操作系統(tǒng)安全

1、操作系統(tǒng)安全論文姓名：學(xué)號：專業(yè)：計算機(jī)科學(xué)與技術(shù)班級：計算機(jī)學(xué)院研一win系統(tǒng)安全機(jī)制分析摘要： 主要介紹了window操作系統(tǒng)的發(fā)展歷程，對主流的windows操作系統(tǒng) 的安全機(jī)制進(jìn)行了分析與比較。關(guān)鍵詞：windows，操作系統(tǒng)，安全機(jī)制引言 windows系列的操作系統(tǒng)一直在計算機(jī)的發(fā)展中占據(jù)著相當(dāng)重要的角色，windows系列操作系統(tǒng)占據(jù)著世界一大部分的市場，國內(nèi)90%以上的用戶都在使用windows操作系統(tǒng)，可見windows操作系統(tǒng)在人們的日常生活和工作中起到了巨大作用，系統(tǒng)的安全問題也飽受人們矚目，隨著互聯(lián)網(wǎng)的發(fā)展，系統(tǒng)的安全性已經(jīng)成了全球共同研究的核心問題。一 windows

2、操作系統(tǒng)的發(fā)展歷程1998年6月微軟發(fā)布windows 98。與internet的緊密集成是windows 98最重要的特性，它使用戶能夠在共同的界面上以相同方式簡易、快捷地訪問本機(jī)硬盤、intranet和internet上的數(shù)據(jù)，讓互聯(lián)網(wǎng)真正走進(jìn)個人應(yīng)用。作為性能更佳及更穩(wěn)定的操作系統(tǒng)平臺，windows 98較windows 95更易于安裝，并提供全新的系統(tǒng)管理能力。并且windows 98內(nèi)置了大量的驅(qū)動程序。2000年年初，微軟發(fā)布windows 2000，該操作系統(tǒng)是第一個基于nt技術(shù)的純32位的windows操作系統(tǒng)，實現(xiàn)了真正意義上的多用戶。基于windows nt workst

3、ation 4.0，windows 2000 在穩(wěn)定性、可靠性以及綜合特性上面的巨大提升使其成為所有企業(yè)中臺式機(jī)和筆記本電腦上的主流操作系統(tǒng)，從此windows操作系統(tǒng)進(jìn)入商業(yè)用戶市場。windows server 2003于2003年3月28日發(fā)布，相對于windows 2000做了很多改進(jìn)：改進(jìn)的active directory（活動目錄）；改進(jìn)的group policy（組策略）操作和管理 ；改進(jìn)的磁盤管理，如可以從shadow copy（卷影復(fù)制）中備份文件。特別是在改進(jìn)的腳本和命令行工具，對微軟來說是一次革新，把一個完整的命令外殼帶進(jìn)下一版本windows的一部分。2001年10月2

4、5日, windows xp(experience)面世。 windows xp具有全新的戶用圖形界面，整合更多更實用的功能：防火墻，即時通訊，媒體播放器。盡管安全性遭到批評，但windows xp在許多方面都取得了重大進(jìn)展，例如文件管理、速度和穩(wěn)定性。微軟發(fā)布windows xp sp2。sp2的發(fā)布是windows操作系統(tǒng)在安全方面的一個巨大提升，表明微軟操作系統(tǒng)的安全性能進(jìn)入了一個“主動防護(hù)”的新階段，它從操作系統(tǒng)的底層出發(fā)，使企業(yè)用戶和個人用戶的電腦在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下更加安全。windows xp專業(yè)版是為各種規(guī)模的企業(yè)和需要最高計算體驗的用戶而設(shè)計的操作系統(tǒng)。windows xp

5、專業(yè)版增加了遠(yuǎn)程訪問，提高了安全性，具備更高的性能、管理功能以及多語言特性，提高了用戶的工作效率，使他們更方便接入網(wǎng)絡(luò)。windows vista在2007年1月高調(diào)發(fā)布，采用了全新的圖形用戶界面。但軟、硬件廠商沒有及時推出支持vista的產(chǎn)品，有關(guān)它的負(fù)面消息滿天飛，銷售也受到了嚴(yán)重影響。許多windows用戶仍然堅持使用windows xp。2009年10月，微軟發(fā)布windows 7，具有革命性變化的操作系統(tǒng)。該系統(tǒng)旨在讓人們的日常電腦操作更加簡單和快捷，為人們提供高效易行的工作環(huán)境。windows 7在windows vista的基礎(chǔ)上進(jìn)行了修改，把失敗的vista系統(tǒng)改成功了， wi

