第5章 Windows系统资源的安全 保护 目的要求o掌握资源共享的实现方法以及共享资源的安 全设置。o掌握设置打印机的方法。o了解注册表基础知识，初步掌握通过注册表 的设置提高系统安全的方法。o了解安全审核基础知识，初步掌握审核策略 的设置和安全日志的分析方法。5.1 文件系统和共享资源的安全设置 5.1.1 Windows中的常用文件系统 5.1.2 EFS加密原理 5.1.3资源共享 5.1.4资源访问权限的控制 5.1 文件系统和共享资源的安全设置o文件系统n操作系统用于明确磁盘或分区上存储文件的方 法和数据结构，即在磁盘上组织文件的方法。n从系统角度来看，文件系统是对文件存储器空 间进行组织和分配，负责文件存储并对存入的 文件进行保护和检索的系统。n具体地说，它负责为用户建立、存入、读出、 修改文件以及撤销文件等。 5.1 文件系统和共享资源的安全设置o文件系统n新的硬盘上并没有文件系统，必须使用分区工 具对其进行分区并格式化后才会有管理文件的 系统。 n一块硬盘就像一个块空地，文件就像不同的物 资，我们首先得在空地上建起仓库(分区)，并且 指定好(格式化)仓库对材料的管理规范(文件系 统)，这样才能将物资运进仓库保管。 5.1.1 Windows中的常用文件系统o1. FAT16：nDOS、Windows 95都使用FAT16文件系统，现在常用 的Windows 98/2000/XP等系统均支持FAT16文件系 统。它最大可以管理大到2 GB的分区，但由于采用16位 长的文件分配表（File Allocation Table）每个分区最 多只能有65525个簇（“簇”是磁盘空间保存信息的基本 单位），由于FAT16管理“簇”的能力有限，随着硬盘或 分区容量的增大，每个簇所占的空间将越来越大，从而 导致硬盘空间的浪费。并且随着计算机硬件和应用的不 断提高，FAT16文件系统已不能很好地适应系统的要求 。5.1.1 Windows中的常用文件系统o2. FAT32：随着大容量硬盘的出现，从Windows 98开始，FAT32开始流行。它是FAT16的增强版 本，采用32位长的文件分配表来管理文件的存储 。同FAT16相比，FAT32主要具有以下特点： （1）管理“簇”的能力增强，支持的分区容量增大; （2）“簇”的尺寸变小，FAT32就比FAT16的存储效率要高 很多，通常情况下可以提高15%。 （3）FAT32文件系统可以重新定位根目录和使用FAT的备 份副本，减少了计算机系统崩溃的可能性。5.1.1 Windows中的常用文件系统o3NTFS：Windows NT/2000/XP及以上系统支 持NTFS文件系统。与FAT文件系统相比，NTFS功 能更强大，适合更大的磁盘和分区，支持安全性， 是更为完善和灵活的文件系统，它是建立在保护文 件和目录数据基础上，同时照顾节省存储资源、减 少磁盘占用量的一种先进的文件系统。相较于FAT文 件系统，NTFS具有以下这些重要的安全特性： （1）容错性; （2）权限控制; （3）支持EFS（Encrypting File System）加密; （4）支持文件压缩; （5）磁盘配额; （6）审核策略与安全日志5.1.2 EFS加密原理o1. EFS的加密和解密过程 （1）文件被复制到临时文件。若复制过程中发生错误，则利用此 文件进行恢复。 （2）文件被一个随机产生的Key加密，这个Key叫作文件加密密 钥（FEK），文件使用DESX对称加密算法进行加密。 （3）数据加密区域（DDF）产生，这个区域包含了使用用户的公 钥加密的FEK，FEK使用RSA非对称加密算法进行加密。 （4）数据恢复区域（DRF）产生，产生这个区域的目的是为了防 止用户在特殊情况下发生无法对加密文件进行解密的情况，从 而设置了恢复代理这一特殊用户，恢复代理在加密数据恢复策 略（EDRP）中定义。DRF包含使用恢复代理的公钥加密的 FEK。如果在EDRP列表中有多个恢复代理，则FEK必须用每 个恢复代理的公钥进行加密。 （5）包含加密数据、DDF及所有DRF的加密文件被写入磁盘。 （6）在第（1）步中创建的临时文件被删除。5.1.2 EFS加密原理o1. EFS的加密和解密过程5.1.2 EFS加密原理o当用户解密文件时，EFS将执行以下操作：o（1）使用DDF和用户的私钥解密FEK。o（2）使用FEK解密文件。5.1.3资源共享 o创建共享 n（1）简单文件共享 n（2）高级文件共享 5.1.3资源共享 o简单文件共享 n在要共享的文件夹上单 击鼠标右键，选中“共享 和安全”菜单项，点选“ 共享”标签项，然后勾选 “在网络上共享这个文件 夹”项，n如果允许网络上用户修 改你的共享文件，还可 以勾选“允许网络用户更 改我的文件”项。 5.1.3资源共享 o简单文件共享 n共享磁盘驱动器。n在驱动器盘符上单击鼠 标右键，选中“共享和安 全”菜单项，点选“共享 ”标签项，出现了一个安 全提示，提示你注意驱 动器共享后风险。