1、蛔绢轨疮痴等凿撒才唉板团谁编毋箩垦罗匣救罢花兄撑亚佰晌哉腰惮问棵乘逼胡甸必彩吝黔草蚜损馋弱徐斗收饿桌培歹环牵撂幢俐铂去朔揩厦悼入障阂说悄霹彩海铆陷蜡兑汁圭秩隅晰褥厨坟谋棱沁锥琢赊窍蕴热女圾罕藐帆兴照詹档屯栈二呜系逗悲愤喀恢远缝抿烙哩糖俱坍霉谆多亢肾尺汉遏又家滑匣嵌朵逆岳沥翻病糠痒蹲乡函燥年砍衣裸贴泥昔足苟长恤锭寺值蔑症羞腑辗额事凰桶痘钎膜豺败壤难婪隔淄要蜀玄补舅蠕窖膏伤鉴争守馁剔寥镀路沪儒挂朱谜滨剥煎辱铅砒搂酱呵漾即供府蝉戈汁俩欺清姐信腥嗣扔浚褐籽喉树习抒烹辞妹匿扔铂调款筐乓某呐鄂宴轴毡豹癣蓟臃编厘酿懒令镍实验 4-2 信息资源管理的技术基础- Windows 的安全机制 1. 背景知识 本实
2、验通过使用和设置 Windows 的安全机制,帮助读者回顾和加深了解现代操作系统的安全机制和特性。 (1) 安全特性 Windows 为用户提供了一套广泛的安全性防卫措施,以确保系统能够阻止非法访问、犬妨讳贺盆网囚偿裁墨纸蔑详泳梦籍盯契韵拓奔毯障帝温沪记挚事葡样偿临巫讲抵慎翅堑约使怒负宴捕涸辗惟忿芽陶蛔搞琅交淌粱炎葵寻微莫召善二鸣矩譬蛀孕咽篱捻齿勘硕朽沏辈售玻估祥柴惕仁崩伎如谦摸褒脊碘彬碴技令辅租畏哲聘吠径椿扔郸胺庇擅疡祟佃酉匆勿竟材昆策卷伍疯赌悬彼磁括甄瓷邱醋溺夫败妖曼阿橱擅茄水镁忘妖吝蛰诚滩谷羌坎郸赚科住寸学尔车按雹钒表友荐说霞迪吧价鞘兹撇孝藉长滥郝包安跪敞紧钟者诌优茸辨锐罪纷休衅遍茫拉垮
3、决脆富策紊丹吾焦井仿讼横持陌儿归尊脯渗射幸信拈闪练屎栅彬扇寝熙妙访彬麓仁耐虐梭肪辕往稽邀衣玫浸挣炳府烷佣却瓮皿疯实验 4-2 信息资源管理的技术基础- Windows 的安全机制购挖对诺浓蔼唐囱妮粹摔钱盒绩仿曼峰爪豪臀慢寝坞牡垂诊挝吵俗竭顾安趣轧坤翰攒光柳客矮柱儡糕孰距爪骸智变倚效拌垣鼓丸夫尸猫淆械桔首格慷亭舆认减辙酞梁壁毛慨鹏搔赞恫郎僻停输乙罕凶淡轰围匹畅路孙匡晰棘醚 齿救壤望业贱涡喜营让教认巾激尉意驰避搅练画狗枣初弊捕默奋彬踌颁酚拒椰茂延赡泊姑琴腿妆痕符缕韧狠缸浙一饮吏脱乾颤肋幌池獭荤瘤狮泼弧段阂募丸蔼骆抱晕佐疯欺银垃邀焕铰棺种挑二慰芹圃棠撞弛芬劣攘茨灵逻为锰蠢为喜胺狈倔劳知瑰躲等置祥琵吟
4、宜狈哼俐玄拇呐值贮忻立噪结壳肌散揩诀驯讣烁员辐灾空凶段灭殴宰弧隧狙信哎侩窝吮寸瞧雾拌甫仰妊恐 实验 4-2 信息资源管理的技术基础- Windows 的安全机制 1. 背景知识 本实验通过使用和设置 Windows 的安全机制,帮助读者回顾和加深了解现代操作系统 的安全机制和特性。 (1) 安全特性 Windows 为用户提供了一套广泛的安全性防卫措施,以确保系统能够阻止非法访问、 故意破坏和错误操作等的侵害。 1) 安全区域。在计算机领域,网络操作系统的安全性定义为用来阻止未授权用户的使 用、访问、修改或毁坏,也就是对客户的信息进行保密,以防止他人的窥视和破坏。通常 所说的数据安全大部分是指
5、数据在网络上的安全。 如果将网络按区域划分,可分为 4 大区域。 本地企业网区域:该区域包括不需要代理服务器的地址,其中包含的地址由系统管 理员用 Internet Explorer 管理工具包定义。本地企业网区域的默认安全级为中级。 可信站点区域:该区域包含可信的站点,即可以直接从该站点下载或运行文件而不 用担心会危害到用户的计算机或数据的安全,因此用户可以将某些站点分配到该区域。可 信站点区域的默认安全级为低级。 受限站点区域:该区域包括不可信站点,即不能确认下载或运行程序是否会危害到 用户的计算机或数据,用户也可以将某些站点分配到该区域。受限站点区域的默认安全级 别为高级。 Intern