6、ndows 7包含有全新的搜索工具、任務(wù)欄和聯(lián)網(wǎng)工具。目前，windows 7已經(jīng)超過windows xp成為全球市場份額最高的操作系統(tǒng)。windows 8是微軟最新推書的的最新windows系列系統(tǒng)。windows 8支持個人電腦(x86構(gòu)架)及平板電腦(x86構(gòu)架或arm構(gòu)架)。windows 8大幅改變以往的操作邏輯，提供更佳的屏幕觸控支持。新系統(tǒng)畫面與操作方式變化極大，采用全新的metro(新windows ui)風(fēng)格用戶界面，各種應(yīng)用程序、快捷方式等能以動態(tài)方塊的樣式呈現(xiàn)在屏幕上，用戶可自行將常用的瀏覽器、社交網(wǎng)絡(luò)、游戲、操作界面融入。二 window系列操作系統(tǒng)安全機(jī)制分析 2.1

7、、windows 98系統(tǒng)安全機(jī)制分析windows98以其功能強(qiáng)大，界面友好及操作簡單的特性得到了廣大用戶的喜愛，因其具有開放性，如何保證它的安全性是相當(dāng)重要的。這里介紹幾種提高windows98系統(tǒng)安全的方法，利用這些方法可以有效地避免系統(tǒng)崩潰及系統(tǒng)崩潰后的快速恢復(fù)。1.啟動盤的制作與使用。當(dāng)安裝windows98時。系統(tǒng)會建議制作一張啟動盤，以便于在安裝失敗時能夠?qū)τ嬎銠C(jī)進(jìn)行診斷，修改并重新啟動計算機(jī)。2禁止非法用戶訪問計算機(jī)wjndom 98是多用戶操作系統(tǒng)，它允許多個用戶訪問計算機(jī)，并可以設(shè)置不同的用戶名，口令及定制桌面。當(dāng)系統(tǒng)啟動顯示登記對話框時，只要輸人用戶名及口令，即可進(jìn)人。但

8、是，對于系統(tǒng)未注冊的用戶，wjndows 98并未限制其登錄，即只要單擊登錄對話框的取消按鈕即可進(jìn)入windaws98的缺省桌面。3備份系統(tǒng)文件windows98的系統(tǒng)文件很多，一般我們只備份一些主要的系統(tǒng)文件，有些文件只需備份一次，有些文件須經(jīng)常備份。4其他安全措施41禁止切換到dos狀態(tài)windaws 98的d0s模式無安全性可言，所以為保障windows 98的安全，應(yīng)禁止進(jìn)入dos模式。4.2隱藏驅(qū)動器。有時為了防止他人查看或誤刪某一驅(qū)動器中的信息(例如備份盤)，可以將該驅(qū)動器隱藏起來。4.3禁用注冊表編輯器。注冊表的安全也是系統(tǒng)的安全。要保證注冊表不被非法修改，可以禁用注冊表編輯器。

9、4.4鎖定用戶界面若想使用戶的windows 98桌面不被修改，可以鎖定桌面。 2.2 windows 2000系統(tǒng)安全機(jī)制分析作為新一代的企業(yè)級網(wǎng)絡(luò)系統(tǒng)，windows 2000在安全特性方面的設(shè)計注重三個方面：1. 支持基于internet的新型企業(yè)；2. 微軟給windows 2000用戶中提供了一個安全性框架；3. windows 2000完全無縫地對windows nt 4.0的網(wǎng)絡(luò)提供支持，提供對windows nt 4.0中采用的ntlm(nt lan manager)安全驗證機(jī)制的支持。正因為采用了這些的安全機(jī)制，windows 2000實現(xiàn)了數(shù)據(jù)安全性、企業(yè)間通信的安全性、企

