操作系統(tǒng)安全防范

第9章操作系統(tǒng)安全防范

本章內(nèi)容網(wǎng)絡(luò)操作系統(tǒng)

9.1windows2003的安全特性

9.2

windows2003的權(quán)限

9.3windows2003各種權(quán)限

應(yīng)用9.4windows2003的加密文件系統(tǒng)

9.5

引導(dǎo)案例:

在現(xiàn)實(shí)生活中，經(jīng)常會遇到這樣的問題：當(dāng)打開電腦進(jìn)入操作系統(tǒng)桌面辦公的過程中，由于中間臨時有事需暫時離開，此時既不想關(guān)機(jī)又不想隨身攜帶電腦，如何保障個人電腦信息不被別人偷竊或偷看呢？有經(jīng)驗(yàn)的用戶可能設(shè)置“屏保密碼”和設(shè)置開機(jī)密碼來實(shí)現(xiàn)，但如果不小心別人知道了你的密碼，或者通過技術(shù)手段對你的操作系統(tǒng)密碼進(jìn)行暴力破解，又當(dāng)如何進(jìn)行防御呢？本章除了對windows2003操作系統(tǒng)常用安全功能進(jìn)行闡述外，還將提供一種對操作系統(tǒng)用戶身份驗(yàn)證，保護(hù)電腦不被非授權(quán)用戶直接操作的新途徑。

windows2003的安全模板的定制與分析9.6windwos2003的權(quán)限奪取

9.7

windwos操作系統(tǒng)中防御各種木馬與惡意程序

9.8網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)的核心，它除了具有普通操作系統(tǒng)的功能外，還能管理網(wǎng)絡(luò)的整體運(yùn)作，控制用戶對網(wǎng)絡(luò)資源的訪問，它提供高效的通信服務(wù)和網(wǎng)絡(luò)存儲、打印服務(wù)，它能運(yùn)行客戶機(jī)/服務(wù)器應(yīng)用程序來擴(kuò)充網(wǎng)絡(luò)應(yīng)用。由于網(wǎng)絡(luò)操作系統(tǒng)扮演著服務(wù)提供著的角色，所以我們也把它稱為服務(wù)器操作系統(tǒng)。計算機(jī)網(wǎng)絡(luò)飛速發(fā)展，新的網(wǎng)絡(luò)協(xié)議和應(yīng)用層出不窮，網(wǎng)絡(luò)操作系統(tǒng)也在不斷改進(jìn)和更新，它不但要提供新的特性和服務(wù)來滿足人們的需要，做好網(wǎng)絡(luò)的控制管理工作，還要防止非善意者的非法行為，和抵御來自不法分子的惡意攻擊。因此，選擇合適的網(wǎng)絡(luò)操作系統(tǒng)并對其進(jìn)行合理的配置，是網(wǎng)絡(luò)管理人員的重要任務(wù)。網(wǎng)絡(luò)操作系統(tǒng)有以下幾類：

●Windows系列中的WindowsNT，Windows2000/2003Server操作系統(tǒng)；

●Unix系列中的Solaris和BSD等操作系統(tǒng)；

●Linux系列中的RedHat、紅旗等操作系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)9.1Windows2003操作系統(tǒng)

Windows2003是微軟公司開發(fā)的新一代高性能、高可靠性和高安全性的網(wǎng)絡(luò)操作系統(tǒng)。它是WindowsNT系列中的一員，在Windows2000操作系統(tǒng)上做了許多重大改進(jìn)，特別的，為了適應(yīng)Internet分布式網(wǎng)絡(luò)環(huán)境的需要，Windows2003集成了.Net框架平臺，簡化了Web應(yīng)用程序的開發(fā)，并提供良好的支持和可縮放的服務(wù)端運(yùn)行環(huán)境。同時為了配合.net運(yùn)行環(huán)境，Windows2003中集成了IIS6.0版Web服務(wù)器，相比IIS5.0，它在可靠性、安全性和可管理性方面有長足進(jìn)步，支持ASP.NET和XML技術(shù)，使得Windows2003成為一個優(yōu)秀的Web平臺。另外，它的安全性相比Windows2000大大增加，它除了堵完已發(fā)現(xiàn)的所有安全漏洞，還重新設(shè)計了安全子系統(tǒng)，改進(jìn)了安全算法。

WindowsServer2003針對不同的應(yīng)用級別提供了四種版本，它們分別是Web、Standard、Enterprise和Datacenter。目前企業(yè)中使用較多的是Enterprise版，它可滿足各種規(guī)模的企業(yè)的一般用途，是各種網(wǎng)絡(luò)應(yīng)用程序、Web服務(wù)和基礎(chǔ)結(jié)構(gòu)的理想平臺，具有出色的商業(yè)價值。它最大支持8個處理器和32GB內(nèi)存，最小配置為CPU速度不低133MHz，內(nèi)存不少于128MB，具有優(yōu)異的伸縮性。它功能強(qiáng)大，易于配置和管理，界面友好美觀，操作方便容易，所以迅速成為主流的網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)之一。

