[精选]09操作系统安全防范.pptx

《[精选]09操作系统安全防范.pptx》由会员分享，可在线阅读，更多相关《[精选]09操作系统安全防范.pptx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第9 章 操作系统平安防范 本章内容网络操作系统网络操作系统 9.1windows2003windows2003的安的安全特性全特性 9.2 windows2003windows2003的权限的权限 9.3windows2003windows2003各种各种权限权限 应用应用9.4windows2003windows2003的加密的加密文件系统文件系统 9.5引导案例:在现实生活中，经常会遇到这样的问题：当翻开电脑进入操作系统桌面办公的过程中，由于中间临时有事需暂时离开，此时既不想关机又不想随身携带电脑，如何保障个人电脑信息不被别人偷窃或偷看呢？有经验的用户可能设置“屏保密码和设置开机密码来实

2、现，但如果不小心别人知道了你的密码，或者通过技术手段对你的操作系统密码进行暴力破解，又当如何进行防御呢？本章除了对windows2003 操作系统常用平安功能进行阐述外，还将提供一种对操作系统用户身份验证，保护电脑不被非授权用户直接操作的新途径。windows2003windows2003的安全的安全模板的定制与分析模板的定制与分析 9.6windwos2003windwos2003的权的权限夺取限夺取 9.7 windwoswindwos操作系统中防操作系统中防御各种木马与恶意程序御各种木马与恶意程序 9.8 网络操作系统是网络的核心，它除了具有普通操作系统的功能外，还能管理网络的整体运作，

3、控制用户对网络资源的访问，它提供高效的通信效劳和网络存储、打印效劳，它能运行客户机/效劳器应用程序来扩充网络应用。由于网络操作系统扮演着效劳提供着的角色，所以我们也把它称为效劳器操作系统。计算机网络飞速开展，新的网络协议和应用层出不穷，网络操作系统也在不断改进和更新，它不但要提供新的特性和效劳来满足人们的需要，做好网络的控制管理工作，还要防止非善意者的非法行为，和抵御来自不法分子的恶意攻击。因此，选择适宜的网络操作系统并对其进行合理的配置，是网络管理人员的重要任务。网络操作系统有以下几类：Windows 系列中的Windows NT，Windows 2000/2003 Server 操作系统；

4、Unix 系列中的Solaris 和BSD 等操作系统；Linux 系列中的Red Hat、红旗等操作系统。网络操作系统网络操作系统9.1Windows 2003 操作系统 Windows 2003 是微软公司开发的新一代高性能、高可靠性和高平安性的网络操作系统。它是Windows NT 系列中的一员，在Windows 2000 操作系统上做了许多重大改进，特别的，为了适应Internet 分布式网络环境的需要，Windows 2003 集成了.Net 框架平台，简化了Web 应用程序的开发，并提供良好的支持和可缩放的效劳端运行环境。同时为了配合.net 运行环境，Windows 2003 中

5、集成了IIS 6.0 版Web 效劳器，相比IIS 5.0，它在可靠性、平安性和可管理性方面有长足进步，支持ASP.NET 和XML 技术，使得Windows 2003 成为一个优秀的Web平台。另外，它的平安性相比Windows 2000 大大增加，它除了堵完已发现的所有平安漏洞，还重新设计了平安子系统，改进了平安算法。Windows Server 2003 针对不同的应用级别提供了四种版本，它们分别是Web、Standard、Enterprise 和Datacenter。目前企业中使用较多的是Enterprise 版，它可满足各种规模的企业的一般用途，是各种网络应用程序、Web 效劳和基础

6、结构的理想平台，具有出色的商业价值。它最大支持8 个处理器和32GB 内存，最小配置为CPU 速度不低133MHz，内存不少于128MB，具有优异的伸缩性。它功能强大，易于配置和管理，界面友好美观，操作方便容易，所以迅速成为主流的网络效劳器操作系统之一。Windows 2003 的平安性相当复杂，它实现以下目标：实现企业中的单一登录，集成的平安效劳，管理的委派和可扩展性，强大的身份验证，用于实现互操作能力的基于标准的协议，审核效劳等等。这些目标由平安子系统来实现，平安子系统控制着整个操作系统的运转，负责完成用户的身份验证和访问控制及其他平安操作，占据着相当重要的地位。平安子系统主要由登录过程、

