Windows操作系统安全技术.pptx

第七章 Windows 操作系统安全技术
身份验证
访问的安全控制
注册表安全
域管理机制
文件系统安全
安全设置
日志
服务包与补丁包更新
Windows 7安全机制十大革新
身份验证
基本概念
1 用户账户(Account)
所谓用户账户,是计算机使用者的身份标识。每一个使用计算机的人,必须凭借他的用户账户才能进入计算机,进而访问计算机中的资源。
用户账户有两种基本类型:本地用户账户和全局用户账户(域用户账户)
(1)本地用户账户创建于网络客户机,它的作用范围仅仅限于创建它的计算机,用于控制用户对该计算机上资源的访问。
(2)域用户账户创建于服务器(域控制器),可以在网络中任何计算机上登录,使用范围是整个网络。
身份验证
Windows系统常用的内置账户:
(1)Guest: 来宾账户。
(2)Administrator: 系统管理员账户,具有最高权限。
2 组(Group)
组是一组相关账号的集合,即用户账户的一种容器,提供了为一组用户同时设定权利和权限的可能。
使用组的目的:简化对网络的管理,通过组可以一次性地为一批用户授予一定的权利和权限。
身份验证
Windows系统中的组有三种基本类型:
本地组
全局组
特别组
本地组
(1)本地组
(工作组网络环境的组)用于创建网络客户机,控制对所创建的计算机资源的访问。它的成员是用户账户和全局组,它在一个本地的系统或者域中进行维护。本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理。
全局组
(2)全局组(域环境中的组)
用于创建服务器(域控制器),控制对域资源的访问。系统管理员可以利用全局组有效地将用户按他们的需要进行安排。
Windows系统提供了三类全局组:
1)管理员组(Domain Admins)
2)用户组(Domain Users)
3)域客人组(Domain Guests)
(3)特别组
Windows系统为了特定的目的创建了特别组。通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格,特别组不可以通过用户管理器为其增加新成员,同时它也不可以被浏览和修改。
Windows系统提供的的特别组如下:
1)System:Windows操作系统
2)Creator owner:创建对对象拥有所有权的用户
3)Interactive:以交互的方式在本地系统登录入网的所有用户
work:系统中所有通过网络连接的用户
5)Everyone:登录上网的系统中的所有用户(work组)
需要注意的是,在特别组中,所有登录账户都是Everyone组的成员
特别组
1)用户账户的管理
从安全角度考虑,应注意如下几点:
(1)要保证用户不会从隶属于的组中获得超过其任务要求的额外权限,同时用户隶属于的组能满足它的任务要求。
(2)图7-2为Windows 2000/XP系统中用户属性对话框的“配置文件标签”对话框,一个登录脚本可以被分配给一个或者多个用户组账户,脚本文件一般是可执行文件()或者是批处理文件()。若设置了登录脚本,则系统在每次登录的时候都会运行此脚本。
账户安全管理