Windows2003的安全性相當(dāng)復(fù)雜，它實(shí)現(xiàn)以下目標(biāo)：實(shí)現(xiàn)企業(yè)中的單一登錄，集成的安全服務(wù)，管理的委派和可擴(kuò)展性，強(qiáng)大的身份驗(yàn)證，用于實(shí)現(xiàn)互操作能力的基于標(biāo)準(zhǔn)的協(xié)議，審核服務(wù)等等。這些目標(biāo)由安全子系統(tǒng)來實(shí)現(xiàn)，安全子系統(tǒng)控制著整個操作系統(tǒng)的運(yùn)轉(zhuǎn)，負(fù)責(zé)完成用戶的身份驗(yàn)證和訪問控制及其他安全操作，占據(jù)著相當(dāng)重要的地位。安全子系統(tǒng)主要由登錄過程、本地安全認(rèn)證、安全賬號管理器和安全參考監(jiān)視器等安全子組件組成。windows2003的安全特性

9.2Windows安全子系統(tǒng)Winlogon安全參考監(jiān)視器(SRM)驗(yàn)證軟件包本地安全認(rèn)證(LSA)安全賬號管理器GINA網(wǎng)絡(luò)客戶機(jī)/服務(wù)器Netlogon

登錄過程(Winlogon)：在交互式登錄過程中負(fù)責(zé)登錄相關(guān)的安全性工作，處理用戶的登錄與注銷、啟動用戶Shell、更改密碼、鎖定與解鎖工作站等。此外，WinLogon還必須保證其與安全相關(guān)的操作對其他進(jìn)程不可見，防止其他進(jìn)程獲取登錄密碼。圖形標(biāo)識和身份驗(yàn)證動態(tài)鏈接庫(GINA)：GINA在用戶登錄時被WinLogon進(jìn)程加載，用來實(shí)現(xiàn)用戶的身份驗(yàn)證過程，實(shí)現(xiàn)Windows登錄界面，提供用于標(biāo)識和驗(yàn)證用戶的輸出函數(shù)，它允許被替換，以使用戶定制自己的身份驗(yàn)證操作。身份驗(yàn)證軟件包：身份驗(yàn)證軟件包位于一個動態(tài)鏈接庫之中，它執(zhí)行用戶身份驗(yàn)證工作。它接收由GINA提供的用戶證書憑證，經(jīng)校驗(yàn)后，為用戶創(chuàng)建一個LSA登錄會話，并返回綁定到用戶安全令牌中的安全標(biāo)識符(SID）本地安全授權(quán)(LSA)：LSA是Windows2000/2003系統(tǒng)的核心安全組件，它負(fù)責(zé)在本地和遠(yuǎn)程用戶登錄過程中驗(yàn)證用戶身份，產(chǎn)生安全令牌，并維護(hù)本地安全策略。它還控制審計方案，并將安全參考監(jiān)視器產(chǎn)生的審計信息記入日志。Windows安全子系統(tǒng)Windows安全子系統(tǒng)網(wǎng)絡(luò)登錄(Netlogon)：Netlogon服務(wù)維護(hù)計算機(jī)到所在域內(nèi)的域控制器的安全信道，然后傳送用戶的證書憑證穿過此安全信道，再為安全主體返回一個帶有SID和用戶權(quán)力的訪問權(quán)標(biāo)。安全賬號管理器(SAM)：安全賬號管理器維護(hù)安全賬號數(shù)據(jù)庫，即SAM數(shù)據(jù)庫，該數(shù)據(jù)庫包含用戶和組的賬號信息。在工作組模式下，SAM數(shù)據(jù)庫存放在本地系統(tǒng)中，在域模式下，存放在域控制器中。安全參考監(jiān)視器(SRM)：安全參考監(jiān)視器運(yùn)行在內(nèi)核模式，它負(fù)責(zé)訪問控制和審核，通過將安全主體的訪問令牌與客體的訪問控制板(ACL)相比較，確定是否具有訪問權(quán)限，阻止非授權(quán)用戶訪問對象。同時它還負(fù)責(zé)實(shí)施審計操作，對落入審計范圍內(nèi)的操作產(chǎn)生審計信息。

1.用戶賬戶和用戶組賬戶在Windows2003中，有三種賬戶類型：本地用戶賬戶、域本地組賬戶和域全局組賬戶。當(dāng)系統(tǒng)剛安裝完的時候，系統(tǒng)會默認(rèn)地創(chuàng)建一批內(nèi)置的本地用戶和本地組賬戶，存放在本地計算機(jī)的SAM數(shù)據(jù)庫中；而當(dāng)Windows2003系統(tǒng)升級為域控制器的時候，系統(tǒng)則會創(chuàng)建一批域組賬號，用于域中的管理和活動。Windows2003系統(tǒng)默認(rèn)創(chuàng)建兩個賬戶：Administrator和Guest。Administrator是超級管理員賬戶，具有最高權(quán)限，它可以創(chuàng)建、刪除其他用戶和組，管理安全策略，更改系統(tǒng)設(shè)備，格式化硬盤等。Guest是來賓用戶，默認(rèn)是禁止的，它用于臨時登錄的一次性用戶，具有最小權(quán)限。這兩個默認(rèn)賬戶均可以改名，但都不能刪除。9.2.2

Windows2003的賬戶管理

●Administrators：該組的成員為系統(tǒng)管理員，可以控制整個系統(tǒng)，Administrator賬號即屬于該組。

●Users：用戶組，提供了用戶訪問系統(tǒng)所必須的權(quán)限，能訪問本計算機(jī)上的資源，但不能改動計算機(jī)配置，新添加的用戶默認(rèn)屬于該組。

