>>第十章 安全管理

第十章 安全管理

好的安全系统可确认试图访问计算环境的个人的身份，防止冒名顶替者的访问、盗窃或者破坏系统资源；保护环境中的特定资源免受用户的不正当访问；为设置和维护用户工作环境中的安全性提供了一种简单而有效的方法，同时防止信息和资源被损坏以及有人未授权访问。 本章主要内容有： 1、安全的基本概念 2、控制对象的访问 3、事件的审核 4、管理磁盘上的数据加密 5、管理安全模板 6、安全配置和分析 　　10.1 安全的基本概念 　　10.1.1 安全模型 　　Windows 2000 安全模型的主要功能是用户身份验证和访问控制。 　　用户身份验证: Windows 2000 安全模型包括用户身份验证的概念，这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中，安全性系统提供了两种类型的身份验证：交互式登录(根据用户的本地计算机或 Active Directory 帐户确认用户的身份)和网络身份验证（根据此用户试图访问的任何网络服务确认用户的身份）。为提供这种类型的身份验证，Windows 2000 安全系统包括了三种不同的身份验证机制：Kerberos V5、公钥证书和 NTLM（与 Windows NT 4.0 系统兼容）。 基于对象的访问控制：通过用户身份验证，Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组，以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性，管理员可以设置权限，分配所有权以及监视用户访问。 　　管理员不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问。例如，通过适当配置对象的安全描述符，用户可以被允许访问一部分信息，如只访问员工姓名和电话号码而不能访问他们的家庭住址。 　　Active Directory 和安全性：Active Directory 通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息，因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如，用户登录到网络时，Windows 2000 安全系统通过存储在 Active Directory 上的信息来验证用户。然后，当用户试图访问网络上的服务时，系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组帐户，因此管理员可以更有效地管理系统的安全性。例如，通过调节文件属性，管理员可以允许组中的所有用户读取文件。这样，访问 Active Directory 中的对象以组成员为基础。 10.1.2 域的体系结构 域和安全性 　　域是网络对象的分组。例如：用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。每个域都是一个安全界限，这意味着安全策略和设置（例如系统管理权利、安全策略和访问控制表）不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。由于每个域都是一个安全壁垒，因此不同的系统管理员可以在单位中创建和管理不同的域。 理解域的关键是：  　　安全策略可以贯穿整个域来实现。  　　为保证数据库的同步，包括安全信息的 Active Directory 会定期复制到域中每个域控制器。  　　Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。  　　可转移的信任关系可以建立在域树中的域之间。  单个域和多个域 　　Windows NT 4.0 限制了目录可以存储的用户帐户的个数。因此，为了适应大计算环境的需要，创建和管理多个域而且每个都拥有自己的用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织：主域（存储用户和组的帐户）和资源域（存储文件、打印机、应用程序服务等等）。 这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。 　　通过扩大存储用户、组和计算机帐户的能力，Active Directory 可实现多个域的功能，因此取而代之。通过 Active Directory，系统管理员可以把跨越多个域的所有帐户（过去必须存储在主域中）和所有资源（过去必须存储在资源域中）合并到单个域中。出于管理目的，系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而，在某些情况下，用户出于策略原因可能希望保留多个域。 　　