[精选]09操作系统安全防范ikd.pptx

《[精选]09操作系统安全防范ikd.pptx》由会员分享，可在线阅读，更多相关《[精选]09操作系统安全防范ikd.pptx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9章章 操作系统安全防范操作系统安全防范 本章内容本章内容网络操作系统网络操作系统 9.1windows2003windows2003的安的安全特性全特性 9.2 windows2003windows2003的权限的权限 9.3windows2003windows2003各种各种权限权限 应用应用9.4windows2003windows2003的加密的加密文件系统文件系统 9.5引导案例引导案例:在现实生活中，经常会遇到这样的问题：当在现实生活中，经常会遇到这样的问题：当打开电脑进入操作系统桌面办公的过程中，由打开电脑进入操作系统桌面办公的过程中，由于中间临时有事需暂时离开，此时既不想关

2、机于中间临时有事需暂时离开，此时既不想关机又不想随身携带电脑，如何保障个人电脑信息又不想随身携带电脑，如何保障个人电脑信息不被别人偷窃或偷看呢？有经验的用户可能设不被别人偷窃或偷看呢？有经验的用户可能设置置“屏保密码屏保密码”和设置开机密码来实现，但如和设置开机密码来实现，但如果不小心别人知道了你的密码，或者通过技术果不小心别人知道了你的密码，或者通过技术手段对你的操作系统密码进行暴力破解，又当手段对你的操作系统密码进行暴力破解，又当如何进行防御呢？本章除了对如何进行防御呢？本章除了对windows2003操操作系统常用安全功能进行阐述外，还将提供一作系统常用安全功能进行阐述外，还将提供一种对

3、操作系统用户身份验证，保护电脑不被非种对操作系统用户身份验证，保护电脑不被非授权用户直接操作的新途径。授权用户直接操作的新途径。windows2003windows2003的安全的安全模板的定制与分析模板的定制与分析 9.6windwos2003windwos2003的权的权限夺取限夺取 9.7 windwoswindwos操作系统中防操作系统中防御各种木马与恶意程序御各种木马与恶意程序 9.8 网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，控制用户对网络资源的访问，它提供高效的通信服务和网络存储、打印服务，它能运行客户机/服务器应用程序来扩充网络应用。由于

4、网络操作系统扮演着服务提供着的角色，所以我们也把它称为服务器操作系统。计算机网络飞速发展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和服务来满足人们的需要，做好网络的控制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择合适的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。网络操作系统有以下几类：Windows系列中的Windows NT，Windows 2000/2003 Server操作系统；Unix系列中的Solaris和BSD等操作系统；Linux系列中的Red Hat、红旗等操作系统。网络操作系统网络操作系

5、统9.1Windows 2003操作系操作系统统 Windows 2003是微软公司开发的新一代高性能、高可靠性和高安全性的网络操作系统。它是Windows NT系列中的一员，在Windows 2000操作系统上做了许多重大改进，特别的，为了适应Internet分布式网络环境的需要，Windows 2003集成了.Net框架平台，简化了Web应用程序的开发，并提供良好的支持和可缩放的服务端运行环境。同时为了配合.net运行环境，Windows 2003中集成了IIS 6.0版Web服务器，相比IIS 5.0，它在可靠性、安全性和可管理性方面有长足进步，支持ASP.NET和XML技术，使得Win

6、dows 2003成为一个优秀的Web平台。另外，它的安全性相比Windows 2000大大增加，它除了堵完已发现的所有安全漏洞，还重新设计了安全子系统，改进了安全算法。Windows Server 2003针对不同的应用级别提供了四种版本，它们分别是Web、Standard、Enterprise和Datacenter。目前企业中使用较多的是Enterprise版，它可满足各种规模的企业的一般用途，是各种网络应用程序、Web服务和基础结构的理想平台，具有出色的商业价值。它最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB，具有优异的伸缩性。它功能强大，