10、業(yè)和internet網(wǎng)的單點安全登錄、以及易用和良好擴(kuò)展性的安全管理等幾種特性。1. 數(shù)據(jù)安全性windows 2000所提供的保證數(shù)據(jù)保密性和完整性的特性，表現(xiàn)在用戶登錄時的安全性、對網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)、對存儲數(shù)據(jù)的保護(hù)幾個方面。 2. 企業(yè)間通信的安全性windows 2000為不同企業(yè)之間的通信，提供了多種安全協(xié)議和用戶模式的內(nèi)置的集成支持。它提供了三種實現(xiàn)模式：1) 在目錄服務(wù)中創(chuàng)建專門為外部企業(yè)開設(shè)的用戶賬號；2) 建立域之間的信任關(guān)系；3) 公用密鑰體制。3. 企業(yè)和internet網(wǎng)的單點安全登錄當(dāng)用戶成功地登錄到網(wǎng)絡(luò)之后，windows 2000先進(jìn)的應(yīng)用服務(wù)器可以從用戶登錄時所使

11、用的安全服務(wù)提供者接口(sspi)獲得用戶的安全屬性，從而使用戶做到單點登錄，從而訪問所有的服務(wù)。4. 易用的管理性和高擴(kuò)展性通過在活動目錄中使用組策略， 管理員可以集中地把所需要的安全保護(hù)加強(qiáng)到某個容器(sdou)的所有用戶/ 計算機(jī)對象上。windows 2000包括了一些安全性模版，既可以針對計算機(jī)所擔(dān)當(dāng)?shù)慕巧珌韺嵤?，也可以作為?chuàng)建定制的安全性模版的基礎(chǔ)。安全性管理的擴(kuò)展性表現(xiàn)為，在活動目錄中可以創(chuàng)建非常巨大的用戶結(jié)構(gòu)，用戶可以根據(jù)需要訪問目錄中存儲的所有信息，但是用戶受到所在的域或組織單元仍然是安全性的邊界，對訪問的權(quán)限進(jìn)行管制。2.3 windows 2003 系統(tǒng)安全機(jī)制分析1、身

12、份驗證機(jī)制 身份驗證機(jī)制身份驗證是各種系統(tǒng)對安全性的一個基本要求它主要用來對任何試圖訪問系統(tǒng)的用戶身份比行確認(rèn)。windows2003將用戶帳號信息保存在數(shù)據(jù)庫中用戶登陸時輸入的帳號和密碼需要在sam數(shù)據(jù)庫中查找和匹配。另外在windows 2003系統(tǒng)中可以使用帳戶策略設(shè)置中的“密碼策略”來進(jìn)行設(shè)置。通過設(shè)置可以提高密碼的破解難度、提高密碼的復(fù)雜性、增大密碼的長度、提高更換頻率等。 2、訪問控制機(jī)制 訪問控制機(jī)制訪問控制機(jī)趔是實現(xiàn)用戶、組和計算機(jī)訪問網(wǎng)絡(luò)上的對象時所使用的安全機(jī)制。權(quán)限是訪問控制的重要概念權(quán)限定義了授予用戶或組對某個對象或?qū)ο髮傩缘脑L問類型。包括文件和文件夾的權(quán)限、共享權(quán)限、

13、注冊表權(quán)限、服務(wù)權(quán)限、指派打印機(jī)權(quán)限、管理連接權(quán)限、權(quán)限、活動目錄權(quán)限等。在默認(rèn)的情況下。大多數(shù)的文件夾對everyone組是完全控制的。如果系統(tǒng)的管理員不進(jìn)行修改則系統(tǒng)的安全性將非常薄弱。共享權(quán)限的使用使得在方便管理的同時也容易導(dǎo)致安全問題。除了權(quán)限以外構(gòu)成訪問控制機(jī)制的主要概念還包括用戶權(quán)利和對象審查。與權(quán)限不同用戶權(quán)利適用于用戶賬戶而權(quán)限則附加給對象。對象審查則可以審核用戶對對象的訪問情況。windows 2003默認(rèn)權(quán)限比以前的版本更符合最小特權(quán)原則管理員應(yīng)當(dāng)在此基礎(chǔ)上根據(jù)需要嚴(yán)格設(shè)置權(quán)限和用戶權(quán)利使用強(qiáng)健的訪問控制列表來保護(hù)文件系統(tǒng)和注冊表的安全。這樣做可以有效地限制、分割用戶對對象

