[精选]第5章WindowsServer2003网络安全.pptx

《[精选]第5章WindowsServer2003网络安全.pptx》由会员分享，可在线阅读，更多相关《[精选]第5章WindowsServer2003网络安全.pptx（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第5章章WindowsServer2003网网络安全络安全5.1WindowsServer2003网络网络安全特性安全特性MicrosoftWindowsServer2003是在WindowsServer2000的基础上，依据.NET架构进行构建，提供了更高更好的安全性，稳定性和可伸缩性，为效劳器提供了一个高效的结构平台。5.1.1WindowsServer2003简介WindowsServer2003主要优点有：可靠：可靠：WindowsServer2003是迄今为止提供的最快、最可靠和最安全的Windows效劳器操作系统。高效：高效：WindowsServer2003提供各种工具，允许用

2、户部署、管理和使用网络结构以获得最大效率。联网：联网：连接WindowsServer2003可以帮助用户创立业务解决方案结构，以便与雇员、合作伙伴、系统和用户更好地沟通。经济：经济：与来自微软公司的许多硬件、软件和渠道合作伙伴的产品和效劳相结合，WindowsServer2003提供了有助于使用户的结构投资获得最大回报的选择。WindowsServer2003的核心技术可靠性高效率联网能力可拥有成本低。XMLWeb效劳和.NET。WindowsServer2003新增的安全功能授权管理器。存储用户名和密码。软件限制策略。证书颁发机构。受限委派。有效权限工具。加密文件系统EFS。基于操作的审核。

3、5.1.2WindowsServer2003安全概安全概述述WindowsServer2003系统的安全模型的主要功能是用户身份验证和访问控制及ActiveDirectory目录效劳。身份验证身份验证身份验证：指的是用于验证实体或对象是否与自己所声明的实体或对象相同的过程，包括确认信息的来源和完整性。身份验证是系统安全的一个基础方面，它将对尝试登录到域或访问网络资源的任何用户进行身份确认。身份验证包括两种方式：交互式登录：交互式登录：向用户的本地计算机或ActiveDirectory帐户确认用户的身份。网络身份验证：网络身份验证：向用户尝试访问的任何网络效劳确认用户的身份。基于对象的访问控制基

4、于对象的访问控制访问控制：指的是批准用户、组和计算机访问网络上的对象的过程。访问控制主要内容是权限、用户权利和对象审查。权限：权限：权限定义了授予用户或组对某个对象或对象属性的访问类型。用户权利：用户权利：用户权利授予计算环境中的用户和组特定的特权和登录权利。对象对象可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。ActiveDirectory目录效劳目录效劳ActiveDirectory是基于Windows的目录效劳。ActiveDirectory存储有关网络上对象的信息，并让用户和网络管理员可以使用这些信息。ActiveDirectory允许网络用户使

5、用单个登录进程来访问网络中任意位置的许可资源。5.2WindowsServer2003用户安全用户安全策略策略在WindowsServer2003中，安全设置和安全策略是配置在一台或多台计算机上的规则，用于保护计算机或网络上的资源。用户或计算机帐户在ActiveDirectory中，用户帐户和计算机帐户代表物理实体。用户帐户和计算机帐户以及组也称为安全主体，是被自动指派了安全标识符SID可用于访问域资源的目录对象。用户或计算机帐户用于：验证用户或计算机的身份验证用户或计算机的身份：用户帐户使用户能够利用经域验证后的标识登录到计算机和域。授权或拒绝访问域资源授权或拒绝访问域资源：一旦用户已经过身

6、份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。管理其他安全主体：管理其他安全主体：ActiveDirectory在本地域中创立外部安全主体对象，用以表示信任的外部域中的每个安全主体。审核使用用户或计算机帐户执行的操作：审核使用用户或计算机帐户执行的操作：审核有助于监视帐户的安全性。5.2.1WindowsServer2003帐户策帐户策略和本地策略略和本地策略帐户策略包含：密码策略：用于域或本地用户帐户。帐户锁定策略：用于域或本地用户帐户。Kerberos策略：用于域用户帐户。本地策略，主要应用于本地计算机，包含：审核策略：确定是否将安全事件记录到计算机上

7、的安全日志中。同时也确定是否记录登录成功或登录失败，或二者都记录。用户权限分配：确定具有登录本地计算机的权利或特权的用户或组。安全选项：启用或禁用计算机的安全设置。在在“组策略组策略中设置本地策略中设置本地策略单击“开始|“运行，在文本框中输入“gpedit.msc翻开“组策略窗口，在其中依次单击展开“计算机配置|“Windows设置|“安全设置|“本地策略|“安全选项文件夹，在其中可以进行本地策略的各种安全设置。5.2.2WindowsServer2003帐号密帐号密码策略码策略安全的计算机需要对所有用户帐户都使用强密码。对于强密码，一般都具有这样的特性：长度至少有七个字符。不包含用户名、真