7、易于配置和管理，界面友好美观，操作方便容易，所以迅速成为主流的网络服务器操作系统之一。Windows 2003的安全性相当复杂，它实现以下目标：实现企业中的单一登录，集成的安全服务，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核服务等等。这些目标由安全子系统来实现，安全子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他安全操作，占据着相当重要的地位。安全子系统主要由登录过程、本地安全认证、安全账号管理器和安全参考监视器等安全子组件组成。windows2003windows2003的安全特性的安全特性 9.2Windows安全子系安全子系统统

8、Winlogon安全参考监视器(SRM)验证软件包本地安全认证(LSA)安全账号管理器GINA网络客户机/服务器Netlogonl登录过程(Winlogon)：在交互式登录过程中负责登录相关的安全性工作，处理用户的登录与注销、启动用户Shell、更改密码、锁定与解锁工作站等。此外，WinLogon还必须保证其与安全相关的操作对其他 进 程 不 可 见，防 止 其 他 进 程 获 取 登 录 密 码。l图形标识和身份验证动态链接库(GINA)：GINA在用户登录时被WinLogon进程加载，用来实现用户的身份验证过程，实现Windows登录界面，提供用于标识和验证用户的输出函数，它允许被替换，以

9、使用户定制自己的身份验证操作。l身份验证软件包：身份验证软件包位于一个动态链接库之中，它执行用户身份验证工作。它接收由GINA提供的用户证书凭证，经校验后，为用户创建一个LSA登录会话，并返回绑定到用户安全令牌中的安全标识符(SID）l本地安全授权(LSA)：LSA是Windows 2000/2003系统的核心安全组件，它负责在本地和远程用户登录过程中验证用户身份，产生安全令牌，并维护本地安全策略。它还控制审计方案，并将安全参考监视器产生的审计信息记入日志。Windows安安全全子子系系统统Windows安全子系安全子系统统l网络登录(Netlogon)：Netlogon服务维护计算机到所在域

10、内的域控制器的安全信道，然后传送用户的证书凭证穿过此安全信道，再为安全主体返回一个带有SID和用户权力的访问权标。l安全账号管理器(SAM)：安全账号管理器维护安全账号数据库，即SAM数据库，该数据库包含用户和组的账号信息。在工作组模式下，SAM数据库存放在本地系统中，在域模式下，存放在域控制器中。l安全参考监视器(SRM)：安全参考监视器运行在内核模式，它负责访问控制和审核，通过将安全主体的访问令牌与客体的访问控制板(ACL)相比较，确定是否具有访问权限，阻止非授权用户访问对象。同时它还负责实施审计操作，对落入审计范围内的操作产生审计信息。1.用户账户和用户组账户用户账户和用户组账户l在在W

11、indows 2003中，有三种账户类型：本地用户账户、中，有三种账户类型：本地用户账户、域本地组账户和域全局组账户。当系统刚安装完的时候，域本地组账户和域全局组账户。当系统刚安装完的时候，系统会默认地创建一批内置的本地用户和本地组账户，存系统会默认地创建一批内置的本地用户和本地组账户，存放在本地计算机的放在本地计算机的SAM数据库中；而当数据库中；而当Windows 2003系系统升级为域控制器的时候，系统则会创建一批域组账号，统升级为域控制器的时候，系统则会创建一批域组账号，用于域中的管理和活动。用于域中的管理和活动。lWindows 2003系统默认创建两个账户：系统默认创建两个账户：A

12、dministrator和和Guest。Administrator是超级管理员账户，具有最高权是超级管理员账户，具有最高权限，它可以创建、删除其他用户和组，管理安全策略，更限，它可以创建、删除其他用户和组，管理安全策略，更改系统设备，格式化硬盘等。改系统设备，格式化硬盘等。Guest是来宾用户，默认是是来宾用户，默认是禁止的，它用于临时登录的一次性用户，具有最小权限。禁止的，它用于临时登录的一次性用户，具有最小权限。这两个默认账户均可以改名，但都不能删除这两个默认账户均可以改名，但都不能删除。9.2.2Windows 2003的账户管理的账户管理 Administrators：该组的成员为系统