●Guests：來賓組，具有系統(tǒng)最小權(quán)限，用于臨時登錄，Guest賬戶屬于該組。另外還有BackupOperators、PrintOperators、AccountOperators等組賬戶，分別擁有備份、打印機(jī)管理、賬戶管理等特殊權(quán)限。此外，Windows系統(tǒng)中還有一些特殊的組，管理員不能對這些特殊組進(jìn)行管理，系統(tǒng)會根據(jù)情況自動管理組中的成員

9.2.2Windows2003的賬戶管理我們可可以通通過用用戶管管理器器或者者命令令行工工具來來管理理用戶戶和賬賬戶和和組賬賬戶。。用戶戶管理理器在在計算算機(jī)管管理中中，依依次打打開““控制制面板板”―>““管理工工具””―>““計算機(jī)機(jī)管理理”－－>“本地用用戶和和組””，就就能管管理用用戶賬賬戶了了賬戶管管理工工具創(chuàng)建組組創(chuàng)建組組的方方法與與創(chuàng)建建用戶戶相同同，而而且沒沒有那那么多多選項(xiàng)項(xiàng)。我我們可可以在在組中中添加加成員員，如如圖9-3。我們們可以以禁用用用戶戶，但但不能能禁用用用戶戶組。。在刪刪除一一個組組的時時候，，組中中的賬賬戶并并不刪刪除。。同樣樣的，，用戶戶賬戶戶可以以改名名，而而組不不能。。netuser命命令創(chuàng)創(chuàng)建建組在“開開始””－““運(yùn)行行”中中輸入入“cmd”打開命命令提提示符符窗口口，然然后輸輸入““netuser/addPeter”。Windows2003的權(quán)限限大致致分為為兩類類：NTFS權(quán)限與與共享享權(quán)限限。NTFS權(quán)限：：是windows2003的操作作系統(tǒng)統(tǒng)在NTFS分區(qū)上上權(quán)限限；用用于控控制資資源的的安全全性，，可作作用的的范圍圍包括括本地地用戶戶訪問問與網(wǎng)網(wǎng)絡(luò)用用戶訪訪問。。共享權(quán)權(quán)限：：是windwos2003的操作作系統(tǒng)統(tǒng)控制制網(wǎng)絡(luò)絡(luò)資源源訪問問的一一種權(quán)權(quán)限，，用于于控制制網(wǎng)絡(luò)絡(luò)訪問問行為為的安安全性性。只只針對對網(wǎng)絡(luò)絡(luò)用戶戶生效效，不不能作作用于于本地地用戶戶的資資源訪訪問行行為。。該權(quán)權(quán)限方方式可可以在在NTFS分區(qū)中中存在在，也也可以以在FAT分區(qū)中中存在在。區(qū)別NTFS權(quán)限與與共享享權(quán)限限的關(guān)關(guān)鍵是是：NTFS權(quán)限只只能是是NTFS分區(qū)的的安全全特性性，而而共享享權(quán)限限可以以存在在于NTFS分區(qū)，，也可可以存存在于于FAT分區(qū)。。NTFS權(quán)限即即針對對本地地用戶戶也針針對網(wǎng)網(wǎng)絡(luò)用用戶；；而共共享權(quán)權(quán)限只只針對對網(wǎng)絡(luò)絡(luò)用戶戶。這這是兩兩種不不同的的權(quán)限限類型型，但但它們們可以以接合合使用用，達(dá)達(dá)到更更好的的保護(hù)護(hù)資源源的目目的。。9.3windows2003的權(quán)限限NTFS權(quán)權(quán)限選擇處處于NTFS分區(qū)的的某項(xiàng)項(xiàng)資源源（文文件或或文件件夾））單擊擊鼠標(biāo)標(biāo)右鍵鍵；選選擇【屬性】，再選選擇【安全】選項(xiàng)卡卡：完全控控制：：對文件件與文文件夾夾擁有有不受受限制制的完完全訪訪問。。選中中了““完全全控制制”，，下面面的五五項(xiàng)屬屬性將將被自自動被被選中中。該該權(quán)限限是所所有NTFS權(quán)限中中權(quán)力力最高高的選選項(xiàng)。。在使使用時時要小小心。。修改：：除了具具有““寫入入”和和“讀讀取與與繼承承”的的權(quán)限限外，，還有有刪除除、重重命名名子文文件夾夾的權(quán)權(quán)限，，選中中了““修改改”，，下面面的四四項(xiàng)屬屬性將將被自自動被被選中中。下下面的的任何何一項(xiàng)項(xiàng)沒有有被選選中時時，““修改改”條條件將將不再再成立立。讀取和和運(yùn)行行：允許讀讀取和和運(yùn)行行任何何文件件，““列出出文件件夾目目錄””和““讀取取”是是“讀讀取和和運(yùn)行行”的的必要要條件件。列出文文件夾夾目錄錄：只能瀏瀏覽該該卷或或目錄錄下的的子目目錄，，不能能讀取取，也也不能能運(yùn)行行。讀取：：能夠讀讀取分分區(qū)或或文件件夾下下的數(shù)數(shù)據(jù)。。寫入：：能夠往往該分分區(qū)或或文件件夾下下寫入入數(shù)據(jù)據(jù)。特別的的權(quán)限限：對以上上的六六種權(quán)權(quán)限進(jìn)進(jìn)行了了更詳詳細(xì)分分，這這不在在本書書所描描述的的范圍圍內(nèi)。。NTFS權(quán)限的的““寫入入”，，通俗俗的講講只能能向某某個文文件夾夾增加加內(nèi)容容。但但是不不能刪刪除內(nèi)內(nèi)容。。