8、实姓名或公司名称。不包含完整的字典词汇。与先前的密码大不相同。同时，强密码的组成包含全部以下四组字符类型：大写字母小写字母数字键盘上的符号键盘上所有未定义为字母和数字的字符密码重设盘密码重设盘管理员恢复被忘记的本地用户帐户密码的唯一方法只有手工重设用户的密码。但该操作会造成以下信息的丧失：使用用户公钥加密的电子邮件计算机中保存的Internet密码由用户加密的文件密码重设盘密码重设盘如果用户在忘记密码之前为自己的本地帐户创立了密码重设盘，则可以重设密码而不会丧失先前因管理员重设密码而丧失的珍贵数据。如何创立密码重设盘？第一步：按“Ctrl+Alt+Del，然后单击“更改密码按钮。第二步：在“用

9、户名文本框中，输入要创立密码重设盘的帐户的用户名。第三步：在“登录到以下框中选择输入的帐户需要登陆的计算机名称，然后单击“备份按钮。第四步：按照“忘记密码向导窗口中的步骤进行操作，直至完成操作。最后将密码重设盘保存在安全的地方。设置帐户密码策略设置帐户密码策略密码策略作用于域帐户或本地帐户，包含以下几个方面：强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可复原的加密来存储密码设置帐户密码策略设置帐户密码策略设置域控制器的密码策略设置域成员效劳器或工作站的密码策略1.设置本地的密码策略2.帐户锁定策略5.2.3KerberosV5身份验证KerberosV5是

10、在域中进行身份验证的主要安全协议。KerberosV5协议同时要验证用户的身份和网络效劳，这种双重验证称为“相互身份验证。KerberosV5身份验证工作过程KerberosV5身份验证过程：客户端系统上的用户使用密码或智能卡向KDC进行身份验证。KDC为此客户颁发一个特别的票证授予式票证。客户端系统使用TGT访问票证授予效劳TGS，这是域控制器上的KerberosV5身份验证机制的一局部。TGS接着向客户颁发效劳票证。客户向请求的网络效劳出示效劳票证。效劳票证向此效劳证明用户的身份，同时也向该用户证明效劳的身份。KerberosV5策略Kerberos策略不存在于本地计算机策略中，它仅出现在

11、参加到域中的计算机策略安全设置中，主要包含：强制用户登录限制：默认值：已启用。效劳票证最长寿命：默认值：600分钟10小时。用户票证最长寿命：默认值：10小时。用户票证续订最长寿命：默认值：7天。计算机时钟同步的最大容差：默认值：5分钟。5.3用户权限设置用户权限设置这里所介绍的用户及权限，主要针对的是本地用户及其权限。本地用户位于独立效劳器的计算机管理中，用户可以使用本地用户保护并管理存储在本地计算机上的用户账户。可以在特定计算机和仅这台计算机上指派本地用户账户的权限和权利。通过本地用户，可以为用户和组指派权利和权限，从而限制了用户和组执行某些操作的能力。5.3.1WindowsServer

12、2003内置帐内置帐户及组户及组Administrator账户：Administrator账户具有对效劳器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。Guest账户：Guest账户由在这台计算机上没有实际账户的用户使用。HelpAssistant账户与远程协助会话一起安装：HelpAssistant账户用于建立远程协助会话的主账户。组组是WindowsServer2003中对用户账号的一种逻辑单位，将具有相同特点和属性的用户组合成一个组，其目的是方便管理和使用。组组独立效劳器上的组又称为本地组。WindowsServer2003内置本地组主要包括：Administrator

13、s组：组：该组的成员具有对效劳器的完全控制权限，并且可以根据需要向用户指派用户权利和访问控制权限。BackupOperators组：组：该组的成员可以备份和复原效劳器上的文件，而不管保护这些文件的权限如何。Guests组：组：该组的成员拥有一个在登录时创立的临时配置文件，在注销时，该配置文件将被删除。PowerUsers组：组：该组的成员可以创立用户账户，然后修改并删除所创立的账户。RemoteDesktopUsers组：组：该组的成员可以远程登录效劳器，允许通过终端效劳登录。Users组：组：该组的成员可以执行一些常见任务。5.3.2用户权限设置用户权限设置用户权限是允许用户在计算机系统或网

14、络中执行任务，用户权限分配则是确定哪些用户或组具有这些权限。在在“组策略编辑器中设置用户权限组策略编辑器中设置用户权限单击“开始|“运行，在文本框中输入“gpedit.msc，单击“确定按钮翻开“组策略编辑器窗口。在其中依次单击展开“计算机配置|“Windows设置|“安全设置|“本地策略|“用户权限分配文件夹，在其中进行本地用户权限的各种安全设置。在在“组策略编辑器中设置用户权限组策略编辑器中设置用户权限5.4WindowsServer2003远程连接远程连接安全设置安全设置远程用户通过远程连接进入内部网络的手段包括：通过拨号网络连接到内部网络中。通过虚拟专用网连接到内部网络中。5.4.1特

15、殊共享资源安全设置特殊共享资源安全设置特殊共享资源包括：driveletter$：允许管理人员连接到驱动器根目录下的共享资源。ADMIN$：计算机远程管理期间使用的资源。IPC$：共享命名管道的资源。NETLOGON：域控制器上使用的所需资源。SYSVOL：域控制器上使用的所需资源。PRINT$：远程管理打印机过程中使用的资源。FAX$：客户端在发送的过程中，所使用的效劳器上的共享文件夹。删除特殊共享资源删除特殊共享资源命令：netsharesharename/delete共享资源“IPC$不能被“netshare命令删除掉，须利用WindowsServer2003的注册表编辑器来对它进行禁用