7、本地平安认证、平安账号管理器和平安参考监视器等平安子组件组成。windows2003windows2003的安全特性的安全特性 9.2Windows 平安子系统 Winlogon安全参考监视器(SRM)验证软件包本地安全认证(LSA)安全账号管理器GINA网络客户机/服务器Netlogonl 登 录 过 程Winlogon：在 交 互 式 登 录 过 程 中 负 责 登 录 相 关 的平 安 性 工 作，处 理 用 户 的 登 录 与 注 销、启 动 用 户Shell、更 改 密 码、锁定 与 解 锁 工 作 站 等。此 外，WinLogon 还 必 须 保 证 其 与 平 安 相 关 的 操

8、 作对 其 他 进 程 不 可 见，防 止 其 他 进 程 获 取 登 录 密 码。l 图形标识和身份验证动态链接库GINA：GINA 在用户登录时被WinLogon 进程加载，用来实现用户的身份验证过程，实现Windows登录界面，提供用于标识和验证用户的输出函数，它允许被替换，以使用户定制自己的身份验证操作。l 身份验证软件包：身份验证软件包位于一个动态链接库之中，它执行用户身份验证工作。它接收由GINA 提供的用户证书凭证，经校验后，为用户创立一个LSA 登录会话，并返回绑定到用户平安令牌中的平安标识符SID l 本地平安授权LSA：LSA 是Windows 2000/2003 系统的核

9、心平安组件，它负责在本地和远程用户登录过程中验证用户身份，产生平安令牌，并维护本地平安策略。它还控制审计方案，并将平安参考监视器产生的审计信息记入日志。Windows 平 安 子 系 统Windows 平安子系统l 网络登录Netlogon：Netlogon 效劳维护计算机到所在域内的域控制器的平安信道，然后传送用户的证书凭证穿过此平安信道，再为平安主体返回一个带有SID 和用户权力的访问权标。l 平安账号管理器SAM：平安账号管理器维护平安账号数据库，即SAM 数据库，该数据库包含用户和组的账号信息。在工作组模式下，SAM 数据库存放在本地系统中，在域模式下，存放在域控制器中。l 平安参考监

10、视器SRM：平安参考监视器运行在内核模式，它负责访问控制和审核，通过将平安主体的访问令牌与客体的访问控制板ACL 相比较，确定是否具有访问权限，阻止非授权用户访问对象。同时它还负责实施审计操作，对落入审计范围内的操作产生审计信息。1.用户账户和用户组账户l 在Windows 2003 中，有三种账户类型：本地用户账户、域本地组账户和域全局组账户。当系统刚安装完的时候，系统会默认地创立一批内置的本地用户和本地组账户，存放在本地计算机的SAM 数据库中；而当Windows 2003 系统升级为域控制器的时候，系统则会创立一批域组账号，用于域中的管理和活动。lWindows 2003 系统默认创立两

11、个账户：Administrator和Guest。Administrator 是超级管理员账户，具有最高权限，它可以创立、删除其他用户和组，管理平安策略，更改系统设备，格式化硬盘等。Guest 是来宾用户，默认是禁止的，它用于临时登录的一次性用户，具有最小权限。这两个默认账户均可以改名，但都不能删除。9.2.2 Windows 2003 的账户管理 Administrators：该组的成员为系统管理员，可以控制整个系统，Administrator 账号即属于该组。Users：用户组，提供了用户访问系统所必须的权限，能访问本计算机上的资源，但不能改动计算机配置，新添加的用户默认属于该组。Guest

12、s：来宾组，具有系统最小权限，用于临时登录，Guest 账户属于该组。另外还有Backup Operators、Print Operators、Account Operators 等组账户，分别拥有备份、打印机管理、账户管理等特殊权限。此外，Windows 系统中还有一些特殊的组，管理员不能对这些特殊组进行管理，系统会根据情况自动管理组中的成员 9.2.2 Windows 2003 的账户管理 我们可以通过用户管理器或者命令行工具来管理用户和账户和组账户。用户管理器在计算机管理中，依次翻开“控制面板“管理工具“计算机管理“本地用户和组，就能管理用户账户了 账户管理工具 创立组创立组的方法与创立