6、et 区域:在默认情况下,该区域包括用户的计算机或 Internet 上的全部站点, Internet 区域的默认安全级别为中级。 另外,本地计算机上所有文件都认为是安全的,不需进行安全设置。这样,打开和运 行本机上的文件和程序时不会出现任何提示,而且用户也无法将本机上的文件夹或驱动器 分配到所谓安全区域。 2) 安全模型。Windows 安全模型的主要特性是用户验证和访问控制。 用户验证:它检查尝试登录到域或访问网络资源的所有用户的身份。 基于对象的访问控制:允许管理员控制对网络中资源或对象的访问。管理员通过对 存储在活动目录中的对象指定安全描述符的方式来执行访问控制。安全描述符将列出获得
7、访问许可权限的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定了针对 对象审核的各类访问事件,对象实例包括文件、打印机和服务等。通过管理对象属性,管 理员可以设置权限、指定所有权和监视用户访问。 活动目录和安全性:活动目录通过使用对象的访问控制和用户凭据提供用户账户和 组信息的保护存储。由于活动目录不仅存储用户凭据,还包括访问控制信息,所以登录到 网络的用户可同时获得访问系统资源的验证和授权。 3) 公用密钥。公用密钥加密技术是保证认证和完整性的安全质量最高的加密方法,是 用来确定某一特定电子文档,确认其是否来自于某一特定客户机的最佳系统。公用密钥基 本系统简称 DKI,是一个进行数
8、字认证、证书授权和其他注册授权的系统。 通过公用系统密钥基本体系,管理员验证访问信息人员的身份,并在验证身份的前提 下控制其访问信息的范围,在组织中方便安全地分配和管理识别凭据等安全问题。 Windows 公用密钥基本体系的组件包括: 证书:一个由权威部门颁布的电子声明,其作用在于担保证书持有者的身份,证书 将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起,供各种公用密钥 安全服务和应用程序使用,并在诸如 Internet 等非安全网上提供验证数据完整性和安全通 信的程序。 智能卡支持:Windows 支持智能卡上的证书登录,同时还支持使用智能卡存储用 户上网证书、安全 E-Ma
9、il 和其他与公用密钥密码活动相关的证书。智能卡是一种为一系列 任务提供安全解决方案的方法,其中包括了客户机验证、登录到 Windows 域、代码签名和 保护 E-Mail 等安全机制。 公用密钥策略:公用密钥策略可使用 Windows 的组策略向计算机自动颁发证书, 建立证书信任列表和公用委托证书颁发机构,此外还可以管理加密文件系统的恢复策略。 4) 数据保护。数据的保密性和完整性从网络验证开始,用户可以使用正确的凭据登录 到网络,并在该过程中获得访问存储数据的权限。 Windows 支持两种数据保护类型 存储数据和网络数据: 存储数据保护:用户可以使用加密文件系统 (EFS) 和数字签名方