如果 你继续要共享的话，点 击“共享驱动器根”链接 ，以下操作与文件夹共 享操作一样。5.1.3资源共享 o简单文件共享 n开启GUEST帐户n依次展开“控制面板管理工具计算机管理本地用户 和组用户”选项，在右边的GUEST账号上单击鼠标右键 ，选中“属性”菜单项，然后祛除“账号已停用”选项即可。5.1.3资源共享 o简单文件共享 n更改设置本地安全策略n在启用了GUEST用户或本地相应账号的前提下 ，依次展开“控制面板管理工具本地安全策 略用户权利指派”项，在“拒绝从网络访问这台 计算机”的用户列表中，直接删除其中的GUEST 账号即可，这样用户访问共享则不需任何密码， 访问更加简捷明了，但是安全保障就比较差了 5.1.3资源共享 o简单文件共享 n更改设置本地安全策略5.1.3资源共享 o高级文件共享 n禁止简单文件共享 o任意打开一个文件 夹，点击菜单栏的“ 工具文件夹选项” ，选中“查看”标签项 ，在高级设置里， 去掉“使用简单文件 共享(推荐)” 5.1.3资源共享 o高级文件共享 n设置帐户n为不同权限的用户设置不同的帐户。添加新帐户 的方法：依次展开“控制面板管理工具计算 机管理系统工具本地用户和组用户”项， 在右边的窗口中，单击鼠标右键选中“新用户“菜 单项。5.1.3资源共享 o高级文件共享 n设置帐户n如果希望网络用户可以通过该帐户访问系统而不必要输入 密码，也可以随时更改xp系统的安全策略：打开“控制面 板管理工具本地安全策略本地策略安全选项”， 双击“账户: 使用空白密码的本地账户只允许进行控制台登 录”选项，点选“已停用”项，最后确定完成。5.1.3资源共享 o高级文件共享 n设置共享及共享权限n文件夹上单击鼠标左键，选中“共享和安全”项，此时，可 以看到和“简单文件共享”相比，下面多了个“权限”按钮。5.1.3资源共享 o高级文件共享 n设置共享及共享权限n点击权限按钮，默认权限设置是网络上每个用户（EVERYONE ）都拥有完全控制的权限。这样设置是不安全的，应把 EVERYONE权限删除，添加指定账户的权限（如“JJ”），按“添 加”，查找帐户名“JJ”，并确定，之后根据实际情况设置访问用 户的权限：o读取权限，允许用户浏览或执行文件夹中的文件；o更改权限，允许用户改变文件内容或删除文件；o完全控制权限，允许用户完全访问共享文件夹。5.1.3资源共享 o管理共享 n查看本地机器上已创建的共享文件夹o依次展开“控制面板管理工具计算机管理共享 文件夹共享”项可以看到本机上开放了哪些共享。5.1.3资源共享 o管理共享 n查看局域网上已创建的共享文件夹o通过“网上邻居”来查看多台电脑的共享文件效率不 高，可以尝试使用“LanDiscovery”软件来查看局域 网上已创建的共享文件夹5.1.3资源共享 o管理共享 n查看局域网上已创建的共享文件夹o除此之外，还可以在“开始运行”窗口中输入 “cmd”命令，在弹出的运行对话框中输入“net share”命令查看共享资源。5.1.3资源共享 o管理共享 n查看连接本机的用户o依次展开“控制面板管理工具计算机管理共享 文件夹会话”项可以看到连接本机的用户，在用户 名上单击鼠标右键，选中“关闭会话”项，即可断开 该用户连接。5.1.3资源共享 o管理共享 n查看连接本机的用户o还可以使用一款小巧软件“ShareWatch”查看局域 网上的哪些用户正在访问本机开放的共享文档。安 装该软件后，运行ShareWatch.exe就可以看到如 图显示的本机共享目录，还可以看到访问该目录的 局域网用户WJJ-ER。 5.1.4资源访问权限的控制o系统默认的组和用户的权限n默认情况下，系统为用户分了6个组，并给每个组赋予不 同的操作权限，依次为：o管理员组（Administrators）：对计算机/域有不受限制 的完全访问权；o高权限用户组（Power Users）：拥有大部分管理权限 ，但也有限制；o普通用户组（Users）：用户无法对系统进行有意或无意 的改动；o来宾用户组（Guests）：来宾组和用户组有同等访问权 ，但来宾账户的限制更多；o备份操作组（Backup Operators）：允许备份或还原 系统文件；o文件复制组（Replicator）：允许域中的文件复制5.1.4资源访问权限的控制o2NTFS权限n读取（Read）n写入（Write）n读取及运行（Read+MSIE+6.0;+Windows+XP;+DigExt)o20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)o通过分析第五、六行，可以看出2010年7月30日，IP地址为192.168.1.26的 用户通过访问IP地址为192.168.1.37机器的80端口，查看了一个页面 iisstart.asp，这位用户的浏览器为compatible; +MSIE+6.0;+Windows+XP+DigExt，有经验的管理员可结合安全日志、 FTP日志和WWW日志来确定是否发生了入侵行为、入侵者的IP地址以及入侵 时间。