中職中小型企業(yè)網(wǎng)絡(luò)架構(gòu)案例教程第3章 企業(yè)網(wǎng)絡(luò)安全管理教學(xué)課件

1、(中職）中小型企業(yè)網(wǎng)絡(luò)架構(gòu)案例教程第3章 企業(yè)網(wǎng)絡(luò)安全管理ppt課件第 3 章3.1企業(yè)網(wǎng)絡(luò)安全管理【案例 6】本地用戶及工作組相關(guān)知識(shí)1工作組工作組是由一些計(jì)算機(jī)組成的一個(gè)小型網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)中可能包括 Windows Server 2003、Windows 2000 Server，也可能包括 Windows XP Professional、Windows 2000 Professional或 Windows 98 等，所有的計(jì)算機(jī)的地位都是平等的。一個(gè)典型的工作組的組成如圖 3-1-25 所示。在工作組中不能集中管理網(wǎng)絡(luò)中的所有資源，每臺(tái)計(jì)算機(jī)都要重復(fù)地進(jìn)行一些管理工作。工作組具有以下特性：

2、 工作組內(nèi)的每臺(tái)計(jì)算機(jī)都要維護(hù)自己的資源、日常管理工作和用戶身份驗(yàn)證。 每臺(tái)計(jì)算機(jī)都在本地存儲(chǔ)用戶賬戶的信息。 用戶在工作組中使用本地賬戶登錄到本地計(jì)算機(jī)，一個(gè)賬戶只能登錄到一臺(tái)計(jì)算機(jī)中。 一個(gè)工作組中的計(jì)算機(jī)的數(shù)量最好不要超過 10 臺(tái)。2本地用戶賬戶圖 3-1-25工作組示意圖在 Windows Server 2003 中，用戶賬戶的登錄步驟是強(qiáng)制性的，用戶只有準(zhǔn)確無誤地提交自己的用戶名和密碼，才能獲準(zhǔn)使用計(jì)算機(jī)。在工作組模式下的本地身份驗(yàn)證的過程中，用戶的 SID 通 過 提 交 用 戶 名 和 密 碼 被 Windows Server 2003 內(nèi) 置 的 SAM （ security

3、 accountmanagement ） 數(shù) 據(jù)庫 進(jìn)行 比對(duì) 。本 地賬 戶都 存儲(chǔ) 在本 地 的 SAM 數(shù) 據(jù)庫 里面 ，每 臺(tái) Windows（NT/2000/XP/2003）計(jì)算機(jī)都有一個(gè)本地 SAM 數(shù)據(jù)庫。SAM 就是安全賬戶管理數(shù)據(jù)庫，它是 WindowsNT/2000、Windows XP Professional、Windows Server 2003 操作系統(tǒng)的核心，其中存放了本地計(jì)算機(jī)上的組賬戶和用戶賬戶的信息。該數(shù)據(jù)庫存放在“%systemroot%system32config”文件夾下，文件名為 SAM。安裝完 Windows Server 2003 后，系統(tǒng)會(huì)自動(dòng)

4、創(chuàng)建若干個(gè)用戶賬戶，稱為系統(tǒng)默認(rèn)用戶賬戶。系統(tǒng)默認(rèn)的賬戶具有特殊的用途和權(quán)限。系統(tǒng)默認(rèn)用戶賬戶默認(rèn)安裝時(shí)有 3 個(gè)用戶賬戶，分別是 Administrator、Guest 和 SUPPORT_388945a0。其中 Administrator 是默認(rèn)的管理員賬戶，此賬戶對(duì)當(dāng)前的計(jì)算機(jī)擁有最大的權(quán)限。Guest 是用于臨時(shí)訪問的賬戶，默認(rèn)的權(quán)限很小，而且在默認(rèn)的狀態(tài)下，該賬戶是禁用的?？梢允褂谩坝?jì)算機(jī)管理”窗口中的“本地用戶和組”選項(xiàng)查看本地用戶賬戶。右擊“我的電腦”圖標(biāo)，在彈出的快捷菜單中選擇“管理”命令，打開“計(jì)算機(jī)管理”窗口，如圖 3-1-26 所示，再單擊“本地用戶和組”中的“用戶”選項(xiàng)

5、?；蛘哌x擇“開始”“運(yùn)行”命令，打開“運(yùn)行”對(duì)話框，在“打開”文本框中輸入 compmgmt.msc，也可以打開“計(jì)算機(jī)管理”窗口。圖 3-1-26默認(rèn)內(nèi)置賬戶界面本地賬戶具有以下特點(diǎn)： 本地賬戶存儲(chǔ)在本地計(jì)算機(jī)的 SAM 數(shù)據(jù)庫中。 本地賬戶能夠并且只能登錄到本地計(jì)算機(jī)中。 本地賬戶可以使用“計(jì)算機(jī)管理”中的“本地用戶和組”來管理。 本地賬戶主要用于工作組環(huán)境中。3創(chuàng)建本地用戶信息設(shè)置系統(tǒng)提供的內(nèi)置賬戶主要用于管理和其他系統(tǒng)應(yīng)用，并不能滿足日常的使用和管理的需要，所以需要為系統(tǒng)創(chuàng)建新的用戶賬戶，以便滿足用戶的需求。管理員可以使用“計(jì)算機(jī)管理”窗口中的“本地用戶和組”選項(xiàng)來創(chuàng)建用戶賬戶，可以在

6、“計(jì)算機(jī)管理”窗口的右側(cè)空白處右擊，在彈出的快捷菜單中選擇“新用戶”命令，如圖 3-1-27所示。圖 3-1-27創(chuàng)建本地用戶界面打開“新用戶”對(duì)話框，如圖 3-1-28 所示。在“新用戶”對(duì)話框中輸入用戶名、描述和密碼等信息后單擊“創(chuàng)建”按鈕，完成新用戶的創(chuàng)建，如圖 3-1-29 所示。新創(chuàng)建的用戶只具有很少的管理權(quán)限。圖 3-1-28“新用戶”對(duì)話框圖 3-1-29創(chuàng)建完成后的用戶界面創(chuàng)建用戶時(shí)需要輸入和選擇一些信息，具體說明如下：（1）用戶名：用戶登錄時(shí)所使用的名字。用戶名不能與被管理的計(jì)算機(jī)上的其他用戶或組名相同。用戶名最長(zhǎng)為 20 個(gè)字符，字母不區(qū)分大小寫，也可以使用中文，但不能使用

7、一些特殊字符，例如，“”、“/”、“”、“”、“”、“:”、“;”、“|”、“=”、“,”、“+”、“*”、“?”、“”等。（2）全名和描述：此信息為可選項(xiàng)，可以輸入一些員工的個(gè)人信息和公司信息，如姓名和部門等。（3）密碼和確認(rèn)密碼：輸入用戶將來登錄時(shí)所使用的密碼，兩次輸入的密碼必須相同。密碼的最大長(zhǎng)度可以達(dá)到 127 位，密碼的設(shè)置不應(yīng)過于簡(jiǎn)單，應(yīng)該使用字母、數(shù)字及特殊符號(hào)的組合。但是如果網(wǎng)絡(luò)中包含運(yùn)行 Windows 95 或 Windows 98 的計(jì)算機(jī)，建議使用不超過 14 個(gè)字符的密碼。如果密碼過長(zhǎng)，可能無法從這些計(jì)算機(jī)登錄網(wǎng)絡(luò)。（4）用戶下次登錄時(shí)須更改密碼：設(shè)置當(dāng)用戶下一次登錄