14、進(jìn)行訪問時的權(quán)限既能保證用戶能夠完成所操作的任務(wù)同時又能降低事敝、錯誤或攻擊對系統(tǒng)及數(shù)據(jù)造成的損失對于系統(tǒng)安全具有重要的作用。3、 審核策略機(jī)制審核策略機(jī)制建立審核策略是跟蹤潛在安全性問題的重要手段并在出現(xiàn)違反安全的事件時提供證據(jù)。微軟建議對下面的事件進(jìn)行審核系統(tǒng)事件類別中的成功和失敗事件、策略更改事件類別中的成功事件、賬戶管理事件類別中的成功事件、登錄事件類別中的成功事件、賬戶登錄事件類別中的成功事件。在執(zhí)行審核策略之前需要創(chuàng)建一個審核計劃這樣可以根據(jù)需要確定通過收集審核事件想要獲得的信息資源和類型。審核事件占用服務(wù)器的存儲空間和時間如果設(shè)置不當(dāng)可能反而被攻擊者利用進(jìn)行拒絕服務(wù)攻擊。因此在建

15、立審核策略時應(yīng)考慮牛成的審核數(shù)量盡可能少一些而且從事件中獲得的信息的質(zhì)量相對比較高一些同時占用系統(tǒng)的資源也盡量少一些。系統(tǒng)審核機(jī)制可以對系統(tǒng)中的各類事件進(jìn)行跟蹤記錄并寫入日志文件以供管理員進(jìn)行分析、查找系統(tǒng)和應(yīng)用程序故障以及各類安全事件。當(dāng)在系統(tǒng)中啟用安全審核策略后。管理員應(yīng)經(jīng)常查看安全日志的記錄否則就失去了及時補(bǔ)救和防御的時機(jī)了。除了安全日志外管理員還要注意檢查各種服務(wù)或應(yīng)用的日志文件。4、ip安全策略機(jī)制internet協(xié)議安全性是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)通過使用加密的安全服務(wù)以確保在ip網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。作為網(wǎng)絡(luò)操作系統(tǒng)的windows2003在分析它的安全機(jī)制時也應(yīng)該考慮到安全

16、策略機(jī)制一個安全策略由篩選器和篩選器操作兩部分構(gòu)成。其中篩選器決定哪砦報文應(yīng)當(dāng)引起安全策略的關(guān)注篩選器操作是指“允許”還是“拒絕”報文的通過。要新建一個ipsec安全策略一般需要新建篩選器和篩選器操作。在windowsserver2003系統(tǒng)中其服務(wù)器產(chǎn)品和客戶端產(chǎn)品都提供了對的支持。從而增強(qiáng)了安全性、町伸縮性以及可用性同時使得配置部署和管理更加方便。5、防火墻機(jī)制防火墻是網(wǎng)絡(luò)安全機(jī)制的一個重要的技術(shù)它在內(nèi)部網(wǎng)和外部網(wǎng)之間、機(jī)器與網(wǎng)絡(luò)之間建立起了一個安全屏障是internet建網(wǎng)的一個重要組成部分。windows 2003網(wǎng)絡(luò)操作系統(tǒng)自身帶有一個可擴(kuò)展的企業(yè)級防火墻isa server支持兩個

17、層級的策略陣列級策略和企業(yè)級策略陣列策略包括站點和內(nèi)容規(guī)則、協(xié)議規(guī)則、ip數(shù)據(jù)包篩選器、web發(fā)布規(guī)則和服務(wù)器發(fā)布規(guī)則修改陣列配置時該陣列內(nèi)所有的isa server計算機(jī)也都會被修改包括所有的訪問策略和緩存策略一企業(yè)策略進(jìn)一步體現(xiàn)了集中式管理。它允許設(shè)置一項或多項應(yīng)用于企業(yè)網(wǎng)陣列的企業(yè)策略，企業(yè)策略包括站點和內(nèi)容規(guī)則以及協(xié)議規(guī)則。企業(yè)策略可用于任何陣列而且可通過陣列自己的策略進(jìn)行擴(kuò)充。windows 2003支持isa server，但要安裝補(bǔ)丁為isa server升級在windows 2003中安全監(jiān)視器是作為microsoft管理控制臺實現(xiàn)的并包括了一些增強(qiáng)功能一的功能得到很大的增強(qiáng)這