而““修改改”除除了可可以增增加內(nèi)內(nèi)容外外，還還可以以刪除除內(nèi)容容?！啊靶薷母摹钡牡臋?quán)限限大于于“寫寫入””的權(quán)權(quán)限。。使用NTFS權(quán)限的的原則則：用戶將將繼承承用戶戶所屬屬組的的NTFS權(quán)限。。NTFS權(quán)限是累累加的結(jié)結(jié)合。文件的權(quán)權(quán)限超越越文件夾夾的權(quán)限限。NTFS權(quán)限中的的DENY（拒絕））權(quán)限優(yōu)優(yōu)先任何何NTFS權(quán)限9.3.4共享享權(quán)限選擇處于于任何分分區(qū)的某某項(xiàng)資源源（文件件夾）單單擊鼠標(biāo)標(biāo)右鍵；；選擇【屬性】，再選擇擇【共享】選項(xiàng)卡：使用共享享權(quán)限的的原則：：共享權(quán)限限不受系系統(tǒng)分區(qū)區(qū)格式的的限制，，可以是是NTFS分區(qū)也可可以是FAT分區(qū)。共享權(quán)限限只針對對網(wǎng)絡(luò)訪訪問生效效，對本本地用戶戶訪問不不生效。。共享權(quán)限限是累加加的這與與NTFS權(quán)限類似似。共享權(quán)限限的拒絕絕優(yōu)先于于任何權(quán)權(quán)限，這這與NTFS權(quán)限類似似。windows2003各種權(quán)限限的結(jié)合合的復(fù)合合應(yīng)用：：9.4windows2003各種權(quán)限限的結(jié)合合的復(fù)合合應(yīng)用windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)第一步：：打開“開開始”－－“程序序”－““管理工工具”－－“計算算機(jī)管理理”，展展開“本本地用戶戶和組””，在用用戶列表表中創(chuàng)建建兩個新新組，名名稱test1和test2，不做其其他設(shè)置置。windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)第二步：創(chuàng)建用用戶，打打開“開開始”－－>“程序”－－>“管理工具具”－>“計算機(jī)管管理”，，展開““本地用用戶和組組”，在在用戶列列表中創(chuàng)創(chuàng)建一個個新用戶戶user1。windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)第三步：：把user1用戶加入入到tset1的用戶組組與test2的用戶組組。打開開“開始始”－>“程序”－－>“管理工具具”－>“計算機(jī)管管理”展展開“本本地用戶戶和組””，“user1”－>“屬性”－－>“隸屬于””－>“添加”－－>“高級”－－>“立即查找找”－>“test1”－>“確定”。。如下圖圖9-11所示，用用同樣的的步驟可可以將user1加入到test2的用戶組組：windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)第四步：：在文件服服務(wù)器（（00）的NTFS分區(qū)上建建立一個個叫做““test”文件夾。。配置用用戶組test1對“test”文件夾的的NTFS權(quán)限為““只讀””。用戶戶組test1對“test”文件夾的的共享權(quán)權(quán)限為““完全控控制”。。windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)配置用戶戶組test2對“test”文件夾的的NTFS權(quán)限為““只讀””。如圖圖9-14所示。用用戶組test2對“test”文件夾的的共享權(quán)權(quán)限為““修改””。windows2003NTFS權(quán)限與與共享權(quán)權(quán)限的復(fù)復(fù)合應(yīng)用用實(shí)現(xiàn)第五步：：用戶user1從網(wǎng)絡(luò)訪訪問文件件服務(wù)器器證實(shí)復(fù)復(fù)合權(quán)限限應(yīng)用的的結(jié)果；；用戶user1只能讀取取文件夾夾，不具具備其它它任何權(quán)權(quán)限。9.5.1什么是加加密文件件系統(tǒng)（（EFS）加密文件件系統(tǒng)（（EncryptingFileSystem)是Windows2000及以上Windows版本中，，磁盤格格式為NTFS的文件加加密。加加密文件件系統(tǒng)(EFS)允許用戶戶以加密密格式存存儲磁盤盤上的數(shù)數(shù)據(jù)。加加密是是將數(shù)據(jù)據(jù)轉(zhuǎn)換成成不能被被其他用用戶讀取取的格式式的過程程。一旦旦用戶加加密了文文件，只只要文件件存儲在在磁盤上上，它就就會自動動保持加加密狀態(tài)態(tài)。解密密是將數(shù)數(shù)據(jù)從加加密格式式轉(zhuǎn)換為為原始格格式的過過程。