8、此臺(tái)計(jì)算機(jī)時(shí)，系統(tǒng)將強(qiáng)制用戶更改密碼。（5）用戶不能更改密碼：默認(rèn)情況下每個(gè)用戶都可以更改自己的密碼，但有時(shí)多個(gè)用戶使用同一個(gè)賬戶，如果其中一個(gè)人更改了密碼，就會(huì)造成其他用戶無法登錄。通過設(shè)置此項(xiàng)，禁止用戶更改密碼。（6）密碼永不過期：默認(rèn)情況下設(shè)置的密碼會(huì)在 42 天后過期，通過設(shè)置此項(xiàng)，密碼將永不過期。（7）賬戶已禁用：通過設(shè)置此項(xiàng)，禁用后的賬戶將不能登錄。4本地組的特點(diǎn)創(chuàng)建完用戶賬戶以后，就要為用戶分配相應(yīng)的權(quán)限。如果用戶數(shù)量比較多，并且權(quán)限設(shè)置經(jīng)常變動(dòng)，管理員的工作量會(huì)很大，這時(shí)就可以考慮使用工作組來完成權(quán)限的分配。組具有以下特點(diǎn)： 組是賬戶的集合。 當(dāng)一個(gè)用戶加入到一個(gè)組以后，該用戶

9、會(huì)繼承該組所擁有的所有權(quán)限。 一個(gè)用戶可以同時(shí)加入到多個(gè)組。在 Windows Server 2003 中可以為單個(gè)用戶分配權(quán)限，但是當(dāng)用戶的數(shù)量過多時(shí)，就會(huì)做很多重復(fù)性的工作。可以為 Windows Server 2003 系統(tǒng)中的本地組分配權(quán)限，然后將用戶加入本地組，這些用戶就會(huì)繼承這個(gè)本地組的權(quán)限，如圖 3-1-30 所示。當(dāng)某個(gè)用戶不再需要相應(yīng)的權(quán)限時(shí)，只需將此用戶從該本地組中刪除即可。圖 3-1-30加入本地組后的本地用戶將繼承組的權(quán)限5常用內(nèi)置組當(dāng)安裝完 Windows Server 2003 后，系統(tǒng)會(huì)自動(dòng)創(chuàng)建一些有各種用途的組，稱為“默認(rèn)本地組”，如圖 3-1-31 所示，大部

10、分的默認(rèn)本地組不能刪除。如果計(jì)算機(jī)顯示的默認(rèn)本地組和圖示顯示的不同，是因?yàn)榘惭b了不同的服務(wù)。本地組的數(shù)量和所安裝的服務(wù)有關(guān)。圖 3-1-31默認(rèn)本地組界面每個(gè)默認(rèn)本地組都有其特殊功能，其中 Administrators 組是內(nèi)置的管理員組。加入此組的成 員 擁 有 本 地 計(jì) 算 機(jī) 最 大 的 管 理 權(quán) 限 ， 系 統(tǒng) 管 理 員 Administrator 就 是 這 個(gè) 組 的 成 員 。Administrators 組可以被重命名，但是不能刪除。Power Users 組的權(quán)限僅次于 Administrators，它可以對(duì)計(jì)算機(jī)進(jìn)行大多數(shù)的日常管理操作。雖然 Power Users

11、組可以管理用戶，但是不能管理 Administrators 組的成員，另外不具有更改 IP 地址和格式化硬盤等權(quán)限。系統(tǒng)中常用的默認(rèn)本地組及常用的功能和特點(diǎn)如表 3-1-1 所示。3.2【案例 7】NTFS 權(quán)限相關(guān)知識(shí)1常用的文件系統(tǒng)文件系統(tǒng)是指文件命名、存儲(chǔ)和組織的總體結(jié)構(gòu)。Windows 支持三種文件系統(tǒng)，即 FAT、FAT32 和 NTFS?？梢栽诎惭b Windows、格式化現(xiàn)有的分區(qū)或者安裝新的硬盤時(shí)，選擇相應(yīng)的文件系統(tǒng)。在決定使用哪種文件系統(tǒng)之前，應(yīng)當(dāng)了解每個(gè)文件系統(tǒng)的優(yōu)點(diǎn)和局限性。更改分區(qū)的現(xiàn)有文件系統(tǒng)可能非常耗費(fèi)時(shí)間，因此最好選擇適合長(zhǎng)期需要的文件系統(tǒng)。FAT 包括 FAT 1

12、6 和 FAT 32 兩種分區(qū)格式。FAT 16 在 DOS 時(shí)代得到了廣泛的應(yīng)用，現(xiàn)在一般不常見。FAT 32 是 FAT 16 的升級(jí)版本，這種格式采用 32 位的文件分配表，對(duì)磁盤的管理能力大大增強(qiáng)，突破了 FAT 16 對(duì)每個(gè)分區(qū)的容量只有 2GB 的限制。運(yùn)用 FAT 32 的分區(qū)格式后，用戶可以將一個(gè)大硬盤定義成一個(gè)分區(qū)，而不必分為幾個(gè)分區(qū)使用，大大方便了對(duì)硬盤的管理。FAT 32 還具有一個(gè)最大的優(yōu)點(diǎn)，在一個(gè)不超過 8GB 的分區(qū)中，F(xiàn)AT 32 分區(qū)格式的每個(gè)簇容量都固定為 4KB，與 FAT 16 相比，可以大大地減少硬盤空間的浪費(fèi)，提高了硬盤利用率。NTFS 的分區(qū)格式是跟

13、隨 Windows NT 系統(tǒng)產(chǎn)生的，它顯著的優(yōu)點(diǎn)是在安全性和穩(wěn)定性上極其出色，在使用中不易產(chǎn)生文件碎片，對(duì)硬盤的空間利用及軟件的運(yùn)行速度都有好處。它能對(duì)用戶的操作進(jìn)行記錄，通過對(duì)用戶權(quán)限進(jìn)行非常嚴(yán)格的限制，使每個(gè)用戶只能按照系統(tǒng)賦予的權(quán)限進(jìn)行操作，充分保證了網(wǎng)絡(luò)操作系統(tǒng)與數(shù)據(jù)的安全。Windows NT/2000/XP/2003 都支持這種硬盤分區(qū)格式（Windows NT 需要安裝 Microsoft 提供的補(bǔ)丁才能支持）。但因?yàn)?DOS 和 Windows 98是在 NTFS 格式之前推出的，所以并不能識(shí)別 NTFS 格式。下面具體介紹每個(gè)文件系統(tǒng)與各種操作系統(tǒng)的兼容性，如表 3-2-1