13、用户相同，而且没有那么多项选择项。我们可以在组中添加成员，如图9-3。我们可以禁用用户，但不能禁用用户组。在删除一个组的时候，组中的账户并不删除。同样的，用户账户可以改名，而组不能。net user 命令 创立组在“开始“运行中输入“cmd 翻开命令提示符窗口，然后输入“net user/add Peter。Windows2003 的权限大致分为两类：NTFS 权限与共享权限。NTFS 权限：是windows2003 的操作系统在NTFS 分区上权限；用于控制资源的平安性，可作用的范围包括本地用户访问与网络用户访问。共享权限：是windwos2003 的操作系统控制网络资源访问的一种权限，用于

14、控制网络访问行为的平安性。只针对网络用户生效，不能作用于本地用户的资源访问行为。该权限方式可以在NTFS 分区中存在，也可以在FAT 分区中存在。区别NTFS 权限与共享权限的关键是：NTFS 权限只能是NTFS 分区的平安特性，而共享权限可以存在于NTFS 分区，也可以存在于FAT 分区。NTFS 权限即针对本地用户也针对网络用户；而共享权限只针对网络用户。这是两种不同的权限类型，但它们可以接合使用，到达更好的保护资源的目的。9.3 windows2003 的权限 NTFS 权限 选择处于NTFS 分区的某项资源文件或文件夹单击鼠标右键；选择【属性】，再选择【平安】选项卡：完全控制：对文件与

15、文件夹拥有不受限制的完全访问。选中了“完全控制，下面的五项属性将被自动被选中。该权限是所有NTFS 权限中权力最高的选项。在使用时要小心。修改：除了具有“写入和“读取与继承的权限外，还有删除、重命名子文件夹的权限，选中了“修改，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改条件将不再成立。读取和运行：允许读取和运行任何文件，“列出文件夹目录和“读取是“读取和运行的必要条件。列出文件夹目录：只能浏览该卷或目录下的子目录，不能读取，也不能运行。读取：能够读取分区或文件夹下的数据。写入：能够往该分区或文件夹下写入数据。特别的权限：对以上的六种权限进行了更详细分，这不在本书所描述的范

16、围内。NTFS 权限的“写入，通俗的讲只能向某个文件夹增加内容。但是不能删除内容。而“修改除了可以增加内容外，还可以删除内容。“修改的权限大于“写入的权限。使用NTFS 权限的原则：用户将继承用户所属组的NTFS 权限。NTFS 权限是累加的结合。文件的权限超越文件夹的权限。NTFS 权限中的DENY 拒绝权限优先任何NTFS 权限 9.3.4 共享权限 选择处于任何分区的某项资源文件夹单击鼠标右键；选择【属性】，再选择【共享】选项卡：使用共享权限的原则：共享权限不受系统分区格式的限制，可以是NTFS分区也可以是FAT 分区。共享权限只针对网络访问生效，对本地用户访问不生效。共享权限是累加的这

17、与NTFS 权限类似。共享权限的拒绝优先于任何权限，这与NTFS 权限类似。windows2003 各种权限的结合的复合应用：9.4 windows2003 各种权限的结合的复合应用 windows2003 NTFS 权限与共享权限的复合应用实现 第一步：翻开“开始“程序“管理工具“计算机管理，展开“本地用户和组，在用户列表中创立两个新组，名称test1 和test2，不做其他设置。windows2003 NTFS 权限与共享权限的复合应用实现 第二步：创立用户，翻开“开始“程序“管理工具“计算机管理，展开“本地用户和组，在用户列表中创立一个新用户user1。windows2003 NTFS

18、权限与共享权限的复合应用实现 第三步：把user1 用户参加到tset1 的用户组与test2 的用户组。翻开“开始“程序“管理工具“计算机管理展开“本地用户和组，“user1“属性“隶属于“添加“高级“立即查找“test1“确定。如以下图9-11 所示，用同样的步骤可以将user1 参加到test2 的用户组：windows2003 NTFS 权限与共享权限的复合应用实现 第四步：在文件效劳器192.168.1.100 的NTFS 分区上建立一个叫做“test 文件夹。配置用户组test1 对“test 文件夹的NTFS 权限为“只读。用户组test1 对“test 文件夹的共享权限为“完全

19、控制。windows2003 NTFS 权限与共享权限的复合应用实现 配置用户组test2 对“test 文件夹的NTFS 权限为“只读。如图9-14所示。用户组test2 对“test 文件夹的共享权限为“修改。windows2003 NTFS 权限与共享权限的复合应用实现第五步：用户user1 从网络访问文件效劳器证实复合权限应用的结果；用户user1 只能读取文件夹，不具备其它任何权限。9.5.1 什么是加密文件系统EFS 加密文件系统Encrypting File System 是Windows 2000 及以上Windows 版本中，磁盘格式为NTFS 的文件加密。加密文件系统 EF