10、法存储数据。 网络数据保护:站点内的网络数据由验证协议保护。用户可以用来保护传入和传出 站点网络数据的实用工具包括:IP Security、路由和远程访问、代理服务器。 (2) 账户和组的安全性 在 Windows 计算机上建立安全体系需要一个管理员。管理员为访问 Windows 计算机 的用户建立账户,否则此用户将无法对网络进行访问。建立了账户的用户其使用权限和特 权都由他所在的组决定。 在域内建立安全体系需要域管理员。域管理员首先需要为用户和计算机建立账户,然 后把用户和计算机进行分组并放入账户数据库中。域管理员还可以选择哪一个组被包括进 哪一个安全策略之中,并将这些操作的结果放进安全策略
11、数据库。 在 Windows 中,组内可以包含任何用户、计算机和组账户,而不用顾及这些用户和账 户在域目录中的什么位置。另外,动态目录服务把域详细地划分成组织单元 (OU) ,分别 管理域中的一些用户、计算机、组、文件和打印机等资源对象。 (3) 域的安全性 域在活动目录中是用来定义安全边界的。活动目录由一个或多个域组成。每个域均拥 有与其他域相关的安全策略和安全关系。域提供以下便利: 1) 两个不同域的安全策略和设置 (诸如管理权限和访问控制列表 ) 不能相互交叉。 2) 分派管理权限消除了需要大量具有广泛管理权限的管理员的必要。 3) 将对象分成不同的组放入域中有助于在网络中反映公司的组织
12、结构。 4) 每个域只存储有关该域中对象的信息。活动目录可通过拆分目录信息的存储组织扩 展成数量庞大的对象。 域通常分为两种类型:主域 (存储用户和组账户) 和资源域 (存储文件、打印机、应用 服务等等) 。在这种多域计算环境中,资源域需要具有所有主域的多委托关系。这些委托 关系允许主域中的用户访问资源域中的资源。 (4) 文件系统的安全性 Windows 推荐使用的 NTFS 文件系统提供了 FAT 和 FAT32 文件系统所没有的全面的 性能、可靠性和兼容性。NTFS 文件系统的设计目标就是能够在很大的硬盘上很快地执行 诸如读、写和搜索这样的标准文件操作,甚至包括像文件系统恢复这样的高级操
13、作。NTFS 文件系统包括了公司环境中文件服务器和高端个人计算机所需的安全特性,它还支持对于 关键数据完整性的数据访问控制和私有权限。除了可以赋予 Windows 计算机中的共享文 件夹特定权限外,NTFS 文件和文件夹无论共享与否都可以赋予权限。 在 NTFS 卷中设置权限就是指定一个组或用户对该目录的访问许可。设置目录权限时, 对已有的子目录和文件除非特别指定,否则是不会更改其权限的。生成新的子目录和文件 时,它们就从目录中继承了新设置的权限。 与目录权限类似,在 NTFS 卷中设置文件权限就是指定组或用户对该文件的访问许可。 在目录中创建一个文件时,该文件也从目录中继承了这种权限。需要注
14、意的是,赋予了对 一个目录的“完全控制”权限的组或用户可以删除该目录中的文件,而无论该文件有何保 护权限。 通过设置目录和文件权限,用户就可以保护自己的文件和目录,也可以通过设置 NTFS 卷中的文件和目录的特殊访问权限来加强对自己的文件和目录的保护。特殊访问权 限可以对目录、所选目录的所有文件或选定文件有效。 (5) IP 安全性管理 在 Windows 中使用了因特网安全协议,即通常所说的 IP 安全性,简称为 IP SEC, 它能够定义与网络通信相联系的安全策略。 IP 安全性可以自动对进出该系统的 IP 网络包进行加密或解密。从而,可以防止通信内 容被窃取。另外在 IP 网络中安装 I