9.5windows2003的加密文文件系統(tǒng)統(tǒng)(1)當(dāng)用戶啟啟動EFS加密，EFS的驅(qū)動程程序會調(diào)調(diào)用“微微軟的加加密服務(wù)務(wù)提供程程序（MicrosoftCryptoProvider）”來產(chǎn)產(chǎn)生一個個“文件件加密密密鑰（FEK）”也就就是所謂謂的“對對稱式密密鑰”而而這個密密鑰的位位數(shù)，由由一個叫叫做“隨隨機(jī)數(shù)生生器”來來提供。。一般生生成一個個128位的密鑰鑰。(2)EFS就利用FEK來加密文文件。注注意只有有文件中中的數(shù)據(jù)據(jù)才會被被加密，，對于文文件名，，屬性與與其它摘摘要都不不會被加加密。文文件的各各種權(quán)限限也會保保持不變變。(3)現(xiàn)在EFS會將加密密完成的的文件存存儲在NTFS分區(qū)上，，EFS不會獨(dú)立立出NTFS分區(qū)，它它只是NTFS分區(qū)的一一個增強(qiáng)強(qiáng)特性。。(4)EFS再次調(diào)用用“微軟軟的加密密服務(wù)提提供程序序（MicrosoftCryptoProvider）”這一一次，它它的目的的是獲得得用戶的的EFS公鑰。然然后使用用一個EFS的公鑰加加密FEK的一個副副本，并并將它存存儲到一一個數(shù)據(jù)據(jù)的解密密字段（（DDF）中。注注意DDF字段是和和文件一一起保存存的。事事實(shí)上能能夠解密密這個DDF字段的只只有用戶戶EFS公鑰所對對應(yīng)的私私鑰。私私鑰必須須由EFS用戶謹(jǐn)慎慎保管。。EFS的加密工工作過程程EFS的的加密工工作過程程注意：在加密過過程執(zhí)行行到(4)的同時，，windows的系統(tǒng)管管理員的的“文件件恢復(fù)（（filerecoveryFR）”公鑰鑰來加密密FEK的另一個個副本，，并將結(jié)結(jié)果保存存到一個個“數(shù)據(jù)據(jù)恢復(fù)字字段中（（DRF）它出和和文件一一起存儲儲。用戶戶于在用用戶的EFS私鑰不完完整或是是丟失的的情況下下，由數(shù)數(shù)據(jù)恢復(fù)復(fù)代理（（DRA）幫助用用戶恢復(fù)復(fù)已被EFS加密的文文件。事事實(shí)上這這個過程程相當(dāng)?shù)牡膹?fù)雜。。第一步：：利用系系統(tǒng)管理理員登陸陸操作系系統(tǒng)，建建立兩個個用戶，，一個叫叫做user1，另一個個叫做user2。注銷系系統(tǒng)管理理員。第二步：：利用用用戶user1登陸操作作系統(tǒng)。。在NTFS分區(qū)上建建立一個個叫做““test”的文件夾夾，然后后在文件件夾里建建立一個個叫“test”的文本文文件，任任意的在在文本文文件中輸輸入一些些內(nèi)容。。第三步：：開始利利用EFS加密test文件選擇擇“test”文件夾，，單擊鼠鼠標(biāo)右鍵鍵，選擇擇“屬性性”在““常規(guī)””選項(xiàng)卡卡中的““高級””中的““加密內(nèi)內(nèi)容以便便保護(hù)數(shù)數(shù)據(jù)”如如圖9-16所示9.5.3EFS加密文件件的配置置9.5.3EFS加密文件件的配置置第四步：：查看并并導(dǎo)出加加密test文件的密密鑰。開開始—>運(yùn)行—>在“打開開”中輸輸入：MMC。在控制制臺中，，選擇““文件””—>添加/刪除管理理單元—>添加—>證書；顯顯示如下下圖9-17所示。選擇user1的用戶證證書單擊擊鼠標(biāo)右右鍵，選選擇“屬屬性”出出現(xiàn)如圖圖9-18所示，選選擇“所所有任務(wù)務(wù)”；選選擇“導(dǎo)導(dǎo)出”。。出現(xiàn)如如圖19-19所示，選選擇“下下一步””。選擇“是是，導(dǎo)出出私鑰””后，出出現(xiàn)如圖圖9-21所示的對對話框，，請選擇擇“如果果導(dǎo)出成成功，刪刪除密鑰鑰”。此時會彈彈出如圖圖9-22所示的對對話框，，要求輸輸入保護(hù)護(hù)用戶EFS私鑰的密密碼，這這里需要要注意的的是，該該密碼并并不保護(hù)護(hù)文件的的密碼而而是保護(hù)護(hù)私鑰的的密碼。。完成對私私鑰的密密碼保護(hù)護(hù)后，就就需要指指定用戶戶EFS私鑰的導(dǎo)導(dǎo)出路徑徑，如下下圖9-23所示，這這里建議議把EFS的私鑰導(dǎo)導(dǎo)出到移移動存儲儲設(shè)備F盤上。如圖9-23所示，提提示私鑰鑰導(dǎo)出向向?qū)У呐渑渲靡淹晖瓿?，可可單擊““完成””結(jié)束EFS的私鑰導(dǎo)導(dǎo)出過程程。第五步：：在盤動存存儲設(shè)備備F盤上，查查看已導(dǎo)導(dǎo)出的私私鑰如下下圖9-24所示第六步：：開始檢測測user1利用EFS加密文件件后的效效果，注注銷用戶戶user1，以用戶戶user2登陸操作作系統(tǒng)。。并試圖圖打開已已被用戶戶user1利用EFS加密的““test”文件。結(jié)結(jié)果會出出現(xiàn)如圖圖9-25所示的結(jié)結(jié)果，無無法訪問問。注意：事實(shí)上本本地計算算機(jī)的管管理員（（administrator）在沒有有被授權(quán)權(quán)成為““恢復(fù)代代理”前前也不無無法打開開被EFS加密的文文件。如如果需要要打開被被user1利用EFS加密的文文件，就就必須獲獲得圖9-24所示的EFS的私鑰。。而往往往私鑰是是需要用用戶保密密的，一一般不可可公開。。