发现其MBR扇区已经被完全破坏。根据MBR扇区不随操作系统的不同而不同,具有公共引导特性,故采用复制引导代码将其恢复。MBR主引导扇区位于整个硬盘的0柱面0磁道1扇区,共占用了63个扇区,但实际使用 了1个扇区(512字节)。在总共512字节的主引导记录中,MBR又可分为三部分:第一部分:引导代码,占用了446个字节;第二部分:分区表,占用了 64字节;第三部分:55AA,结束标志,占用了两个字节。,案例9-4,9.5 系统的恢复,3数据修复 数据修复是指将丢失或被篡改的数据进
29、行修复。丢失和篡改数据可能因为攻击者的入侵,也可能由于自然灾害、系统故障、以及误操作等造成的。一般来说,数据修复就是从存储介质、备份和归档数据中将丢失数据恢复。 数据修复的原理。从技术层面上,各种数据记录载体(硬盘、软盘)中的数据删除时只是设定一个标记(识别码),而并没有从载体中绝对删除。使用过程中,遇到标记时,系统对这些数据不做读取处理,并在写入其他数据的时候将其当作空白区域。所以,这些被删除的数据在没有被其他数据写入前,依然完好地保留在磁盘中。不过,读取这些数据需要专门的软件。如:Easyrecovary、WinHex等。当其他数据写入时,这些原来数据就被覆盖(全部或部分),此时数据只能恢
30、复部分。,9.5 系统的恢复,9.5.2 系统恢复的过程进行系统恢复工作,重新获取系统控制权,需要按照如下步骤及过程展开。 1)断开网络 2)备份 3)入侵分析,讨论思考:(1)被删除的数据可以恢复吗?(2)系统恢复遵循什么步骤?(3)如何分析被入侵的系统?,9.6 Windows Server2016安全配置与恢复,Windows Server 2016是微软的一个服务器操作系统,继承了Windows Server 2003的功能和特点,尽管Windows Server 2016系统的安全性能要比其他系统的安全性能高出许多,但为了增强系统的安全,必须要进行安全的配置,并且在系统遭到破坏时能恢
31、复原有系统和数据。9.6.1 实验目的 通过安装和配置虚拟机,并建立一个虚拟局域网,主要具有3个9.6.2实验要求及方法 1实验要求由于本实验内容是对Windows Sever 2016操作系统进行安全配置,需要提前熟悉Windows Sever 2016操作系统的相关操作。,(1)熟悉Windows Sever 2016操作系统的安全配置过程及方法;(2)掌握Windows Sever 2016操作系统的恢复要点及方法。,操作步骤:新建账户“secretary”和用户组“日常工作”,“日常工作”组具有“Network Configuration Operators”的权限,并 secreta
32、ry添加到“日常工作”组中。(1)新建账户:“开始”“管理工具”“计算机管理”,弹出窗口,展开“本地用户和组”,右键单击“用户”,新建“secretary”账户。(2)管理账户:右键单击账户,可以设置密码、删除账号或重命名;右键单击账户,选择“属性”,在“隶属于”选项卡中将secretary帐户添加到Backup Operations组和Net Configuration Operators组中,即为secretary帐户授予Backup Operations组和Net Configuration Operators组的权限。(3)新建本地组:右键单击“组”,窗口,填写组名和描述信息,并选择“
33、添加”,将secretary添加到日常工作组中,这样,日常工作组也具有Backup Operations组和Net Configuration Operators组的权限。,1.本地用户管理和组:某公司秘书授权可以登录领导的计算机,定期为领导备份文件,并执行网络配置方面等有关管理工作,因此,在领导的计算机中要新建一个用户组,满足秘书的应用需求。,9.6 Windows Server2016安全配置与恢复,控制面板,操作步骤:在本地安全策略中分别设置密码策略、账户锁定策略、审核登录时间策略和审核对象访问策略。(1)密码策略设置:“开始”“管理工具”“本地安全策略”“账户策略”“密码策略”,启动密
34、码复杂性策略;设置“密码长度最小值”为“8”个字符;密码最长使用期限为“30”天。(2)账户锁定策略设置:“开始”“管理工具”“本地安全策略”“账户策略”“账户锁定策略”,设置账户锁定时间为“5”分钟;账户锁定阈值为“3”次。(3)账户锁定策略设置:“开始”“管理工具”“本地安全策略”“本地策略”“审核策略”,审核登录策略设置为“失败”;审核对象策略设置为“失败”。,2.本地安全策略:公司管理层计算机安全策略要求:启用密码复杂性策略,将密码最小长度设置为8个字符,设置密码使用期限为30天,当用户多次输入错误数据超过3次账户将被锁定,锁定时间为5分钟;启用审核登录成功和失败策略,登录失败后,通过