16、：翻开注册表编辑器。找到组键【HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa】中的【restrictanonymous】子键，将其值改为1即可禁用IPC连接，如没有这个组键，则新建它。5.4.2帐户安全设置帐户安全设置WindowsServer2003提供的远程访问效劳，往往都是通过用户帐户来进行身份验证。只要通过帐户认证，远程连接者就可以接入到本地网络中。攻击者可以通过扫描Administrator帐户和Guest帐户以期获得系统的控制权。改名Administrator帐户第一步鼠标右键单击“我的电脑，在弹出的菜单中选择“管理，出现“计

17、算机管理窗口。改名Administrator帐户第二步在“计算机管理左侧窗口中展开“系统工具|“本地用户和组文件夹，选择“用户文件夹。这时在“计算机管理右侧窗口中将显示出本地的所有帐户。改名Administrator帐户第三步单击“administrator帐户，在弹出的菜单中选择“重命名，重新输入帐户“administrator的名字即可。禁用Guest帐户帐户第一步，鼠标右键单击“我的电脑，在弹出的菜单中选择“管理，翻开“计算机管理窗口。第二步，在“计算机管理左侧窗口中展开“系统工具|“本地用户和组文件夹，选择“用户文件夹已显示本地的所有帐户。第三步，双击“guest帐户，出现“guest

18、属性对话框，在其中选中“帐户已停用复选框，这样就使得“guest帐户被停用了。“guest属性属性对话框对话框5.4.3远程桌面安全设置远程桌面安全设置使用“远程桌面连接，可以很容易地连接到终端效劳器或其他运行远程桌面的计算机。操作者所需要的就是这台计算机的IP地址以及网络访问与连接到这台计算机的权限。为保证管理员能够利用“远程桌面连接来对效劳器进行管理，管理员应该为“远程桌面连接设置能够访问的帐户名。5.4.4关闭远程访问注册表效劳远程访问注册表为系统管理员进行远程管理提供了方便。攻击者可以利用扫描器通过远程访问注册表读取计算机的系统信息及其它信息。5.5WindowsServer2003数

19、字数字证书证书通过WindowsServer2003提供的CA效劳，企业可以为用户颁发各种电子证书，而每个用户或本地计算机上都有自己的一个证书管理器，用来存放和管理自己从CA申请获得的证书，也有自己所信任的CA的根证书。5.5.1证书及证书效劳概述证书及证书效劳概述证书：通常是用于身份验证及保证公开网络上信息安全性的数字文档。证书将公钥安全地绑定到持有相应私钥的实体中。通常，证书包含以下信息：主题的公钥值。主题标识符信息如名称和电子邮件地址。有效期证书的有效时间。颁发者标识符信息。颁发者的数字签名，用来证明主体的公钥和主体的标识符信息之间的绑定关系是否有效。证书只有在指定的期限内才有效，每个证

20、书都包含有效期的起止日期，它们是有效期的界限。证书证书的主要好处之一是主机不必再为单个主题维护一套密码，这些单个主题进行访问的先决条件是需要通过身份验证。因为证书通常用来为实现安全的信息交换建立身份并创立信任，所以证书颁发机构CA可以把证书颁发给人员、设备和计算机上运行的效劳。证书效劳证书效劳证书效劳提供了一种可自定义的效劳，用以颁发和管理在使用公钥技术的软件安全系统中所用的证书。在WindowsServer2003中，利用证书效劳可用于：使用Web或Microsoft管理控制台MMC管理单元从CA为用户注册证书，或者通过自动注册透明地为用户注册证书。根据CA所使用的策略，使用证书模板帮助简化

21、在申请证书时申请者必须作出的选择。利用ActiveDirectory目录效劳，发布信任的根证书，发布已颁发的证书，发布CRL。使用智能卡实现登录到WindowsServer2003域的能力。WindowsServer2003运行证书效劳模型图5.5.2WindowsServer2003证书申证书申请请任何一个证书要合法使用就必须先申请，证书申请必须由有权访问与公钥相关联的私钥的用户、计算机或效劳产生，该公钥和私钥对将成为证书的一局部。在在WindowsServer2003中申请证中申请证书书在WindowsServer2003中，主要有两种明确申请证书的方法：使用证书申请向导申请证书。使用WindowsServer2003证书效劳网页申请证书。将证书申请提交给WindowsServer2003企业证书颁发机构后，该申请将被立即处理，而不会被设置为“挂起。证书申请将立即失败或被授予。5.5.3WindowsServer2003证书信证书信任的管理任的管理WindowsServer2003提供有三种证书管理方式，通过它们能够方便及时地更新证书。自动更新受信任根颁发机构管理第三方证书颁发机构的信任管理用户选定的证书颁发机构的信任谢谢！谢谢！欢送多提珍贵意见欢送多提珍贵意见！