14、 所示。2獲得 NTFS 文件系統(tǒng)（1）格式化硬盤。在格式化硬盤時(shí)選擇 NTFS 文件系統(tǒng)，采用此種方式，分區(qū)中的數(shù)據(jù)將全部丟失。右擊需要轉(zhuǎn)化 NTFS 文件系統(tǒng)的磁盤分區(qū)，在彈出的快捷菜單中選擇“格式化”命令，打開格式化本地磁盤對(duì)話框，如圖 3-2-18 所示。在“文件系統(tǒng)”下拉列表中選擇 NTFS 選項(xiàng)，單擊“開始”按鈕，將此磁盤分區(qū)格式化成 NTFS 文件系統(tǒng)。（2）將 FAT 文件系統(tǒng)轉(zhuǎn)換為 NTFS 文件系統(tǒng)，并保留原有的數(shù)據(jù)。選擇“開始”“運(yùn)行”命令，打開“運(yùn)行”對(duì)話框。在“打開”文本框中輸入 cmd，單擊“確定”按鈕，打開命令提示符窗口。在命令提示符下輸入 convert f:/

15、fs:ntfs，如圖 3-2-19 所示。按【Enter】鍵確認(rèn)，其中 f 是指驅(qū)動(dòng)器號(hào)（其后要緊跟冒號(hào)）。這時(shí)就會(huì)將 FAT 格式轉(zhuǎn)換成 NTFS 文件系統(tǒng)。圖 3-2-18格式化本地磁盤對(duì)話框圖 3-2-19convert 命令格式（3）使用第三方軟件轉(zhuǎn)換，例如，分區(qū)大師軟件等。3NTFS 權(quán)限的含義及特點(diǎn)（1）NTFS 權(quán)限的含義：由于 FAT 和 FAT 32 文件系統(tǒng)下不能提供文件級(jí)別的安全性，因此Microsoft 公司在 NTFS 文件系統(tǒng)中引入了權(quán)限的概念。在每個(gè)文件或文件夾的屬性對(duì)話框中都增加了一個(gè)“安全”選項(xiàng)卡，如圖 3-2-20 所示。其中包含訪問控制列表（ACL）和訪問

16、控制項(xiàng)（ACE）選項(xiàng)，訪問控制列表中列出了與當(dāng)前文件或文件夾權(quán)限有關(guān)的用戶和組，當(dāng)選中某個(gè)組或用戶后，訪問控制項(xiàng)中列出與該用戶和組相關(guān)的權(quán)限。（2）NTFS 權(quán)限的特點(diǎn)： 可以對(duì)單個(gè)文件或文件夾設(shè)置權(quán)限。 更好的可伸縮性使擴(kuò)展為大驅(qū)動(dòng)器成為可能。NTFS 的最大分區(qū)或卷比 FAT 的最大分區(qū)或卷大得多，當(dāng)卷或分區(qū)大小增加時(shí)，NTFS 的性能并不會(huì)降低，而 FAT 的性能則會(huì)降低。 壓縮功能，包括壓縮或解壓縮驅(qū)動(dòng)器、文件夾或特定文件的功能，但是無法同時(shí)壓縮和加密某個(gè)文件。 文件加密，該功能極大地增強(qiáng)了安全性，但是無法同時(shí)壓縮和加密某個(gè)文件。圖 3-2-20“安全”選項(xiàng)卡 磁盤配額，可用來監(jiān)視和控

17、制單個(gè)用戶使用的磁盤空間量。4常用的權(quán)限（1）NTFS 文件系統(tǒng)常見的權(quán)限：NTFS 文件系統(tǒng)提供了以下幾種常見的權(quán)限。 完全控制：它具有所有的 NTFS 文件夾權(quán)限。 修改：它除了具有“寫入”與“讀取和運(yùn)行”權(quán)限外，還具有刪除、重命名子文件夾的權(quán)限。 讀取和運(yùn)行：它具有與“列出文件夾目錄”幾乎相同的權(quán)限，但在權(quán)限的繼承方面有所不同，“讀取和運(yùn)行”是文件與文件夾同時(shí)繼承，而“列出文件夾目錄”只具有文件夾的繼承性。 列出文件夾目錄：它可以列出文件夾的內(nèi)容，此權(quán)限只針對(duì)文件夾存在。 讀取：此權(quán)限可以查看文件夾內(nèi)的文件名稱及子文件夾的屬性。 寫入：它可以在文件夾里寫入文件與文件夾，并更改文件的屬性。

18、 特別的權(quán)限：還有一些其他不常用的權(quán)限，例如刪除權(quán)限、更改權(quán)限等。上面這些 NTFS 權(quán)限可以單獨(dú)設(shè)置，也可以同時(shí)選擇幾種權(quán)限。每個(gè)新創(chuàng)建的文件或文件夾都有一個(gè)默認(rèn)權(quán)限，文件夾的默認(rèn)權(quán)限設(shè)置如圖 3-2-21 所示，文件的默認(rèn)權(quán)限如圖 3-2-22 所示。圖 3-2-21文件夾的 NTFS 默認(rèn)的權(quán)限圖 3-2-22文件的 NTFS 默認(rèn)的權(quán)限（2）文件或文件夾默認(rèn) NTFS 權(quán)限的詳細(xì)說明： Administrators（WUFEIAdministrators）：內(nèi)置管理員組，對(duì)所有的文件和文件夾都有完全控制的權(quán)限。 CREATOR OWNER：創(chuàng)建者組具有的特殊權(quán)限，特殊權(quán)限內(nèi)容是完全控制

19、權(quán)限，但只對(duì)自己創(chuàng)建的文件夾具有此權(quán)限。 SYSTEM：此賬戶代表操作系統(tǒng)本身，默認(rèn)權(quán)限是完全控制。 Users（WUFEI Users）：此組代表此計(jì)算機(jī)上所有的用戶，默認(rèn)的權(quán)限是“讀取和運(yùn)行”，對(duì)于文件夾還有特殊權(quán)限。擁有特殊權(quán)限時(shí)可以創(chuàng)建文件或文件夾，并可以修改自己創(chuàng)建的文件或文件夾。（3）對(duì)多個(gè)用戶設(shè)置相應(yīng)的權(quán)限：如果對(duì)個(gè)別用戶設(shè)置權(quán)限，只要將用戶使用的賬戶添加到文件或文件夾的列表中，并設(shè)置相應(yīng)的權(quán)限即可。如果對(duì)多個(gè)用戶設(shè)置權(quán)限，可以將多個(gè)用戶加入到相應(yīng)的組中，并對(duì)組設(shè)置相應(yīng)的權(quán)限，然后結(jié)合組來進(jìn)行管理，一般情況下創(chuàng)建以下幾個(gè)組。 完全控制組：此組的用戶對(duì)文件夾擁有所有的權(quán)限，如圖 3

20、-2-23 所示。 只讀組：此組的用戶對(duì)文件夾擁有讀取權(quán)限，如圖 3-2-24 所示。圖 3-2-23完全控制權(quán)限圖 3-2-24只讀權(quán)限 可讀寫組：此組的用戶對(duì)文件夾擁有讀寫權(quán)限，如圖 3-2-25 所示。 拒絕訪問組：此組的用戶將沒有權(quán)限訪問此文件夾，如圖 3-2-26 所示。圖 3-2-25可讀寫權(quán)限圖 3-2-26拒絕訪問權(quán)限5權(quán)限的組合組創(chuàng)建完成后，可以根據(jù)用戶不同的需求將用戶加入到不同的組中，也可以將一個(gè)用戶同時(shí)加入到多個(gè)組。例如，將用戶加入到只讀組和可讀寫組，用戶將具有這兩個(gè)組的權(quán)限。但是如果將用戶加入到拒絕訪問組，不管此用戶是否加入了其他的組，此用戶都將被拒絕訪問。因此一定要特