35、事件查看器查看Windows日志;启用审核对象访问策略,用户对文件访问后,通过事件查看器查看Windows日志。,9.6 Windows Server2016安全配置与恢复,控制面板,控制面板,控制面板,操作步骤:首先要取消“通知”文件夹的父项继承的权限,之后分配Administrators组(经理)完全控制的权限、日常工作组(秘书)除了删除权限以外各权限和Users组(其他人员)只读权限。(1)取消文件夹的父项继承的权限:右键单击“通知”文件夹,选择“属性”命令 “安全”标签“高级”“更改权限”,打开高级安全设置窗口,添加日常工作组和Users组到列表中,分别选择两组,取消“包括可从该对象的
36、父项继承的权限”选项。删除继承权后,任何用户对该文件夹都无访问权限,只有该对象的所有者可分配权限。(2)经理权限:右键单击“通知”文件夹,选择“属性”命令 “安全”标签“高级”“更改权限”“高级”“添加”,添加经理的Administrator账户,点击“确定”后打开“通知的权限项目”窗口,选择“允许”“完全控制”。(3)秘书权限:在“通知的高级安全设置”窗口中继续添加日常工作组,点击“确定”后打开“通知的权限项目”窗口,选择“允许”“创建文件/写入数据”。(4)其他用户权限:在“通知的高级安全设置”窗口中继续添加Users组,点击“确定”后打开“通知的权限项目”窗口,选择“允许”“列出文件夹/
37、读取数据”。,3. NTFS权限:经理要下发一个通知,存于“通知”文件夹中,经理对该文件夹及文件可以完全控制,秘书只有修改文稿的权限,其他人员只有浏览的权限。,9.6 Windows Server2016安全配置与恢复,操作步骤:首先要在系统中安装Backup功能组件,所有人员工作日志按照每天一文件夹存放,这样可以每周五对该周日志进行一次性备份。(1)安装Backup功能组件:“开始”“管理工具”“服务器管理器”“功能”“添加功能”,选择“Windows Server Backup功能”安装系统备份功能。(2)一次性备份:“开始”“所有程序”“附件”“系统工具”“ Windows Server
38、 Backup”,该界面的右侧可以选择“一次性备份”,当向导进行到“选择备份配置”时,选择“自定义”,之后选择“工作日志”文件夹中本周相关文件进行备份。,4.数据备份和还原:公司为了考核每个员工的工作执行情况,秘书要对每个员工每天任务完成情况填写“工作日志”,并定期汇总,为了防止大量数据丢失,公司要求每周五下班前进行数据备份,即使系统出现安全问题,也可以进行数据恢复。,9.6 Windows Server2016安全配置与恢复,控制面板,操作步骤:前提是多用户应用域统一管理,首先要建立一个组策略对象,名为“共享资源”,之后链接组策略对象。(1)建立组策略对象:“开始”“管理工具”“组策略管理”
39、,选择要实现驱动器映射的主机所在的域,并右键单击“组策略对象”,选择“新建”命令,新建一个名字为“共享资源”的GPO。右键单击“共享资源”,选择“编辑”命令,“组策略管理编辑器” “用户配置”“首选项” “Windows设置”,右键单击“驱动映射”,选择“新建”“映射驱动器”,在“常规”选项卡中“操作”项下选择“创建”,在“位置”栏中输入“PCtools”,在“驱动器号”区域中选择“使用”“Z”,完成操作。(2)链接组策略对象:在“组策略管理”控制台中,右键单击对应的主机,选择“链接现有GPO”命令,在窗口中“查找此域”下拉列表中选择对应的域名,在“组策略对象”列表框只选择“共享资源”,完成驱
40、动器映射域管理.,5.组策略应用:实现对于多用户应用域中主机登录,其驱动器F:自动连接到PCtools文件夹上。,9.6 Windows Server2016安全配置与恢复,控制面板,9.7 本章小结,本章介绍操作系统安全及站点安全的相关知识。Windows操作系统系统安全性和安全配置是重点之一。 同时简要地介绍了UNIX操作系统的安全知识。Linux是源代码公开的操作系统,本章介绍了Linux系统的安全和安全配置相关内容。本章对Web站点的结构及相关概念进行介绍,并对其安全配置进行阐述。被入侵后的恢复是一种减少损失的很好方式,可以分为系统恢复与信息恢复,重点对系统恢复的过程进行介绍。最后介绍了Windows Server2016安全配置与恢复的实验。,本章小结,诚挚谢意!,上海市高校精品课程上海高校优秀教材奖,网络安全技术及应用,(第3版),国家“十三五”重点出版规划项目,