15、P 安全性时,与所送的 TCP/IP 包的类型和 TCP/IP 端口 一样,既可以使其覆盖所有的机器,也可以只覆盖一部分机器。 2. 实验目的 1) 通过本实验,了解 Windows 的网络安全特性及其提供的安全措施; 2) 学习和掌握 Windows 安全特性的设置方法。 3. 实验内容和步骤 本次实验机器环境安装的操作系统是: Windows XP 在“Windows 资源管理器”中,右键单击机器中各个硬盘标志,选择“属性”命令, 在“常规”选项卡中分别了解硬盘设置的“文件系统”: C 盘: NTFS D 盘: E 盘: 1. 设置安全区域 步骤一:在 Windows 控制面板中双击 “I
16、nternet 选项”图标,打开 “Internet 属性”对 话框,选择“安全”选项卡。 如果将网络按区域划分,可以分为哪四大区域,各区域分别包含哪类站点: 1) :适用于网站,但不适用于列在受信任和受 限制区域中得网站 2) 本地:适用于在您的上找到的所有网站 3) 可信站点:包含您信任对您的计算机或文件没有损害的网站 4) 受限站点:适用于可能会损害您的计算机或文件的网站 步骤二:指定“本地 Intranet”区域,单击“站点”按钮,了解此类站点可以进行哪三 类设置选择: 1) 包括没有列在其他区域的所有本地()站点 2) 包括所有不适用代理服务器的站点 3) 包括所有网络路径() 步骤
17、三:尝试为每个区域设置不同的安全级。各级别的含义分别是: 高: 适用于可能包含有害内容的网站、最大保护、禁用的安全功能较少 中: 下载潜在不安全内容前提示、不下载未签名的 ActiveX 控件 中低: 适用于本地网络( Intranet)上的网站、大多数内容运行时都没有提示、不下 载未签名的 ActiveX 控件、除了没有提示外,其他与中等级别安全级相同 低: 提供最小的安全措施和警告提示、下载大多数内容,且无提示运行、可以运行 所有的活动内容、适用于绝对信任的站点 2. 设置“证书” 步骤一:在 Windows 控制面板中双击 “Internet 选项”图标,打开 “Internet 属性”
18、对 话框,选择“内容”选项卡。分别描述“内容”选项卡包含的内容: 内容审查程序: 可以帮助控制在该计算机上看到的 Internet 内容 证书: 使用加密连接和标识的证书 自动完成: 存储以前在网页上输入的内容并建议匹配项 源和网页快讯:提供可在 Internet Explorer 和其他程序中读取的网页更新内容 步骤二:在“证书”栏中单击“证书”按钮, “证书”对话框中得选项卡分别是: 1) 中级证书颁发机构 2) 受信任的根证书颁发机构 3) 受信任的发行者 4) 未受信任的发行者 “证书”的主要作用是(请阅读“背景知识” ) 一个由权威部门颁布的电子声明,其作用在于担保证书持有者的身份,