21、別注意加入拒絕組的用戶，因?yàn)榫芙^的權(quán)限高于其他權(quán)限。綜上所述，當(dāng)一個(gè)用戶屬于多個(gè)組的時(shí)候，這個(gè)用戶會(huì)得到各個(gè)組的累加權(quán)限，一旦有一個(gè)組被拒絕訪問，此用戶也會(huì)被拒絕訪問。6權(quán)限的繼承新建的文件或文件夾會(huì)自動(dòng)繼承上一級(jí)目錄或驅(qū)動(dòng)器的 NTFS 權(quán)限，這樣的好處是免去了設(shè)置默認(rèn)權(quán)限的步驟。但是從上一級(jí)繼承下來的權(quán)限是無效的，不能直接修改，如圖 3-2-27 所示，只能在此基礎(chǔ)上添加一些其他的權(quán)限。對(duì)于一些個(gè)別的文件夾可能需要設(shè)置單獨(dú)的權(quán)限，而不需要從上一級(jí)繼承權(quán)限，因此可以將繼承權(quán)限刪除，然后手動(dòng)設(shè)置 NTFS 權(quán)限。取消 NTFS 權(quán)限的繼承特性的步驟如下：（1）右擊需要取消 NTFS 繼承性的文

22、件夾，在彈出的快捷菜單中選擇“屬性”命令，打開“file屬性”對(duì)話框。單擊“安全”標(biāo)簽，切換到“安全”選項(xiàng)卡，如圖 3-2-28 所示。圖 3-2-27在繼承權(quán)限的基礎(chǔ)上添加其他權(quán)限圖 3-2-28“安全”選項(xiàng)卡（2）單擊“高級(jí)”按鈕，打開“file 的高級(jí)安全設(shè)置”對(duì)話框。（3）單擊“權(quán)限”標(biāo)簽，切換到“權(quán)限”選項(xiàng)卡，如圖 3-2-29 所示。圖 3-2-29“file 的高級(jí)安全設(shè)置”對(duì)話框（4）取消選中“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象。包括那些在此明確定義的項(xiàng)目”復(fù)選框。然后系統(tǒng)會(huì)提示以前從上一級(jí)繼承下來的權(quán)限是保留還是全部刪除，如果保留權(quán)限就單擊“復(fù)制”按鈕；如果不保留權(quán)限

23、則單擊“刪除”按鈕；如果取消設(shè)置，可以單擊“取消”按鈕，如圖 3-2-30 所示。圖 3-2-30“安全”對(duì)話框（5）如果單擊“復(fù)制”按鈕，以前的權(quán)限會(huì)全部保留下來，并可以根據(jù)需要進(jìn)行更改，如圖 3-2-31 所示。如果單擊“刪除”按鈕，則所有繼承的權(quán)限將會(huì)被刪除，可以自行添加相應(yīng)的用戶或組，并設(shè)置相應(yīng)的權(quán)限，如圖 3-2-32 所示。圖 3-2-31復(fù)制繼承權(quán)限后的權(quán)限設(shè)置圖 3-2-32刪除繼承權(quán)限后的權(quán)限設(shè)置有時(shí)文件夾下面大量的子文件夾或者文件設(shè)置了和父文件夾不同的權(quán)限，可以利用 NTFS 權(quán)限的繼承性來統(tǒng)一這些子文件夾和文件的權(quán)限。強(qiáng)制子文件夾和文件繼承 NTFS 權(quán)限的步驟如下：（1

24、）右擊需要強(qiáng)制子文件夾和文件繼承 NTFS 權(quán)限的文件夾，在彈出快捷菜單中選擇“屬性”命令，打開“file 屬性”對(duì)話框。切換到“安全”選項(xiàng)卡，如圖 3-2-33 所示。圖 3-2-33“安全”選項(xiàng)卡（2）單擊“高級(jí)”按鈕，打開“file 的高級(jí)安全設(shè)置”對(duì)話框。（3）選中“用在此顯示的可以應(yīng)用到子對(duì)象的項(xiàng)目替代所有子對(duì)象的權(quán)限項(xiàng)目”復(fù)選框，如圖 3-2-34 所示。圖 3-2-34強(qiáng)制子文件夾或文件繼承 NTFS 權(quán)限3.3（4）單擊“確定”按鈕后，系統(tǒng)會(huì)將當(dāng)前文件夾的權(quán)限強(qiáng)制繼承到下級(jí)文件夾或文件。7文件復(fù)制或移動(dòng)時(shí)對(duì)權(quán)限的影響當(dāng)文件或文件夾從某文件夾復(fù)制到另一個(gè)文件夾時(shí)，由于文件的復(fù)制，

25、等于是產(chǎn)生另一個(gè)新文件，因此新文件或文件夾會(huì)繼承目的地的權(quán)限。當(dāng)文件或文件夾從某文件夾移動(dòng)到另一個(gè)文件夾時(shí)，分為兩種情況。 如果移動(dòng)到同一磁盤分區(qū)的另一個(gè)文件夾內(nèi)，則仍然保持原來的權(quán)限。 如果移動(dòng)到另一個(gè)磁盤分區(qū)的某個(gè)文件夾內(nèi)，則該文件將繼承目的地的權(quán)限。如果將 NTFS 磁盤分區(qū)的文件或文件夾移動(dòng)或者復(fù)制到 FAT/FAT 32 磁盤分區(qū)下，會(huì)將 NTFS 磁盤分區(qū)下的安全設(shè)置全部取消?！景咐?8】Windows Server 2003 安全策略相關(guān)知識(shí)1系統(tǒng)的安全特性安全就是保護(hù)計(jì)算機(jī)系統(tǒng)中的硬件資源與軟件資源不被未經(jīng)授權(quán)的非法用戶盜取和利用。安全是當(dāng)今 IT 相關(guān)新聞的一個(gè)重要話題。經(jīng)常

26、出現(xiàn)的系統(tǒng)漏洞、安全補(bǔ)丁和蠕蟲病毒是每個(gè)使用計(jì)算機(jī)的用戶耳熟能詳?shù)拿~。由于幾乎每臺(tái)計(jì)算機(jī)系統(tǒng)都可以連接到另外的計(jì)算機(jī)或者連接到 Internet，因此確保這些計(jì)算機(jī)的安全對(duì)于減少入侵、數(shù)據(jù)竊取或丟失、誤用，甚至對(duì)第三方的責(zé)任而言是至關(guān)重要的。Windows Server 2003 操作系統(tǒng)和過去的 Windows 操作系統(tǒng)相比，它不僅繼承了過去 Windows版本的優(yōu)點(diǎn)，并且在安全性上有了很大的提高。在 Windows Server 2003 中，兩個(gè)最重要的安全特性是直接處理 IIS 和 Telnet 服務(wù)器。IIS 和 Telnet 在默認(rèn)的情況下都沒有安裝，并且這兩個(gè)服務(wù)是在兩個(gè)新的賬