13、管理员，可以控制整个系统，Administrator账号即属于该组。Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。Guests：来宾组，具有系统最小权限，用于临时登录，Guest账户属于该组。另外还有Backup Operators、Print Operators、Account Operators等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员 9.2.2Windows 2003的的账户账户管理管理

14、我们可以通过用户管理器或者命令行工具来管理用户和账户和组账户。用户管理器在计算机管理中，依次打开“控制面板”“管理工具”“计算机管理”“本地用户和组”，就能管理用户账户了 账户管理工具账户管理工具 创建建组创建组的方法与创建用户相同，而且没有那么多选项。我们可以在组中添加成员，如图9-3。我们可以禁用用户，但不能禁用用户组。在删除一个组的时候，组中的账户并不删除。同样的，用户账户可以改名，而组不能。net user命令命令 创创建建组组在“开始”“运行”中输入“cmd”打开命令提示符窗口，然后输入“net user/add Peter”。Windows2003的权限大致分为两类：NTFS权限与

15、共享权限。NTFS权限：是windows2003的操作系统在NTFS分区上权限；用于控制资源的安全性，可作用的范围包括本地用户访问与网络用户访问。共享权限：是windwos2003的操作系统控制网络资源访问的一种权限，用于控制网络访问行为的安全性。只针对网络用户生效，不能作用于本地用户的资源访问行为。该权限方式可以在NTFS分区中存在，也可以在FAT分区中存在。区别区别NTFS权限与共享权限的关键是：权限与共享权限的关键是：NTFS权限只能是权限只能是NTFS分区的分区的安全特性，而共享权限可以存在于安全特性，而共享权限可以存在于NTFS分区，也可以存在于分区，也可以存在于FAT分分区。区。N

16、TFS权限即针对本地用户也针对网络用户；而共享权限只针对权限即针对本地用户也针对网络用户；而共享权限只针对网络用户。这是两种不同的权限类型，但它们可以接合使用，达到更网络用户。这是两种不同的权限类型，但它们可以接合使用，达到更好的保护资源的目的。好的保护资源的目的。9.3 windows2003的权限 NTFS权权限限 选择处于NTFS分区的某项资源（文件或文件夹）单击鼠标右键；选择【属性】，再选择【安全】选项卡：完全控制：完全控制：对文件与文件夹拥有不受限制的完全访问。选中了“完全控制”，下面的五项属性将被自动被选中。该权限是所有NTFS权限中权力最高的选项。在使用时要小心。修改：修改：除了

17、具有“写入”和“读取与继承”的权限外，还有删除、重命名子文件夹的权限，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。读取和运行：读取和运行：允许读取和运行任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。列出文件夹目录：列出文件夹目录：只能浏览该卷或目录下的子目录，不能读取，也不能运行。读取：读取：能够读取分区或文件夹下的数据。写入：写入：能够往该分区或文件夹下写入数据。特别的权限：特别的权限：对以上的六种权限进行了更详细分，这不在本书所描述的范围内。NTFS权限的限的“写入写入”，通俗的，通俗的讲只能向某个文件只能向某个文件

18、夹增加内增加内容。但是不能容。但是不能删除内容。而除内容。而“修改修改”除了可以增加内容外，除了可以增加内容外，还可以可以删除内容。除内容。“修改修改”的的权限大于限大于“写入写入”的的权限。限。使用使用NTFS权限的原限的原则：用户将继承用户所属组的NTFS权限。NTFS权限是累加的结合。文件的权限超越文件夹的权限。NTFS权限中的DENY（拒绝）权限优先任何NTFS权限 9.3.4共享共享权权限限 选择处于任何分区的某项资源（文件夹）单击鼠标右键；选择【属性】，再选择【共享】选项卡：使用共享权限的原则：使用共享权限的原则：共享权限不受系统分区格式的限制，可以是NTFS分区也可以是FAT分区