可转移的信任关系 　　当用户将对象从多个域转到单个域时，会降低必须建立和保持的域信任关系的数量。同样，将域合并成单个域林时，这些域将自动建立可转移的信任关系，减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域，每个域同域林中的另一个域只需要一个信任关系。  　　服务器角色 　　域中的服务器担当下面的其中一种角色：  　　域控制器运行 Active Directory 并且提供身份验证和策略。 　　成员服务器不提供 身份验证和策略，常作为文件、应用程序、数据库、Web服务器等使用。 10.1.3 身份验证 　　身份验证是系统安全性的一个基本方面。它负责确认试图登录域或访问网络资源的任何用户的身份。Windows 2000 身份验证允许对整个网络资源进行单独登记。采用单独登记的方法，用户可以使用单个密码或智能卡一次登录到域，然后通过身份验证向域中的所有计算机表明身份。 　　Windows 2000 支持几种工业标准的身份验证类型。验证用户身份时，Windows 2000 依据多种要素使用不同种类的身份验证。Windows 2000 支持的身份验证类型有：  Kerberos V5 身份验证 　　安全套接字层 (SSL) 和传输层安全性 (TLS) 的身份验证 NTLM 身份验证 　　在 Windows 2000 中，NTLM 被用作域中两台计算机之间事务的身份验证协议，其中一台或两台计算机运行 Windows NT 4.0 或更早版本。Windows 2000 在默认情况下以混合模式网络配置安装。混合模式的网络配置使用 Windows NT 4.0 和 Windows 2000 的任意组合系统。如果没有混合模式网络，可以在域控制器中转换为本地模式来禁用 NTLM 身份验证。 10.1.4 授权 　　Windows 2000 的安全性建立在身份验证和授权之上。 　　管理员可以指派特定权利组帐户或单个用户帐户。 　　用户权利定义了本地级别上的功能。虽然用户权利可以应用于单个的用户帐户，但最好是在组帐户基础上管理。这样可以确保作为组成员登录的帐户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利，可以简化用户帐户管理的任务。当组中的用户都需要相同的用户权利时，用户可以一次对该组指派用户权利，而不是重复地对每个单独的用户帐户指派相同的用户权利。 　　对组指派的用户权利应用到该组的所有成员（在它们还是成员的时候）。如果用户是多个组的成员，则用户权利是累积的，这意味着用户有多组权利。指派给某个组的权利只有在特定登录权利的情况下才会与指派给其他组的权利发生冲突。然而，指派给某个组的用户权利通常不会与指派给其他组的权利冲突。要删除用户的权利，管理员只需简单地从组中删除用户。在这种情况下，用户不再拥有指派给这个组的权利。 　　用户权利有两种类型：特权和登录权利。 §　特权。特权的一个典型范例就是备份文件和目录的权利。 §　登录权利。登录权利的一个典型范例就是登录本地系统的权利。 10.1.5 审核 　　安全审核是 Windows 2000 的一项功能，负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。 　　应该被审核的最普通的事件类型包括： §　访问对象，例如文件和文件夹 §　户和组帐户的管理 §　用户登录以及从系统注销时 　　除了审核与安全性有关的事件，Windows 2000 还生成安全日志并提供了查看日志中所报告的安全事件的方法。 10.1.6 安全策略 　　安全设置定义了系统的安全相关操作。通过对 Active Directory 中组策略对象的使用，系统管理员可以集中应用保护企业系统所要求的安全级别。 　　确定包括多台计算机的组策略对象的设置时，必须考虑给定站点、域或单位的组织和功能特征。例如，销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。 安全设置 　　安全设置包括安全策略（帐户和本地策略）、访问控制（服务、文件、注册表）、事件日志、组成员（受限的组）、网际协议 (IP) 的安全策略和公钥策略。 安全模板 　　安全模板是安全配置的物理表现：一组安全设置应该存储于一个文件中。Windows 2000 包括一组以计算机的角色为基础的安全模板：从低安全域客户端的安全设置到非常安全的域控制器。这些模板可用于创建自定义安全模板，修改模板或者作为自定义安全模板的基础。 安全配置工具 　　管理员可使用安全模板管理单元来定义和使用安全模板。 　　