在上一小小節(jié)9.5.3中完成了了利用EFS來加密文文件；解解密文件件只需要要user1的EFS私鑰導(dǎo)入入到計算算機(jī)機(jī)；；選中需需要解密密的文件件，單擊擊鼠標(biāo)右右鍵，選選擇“屬屬性”打打開“高高級”選選項(xiàng)卡。。然后在在如下圖圖9-26所示的對對話框中中，去掉掉“加密密內(nèi)容以以便保護(hù)護(hù)數(shù)據(jù)””就可以以解密利利用EFS加密的文文件。9.5.4EFS解密文件件與“恢恢復(fù)代理理”問題：如果利用用EFS加密文件件后的私私鑰丟失失，損壞壞。或者者是原始始的加密密者辭職職，拒絕絕解密文文件，怎怎么辦？？此時能解解決如上上問題的的辦法：：只能依依賴于EFS的“恢復(fù)復(fù)代理（（DRA）”來解解決該問問題。但但是默認(rèn)認(rèn)的情況況下，在在獨(dú)立的的計算機(jī)機(jī)上（非非域的計計算機(jī)））沒有恢恢復(fù)代理理。需要要手工創(chuàng)創(chuàng)建。步驟如下下：第一步：：以本地地系統(tǒng)管管理員（（administrator）登陸到到本地計計算機(jī)。。第二步：：啟動““開始””->“運(yùn)行”->輸入：“cmd”在命令提示示符下輸入入：cipher.exe/r:dra具體操作如如下圖9-27所示。此時時會在C盤的根目錄錄下創(chuàng)建兩兩個文件，，一個是dra.cer文件；另一一個是dra.pfx文件。第三步：在在啟動“開始始”->“運(yùn)行”->輸入：“gpedit.msc”找“本地組組策略的編編輯對話框框如下圖9-28所示。在““安全設(shè)置置”中展開開“公鑰策策略”下的的“加密文文件系統(tǒng)””；擊鼠標(biāo)標(biāo)右鍵，選選擇“添加加數(shù)據(jù)恢復(fù)復(fù)代理程序序”；此時時會彈出““添加故障障恢復(fù)代理理向?qū)А睂υ捒??？煽芍苯狱c(diǎn)““下一步””。在下圖對話話框中選擇擇“瀏覽文文件夾”導(dǎo)導(dǎo)航到C盤根目錄下下的“dra.cer”文件。則添添加了故障障恢復(fù)代理理。第四步：將將恢復(fù)代理理的證書C盤下的dra.pfx如圖9-30所示的位置置,進(jìn)行導(dǎo)入。。完成“故故障恢復(fù)代代理”證書書的安裝。。第五步：檢查“故障恢恢復(fù)代理”證證書安裝的結(jié)結(jié)果。如圖9-31所示，如果操操作過程沒有有出問題，可可以在“證書書”管理的控控制臺下看到到administraor已經(jīng)成為合法法的“文件故故障恢復(fù)代理理”。如果EFS用戶的私鑰故故障就可以利利用該證書進(jìn)進(jìn)行恢復(fù)工作作。9.6windows2003的的安全模板的的定制與分析析安全模板是windows2003上管理操作系系統(tǒng)安全的一一系列策略設(shè)設(shè)置集合。它它可以創(chuàng)建計計算機(jī)或網(wǎng)絡(luò)絡(luò)的安全策略略。它是考慮慮整個系統(tǒng)范范圍內(nèi)安全的的單點(diǎn)入口點(diǎn)點(diǎn)。安全模板板不引入新的的安全參數(shù)，，它簡單地將將所有現(xiàn)有的的安全屬性組組織到一個位位置以簡化安安全性管理。。這些策略包包括：帳戶策略：：密碼策略、賬賬戶鎖定策略略以及Kerberos策略。本地策略：：審計策略、、用戶權(quán)限分分配和安全選選項(xiàng)。時間日志：應(yīng)應(yīng)用程序、系系統(tǒng)和安全““事件日志””設(shè)置。受限制的組：：與安全性相相關(guān)的組的成成員關(guān)系。系統(tǒng)服務(wù)：系系統(tǒng)服務(wù)的啟啟動和權(quán)限。。注冊表：注冊冊項(xiàng)權(quán)限。文件系統(tǒng)：文文件和文件夾夾權(quán)限安全模板能創(chuàng)創(chuàng)建一個安全全基線(securitybaseline)。安全基線是是文檔和公認(rèn)認(rèn)安全設(shè)置的的清單。在大大多數(shù)情況下下，你的基線線會隨著服務(wù)務(wù)器角色的不不同而產(chǎn)生區(qū)區(qū)別。因此你你最好創(chuàng)建幾幾個不同的基基線，以便將將它們應(yīng)用到到不同類型的的服務(wù)器上。。事實(shí)上windwos2003的服務(wù)器已經(jīng)經(jīng)預(yù)定義的了了部分用于不不同環(huán)境的““安全模板””Compatws模板：放松用用戶組的默認(rèn)認(rèn)文件和注冊冊表權(quán)限，使使之與多數(shù)沒沒有驗(yàn)證的應(yīng)應(yīng)用程序的要要求一致。PowerUsers組通常用于運(yùn)運(yùn)行沒有驗(yàn)證證的應(yīng)用程序序。hisecdc模板：較securedc模板有更嚴(yán)格格的要求。對對LanManager身份驗(yàn)證以及及安全頻道和和SMB數(shù)據(jù)的加密和和簽字的進(jìn)一一步要求提供供進(jìn)一步的限限制。為了將將hisecdc用于DC，在所有信任任和受信域中中的DC必須運(yùn)行Windows2000或更新版本。。