20、S 允许用户以加密格式存储磁盘上的数据。加密是将数据转换成不能被其他用户读取的格式的过程。一旦用户加密了文件，只要文件存储在磁盘上，它就会自动保持加密状态。解密是将数据从加密格式转换为原始格式的过程。9.5 windows2003 的加密文件系统 1 当用户启动EFS 加密，EFS 的驱动程序会调用“微软的加密效劳提供程序Microsoft Crypto Provider 来产生一个“文件加密密钥FEK 也就是所谓的“对称式密钥而这个密钥的位数，由一个叫做“随机数生器来提供。一般生成一个128 位的密钥。2 EFS 就利用FEK 来加密文件。注意只有文件中的数据才会被加密，对于文件名，属性与其

21、它 都不会被加密。文件的各种权限也会保持不变。3 现在EFS 会将加密完成的文件存储在NTFS 分区上，EFS 不会独立出NTFS 分区，它只是NTFS 分区的一个增强特性。4 EFS 再次调用“微软的加密效劳提供程序Microsoft Crypto Provider 这一次，它的目的是获得用户的EFS 公钥。然后使用一个EFS 的公钥加密FEK 的一个副本，并将它存储到一个数据的解密字段DDF 中。注意DDF 字段是和文件一起保存的。事实上能够解密这个DDF 字段的只有用户EFS 公钥所对应的私钥。私钥必须由EFS 用户谨慎保管。EFS 的加密工作过程 EFS 的加密工作过程注意：在加密过程

22、执行到4 的同时，windows 的系统管理员的“文件恢复file recovery FR 公钥来加密FEK的另一个副本，并将结果保存到一个“数据恢复字段中DRF 它出和文件一起存储。用户于在用户的EFS 私钥不完整或是丧失的情况下，由数据恢复代理DRA 帮助用户恢复已被EFS 加密的文件。事实上这个过程相当的复杂。第一步：利用系统管理员登陆操作系统，建立两个用户，一个叫做user1，另一个叫做user2。注销系统管理员。第二步：利用用户user1 登陆操作系统。在NTFS 分区上建立一个叫做“test 的文件夹，然后在文件夹里建立一个叫“test 的文本文件，任意的在文本文件中输入一些内容。

23、第三步：开始利用EFS 加密test 文件选择“test 文件夹，单击鼠标右键，选择“属性在“常规选项卡中的“高级中的“加密内容以便保护数据 如图9-16 所示 9.5.3 EFS 加密文件的配置 9.5.3 EFS 加密文件的配置 第四步：查看并导出加密test 文件的密钥。开始 运行 在“翻开中输入：MMC。在控制台中，选择“文件 添加/删除管理单元 添加 证书；显示如以下图9-17 所示。选择user1 的用户证书单击鼠标右键，选择“属性出现如图9-18 所示，选择“所有任务；选择“导出。出现如图19-19 所示，选择“下一步。选 择“是，导 出 私 钥 后，出 现 如 图9-21 所

24、示 的 对 话 框，请选择“如果导出成功，删除密钥。此时会弹出如图9-22 所示的对话框，要求输入保护用户EFS私钥的密码，这里需要注意的是，该密码并不保护文件的密码而是保护私钥的密码。完成对私钥的密码保护后，就需要指定用户EFS 私钥的导出路径，如以下图9-23 所示，这里建议把EFS 的私钥导出到移动存储设备F 盘上。如图9-23 所示，提示私钥导出向导的配置已完成，可单击“完成结束EFS 的私钥导出过程。第五步：在盘动存储设备F 盘上，查看已导出的私钥如以下图9-24 所示 第六步：开始检测user1 利用EFS 加密文件后的效果，注销用户user1，以用户user2 登陆操作系统。并试

25、图翻开已被用户user1 利用EFS 加密的“test 文件。结果会出现如图9-25 所示的结果，无法访问。注意：事实上本地计算机的管理员administrator 在没有被授权成为“恢复代理前也不无法翻开被EFS 加密的文件。如果需要翻开被user1 利用EFS 加密的文件，就必须获得图9-24 所示的EFS 的私钥。而往往私钥是需要用户保密的，一般不可公开。在上一小节9.5.3 中完成了利用EFS 来加密文件；解密文件只需要user1 的EFS 私钥导入到计算机机；选中需要解密的文件，单击鼠标右键，选择“属性翻开“高级选项卡。然后在如以下图9-26 所示的对话框中，去掉“加密内容以便保护数