27、戶下運(yùn)行，新賬戶的權(quán)限比正常系統(tǒng)賬戶的權(quán)限要低。如果黑客危及到這兩個(gè)服務(wù)時(shí)，這種改變將直接影響服務(wù)器的安全性。Windows Server 2003 在提高安全性上主要有以下幾個(gè)方面。（1）Internet 連接防火墻（ICF）：ICF 是一個(gè)軟件防火墻，它為網(wǎng)絡(luò)服務(wù)器提供了基本的端口安全性。它與當(dāng)前的安全設(shè)備一起工作，為關(guān)鍵的基礎(chǔ)設(shè)施增加了一層保護(hù)。（2）網(wǎng)頁服務(wù)器的安全性：當(dāng)裝載了 IIS 6.0 的默認(rèn)安裝，網(wǎng)頁服務(wù)器的安全性將達(dá)到最大化。新的 IIS 6.0 安全特性包括可選擇的加密服務(wù)、高級(jí)的摘要認(rèn)證以及可配置的過程訪問控制。（3）軟件限制策略：軟件限制策略使用策略和強(qiáng)制執(zhí)行機(jī)制，來

28、限制系統(tǒng)上運(yùn)行的未授權(quán)的可執(zhí)行程序。這些限制是一些額外的手段，以防止用戶執(zhí)行那些不是該公司標(biāo)準(zhǔn)用戶軟件套件中的程序。（4）增強(qiáng)的 EFS：加密文件服務(wù)（EFS）的改進(jìn)允許管理員和用戶提供給多個(gè)用戶訪問多組加密文件的可能，還提供了額外的文件存儲(chǔ)保護(hù)和最大數(shù)量的用戶容量。（5）增強(qiáng)的安全策略：Windows Server 2003 在密碼策略方面有所增強(qiáng)，例如 Active Directory賬戶默認(rèn)時(shí)必須使用至少 7 位并且符合復(fù)雜性的密碼，密碼為空的用戶不能通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。（6）嚴(yán)格的對(duì)象控制權(quán)限：在 Windows 2000 Server 操作系統(tǒng)中，默認(rèn)情況下，NTFS 文件系統(tǒng)的默認(rèn)

29、權(quán)限和共享文件夾的默認(rèn)權(quán)限都由 Everyone 完全控制。而在 Windows Server2003 中，默認(rèn)權(quán)限變得更加嚴(yán)格。（7）自動(dòng)更新服務(wù)：Microsoft 公司會(huì)不定期地發(fā)布一些關(guān)于系統(tǒng)安全的軟件和補(bǔ)丁，自動(dòng)更新服務(wù)可以自動(dòng)下載這些軟件和補(bǔ)丁，免去了管理員煩瑣的手動(dòng)下載和安裝任務(wù)。2本地安全策略通過本地安全策略可以控制以下策略。 訪問計(jì)算機(jī)的用戶權(quán)限限制。 授權(quán)用戶登錄本地計(jì)算機(jī)時(shí)可以使用的資源和一些特殊權(quán)限。 是否在事件日志中記錄用戶或組的操作。 控制用戶使用的密碼策略和賬戶鎖定策略。選擇“開始”“管理工具”“本地安全策略”命令，打開“本地安全設(shè)置”窗口，如圖 3-3-16 所

30、示。在其中可以進(jìn)行本地安全策略的一些設(shè)定，這里主要介紹常用的安全策略的設(shè)置。圖 3-3-16“本地安全設(shè)置”窗口3本地賬戶策略賬戶的安全性是所有安全策略中最重要的，大部分的安全性問題是由于賬戶名和密碼過于簡(jiǎn)單。賬戶策略可以通過設(shè)置密碼策略和賬戶鎖定策略來提高賬戶密碼的安全級(jí)別。雖然賬戶策略在本地計(jì)算機(jī)上定義，卻可以影響用戶賬戶與計(jì)算機(jī)或域交互作用的方式。賬戶策略主要包含密碼策略和賬戶鎖定策略兩個(gè)子集，如圖 3-3-17 所示。圖 3-3-17“密碼策略”展開界面（1）密碼策略：密碼策略用于本地用戶賬戶，確定密碼設(shè)置，例如強(qiáng)制執(zhí)行和有效期限等。密碼策略包含以下設(shè)置。 密碼必須符合復(fù)雜性要求：該安

31、全設(shè)置確定密碼是否符合復(fù)雜性要求。啟用該策略后，密碼必須符合復(fù)雜性的要求，復(fù)雜性是指密碼必須包含來自以下四個(gè)類別中的三個(gè)的字符，即英文大寫字母（AZ），英文小寫字母（az），10 個(gè)基本數(shù)字（09）和特殊符號(hào)（如！、$、#、%）。雙擊該策略后打開如圖 3-3-18 所示的對(duì)話框。默認(rèn)情況下，在域控制器上已啟用，而在獨(dú)立服務(wù)器上已禁用。例如，啟用此策略，更改或創(chuàng)建密碼時(shí)，會(huì)強(qiáng)制執(zhí)行復(fù)雜性要求。圖 3-3-18 “密碼必須符合復(fù)雜性要求屬性”對(duì)話框 密碼長(zhǎng)度最小值：該安全設(shè)置確定用戶賬戶的密碼可以包含的最少字符個(gè)數(shù)。如果數(shù)值設(shè)置為 0，代表密碼可以為空，但會(huì)導(dǎo)致嚴(yán)重的安全問題。默認(rèn)情況下，在域控制

32、器上密碼長(zhǎng)度為 7，在獨(dú)立服務(wù)器上為 0，建議使用最少 7 個(gè)字符的密碼。雙擊該策略后打開如圖 3-3-19 所示的對(duì)話框。圖 3-3-19 密碼最長(zhǎng)使用期限：該安全設(shè)置確定系統(tǒng)要求用戶更改密碼之前可以使用該密碼的最長(zhǎng)時(shí)間，單位為天。設(shè)置范圍在 1999 天之間，例如，將天數(shù)設(shè)置為 0，則表示密碼永不過期。默認(rèn)設(shè)置為 42 天。雙擊該策略后打開如圖 3-3-20 所示的對(duì)話框。圖 3-3-20“密碼最長(zhǎng)使用期限屬性”對(duì)話框 密碼最短使用期限：該安全策略設(shè)置確定用戶可以更改密碼之前必須使用該密碼的時(shí)間，單位為天。設(shè)置范圍在 1998 天之間，例如，將天數(shù)設(shè)置為 0，則表示可以隨時(shí)更改密碼。默認(rèn)設(shè)

33、置為 0 天。雙擊該策略后打開如圖 3-3-21 所示的對(duì)話框。圖 3-3-21 “密碼最短使用期限屬性”對(duì)話框 強(qiáng)制密碼歷史：該安全設(shè)置是指多少個(gè)最近使用過的密碼不允許再使用，設(shè)置范圍在024 之間。該策略通過確保舊密碼不能繼續(xù)使用，從而使管理員能夠增強(qiáng)安全性。默認(rèn)設(shè)置為 0，表示可以隨意使用過去的舊密碼。雙擊該策略后打開如圖 3-3-22 所示的對(duì)話框。圖 3-3-22 “強(qiáng)制密碼歷史屬性”對(duì)話框 用可還原的加密來儲(chǔ)存密碼：該安全設(shè)置確定操作系統(tǒng)是否使用可還原的加密來儲(chǔ)存密碼。如果應(yīng)用程序使用了要求知道用戶密碼才能進(jìn)行身份驗(yàn)證的協(xié)議，則該策略可對(duì)它提供支持。使用可還原的加密儲(chǔ)存密碼和儲(chǔ)存明