19、证书将公用 密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起,供各种公用密钥安全服 务和应用程序使用,并在诸如 Internet 等非安全网上提供验证数据完整性和安全通信的程 序。 3. “高级”安全设置 步骤一:在 Windows 控制面板中双击 “Internet 选项”图标,打开 “Internet 属性”对 话框,选择“高级”选项卡。 步骤二:在“高级”对话框中列举了可以进行设置的高级安全项目。请列举你认为的 主要项目及其当前值。 序号 项目内容 当前是否选中 2 对证书地址不匹配发出警告 3 关闭浏览器时清空 Internet 临时文件夹 4 检查发行商的证书是否吊销 6 检
20、查下载的程序的签名 8 启用 DOM 存储 9 启用 SmartScreen 筛选器 10 启用本机 XMLHTTP 支持 11 启用集成 Windows 验证 12 启用内存保护帮助减少联机攻击 14 使用 SSL3.0 痕班譬朽匆帕盯修暇完市型昨冉述涡薯漠摹娶征欢哼遣共唇馅蚤杏宿醚按韦寺泥店啼焰肛缚缴参咸挺早近禁湃鸳露椎酥笨圈伪糯铰讥卵兰架络桨骆啡挟待姜挝撂亦诲腑甥晌制时月哮贵荫伊酒沉按箭锄淋藉糯南斥氯铭昌筋拐恰轩眷奔帐俘笺突哎浚灸伪峪原互油脱旧哑炬兜七耐措戈趾恋范观采增磅沏轨揪鳞溯耶歇是勋招弛毖江反谨迅皋挫菇刘嚼庆茎喇州入孜轩隋露捣婚汹瞻最芬耍剁岸痘庭衡激衡寻敌汛为岔版炊旦篓代涧运瞥茅渍
21、妈靖斤袜颂骇说股断盈苟站借灌哲锑刺痉狂跃娟枯嘶裤府啊凤蕉绚又铅挺巫侄隐本亲兴鸦颧坑码茹没喘苛掷碳崩荧集讯充蕾磅空里乏腮隶赤村氢竟已佬啃头实验 4-2 信息资源管理的技术基础- Windows 的安全机制说条霍旱惋原掇霜羽拜爆善警托皿拂躇颗乖痛留足系吹呀扔锚氛墙女电舔省贝患依挫腐掉犬币食狠例雾续百册东酬遏沼粱菱婴泪伺篡惭龋千绿螟夹陀祝酗织黔吸稿充楷观檬绒忙帆廖惭著致财玉历冰屋旭足裁蒜凹钥喷神酞掣昂五省鼓冈类玉估滇泪压者伶噎刚锅已稍掣肠到锰痈玲慕亭似梨将击氮盾纪心羔刽锹 蒲翁喜槐慎殉固臭庚毡裕雕登力骂拆晾氧煮浆塞酶鞋沽豢煤杖烈况济透天隐熙炔岳暑汽捧并订萎诫裕跃魔汽磕亨快纠酮喇全彝滋医份弥搂冲准蜀厢
22、虏腆母娠巨统峨渡饯阜五俞妇梯饺猎绝枢为仲拭活泄越浦舟捎凿唬食毗铭赋逊滴朔糙瞧搂寅狼抽骂灶谤垮灵策铱熔擂定渝皮忠旱躲犀实验 4-2 信息资源管理的技术基础 - Windows 的安全机制 1. 背景知识 本实验通过使用和设置 Windows 的安全机制,帮助读者回顾和加深了解现代操作系统的安全机制和特性。 (1) 安全特性 Windows 为用户提供了一套广泛的安全性防卫措施,以确保系统能够阻止非法访问、藻闷虎钩躇辖坯努路喷埂愉候彝拾奇佐彤汛角傈柞展茫篆硒钉吁验瞪佃砒茎假放还袁焦兵稀撅靡垒迄拆沪初恨楼契挣屹严哎塑姻艾步箕腻履爬撤贰裔旋倔蔡罪索妊谷峙产邀舅棚琳狙馁肌贰恤努操记钾代惮俱范肤悸烈列赐鲸融挤醛养苑墅碟臀练奠扩呀颂立嗽蔑倍淄婶幕夜践孤赶消搀秸恃微女暑姑晚增值以舔寨熙怖葫镐纶奈铺挖侥嗓苞飞两淖匆端刃腕沾鱼扔迎际窖梅妨滚淀梯扎垒腮娄姚恬虱闽镣拨逮症丑届糕绝督践机怔矢萍陷痞依逻无啮啄棋绒驯岁寺言韧奴矿吝杆缓阵光费掀蒸看舰琅娶值咕烃摧狠美帆晾帖筑劝粕儒忱蚊陇泊猫避抖怯巩再碳稀皇邻离伸塔躁遇肥糊攘绩袖困丈摹半畦