26、据就可以解密利用EFS 加密的文件。9.5.4 EFS 解 密 文 件 与“恢 复 代 理 问题：如果利用EFS 加密文件后的私钥丧失，损坏。或者是原始的加密者辞职，拒绝解密文件，怎么办？此时能解决如上问题的方法：只能依赖于EFS 的“恢复代理DRA 来解决该问题。但是默认的情况下，在独立的计算机上非域的计算机没有恢复代理。需要手工创立。步骤如下：第一步：以本地系统管理员administrator登陆到本地计算机。第二步：启动“开始-“运行-输入：“cmd 在命令提示符下输入：cipher.exe/r:dra 具体操作如以下图9-27 所示。此时会在C 盘的根目录下创立两个文件，一个是dra.

27、cer 文件；另一个是dra.pfx 文件。第三步：在启动“开始-“运行-输入：“gpedit.msc 找“本地组策略的编辑对话框如以下图9-28 所示。在“平安设置中展开“公钥策略下的“加密文件系统；击鼠标右键，选择“添加数据恢复代理程序；此时会弹出“添加故障恢复代理向导对话框。可直接点“下一步。在以下图对话框中选择“浏览文件夹导航到C 盘根目录下的“dra.cer 文件。则添加了故障恢复代理。第四步：将恢复代理的证书C 盘下的dra.pfx 如图9-30 所示的位置,进行导入。完成“故障恢复代理证书的安装。第五步：检查“故障恢复代理证书安装的结果。如图9-31所示，如果操作过程没有出问题，

28、可以在“证书管理的控制台下看到administraor 已经成为合法的“文件故障恢复代理。如果EFS 用户的私钥故障就可以利用该证书进行恢复工作。9.6 windows2003 的平安模板的定制与分析 平安模板是windows2003 上管理操作系统平安的一系列策略设置集合。它可以创立计算机或网络的平安策略。它是考虑整个系统范围内平安的单点入口点。平安模板不引入新的平安参数，它简单地将所有现有的平安属性组织到一个位置以简化平安性管理。这些策略包括：帐户策略：密码策略、账户锁定策略以及 Kerberos 策略。本地策略：审计策略、用户权限分配和平安选项。时间日志：应用程序、系统和平安“事件日志设

29、置。受限制的组：与平安性相关的组的成员关系。系统效劳：系统效劳的启动和权限。注册表：注册项权限。文件系统：文件和文件夹权限 平安模板能创立一个平安基线security baseline。平安基线是文档和公认平安设置的清单。在大多数情况下，你的基线会随着效劳器角色的不同而产生区别。因此你最好创立几个不同的基线，以便将它们应用到不同类型的效劳器上。事实上windwos2003 的效劳器已经预定义的了局部用于不同环境的“平安模板 patws 模板：放松用户组的默认文件和注册表权限，使之与多数没有验证的应用程序的要求一致。Power Users 组通常用于运行没有验证的应用程序。hisecdc 模板：

30、较securedc 模板有更严格的要求。对 LanManager 身份验证以及平安频道和 SMB 数据的加密和签字的进一步要求提供进一步的限制。为了将 hisecdc 用于 DC，在所有信任和受信域中的 DC 必须运行 Windows 2000 或更新版本。Hisecsw 模板：较securews 的超集。对 LanManager 身份验证以及平安频道和 SMB 数据的加密和签字的进一步要求提供进一步的限制。为了将 hisecws 用于一个成员，包含登录到此客户所有用户的账户的所有 DC 必须运行 NT4 SP4 或更高。9.6.2 windows2003 平安模板与应用 自定义一个基于操作系

31、统自身的平安模板，模板的名称名叫做“system_sec。要求：1 交互式登录：试图登录的用户的消息标题为“警告；交互式登录：试图登录的用户的消息文本“校园网络禁止非授权访问。2 密码必须符合复杂性要求。最短密码长度。3 防止未签名驱动程序的安装行为。4 对平安模板进行分析并应用到操作系统上。步骤：第一步：启动“开始-“运行-“翻开输入“MMC 翻开控制台，“文件-“添加/删除管理单元-“添加-“平安模板与“平安配置与分析得到如以下图9-33 所示的对话框。第二步：选择操作系统平安模板存放的位置，单击鼠标右键出现如图9-34 所示的界面，选择“新加模板。会弹出如图9-35 所示对新加平安模板的