19、。共享权限只针对网络访问生效，对本地用户访问不生效。共享权限是累加的这与NTFS权限类似。共享权限的拒绝优先于任何权限，这与NTFS权限类似。windows2003各种权限的结合的复合应用：9.4 windows2003各种权限的结合的复合应用各种权限的结合的复合应用 windows2003 NTFS权权限与共享限与共享权权限的复合限的复合应应用用实实现现 第一步：第一步：打开“开始”“程序”“管理工具”“计算机管理”，展开“本地用户和组”，在用户列表中创建两个新组，名称test1和test2，不做其他设置。windows2003 NTFS权权限与共享限与共享权权限的复合限的复合应应用用实实现

20、现 第二步第二步：创建用户，打开“开始”“程序”“管理工具”“计算机管理”，展开“本地用户和组”，在用户列表中创建一个新用户user1。windows2003 NTFS权权限与共享限与共享权权限的复合限的复合应应用用实实现现 第三步：第三步：把user1用户加入到tset1的用户组与test2的用户组。打开“开始”“程序”“管理工具”“计算机管理”展开“本地用户和组”，“user1”“属性”“隶属于”“添加”“高级”“立即查找”“test1”“确定”。如下图9-11所示，用同样的步骤可以将user1加入到test2的用户组：windows2003 NTFS权权限与共享限与共享权权限的复合限的复

21、合应应用用实实现现 第四步：第四步：在文件服务器（192.168.1.100）的NTFS分区上建立一个叫做“test”文件夹。配置用户组test1对“test”文件夹的NTFS权限为“只读”。用户组test1对“test”文件夹的共享权限为“完全控制”。windows2003 NTFS权权限与共享限与共享权权限的复合限的复合应应用用实实现现 配置用户组test2对“test”文件夹的NTFS权限为“只读”。如图9-14所示。用户组test2对“test”文件夹的共享权限为“修改”。windows2003 NTFS权权限与共享限与共享权权限的复合限的复合应应用用实现实现第五步：用户第五步：用户u

22、ser1从网络访问文件服务器证实复合权限从网络访问文件服务器证实复合权限应用的结果；用户应用的结果；用户user1只能读取文件夹，不具备其它任何只能读取文件夹，不具备其它任何权限。权限。9.5.1什么是加密文件系统（EFS）加密文件系统（Encrypting File System)是Windows 2000及以上Windows版本中，磁盘格式为NTFS的文件加密。加密文件系统(EFS)允许用户以加密格式存储磁盘上的数据。加密是将数据转换成不能被其他用户读取的格式的过程。一旦用户加密了文件，只要文件存储在磁盘上，它就会自动保持加密状态。解密是将数据从加密格式转换为原始格式的过程。9.5 win

23、dows2003的加密文件系统(1)当用户启动EFS加密，EFS的驱动程序会调用“微软的加密服务提供程序（Microsoft Crypto Provider）”来产生一个“文件加密密钥（FEK）”也就是所谓的“对称式密钥”而这个密钥的位数，由一个叫做“随机数生器”来提供。一般生成一个128位的密钥。(2)EFS就利用FEK来加密文件。注意只有文件中的数据才会被加密，对于文件名，属性与其它摘要都不会被加密。文件的各种权限也会保持不变。(3)现在EFS会将加密完成的文件存储在NTFS分区上，EFS不会独立出NTFS分区，它只是NTFS分区的一个增强特性。(4)EFS再次调用“微软的加密服务提供程序

24、（Microsoft Crypto Provider）”这一次，它的目的是获得用户的EFS公钥。然后使用一个EFS的公钥加密FEK的一个副本，并将它存储到一个数据的解密字段（DDF）中。注意DDF字段是和文件一起保存的。事实上能够解密这个DDF字段的只有用户EFS公钥所对应的私钥。私钥必须由EFS用户谨慎保管。EFS的加密工作过程的加密工作过程 EFS的加密工作的加密工作过过程程注意：注意：在加密过程执行到在加密过程执行到(4)的同时，的同时，windows的系统管理员的的系统管理员的“文件恢复（文件恢复（file recovery FR）”公钥来加密公钥来加密FEK的另的另一个副本，并将结果