34、文版本密碼本質(zhì)上是相同的。因此，除非應(yīng)用程序有比保護(hù)密碼信息更重要的要求，否則不必啟用該策略。默認(rèn)設(shè)置為已禁用。雙擊該策略后打開如圖 3-3-23 所示的對(duì)話框。圖 3-3-23 “用可還原的加密來儲(chǔ)存密碼屬性”對(duì)話框（2）賬戶鎖定策略：賬戶鎖定策略用于本地用戶賬戶，確定某個(gè)賬戶被系統(tǒng)鎖定的情況和時(shí)間長(zhǎng)短等。賬戶鎖定策略包含以下設(shè)置。 復(fù)位賬戶鎖定計(jì)數(shù)器：該安全設(shè)置是指用戶由于輸入錯(cuò)誤密碼開始計(jì)數(shù)時(shí)，計(jì)數(shù)器保持的時(shí)間。當(dāng)時(shí)間過后，計(jì)數(shù)器將復(fù)位為 0。設(shè)置的范圍為 199 999 分鐘，只有當(dāng)指定了賬戶鎖定閾值時(shí)，該策略設(shè)置才有意義。如果定義了賬戶鎖定閾值，則該復(fù)位時(shí)間必須小于或等于賬戶鎖定時(shí)間

35、。雙擊該策略后打開如圖 3-3-24 所示的對(duì)話框。圖 3-3-24“復(fù)位賬戶鎖定計(jì)數(shù)器屬性”對(duì)話框 賬戶鎖定時(shí)間：該安全設(shè)置是指當(dāng)用戶賬戶被鎖定后，多少分鐘后自動(dòng)解鎖。設(shè)置的范圍為 099 999 分鐘。如果將賬戶鎖定時(shí)間設(shè)置為 0，表示必須由管理員手動(dòng)解鎖。只有當(dāng)指定了賬戶鎖定閾值時(shí)，該策略設(shè)置才有意義。雙擊該策略后打開如圖 3-3-25 所示的對(duì)話框。圖 3-3-25“賬戶鎖定時(shí)間屬性”對(duì)話框圖 3-3-26“賬戶鎖定閾值屬性”對(duì)話框 賬戶鎖定閾值：該安全設(shè)置是指用戶輸入幾次錯(cuò)誤的密碼后，將用戶賬戶鎖定。設(shè)置的范圍為 0999 之間。如果將此值設(shè)為 0，則表示不鎖定賬戶。默認(rèn)設(shè)置為 0。

36、雙擊該策略后打開如圖 3-3-26 所示的對(duì)話框。4本地策略本地策略可以控制是否記錄用戶在本地的操作事件，可以設(shè)置用戶一些特殊的權(quán)限以及和系統(tǒng)相關(guān)的安全選項(xiàng)。本地策略包含審核策略、用戶權(quán)限分配和安全選項(xiàng)三個(gè)子集。（1）審核策略：通過審核策略可以確定是否將安全事件記錄到計(jì)算機(jī)的安全日志中，同時(shí)也可以確定是否將登錄成功或登錄失敗的信息記錄在日志中，以便以后查看?？梢酝ㄟ^事件查看器查看記錄的事件信息。執(zhí)行審核策略前，必須決定要審核的事件類別，為事件類別選擇的審核設(shè)置將定義用戶的審核策略。在加入域中的成員服務(wù)器和工作站上，默認(rèn)情況下未定義事件類別的審核設(shè)置。在域控制器上，默認(rèn)情況下審核關(guān)閉。通過為特定

37、的事件類別定義審核設(shè)置，可以創(chuàng)建一個(gè)適合組織安全需要的審核策略?？杀贿x擇進(jìn)行審核的事件類別有審核賬戶登錄事件、審核賬戶管理、審核目錄服務(wù)訪問、審核登錄事件、審核對(duì)象訪問、審核策略更改、審核特權(quán)使用、審核過程跟蹤和審核系統(tǒng)事件，如圖 3-3-27 所示。執(zhí)行審核策略前，首先要決定選擇哪種審核策略。對(duì)于每種可以進(jìn)行審核的事件，需要在配置過程中確定是否跟蹤成功或失敗嘗試，例如設(shè)置審核對(duì)象訪問。雙擊審核對(duì)象訪問后，打開“審核對(duì)象訪問屬性”對(duì)話框，如圖 3-3-28 所示。在其中選擇需審核的“成功”或“失敗”復(fù)選框。圖 3-3-27“審核策略”展開界面圖 3-3-28“審核對(duì)象訪問屬性”對(duì)話框詳細(xì)的審核

38、條目設(shè)置如下所示。 審核策略更改：該安全設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略更改的每一個(gè)事件。 審核登錄事件：在域控制器上將生成域賬戶活動(dòng)的賬戶登錄事件，并在本地計(jì)算機(jī)上生成本地賬戶活動(dòng)的賬戶登錄事件。 審核對(duì)象訪問：該安全設(shè)置確定是否審核用戶訪問某個(gè)對(duì)象的事件，例如，文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等。 審核過程跟蹤：該安全設(shè)置確定是否審核事件的詳細(xì)跟蹤信息，例如程序激活、進(jìn)程退出、句柄復(fù)制和間接對(duì)象訪問等。 審核目錄服務(wù)訪問：該安全設(shè)置確定是否審核用戶訪問那些指定自己的系統(tǒng)訪問控制列表的 Active Directory 對(duì)象的事件。 審核特權(quán)使用：該安全設(shè)置確定是否審核用戶

39、實(shí)施其用戶權(quán)利的每一個(gè)實(shí)例，例如更改系統(tǒng)時(shí)間等。 審核系統(tǒng)事件：當(dāng)用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者對(duì)系統(tǒng)安全或安全日志有影響的事件發(fā)生時(shí)，安全設(shè)置確定是否予以審核。 審核賬戶登錄事件：該安全設(shè)置確定是否審核在這臺(tái)計(jì)算機(jī)用于驗(yàn)證賬戶時(shí)，用戶登錄到其他計(jì)算機(jī)或者從其他計(jì)算機(jī)注銷的每個(gè)事件。 審核賬戶管理：該安全設(shè)置確定是否審核計(jì)算機(jī)上的每一個(gè)賬戶管理事件。賬戶管理事件包括創(chuàng)建、更改或刪除用戶賬戶或組；重命名、禁用或啟用用戶賬戶；設(shè)置或更改密碼。（2）用戶權(quán)限分配：用戶權(quán)限分配確定具有登錄計(jì)算機(jī)的權(quán)利或特權(quán)的用戶或組，為某些用戶或組授予一些特殊權(quán)限，例如，關(guān)閉系統(tǒng)、拒絕本地登錄、更改系統(tǒng)時(shí)間及拒絕從網(wǎng)