32、对话框。然后在“模板名中输入：“system_sec，并输入相应的描述性语言。第三步：此时可以看到自定义的平安模板“system_sec 如图9-36 所示。事实上这个模板是从系统默认的“预定义模板复制而得到。只是该模板暂时没有做任何的平安选项设置。第四步：现在开始在自定的平安模板中设置各项具体的平安要求。首先在“帐户策略里面选择如以下图9-37 所示的“密码必须符合复杂性要求选择“已启用；然后在“密码长度最小值策略中输入“8 表示以后所有的密码的长度至少要满足8 个字符串的需求如以下图9-38 所示。图9-37 图 9-3 8 在自定义的平安模板“system_sec 中选择“本地策略下面的

33、“平安选项可得到如以下图9-39 所示的对话框，设置用户登陆系统前的一个公告消息的“标题。在如以下图9-40 的对话框中可设置，用户登陆系统前的一个公告消息的文字内容。图9-39 图9-40在“平安选项中可以找到“防止用户用户安装打印机驱动程序选项，选择“已启用。如图9-41 所示。然后在“平安选项中找到“未签名驱动程序的安装文件选择“禁止安装。如以下图9-42 所示。图9-41 图9-42 第五步：在完成需求中的平安选项设置后，将自定义的平安模板“system_sec 进行保存。第六步：需要对已保存的平安模板进行分析。确保现有的平安设置与操作系统的各项应用效劳与程序没有冲突。首先在如图9-4

34、3 示的“平安配置和分析上单击鼠标右件，选择“翻开数据库。会弹出图9-44 所示的对话框，要求输入翻开数据库的名称，请在文件名中输入“system_sec。注意，这里您只能直接输入你要翻开的数据库名称。图9-44输入翻开数据库的名称，请在文件名中输入“system_sec。注意，这里您只能直接输入你要翻开的数据库名称 然后在如下图的对话框中选择“立即分析计算机开始分析即将应用于计算机的平安设置。以防止即将应的平安设置与效劳器上的应用效劳发生冲突。分析日志被保存在如图9-47 所示的位置。如果分析结果没有异常，则可选择“立即配置计算机将平安设置应用于计算机。9.7 windwos2003 的权限

35、夺取 9.7.1 文件或文件夹的最高权限拥有文件或文件夹的最高权限拥有者可以对该对象做任意的操作，包括各种权限的控制与管理。默认文件或文件夹的最高权限的拥有者是建立该文件或文件夹的创造者。而不是系统管理员。换而言之，如果一个用户建立了一个文件或文件夹，然后将其它所有用户包括系统管理员administrator都排除在对资源的访问以外，那么只有该用户可以访问这个文件或文件夹。系统管理员也无法访问该文件或文件夹。资源控制的意外事件发生：在财务部门有一个用户名叫“account 一直以来都由他处理和汇总单位重要的财务报表。为了保证财务报表的机密性。该用户只允许他自已可以访问“财务文件其它的用户都不可

36、以访问该文件夹。该文件夹是由用户自已建立。权限控制如以下图9-48 所示：突然有一天，系统管理员无意将“account 误删除。此时没有任何用户可以翻开该文件夹。也无法再访问文件夹的重要内容。包括系统管理员也无法访问。然后查看“财务文件夹的属性如以下图：9-49 所示，在权限控窗口中没有任何用户显示。此时administrator 也无法访问“财务文件夹 文件夹或文件的最高权限用户是创立对象的用户本身，这个事实无法改变。但是系统管理员administrator 拥有对操作系统维护与管理的最高权限，可以利用系统管理员用户强制夺取“account 用户对“财务文件夹的拥有权来到达进一步来修改文件夹

37、权限的目的，让其它用户可以访问该文件夹。9.7.2 windwos2003 的权限夺取 利用操作系统管理员administrator 的身份登陆计算机。选择“财务文件夹单击鼠标右键。选择“属性-“平安会弹出如以下图9-50 所示的提示：“管理无权查看或编辑目前的文件夹。但您可以取得该对象的所有权。点击“确定 选择“高级平安设置中的“所有者可以看见目前该工程的所有者为“无法显示当前所有者。因为“account 用户已被删除。所以无法显示当前所有者。但是可以选择“将所有者更改为administrator 或者是administrators 组。如图9-51 所示。这样系统管理员或者系统管理员小组就