25、保存到一个一个副本，并将结果保存到一个“数据恢复字段中数据恢复字段中（DRF）它出和文件一起存储。用户于在用户的）它出和文件一起存储。用户于在用户的EFS私钥私钥不完整或是丢失的情况下，由数据恢复代理（不完整或是丢失的情况下，由数据恢复代理（DRA）帮助）帮助用户恢复已被用户恢复已被EFS加密的文件。事实上这个过程相当的复加密的文件。事实上这个过程相当的复杂。杂。第一步：利用系统管理员登陆操作系统，建立两个用户，第一步：利用系统管理员登陆操作系统，建立两个用户，一个叫做一个叫做user1，另一个叫做，另一个叫做user2。注销系统管理员。注销系统管理员。第二步：利用用户第二步：利用用户user

26、1登陆操作系统。在登陆操作系统。在NTFS分区上分区上建立一个叫做建立一个叫做“test”的文件夹，然后在文件夹里建立一个的文件夹，然后在文件夹里建立一个叫叫“test”的文本文件，任意的在文本文件中输入一些内容。的文本文件，任意的在文本文件中输入一些内容。第三步：开始利用第三步：开始利用EFS加密加密test文件选择文件选择“test”文件夹，文件夹，单击鼠标右键，选择单击鼠标右键，选择“属性属性”在在“常规常规”选项卡中的选项卡中的“高级高级”中的中的“加密内容以便保护数据加密内容以便保护数据”如图如图9-16所示所示 9.5.3 EFS加密文件的配置 9.5.3 EFS加密文件的配置加密

27、文件的配置 第四步：查看并导出加密第四步：查看并导出加密test文件的密钥。开始文件的密钥。开始 运行运行 在在“打开打开”中输入：中输入：MMC。在控制台中，选择。在控制台中，选择“文件文件”添加添加/删除管理单元删除管理单元 添加添加 证书；显示如下图证书；显示如下图9-17所示。所示。选择user1的用户证书单击鼠标右键，选择“属性”出现如图9-18所示，选择“所有任务”；选择“导出”。出现如图19-19所示，选择“下一步”。选择“是，导出私钥”后，出现如图9-21所示的对话框，请选择“如果导出成功，删除密钥”。此时会弹出如图9-22所示的对话框，要求输入保护用户EFS私钥的密码，这里需

28、要注意的是，该密码并不保护文件的密码而是保护私钥的密码。完成对私钥的密码保护后，就需要指定用户EFS私钥的导出路径，如下图9-23所示，这里建议把EFS的私钥导出到移动存储设备F盘上。如图9-23所示，提示私钥导出向导的配置已完成，可单击“完成”结束EFS的私钥导出过程。第五步：第五步：在盘动存储设备F盘上，查看已导出的私钥如下图9-24所示 第六步：第六步：开始检测user1利用EFS加密文件后的效果，注销用户user1，以用户user2登陆操作系统。并试图打开已被用户user1利用EFS加密的“test”文件。结果会出现如图9-25所示的结果，无法访问。注意：注意：事实上本地计算机的管事实

29、上本地计算机的管理员（理员（administrator）在没）在没有被授权成为有被授权成为“恢复代理恢复代理”前前也不无法打开被也不无法打开被EFS加密的文加密的文件。如果需要打开被件。如果需要打开被user1利利用用EFS加密的文件，就必须获加密的文件，就必须获得图得图9-24所示的所示的EFS的私钥。的私钥。而往往私钥是需要用户保密的，而往往私钥是需要用户保密的，一般不可公开。一般不可公开。在上一小节9.5.3中完成了利用EFS来加密文件；解密文件只需要user1的EFS私钥导入到计算机机；选中需要解密的文件，单击鼠标右键，选择“属性”打开“高级”选项卡。然后在如下图9-26所示的对话框中

30、，去掉“加密内容以便保护数据”就可以解密利用EFS加密的文件。9.5.4 EFS解解密密文文件件与与“恢恢复复代代理理”问题：问题：如果利用EFS加密文件后的私钥丢失，损坏。或者是原始的加密者辞职，拒绝解密文件，怎么办？此时能解决如上问题的办法：只能依赖于EFS的“恢复代理（DRA）”来解决该问题。但是默认的情况下，在独立的计算机上（非域的计算机）没有恢复代理。需要手工创建。步骤如下：步骤如下：第一步：以本地系统管理员第一步：以本地系统管理员（administrator）登陆到本地计算机。第二步：启动第二步：启动“开始开始”-“运行”-输入：“cmd”在命令提示符下输入：cipher.exe/