40、絡(luò)訪問這臺(tái)計(jì)算機(jī)等，如圖 3-3-29 所示。圖 3-3-29“用戶權(quán)限分配”展開界面以下列出了一些常用的“用戶權(quán)限分配”策略選項(xiàng)。 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)：此用戶權(quán)利確定允許哪些用戶或組可通過網(wǎng)絡(luò)連接到計(jì)算機(jī)。默認(rèn)情況下任何用戶均可以從網(wǎng)絡(luò)訪問計(jì)算機(jī)，根據(jù)需要可以撤銷某組賬戶從網(wǎng)絡(luò)訪問的權(quán)限，如圖 3-3-30 所示。 更改系統(tǒng)時(shí)間：此用戶權(quán)利確定哪些用戶或組可以更改計(jì)算機(jī)內(nèi)部時(shí)鐘的時(shí)間和日期，擁有此用戶權(quán)利的用戶可影響事件日志的外觀。如果系統(tǒng)時(shí)間被更改，則記錄的事件將反映新的時(shí)間而不是事件發(fā)生的實(shí)際時(shí)間。默認(rèn)情況下，只有 Administrators 和 Power Users 組的成員具有更

41、改系統(tǒng)時(shí)間的權(quán)限，普通用戶沒有更改系統(tǒng)時(shí)間的權(quán)限，通過此策略可以授予普通用戶更改系統(tǒng)時(shí)間的權(quán)限，如圖 3-3-31 所示。圖 3-3-30“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)屬性”對(duì)話框 圖 3-3-31“更改系統(tǒng)時(shí)間屬性”對(duì)話框 拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)：此安全設(shè)置確定阻止哪些用戶通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。有些用戶只在本地使用，不允許通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)，可以通過此策略進(jìn)行限制。 允許在本地登錄：此登錄權(quán)限確定哪些用戶可交互地登錄到該計(jì)算機(jī)。按【Ctrl+Alt+Del】組合鍵，啟動(dòng)登錄，該操作需要用戶擁有此登錄權(quán)限。默認(rèn)情況下，Administrators 組、BackupOperators 組、Power U

42、sers 組和 Users 組的用戶有登錄的權(quán)限，如圖 3-3-32 所示。圖 3-3-32“允許在本地登錄屬性”對(duì)話框 關(guān)閉系統(tǒng)：此安全設(shè)置確定從本地登錄到計(jì)算機(jī)的用戶中，哪些用戶可以關(guān)閉操作系統(tǒng)。默認(rèn)情況下，只有 Administrators 組、Backup Operators 組和 Power Users 組的成員具有關(guān)閉系統(tǒng)的權(quán)限，普通用戶沒有關(guān)閉系統(tǒng)的權(quán)限，通過此策略可以授予普通用戶關(guān)閉系統(tǒng)的權(quán)限，如圖 3-3-33 所示。圖 3-3-33“關(guān)閉系統(tǒng)屬性”對(duì)話框（3）安全選項(xiàng)：安全選項(xiàng)是指啟用或禁用計(jì)算機(jī)的安全設(shè)置，例如不顯示上次的登錄名、軟盤驅(qū)動(dòng)器和光盤的訪問、驅(qū)動(dòng)程序的安裝以及

43、登錄提示等，如圖 3-3-34 所示。圖 3-3-34“安全選項(xiàng)”界面以下列出了一些常用的“安全選項(xiàng)”策略選項(xiàng)。 不顯示上次的用戶名：該安全設(shè)置確定是否將最近一次登錄到計(jì)算機(jī)的用戶名顯示在Windows 登錄畫面中。如果啟用該策略，則最近一次成功登錄的用戶的名稱將不顯示在“登錄到Windows”對(duì)話框中。如果禁用該策略，則會(huì)顯示最近一次登錄的用戶的名稱。默認(rèn)情況下，此策略已禁用，如圖 3-3-35 所示。 不 需 要 按 【 Ctrl+Alt+Del 】 組 合 鍵 ： 該 安 全 設(shè) 置 確 定 用 戶 登 錄 之 前 是 否 需 要 按【Ctrl+Alt+Del】組合鍵。如果在計(jì)算機(jī)上啟用

44、該策略，則不要求用戶按【Ctrl+Alt+Del】組合鍵即可登錄。但是如果不要求按【Ctrl+Alt+Del】組合鍵，則用戶很容易遭受企圖截取用戶密碼的攻擊。在用戶登錄之前要求按【Ctrl+Alt+Del】組合鍵，可以保證用戶在輸入自己的密碼時(shí)通過受信任的路徑進(jìn)行通信。如果禁用該策略，則任何用戶在登錄到 Windows 之前都必須按【Ctrl+Alt+Del】組合鍵。默認(rèn)情況下，此策略已禁用，如圖 3-3-36 所示。圖 3-3-35不顯示上次的用戶名設(shè)置圖 3-3-36不按【Ctrl+Alt+Del】組合鍵設(shè)置 用戶試圖登錄時(shí)消息標(biāo)題：該安全設(shè)置是指用戶試圖登錄時(shí)消息文字所在窗口的標(biāo)題欄中顯

45、示標(biāo)題說明?？筛鶕?jù)用戶需要添加登錄消息標(biāo)題，如圖 3-3-37 所示。 用戶試圖登錄時(shí)消息文字：該安全設(shè)置指定用戶登錄時(shí)顯示的文本消息，例如警告用戶不得以任何方式濫用公司信息或者警告用戶其操作可能會(huì)受到審核等?？筛鶕?jù)用戶需要添加登錄時(shí)的消息文字，如圖 3-3-38 所示。圖 3-3-37用戶試圖登錄時(shí)消息標(biāo)題設(shè)置圖 3-3-38用戶試圖登錄時(shí)消息文字設(shè)置 在密碼到期前提示用戶更改密碼：該安全設(shè)置確定提前多長(zhǎng)時(shí)間（單位為天）警告用戶其密碼將過期。通過這種提前警告，用戶可以有時(shí)間創(chuàng)建足夠安全、可靠的密碼。默認(rèn)設(shè)置為14 天，如圖 3-3-39 所示。 允許系統(tǒng)在未登錄前關(guān)機(jī)：該安全設(shè)置確定是否無需

46、登錄到 Windows 即可關(guān)閉計(jì)算機(jī)。如果啟用此策略，Windows 登錄屏幕上的“關(guān)機(jī)”選項(xiàng)可用。如果禁用此策略，則 Windows 登錄屏幕上不會(huì)顯示關(guān)閉計(jì)算機(jī)的選項(xiàng)。用戶必須能成功登錄到計(jì)算機(jī)并具有關(guān)閉系統(tǒng)的用戶權(quán)限，才可以關(guān)閉系統(tǒng)。如果有時(shí)需要在未登錄前關(guān)機(jī)，則可以將此策略啟用，如圖 3-3-40 所示。圖 3-3-39在密碼到期前提示用戶更改密碼設(shè)置圖 3-3-40允許系統(tǒng)在未登錄前關(guān)機(jī)設(shè)置 只有本地登錄的用戶才能訪問 CD-ROM：該安全設(shè)置確定本地用戶和遠(yuǎn)程用戶是否可以同時(shí)訪問 CD-ROM。如果啟用該策略，則僅允許交互式登錄的用戶可以訪問 CD-ROM 媒體，或者可通3.4過