38、成为了文件夹的所有者，拥有了对财务文件夹的最高权限 9.8 windwos 操作系统中防御各种木马与恶意程序 9.8.1 木马与恶意程序是如何感染到windwos 操作系统 多数恶意程序，比方病毒，木马，等都会在windows 启动时自动加载到内存。可很容易地通过一个简单的注册表项对程序的自动运行进行配置。因此，一个很好的解决方法就是系统管理员通过windows 禁用应用程序的自动启动。9.8.2 防御现今最为流行AUTO 病毒 防御步骤：第一步：观察Auto 病毒中招后的现象:该病毒被植入到计算机的主要病症:双击鼠标左键打不开本地磁盘,右键单击翻开菜单会出现一个AUTO 的选项。每个盘都有两

39、个这样的文件:autorun.inf 和*.exe.如以下图9-52 所示:第二步：现解传播途径：U 盘、MP3、移动硬盘可见，一般的杀毒软件基本只能查出来,但是都杀不了。或者杀毒后计算机重启又会被感染。第三步：防御Auto 病毒的方式：1 在组策略中如以下图9-53 和图9-54 所示的位置禁用windows 的自动播放功能：9、静夜四无邻，荒居旧业贫。6 月-236 月-23Thursday,June 1,2023 10、雨中黄叶树，灯下白头人。01:28:5901:28:5901:286/1/2023 1:28:59 AM 11、以我独沈久，愧君相见频。6 月-2301:28:5901:

40、28Jun-2301-Jun-23 12、故人江海别，几度隔山川。01:28:5901:28:5901:28Thursday,June 1,2023 13、乍见翻疑梦，相悲各问年。6 月-236 月-2301:28:5901:28:59June 1,2023 14、他乡生白发，旧国见青山。01 六月 20231:28:59 上午01:28:596 月-23 15、比不了得就不比，得不到的就不要。六月 231:28 上午6 月-2301:28June 1,2023 16、行动出成果，工作出财富。2023/6/1 1:28:5901:28:5901 June 2023 17、做前，能够环视四周；做

41、时，你只能或者最好沿着以脚为起点的射线向前。1:28:59 上午1:28 上午01:28:596 月-23 9、没有失败，只有暂时停止成功！。6 月-236 月-23Thursday,June 1,2023 10、很多事情努力了未必有结果，但是不努力却什么改变也没有。01:28:5901:28:5901:286/1/2023 1:28:59 AM 11、成功就是日复一日那一点点小小努力的积累。6 月-2301:28:5901:28Jun-2301-Jun-23 12、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。01:29:0001:29:0001:29Thursday,June 1,2

42、023 13、不知香积寺，数里入云峰。6 月-236 月-2301:29:0001:29:00June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20231:29:00 上午01:29:006 月-23 15、楚塞三湘接，荆门九派通。六月 231:29 上午6 月-2301:29June 1,2023 16、少年十五二十时，步行夺得胡马骑。2023/6/1 1:29:0001:29:0001 June 2023 17、空山新雨后，天气晚来秋。1:29:00 上午1:29 上午01:29:006 月-23 9、杨柳散和风，青山澹吾虑。6 月-236 月-23

43、Thursday,June 1,2023 10、阅读一切好书如同和过去最杰出的人谈话。01:29:0001:29:0001:296/1/2023 1:29:00 AM 11、越是没有本领的就越加自命非凡。6 月-2301:29:0001:29Jun-2301-Jun-23 12、越是无能的人，越喜欢挑剔别人的错儿。01:29:0001:29:0001:29Thursday,June 1,2023 13、知人者智，自知者明。胜人者有力，自胜者强。6 月-236 月-2301:29:0001:29:00June 1,2023 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 202

44、31:29:00 上午01:29:006 月-23 15、最具挑战性的挑战莫过于提升自我。六月 231:29 上午6 月-2301:29June 1,2023 16、业余生活要有意义，不要越轨。2023/6/1 1:29:0001:29:0001 June 2023 17、一个人即使已登上顶峰，也仍要自强不息。1:29:00 上午1:29 上午01:29:006 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉演讲完毕，谢谢观看！