Hisecsw模板：較securews的超集。對LanManager身份驗(yàn)證以及及安全頻道和和SMB數(shù)據(jù)的加密和和簽字的進(jìn)一一步要求提供供進(jìn)一步的限限制。為了將將hisecws用于一個成員員，包含登錄錄到此客戶所所有用戶的賬賬戶的所有DC必須運(yùn)行NT4SP4或更高。9.6.2windows2003安全模板板與應(yīng)用自定義一個基基于操作系統(tǒng)統(tǒng)自身的安全全模板，模板板的名稱名叫叫做“system_sec””。要求：（1）交互式登錄錄：試圖登錄錄的用戶的消消息標(biāo)題為““警告”；交交互式登錄：：試圖登錄的的用戶的消息息文本“校園園網(wǎng)絡(luò)禁止非非授權(quán)訪問””。（2）密碼必須符符合復(fù)雜性要要求。最短密密碼長度。（3）防止未簽名名驅(qū)動程序的的安裝行為。。（4）對安全模板板進(jìn)行分析并并應(yīng)用到操作作系統(tǒng)上。步驟：第一步：啟動動“開始”->“運(yùn)行”->“打開”輸入““MMC”打開控制臺，，“文件”-“添加/刪除管理單元元”->“添加”->“安全模板”與與“安全配置置與分析”得得到如下圖9-33所示的對話框框。第二步：選擇擇操作系統(tǒng)安安全模板存放放的位置，單單擊鼠標(biāo)右鍵鍵出現(xiàn)如圖9-34所示的界面，，選擇“新加加模板”。會會彈出如圖9-35所示對新加安安全模板的對對話框。然后后在“模板名名”中輸入：：“system_sec””，并輸入相應(yīng)應(yīng)的描述性語語言。第三步：此時時可以看到自自定義的安全全模板“system_sec””如圖9-36所示。事實(shí)上上這個模板是是從系統(tǒng)默認(rèn)認(rèn)的“預(yù)定義義模板”復(fù)制制而得到。只只是該模板暫暫時沒有做任任何的安全選選項(xiàng)設(shè)置。第四步：現(xiàn)在在開始在自定定的安全模板板中設(shè)置各項(xiàng)項(xiàng)具體的安全全要求。首先先在“帳戶策策略”里面選選擇如下圖9-37所示的“密碼碼必須符合復(fù)復(fù)雜性要求””選擇“已啟啟用”；然后后在“密碼長長度最小值””策略中輸入入“8”表示以后所有有的密碼的長長度至少要滿滿足8個字符串的需需求如下圖9-38所示。圖9-37圖9-38在自定義的安安全模板“system_sec””中選擇“本地地策略”下面面的“安全選選項(xiàng)”可得到到如下圖9-39所示的對話框框，設(shè)置用戶戶登陸系統(tǒng)前前的一個公告告消息的“標(biāo)標(biāo)題”。在如如下圖9-40的對話框中可可設(shè)置，用戶戶登陸系統(tǒng)前前的一個公告告消息的文字字內(nèi)容。圖9-39圖9-40在“安全選項(xiàng)項(xiàng)”中可以找找到“防止用用戶用戶安裝裝打印機(jī)驅(qū)動動程序”選項(xiàng)項(xiàng)，選擇“已已啟用”。如如圖9-41所示。然后在在“安全選項(xiàng)項(xiàng)”中找到““未簽名驅(qū)動動程序的安裝裝文件”選擇擇“禁止安裝裝”。如下圖圖9-42所示。圖9-41圖9-42第五步：在完完成需求中的的安全選項(xiàng)設(shè)設(shè)置后，將自自定義的安全全模板“system_sec””進(jìn)行保存。第六步：需要要對已保存的的安全模板進(jìn)進(jìn)行分析。確確?，F(xiàn)有的安安全設(shè)置與操操作系統(tǒng)的各各項(xiàng)應(yīng)用服務(wù)務(wù)與程序沒有有沖突。首先先在如圖9-43示的“安全配配置和分析””上單擊鼠標(biāo)標(biāo)右件，選擇擇“打開數(shù)據(jù)據(jù)庫”。會彈彈出圖9-44所示的對話框框，要求輸入入打開數(shù)據(jù)庫庫的名稱，請請?jiān)谖募兄休斎搿皊ystem_sec””。注意，這里里您只能直接接輸入你要打打開的數(shù)據(jù)庫庫名稱。圖9-44輸入打開數(shù)據(jù)據(jù)庫的名稱，，請?jiān)谖募休斎搿皊ystem_sec””。注意，這里里您只能直接接輸入你要打打開的數(shù)據(jù)庫庫名稱然后在如圖所所示的對話框框中選擇“立立即分析計算算機(jī)”開始分分析即將應(yīng)用用于計算機(jī)的的安全設(shè)置。。以防止即將將應(yīng)的安全設(shè)設(shè)置與服務(wù)器器上的應(yīng)用服服務(wù)發(fā)生沖突突。分析日志志被保存在如如圖9-47所示的位置。。如果分析結(jié)結(jié)果沒有異常常，則可選擇擇“立即配置置計算機(jī)”將將安全設(shè)置應(yīng)應(yīng)用于計算機(jī)機(jī)。9.7windwos2003的的權(quán)限奪取9.7.1文件或文件夾夾的最高權(quán)限限擁有文件或文件夾夾的最高權(quán)限限擁有者可以以對該對象做做任意的操作作，包括各種種權(quán)限的控制制與管理。默默認(rèn)文件或文文件夾的最高高權(quán)限的擁有有者是建立該該文件或文件件夾的創(chuàng)造者者。而不是系系統(tǒng)管理員。。