47、網(wǎng)絡(luò)訪問 CD-ROM，如圖 3-3-41 所示。圖 3-3-41只有本地登錄的用戶才能訪問 CD-ROM 設(shè)置【案例 9】使用災(zāi)難恢復(fù)工具保護(hù)系統(tǒng)和數(shù)據(jù)的安全相關(guān)知識(shí)1備份和還原的管理以往對(duì)文件進(jìn)行備份，一般只是將文件復(fù)制一份。假設(shè)需要備份的文件特別大，如果還用直接復(fù)制的方法，將會(huì)花費(fèi)大量的時(shí)間，而且有些數(shù)據(jù)是不能直接復(fù)制的。這時(shí)選擇一個(gè)最佳的備份類型就顯得十分重要，因?yàn)檫@會(huì)直接影響到備份數(shù)據(jù)所使用的時(shí)間、備份設(shè)備數(shù)量的多少及將來恢復(fù)數(shù)據(jù)時(shí)所需要的時(shí)間長(zhǎng)短等。系統(tǒng)對(duì)文件進(jìn)行備份時(shí)，是根據(jù)文件的備份標(biāo)記的狀態(tài)進(jìn)行的。備份標(biāo)記是文件的一個(gè)屬性，又稱存檔屬性。存檔屬性有兩種狀態(tài)，即已備份狀態(tài)和未備

48、份狀態(tài)。當(dāng)文件創(chuàng)建或修改后就會(huì)自動(dòng)處于未備份狀態(tài)，代表此文件需要備份。當(dāng)文件備份后，系統(tǒng)備份軟件可以將備份過的文件設(shè)置為已備份狀態(tài)，代表此文件已經(jīng)備份過。在 Windows 的備份工具中，也有備份類型在備份后會(huì)保持備份標(biāo)記的原有狀態(tài)不變。在 FAT 文件系統(tǒng)中的文件備份標(biāo)記如圖 3-4-26 所示，NTFS 文件系統(tǒng)中的文件的備份標(biāo)記在其文件屬性的“高級(jí)”選項(xiàng)里，如圖 3-4-27 所示。如果在文件屬性中的“存檔”或“可以存檔文件”復(fù)選框被選中，表示此狀態(tài)處于未備份狀態(tài)。圖 3-4-26“高級(jí)屬性”對(duì)話框圖 3-4-27NTFS 文件系統(tǒng)中文件備份標(biāo)記Windows Server 2003 的

49、備份類型主要有以下 5 種。（1）正常備份（normal backup）：正常備份用于復(fù)制所有選定的文件，并且在備份后標(biāo)記每個(gè)文件，并將其備份標(biāo)記為已備份狀態(tài)，存檔屬性將被清除。使用正常備份，用戶只需備份文件或磁帶的最新副本就可以還原所有文件。通常，在首次創(chuàng)建備份集時(shí)執(zhí)行一次正常備份。（2）副本備份（copy backup）：副本備份可以復(fù)制所有選定的文件，但不將這些文件標(biāo)記為已經(jīng)備份，并不清除存檔屬性。副本備份完成后不會(huì)修改備份標(biāo)記的狀態(tài)，所以不會(huì)影響其他備份方式的執(zhí)行。用戶可以在某個(gè)常規(guī)備份和增量備份或差異備份的計(jì)劃中執(zhí)行副本備份，一旦數(shù)據(jù)出現(xiàn)問題，可以快速恢復(fù)為副本備份時(shí)的狀態(tài)。另外，如

50、果在常規(guī)備份和增量備份或差異備份的計(jì)劃中需對(duì)數(shù)據(jù)進(jìn)行永久性存檔，也可以利用副本備份。（3）增量備份（incremental backup）：增量備份僅備份自上次正?；蛟隽總浞菀詠韯?chuàng)建或者更改的文件。它將文件標(biāo)記為已經(jīng)備份，存檔屬性將被清除。如果用戶將正常備份和增量備份結(jié)合使用，至少需要具有最后一次的正常備份集和所有增量備份集合來還原數(shù)據(jù)。增量備份每次只會(huì)備份過去沒有備份過的內(nèi)容，所以備份速度很快，但恢復(fù)數(shù)據(jù)較為麻煩。（4）差異備份（differential backup）：差異備份用于備份自上次正常或增量備份以來所創(chuàng)建或者更改的文件，也就是備份那些標(biāo)記為“未備份”的文件。它不將文件標(biāo)記為已經(jīng)備

51、份，不清除存檔屬性，而是保持備份標(biāo)記的原有狀態(tài)。如果用戶執(zhí)行正常備份和差異備份的組合，則在數(shù)據(jù)恢復(fù)時(shí)需要最后一次常規(guī)備份和最后一次差異備份來恢復(fù)數(shù)據(jù)。（5）每日備份（daily backup）：每日備份用于復(fù)制執(zhí)行每日備份的當(dāng)天更改過的所有選定文件。備份的文件將不會(huì)標(biāo)記為已經(jīng)備份，不清除存檔屬性，而是保持備份標(biāo)記的原有狀態(tài)。在備份的過程中，經(jīng)常把幾種備份組合應(yīng)用。組合使用正常備份和增量備份來備份數(shù)據(jù)時(shí)，雖然需要最少的存儲(chǔ)空間，并且是最快的備份方法，然而在恢復(fù)數(shù)據(jù)文件時(shí)比較麻煩，因?yàn)閭浞菘赡艽鎯?chǔ)在幾個(gè)磁盤或磁帶上，恢復(fù)數(shù)據(jù)時(shí)需要所有的增量備份和第一次常規(guī)備份。組合使用正常備份和差異備份來備份數(shù)據(jù)

52、時(shí)更加耗時(shí)，尤其當(dāng)數(shù)據(jù)經(jīng)常更改時(shí)，但是它更容易還原數(shù)據(jù)，恢復(fù)數(shù)據(jù)時(shí)只需要最后一次差異備份和第一次常規(guī)備份即可還原數(shù)據(jù)。2Windows 恢復(fù)控制臺(tái)當(dāng)操作系統(tǒng)出現(xiàn)故障時(shí)，用戶可以使用安全模式進(jìn)入系統(tǒng)進(jìn)行修復(fù)。但是如果安全模式和其他啟動(dòng)選項(xiàng)都不起作用時(shí)，可以考慮使用故障修復(fù)控制臺(tái)。只有高級(jí)用戶才建議使用此方法，因?yàn)榭刂婆_(tái)中都是以命令的形式進(jìn)行操作的，同時(shí)需要 Administrator 賬號(hào)的密碼才能使用故障恢復(fù)控制臺(tái)。使用故障恢復(fù)控制臺(tái)可以啟用和禁用服務(wù)，格式化驅(qū)動(dòng)器，在本地驅(qū)動(dòng)器上讀/寫數(shù)據(jù)（包括使用 NTFS 格式化驅(qū)動(dòng)器），并執(zhí)行許多其他管理任務(wù)。如果需要通過從軟盤或 CD-ROM 復(fù)制一個(gè)文件到硬盤來修復(fù)系統(tǒng)，或者需要對(duì)一個(gè)阻止計(jì)算機(jī)正常啟動(dòng)的服務(wù)進(jìn)行重新配置，故障恢復(fù)控制臺(tái)將特別有用。進(jìn)入故障恢復(fù)控制臺(tái)后，用戶可以通過控制臺(tái)的命令進(jìn)行各種操作?？梢岳?help 命令列出所有的命令信息，也可以在每個(gè)命令后加上“/?”，列出當(dāng)前命令的詳細(xì)使用方法。在控制臺(tái)中使用的命令如表 3-4-1 所示。3Windows 安全模