管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。 　　管理员可使用组策略管理单元来配置 Active Directory 中的安全性。 10.1.7 数据保护 　　数据的保密性和完整性开始于网络的身份验证。用户可以通过适当的凭据（安全的密码或者公钥凭据）在网络上登录，并在此过程中获得访问存储数据的权限。  　　Windows 2000 支持两种数据保护方式：存储数据和网络数据。以下部分介绍这两种类型的保护方式。  　　存储数据的保护 　　保护存储的数据（联机或是脱机）可以通过：  　　文件加密系统 (EFS)：EFS 使用公钥加密技术对本地的 NTFS 数据进行加密。  　　数字签名:数字签名对软件组件进行签名以确保它们的合法性。  　　网络数据的保护 　　在用户的工作环境（局域网和子网）中的网络数据通过身份验证协议来保护它的安全。用户也可以选择其他的安全级对用户工作环境中的网络数据进行加密。使用网际协议 (IP) 的安全机制，用户可以为指定的客户端或某个域中的所有客户端的所有网络通讯数据进行加密。 传入及传出用户所在工作环境的网络数据（通过内部网、外部网或 Internet 网关）可以通过使用以下实用程序进行保护：  　　网际协议安全。对客户端的所有 TCP/IP 通讯进行加密。  　　路由和远程访问。配置远程访问协议和路由。  　　代理服务器。为站点提供防火墙和代理服务器。  　　另外，象 Microsoft Exchange、Microsoft Outlook 和 Microsoft Internet Explorer 这样的程序都提供了某个站点内或者整个网络上的信息和事务的公钥加密。 10.1.8 公钥基础结构 　　在这个信息互连的时代，单位的网络可能包括内部网、Internet 站点和外部网这些都有可能被一些未经授权、蓄意盗阅或更改单位数字信息财产的个人访问。 　　有许多潜在的机会可未经授权访问网络上的信息。个人可以尝试监视或更改类似于电子邮件、电子商务和文件传输这样的信息流。用户的单位可能与合作伙伴在限定的范围和时间内进行项目合作，有些雇员用户虽然一无所知，但却必须给他们一定的权限访问用户的部分信息资源。如果用户的用户为了访问不同安全系统需要记住许多密码，他们可以会选择一些防护性较差或很普通的密码，以便于记忆。这不仅给黑客提供一个容易破解的密码，而且还提供了众多安全系统和存储数据的访问。 　　那么，系统管理员怎样才能确定正在访问信息的用户的身份而且利用身份对被访问的信息进行控制呢？另外，系统管理员怎样才能轻松而安全地分发和管理单位中的身份凭证呢？这些都是可以通过仔细规划的公钥基础结构解决的问题。 　　通常缩写为 PKI 的公钥系统是由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。尽管作为电子商务必要组成部分的公钥基础结构 (PKI) 已被广泛应用，但它仍然在发展之中。 返回页首>>>

10.2 控制对象的访问 1.设置、查看、更改或删除文件和文件夹权限 　　步骤1 打开 "Windows 资源管理器"，然后定位到用户要设置权限的文件和文件夹。 　　步骤2 右键单击该文件或文件夹，单击"属性"，然后单击"安全"选项卡， 如图 10.1 步骤3 执行以下任一项操作： 要设置新组或用户的权限，请单击"添加"。按照域名\名称的格式键入要设置权限的组或用户的名称，然后单击"确定"关闭对话框。  　　要更改或删除现有的组或用户的权限，请单击该组或用户的名称。  　　步骤4 如果必要，请在"权限"中单击每个要允许或拒绝的权限的"允许"或"拒绝"。 或者，若要从权限列表中删除组或用户，请单击"删除"。  注意： 　　只能在格式化为使用 NTFS 的驱动器上设置文件和文件夹权限。  　　要更改访问权限，用户必须是所有者或已经由所有者授权执行该操作。  　　无论保护文件和子文件夹的权限如何，被准许对文件夹进行完全控制的组或用户都可以删除该文件夹内的任何文件和子文件夹。  　　如果"权限"下的复选框为灰色，或者没有"删除"按钮，则文件或文件夹已经继承了父文件夹的权限。

2.设置、查看或删除共享文件夹或驱动器的权限 　　步骤1 打开 "Windows 资源管理器"，然后定位到要设置权限的共享文件夹或驱动器。 　　步骤2 右键单击共享文件夹或驱动器，然后单击"共享"。 　　步骤3 在"共享"选项卡上，单击"权限"。 　　步骤4 要设置共享文件夹权限，请单击"添加"。键入要设置权限的组或用户的名称，然后单击"确定"关闭对话框。 要删除权限，请在"名称"中选择组或用户，然后单击"删除"。 　　步骤5 在"权限"中，如果需要，请对每个权限单击"允许"或"拒绝"。如图