31、r:dra具体操作如下图9-27所示。此时会在C盘的根目录下创建两个文件，一个是dra.cer文件；另一个是dra.pfx文件。第三步：在第三步：在启动“开始”-“运行”-输入：“gpedit.msc”找“本地组策略的编辑对话框如下图9-28所示。在“安全设置”中展开“公钥策略”下的“加密文件系统”；击鼠标右键，选择“添加数据恢复代理程序”；此时会弹出“添加故障恢复代理向导”对话框。可直接点“下一步”。在下图对话框中选择“浏览文件夹”导航到C盘根目录下的“dra.cer”文件。则添加了故障恢复代理。第四步：将恢复代理的证书第四步：将恢复代理的证书C盘下的盘下的dra.pfx如图如图9-30所示

32、的所示的位置位置,进行导入。完成进行导入。完成“故障恢复代理故障恢复代理”证书的安装。证书的安装。第五步：第五步：检查“故障恢复代理”证书安装的结果。如图9-31所示，如果操作过程没有出问题，可以在“证书”管理的控制台下看到administraor已经成为合法的“文件故障恢复代理”。如果EFS用户的私钥故障就可以利用该证书进行恢复工作。9.6 windows2003的安全模板的定制与分析的安全模板的定制与分析 安全模板是windows2003上管理操作系统安全的一系列策略设置集合。它可以创建计算机或网络的安全策略。它是考虑整个系统范围内安全的单点入口点。安全模板不引入新的安全参数，它简单地将所

33、有现有的安全属性组织到一个位置以简化安全性管理。这些策略包括：帐户策略：密码策略、账户锁定策略以及 Kerberos 策略。本地策略：审计策略、用户权限分配和安全选项。时间日志：应用程序、系统和安全“事件日志”设置。受限制的组：与安全性相关的组的成员关系。系统服务：系统服务的启动和权限。注册表：注册项权限。文件系统：文件和文件夹权限 安全模板能创建一个安全基线(security baseline)。安全基线是文档和公认安全设置的清单。在大多数情况下，你的基线会随着服务器角色的不同而产生区别。因此你最好创建几个不同的基线，以便将它们应用到不同类型的服务器上。事实上windwos2003的服务器已

34、经预定义的了部分用于不同环境的“安全模板”Compatws模板：放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。Power Users 组通常用于运行没有验证的应用程序。hisecdc模板：较securedc模板有更严格的要求。对 LanManager 身份验证以及安全频道和 SMB 数据的加密和签字的进一步要求提供进一步的限制。为了将 hisecdc 用于 DC，在所有信任和受信域中的 DC 必须运行 Windows 2000 或更新版本。Hisecsw模板：较securews 的超集。对 LanManager 身份验证以及安全频道和 SMB 数据的加密和签字的进一

35、步要求提供进一步的限制。为了将 hisecws 用于一个成员，包含登录到此客户所有用户的账户的所有 DC 必须运行 NT4 SP4 或更高。9.6.2 windows2003安全模板与安全模板与应应用用自定义一个基于操作系统自身的安全模板，模板的名称名叫做“system_sec”。要求：（1）交互式登录：试图登录的用户的消息标题为“警告”；交互式登录：试图登录的用户的消息文本“校园网络禁止非授权访问”。（2）密码必须符合复杂性要求。最短密码长度。（3）防止未签名驱动程序的安装行为。（4）对安全模板进行分析并应用到操作系统上。步骤：步骤：第一步：启动“开始”-“运行”-“打开”输入“MMC”打开