18、些增強(qiáng)的功能主要體現(xiàn)在支持使用2048位diffie-hellman密鑰交換支持通過netsh進(jìn)行配置靜態(tài)或動態(tài)ipsec主模式設(shè)置快速模式設(shè)置、規(guī)則和配置參數(shù)在計算機(jī)啟動過程中可對網(wǎng)絡(luò)通信提供狀態(tài)可控的篩選，從而提高了計算機(jī)啟動過程中的安全性，ipsec與網(wǎng)絡(luò)負(fù)載平衡更好地集成等。 2.4 windows xp系統(tǒng)安全機(jī)制分析 1、完善的用戶管理功能 windows xp采用windows 2000/nt的內(nèi)核，在用戶管理上非常安全。凡是增加的用戶都可以在登錄的時候看到，不像windows 2000那樣，被黑客增加了一個管理員組的用戶都發(fā)現(xiàn)不了。使用ntfs文件系統(tǒng)可以通過設(shè)置文件夾的安全選

19、項來限制用戶對文件夾的訪問。還可以對文件夾啟用審核功能，將用戶對這個文件夾的訪問情況記錄到安全日志文件里去，進(jìn)一步加強(qiáng)對文件操作的監(jiān)督。 2、透明的軟件限制策略 在windows xp中，軟件限制策略以“透明”的方式來隔離和使用不可靠的、潛在的對用戶數(shù)據(jù)有危害的代碼，這可以保護(hù)你的計算機(jī)免受各種通過電子郵件或網(wǎng)頁傳播的病毒、木馬程序和蠕蟲等，保證了數(shù)據(jù)的安全。 3、支持ntfs文件系統(tǒng)以及加密文件系統(tǒng)efs windows xp里的加密文件系統(tǒng) (efs)基于公眾密鑰，并利用cryptoapi 結(jié)構(gòu)默認(rèn)的efs設(shè)置，efs還可以使用擴(kuò)展的data encryption standard (de

20、sx)和 triple-des (3des) 作為加密算法 。用戶可以輕松地加密文件。 加密時，efs自動生成一個加密密鑰。當(dāng)你加密一個文件夾時，文件夾內(nèi)的所有文件和子文件夾都被自動加密了，你的數(shù)據(jù)就會更加安全。 4、安全的網(wǎng)絡(luò)訪問特性 新的特性主要表現(xiàn)在以下幾個方面：1、補(bǔ)丁自動更新，為用戶“減負(fù)”；2、系統(tǒng)自帶internet連接防火墻自帶了internet防火墻，支持lan、 vpn、撥號連接等。支持“自定義設(shè)置”以及“日志察看”，為系統(tǒng)的安全筑起了一道“黑客防線”。 2.5 windows vista 系統(tǒng)安全機(jī)制分析vista操作系統(tǒng)在保護(hù)內(nèi)核完整性、用戶信息和數(shù)據(jù)安全等方面采用了很

21、多有效的安全技術(shù)，如用戶帳戶控制、最小權(quán)限策略、ie安全改造、可信計算模塊和bitlocker的引入等。這些技術(shù)都是針對以前的2000/xp系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行的改造，使得目前很多針對2000/xp的病毒、木馬和惡意代碼不能在vista操作系統(tǒng)中運(yùn)行，從而實現(xiàn)系統(tǒng)的安全性。vista操作系統(tǒng)中所采用的安全技術(shù)可以分成三大模塊：開發(fā)防護(hù)模塊、內(nèi)核完整性防護(hù)模塊以及系統(tǒng)和用戶狀態(tài)防護(hù)模塊。1、開發(fā)防護(hù)模塊中的主要技術(shù)有：地址裝載空間隨機(jī)化、異常處理程序安全結(jié)構(gòu)、數(shù)據(jù)執(zhí)行防護(hù)、安全堆管理等。這些技術(shù)用以阻止攻擊者使用一些特殊攻擊程序或惡意代碼對系統(tǒng)進(jìn)行破壞，彌補(bǔ)內(nèi)存處理方面的諸多安全威脅。2、內(nèi)核完整