換而言之，，如果一個用用戶建立了一一個文件或文文件夾，然后后將其它所有有用戶包括系系統(tǒng)管理員（（administrator）都排除在對對資源的訪問問以外，那么么只有該用戶戶可以訪問這這個文件或文文件夾。系統(tǒng)統(tǒng)管理員也無無法訪問該文文件或文件夾夾。資源控制的意意外事件發(fā)生生：在財務(wù)部門有有一個用戶名名叫“account”一直以來都由由他處理和匯匯總單位重要要的財務(wù)報表表。為了保證證財務(wù)報表的的機(jī)密性。該該用戶只允許許他自已可以以訪問“財務(wù)務(wù)文件”其它它的用戶都不不可以訪問該該文件夾。該該文件夾是由由用戶自已建建立。權(quán)限控控制如下圖9-48所示：突然有一天，，系統(tǒng)管理員員無意將“account”誤刪除。此時時沒有任何用用戶可以打開開該文件夾。。也無法再訪訪問文件夾的的重要內(nèi)容。。包括系統(tǒng)管管理員也無法法訪問。然后后查看“財務(wù)務(wù)文件夾”的的屬性如下圖圖：9-49所示，在權(quán)限限控窗口中沒沒有任何用戶戶顯示。此時時administrator也無法訪問““財務(wù)文件夾夾”文件夾或文件件的最高權(quán)限限用戶是創(chuàng)建建對象的用戶戶本身，這個個事實(shí)無法改改變。但是系系統(tǒng)管理員(administrator)擁有對操作系系統(tǒng)維護(hù)與管管理的最高權(quán)權(quán)限，可以利利用系統(tǒng)管理理員用戶強(qiáng)制制奪取“account”用戶對“財務(wù)務(wù)文件夾”的的擁有權(quán)來達(dá)達(dá)到進(jìn)一步來來修改文件夾夾權(quán)限的目的的，讓其它用用戶可以訪問問該文件夾。。9.7.2windwos2003的權(quán)限奪奪取利用操作系統(tǒng)統(tǒng)管理員(administrator)的身份登陸計計算機(jī)。選擇擇“財務(wù)文件件夾”單擊鼠鼠標(biāo)右鍵。選選擇“屬性””->“安全”會彈出出如下圖9-50所示的提示：：“管理無權(quán)權(quán)查看或編輯輯目前的文件件夾”。但您您可以取得該該對象的所有有權(quán)。點(diǎn)擊““確定”選擇“高級安安全”設(shè)置中中的“所有者者”可以看見見目前該項(xiàng)目目的所有者為為“無法顯示示當(dāng)前所有者者”。因?yàn)椤啊癮ccount”用戶已被刪除除。所以無法法顯示當(dāng)前所所有者。但是是可以選擇““將所有者更更改為”administrator或者是administrators組。如圖9-51所示。這樣系系統(tǒng)管理員或或者系統(tǒng)管理理員小組就成成為了文件夾夾的所有者，，擁有了對財財務(wù)文件夾的的最高權(quán)限9.8windwos操作系統(tǒng)中中防御各種木木馬與惡意程程序9.8.1木馬與惡意程程序是如何感感染到windwos操作系統(tǒng)多數(shù)惡意程序序，比如病毒毒，木馬，等等都會在windows啟動時自動加加載到內(nèi)存。。可很容易地地通過一個簡簡單的注冊表表項(xiàng)對程序的的自動運(yùn)行進(jìn)進(jìn)行配置。因因此，一個很很好的解決辦辦法就是系統(tǒng)統(tǒng)管理員通過過windows禁用應(yīng)用程序序的自動啟動動。9.8.2防防御現(xiàn)今最為為流行AUTO病毒防御步驟：第一步：觀察Auto病毒中招后的的現(xiàn)象:該病毒被植入入到計算機(jī)的的主要癥狀:雙擊鼠標(biāo)左鍵鍵打不開本地地磁盤,右鍵單擊打開開菜單會出現(xiàn)現(xiàn)一個AUTO的選項(xiàng)。每個個盤都有兩個個這樣的文件件:autorun.inf和*.exe.如下圖9-52所示:第二步：現(xiàn)解傳播途徑徑：U盤、MP3、移動硬盤可可見，一般的的殺毒軟件基基本只能查出出來,但是都?xì)⒉涣肆恕；蛘邭⒍径竞笥嬎銠C(jī)重重啟又會被感感染。第三步：防御Auto病毒的方式：：(1)在組策略中如如下圖9-53和圖9-54所示的位置禁禁用windows的自動播放功功能：9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Monday,December12,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。03:28:5403:28:5403:2812/12/20223:28:54AM11、以我獨(dú)沈沈久，愧君君相見頻。。。12月-2203:28:5403:28Dec-2212-Dec-2212、故人江海別別，幾度隔山山川。。03:28:5403:28:5403:28Monday,December12,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2203:28:5403:28:54December12,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。12十十二月20223:28:54上午午03:28:5412月-2215、比不不了得得就不不比，，得不不到