36、控制台，“文件”-“添加/删除管理单元”-“添加”-“安全模板”与“安全配置与分析”得到如下图9-33所示的对话框。第二步：选择操作系统安全模板存放的位置，单击鼠标右键出现如图9-34所示的界面，选择“新加模板”。会弹出如图9-35所示对新加安全模板的对话框。然后在“模板名”中输入：“system_sec”，并输入相应的描述性语言。第三步：此时可以看到自定义的安全模板“system_sec”如图9-36所示。事实上这个模板是从系统默认的“预定义模板”复制而得到。只是该模板暂时没有做任何的安全选项设置。第四步：现在开始在自定的安全模板中设置各项具体的安全要求。首先在“帐户策略”里面选择如下图9-

37、37所示的“密码必须符合复杂性要求”选择“已启用”；然后在“密码长度最小值”策略中输入“8”表示以后所有的密码的长度至少要满足8个字符串的需求如下图9-38所示。图图9-37图9-3 8 在自定义的安全模板“system_sec”中选择“本地策略”下面的“安全选项”可得到如下图9-39所示的对话框，设置用户登陆系统前的一个公告消息的“标题”。在如下图9-40的对话框中可设置，用户登陆系统前的一个公告消息的文字内容。图9-39 图9-40在“安全选项”中可以找到“防止用户用户安装打印机驱动程序”选项，选择“已启用”。如图9-41所示。然后在“安全选项”中找到“未签名驱动程序的安装文件”选择“禁止

38、安装”。如下图9-42所示。图9-41 图9-42第五步：在完成需求中的安全选项设置后，将自定义的安全模板“system_sec”进行保存。第六步：需要对已保存的安全模板进行分析。确保现有的安全设置与操作系统的各项应用服务与程序没有冲突。首先在如图9-43示的“安全配置和分析”上单击鼠标右件，选择“打开数据库”。会弹出图9-44所示的对话框，要求输入打开数据库的名称，请在文件名中输入“system_sec”。注意，这里您只能直接输入你要打开的数据库名称。图9-44输入打开数据库的名称，请在文件名中输入“system_sec”。注意，这里您只能直接输入你要打开的数据库名称 然后在如图所示的对话框

39、中选择“立即分析计算机”开始分析即将应用于计算机的安全设置。以防止即将应的安全设置与服务器上的应用服务发生冲突。分析日志被保存在如图9-47所示的位置。如果分析结果没有异常，则可选择“立即配置计算机”将安全设置应用于计算机。9.7 windwos2003的的权权限限夺夺取取 9.7.1文件或文件夹的最高权限拥有文件或文件夹的最高权限拥有者可以对该对象做任意的操作，包括各种权限的控制与管理。默认文件或文件夹的最高权限的拥有者是建立该文件或文件夹的创造者。而不是系统管理员。换而言之，如果一个用户建立了一个文件或文件夹，然后将其它所有用户包括系统管理员（administrator）都排除在对资源的访

40、问以外，那么只有该用户可以访问这个文件或文件夹。系统管理员也无法访问该文件或文件夹。资源控制的意外事件发生：在财务部门有一个用户名叫“account”一直以来都由他处理和汇总单位重要的财务报表。为了保证财务报表的机密性。该用户只允许他自已可以访问“财务文件”其它的用户都不可以访问该文件夹。该文件夹是由用户自已建立。权限控制如下图9-48所示：突然有一天，系统管理员无意将“account”误删除。此时没有任何用户可以打开该文件夹。也无法再访问文件夹的重要内容。包括系统管理员也无法访问。然后查看“财务文件夹”的属性如下图：9-49所示，在权限控窗口中没有任何用户显示。此时administrator

41、也无法访问“财务文件夹”文件夹或文件的最高权限用户是创建对象的用户本身，这个事实无法改变。但是系统管理员(administrator)拥有对操作系统维护与管理的最高权限，可以利用系统管理员用户强制夺取“account”用户对“财务文件夹”的拥有权来达到进一步来修改文件夹权限的目的，让其它用户可以访问该文件夹。9.7.2 windwos2003的的权权限限夺夺取取 利用操作系统管理员(administrator)的身份登陆计算机。选择“财务文件夹”单击鼠标右键。选择“属性”-“安全”会弹出如下图9-50所示的提示：“管理无权查看或编辑目前的文件夹”。但您可以取得该对象的所有权。点击“确定”选择“