22、性防護(hù)模塊：操作系統(tǒng)內(nèi)核是現(xiàn)代操作系統(tǒng)的核心組件，其重要性顯而易見，如果內(nèi)核出現(xiàn)了安全問題，那么系統(tǒng)底層基本架構(gòu)就不再受到信賴。微軟采用了驅(qū)動簽名技術(shù)、code integrity技術(shù)和patch guard技術(shù)來提高vista系統(tǒng)內(nèi)核的安全性和可信度。3、系統(tǒng)和用戶狀態(tài)防護(hù)模塊這個模塊使程序運(yùn)行時只需要擁有最小的權(quán)限，并且只運(yùn)行在已劃分的內(nèi)存空間中，以避免所有的程序都以管理員的權(quán)限運(yùn)行，從而可以減弱惡意程序自動威脅整個系統(tǒng)的能力。它主要采用用戶帳戶控制（uca）、bit locker技術(shù)、windows防火墻、系統(tǒng)進(jìn)程分離、windows defender、限制服務(wù)等技術(shù)。vista同樣也因

23、為安全技術(shù)方面的不足面臨著安全威脅，主要威脅來自以下幾個方面：uac技術(shù)安全問題，asld技術(shù)安全問題，bitlocker技術(shù)的依賴性，內(nèi)核保護(hù)機(jī)制的局限性，vista側(cè)欄和小工具帶來潛在的安全威脅，第三方應(yīng)用程序帶來的威脅等等。 2.6 window 7 系統(tǒng)安全機(jī)制分析1、uac(用戶帳戶控制)正如大家所知道的，uac是微軟舊版操作系統(tǒng)vista首創(chuàng)，但是許多vista用戶都對uac功能很不適應(yīng)。因為uac阻止未經(jīng)許可操作的能力非常強(qiáng)大，將可疑進(jìn)程排除在內(nèi)核之外，只有獲得用戶許可后方能運(yùn)行?，F(xiàn)今win7對uac功能進(jìn)行了改進(jìn)，在保障系統(tǒng)安全性的前提下，盡量減少uac彈出提示框的次數(shù)不影響操

24、作的流暢性?？梢哉f，uac是win7安全體系的重要組成部分，也是所有win7用戶最常接觸到的一個功能。2、bitlocker(磁盤鎖)bitlocker驅(qū)動器加密技術(shù)也是vista中新增的一種數(shù)據(jù)保護(hù)功能，主要用于解決計算機(jī)設(shè)備丟失導(dǎo)致的數(shù)據(jù)失竊或惡意泄漏等問題。win7修改了bitlocker潛在被破解的漏洞，加強(qiáng)了tpm(受信任的平臺模塊)，可實現(xiàn)基于硬件的全盤加密。因為bitlocker的密鑰可以保存在磁盤或移動盤中，也支持打印保存，適合于對安全性要求較高的企業(yè)或個人用戶。3、suite b (加密支持)suiteb是由美國國家安全局(nsa)制定的支持政府和軍事系統(tǒng)的秘密(secret

25、)和絕密(top secret)通信上的強(qiáng)制密碼算法。nsa借此算法鼓勵美國國內(nèi)部門之間的的協(xié)作性。按照安全需求等級的不同，可分為128、256甚至更高級別。其中128位或是256位密鑰的aes和sha-256被指定為保護(hù)機(jī)密情報最高到秘密(secret)級。保護(hù)絕密(topsecret)信息則要求使用256位aes密鑰并結(jié)合sha-384。suite b是非常嚴(yán)格的密碼算法，windows7采用這樣高規(guī)格標(biāo)準(zhǔn)也是為了能讓其安全性提升一個臺階。4、direct access(直接訪問)direct acces是windows 7和server 2008 r2中的一項新功能。憑借這個功能，外網(wǎng)的

26、用戶可以在不需要建立vpn連接的情況下，高速、安全的從internet直接訪問公司防火墻之后的資源。direct access功能克服了vpn的很多局限性，它利用ipv6可以自動地在外網(wǎng)客戶機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接，并使用ipsec進(jìn)行計算機(jī)之間的驗證。直接訪問的優(yōu)點主要是提高員工生產(chǎn)力;遠(yuǎn)程用戶更易于管理;改進(jìn)的安全性。5、managed service accounts(服務(wù)帳戶管理)服務(wù)帳戶通常擁有較高的權(quán)限，也導(dǎo)致了很難對其進(jìn)行管理。保護(hù)安全的最簡單、常用的方法就是經(jīng)常更換密碼，避免密碼丟失后造成損失。但是修改服務(wù)帳戶非常繁瑣，所以有必要對其進(jìn)行統(tǒng)一管理。與directaccess類似的是，服務(wù)帳戶管理也有包括模式更新、