42、高级安全”设置中的“所有者”可以看见目前该项目的所有者为“无法显示当前所有者”。因为“account”用户已被删除。所以无法显示当前所有者。但是可以选择“将所有者更改为”administrator或者是administrators组。如图9-51所示。这样系统管理员或者系统管理员小组就成为了文件夹的所有者，拥有了对财务文件夹的最高权限 9.8 windwos操作系操作系统统中防御各种木中防御各种木马马与与恶恶意程序意程序 9.8.1 木木马与与恶意程序是如何感染到意程序是如何感染到windwos操作系操作系统多数恶意程序，比如病毒，木马，等都会在windows启动时自动加载到内存。可很容易地通

43、过一个简单的注册表项对程序的自动运行进行配置。因此，一个很好的解决办法就是系统管理员通过windows禁用应用程序的自动启动。9.8.2防御防御现现今最今最为为流行流行AUTO病毒病毒 防御步骤：防御步骤：第一步：第一步：观察Auto病毒中招后的现象:该病毒被植入到计算机的主要症状:双击鼠标左键打不开本地磁盘,右键单击打开菜单会出现一个AUTO的选项。每个盘都有两个这样的文件:autorun.inf 和*.exe.如下图9-52所示:第二步：第二步：现解传播途径：U盘、MP3、移动硬盘可见，一般的杀毒软件基本只能查出来,但是都杀不了。或者杀毒后计算机重启又会被感染。第三步：第三步：防御Auto

44、病毒的方式：(1)在组策略中如下图9-53和图9-54所示的位置禁用windows的自动播放功能：9、静夜四无邻，荒居旧业贫。5月-235月-23Monday,May 15,202310、雨中黄叶树，灯下白头人。10:06:3510:06:3510:065/15/2023 10:06:35 AM11、以我独沈久，愧君相见频。5月-2310:06:3510:06May-2315-May-2312、故人江海别，几度隔山川。10:06:3510:06:3510:06Monday,May 15,202313、乍见翻疑梦，相悲各问年。5月-235月-2310:06:3510:06:35May 15,20

45、2314、他乡生白发，旧国见青山。15 五月 202310:06:35 上午10:06:355月-2315、比不了得就不比，得不到的就不要。五月 2310:06 上午5月-2310:06May 15,202316、行动出成果，工作出财富。2023/5/15 10:06:3510:06:3515 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。10:06:35 上午10:06 上午10:06:355月-239、没有失败，只有暂时停止成功！。5月-235月-23Monday,May 15,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。1

46、0:06:3510:06:3510:065/15/2023 10:06:35 AM11、成功就是日复一日那一点点小小努力的积累。5月-2310:06:3510:06May-2315-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。10:06:3510:06:3510:06Monday,May 15,202313、不知香积寺，数里入云峰。5月-235月-2310:06:3510:06:35May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 202310:06:35 上午10:06:355月-2315、楚塞三湘接，荆门九派通。五月 2310

47、:06 上午5月-2310:06May 15,202316、少年十五二十时，步行夺得胡马骑。2023/5/15 10:06:3510:06:3515 May 202317、空山新雨后，天气晚来秋。10:06:35 上午10:06 上午10:06:355月-239、杨柳散和风，青山澹吾虑。5月-235月-23Monday,May 15,202310、阅读一切好书如同和过去最杰出的人谈话。10:06:3510:06:3510:065/15/2023 10:06:35 AM11、越是没有本领的就越加自命不凡。5月-2310:06:3510:06May-2315-May-2312、越是无能的人，越喜欢

48、挑剔别人的错儿。10:06:3510:06:3510:06Monday,May 15,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2310:06:3510:06:35May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 202310:06:35 上午10:06:355月-2315、最具挑战性的挑战莫过于提升自我。五月 2310:06 上午5月-2310:06May 15,202316、业余生活要有意义，不要越轨。2023/5/15 10:06:3510:06:3515 May 202317、一个人即使已登上顶峰，也仍要自强不息。10:06:35 上午10:06 上午10:06:355月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！