项目6 Windows Server 2003的网络安全,学习要点 Windows Server 2003操作系统的网络安全构成。 账户策略。 访问控制配置。 安全模板的应用。,6.1 Windows Server 2003的安全特性,Windows Server 2003安全性主要体现在用户身份验证和基于对象的访问控制,为了实现身份验证，Windows Server 2003提供了3种身份验证方式，它们分别是NTLM、Kerberos v5和公钥证书。,6.1.1 用户身份验证,6.1.2 基于对象的访问控制,Windows Server 2003会为几乎每个对象分配一个安全标识符（SID），在Windows Server 2003中可以使用WHOAMI命令查看对象的安全标识符。每个对象都会有一个安全标识符，在安全标识符中有不同的对象对应的访问控制表（ACL），通过这一组访问控制列表来控制其他用户对此对象的访问权限。,6.2 Windows Server 2003系统安全的常用配置,Windows Server 2003提供了很多安全措施，在默认的情况下这些安全措施没有被启用。出于安全的需要，管理员可以对系统进行配置，经过合理配置，Windows Server 2003可以提供非常高的安全性，能应用在各种安全性能要求较高的通信过程中 。,1、有选择性地安装组件。 2、系统没有配置好，不要开启网络连接。,6.2.1 安装过程,6.2.2 正确设置和管理账户,为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows Server 2003的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone组）是完全控制的（Full Control），用户需要根据应用时的需求重新设置权限。,在进行权限控制时，有以下几个原则： 1、权限是累计的，如果一个用户同时属于两个组，那么该用户就有了这两个组所允许的所有权限。 2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。 3、文件权限比文件夹权限高。 4、利用用户组来进行权限控制 5、只给用户真正需要的权限，权限的最小化原则是安全的重要保障。,6.2.4 网络服务安全管理,1、关闭不需要的服务。 2、关闭不用的端口。 3、只开放服务需要的端口与协议。 4、禁止建立空连接。,6.2.5 关闭无用端口,Windows的每一项服务都对应相应的端口，如WWW服务的端口是80，SMTP的端口是25，FTP的端口是21，Windows Server 2003中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉这些端口也就是关闭了这些服务。,关闭这些服务的方法是通过“控制面板”的“管理工具”中的“服务”,6.2.6 本地安全策略,通过建立IP策略来阻止对端口80、21、53、135、136、137、138、139、443、445、1028、1433等的访问实现安全的防护，从而避免入侵者通过这些端口对操作系统进行攻击。,6.2.7 审核策略,选择“控制面板”“管理工具”“本地安全策略”“本地策略”“审核策略”，然后使用鼠标右键单击窗口右边的各项策略,审核的类型有如下几种。 审核策略更改：成功，失败。 审核登录事件：成功，失败。 审核对象访问：成功，失败。 审核过程跟踪：成功，失败。 审核目录服务访问：成功，失败。 审核特权使用：成功，失败。 审核系统事件：成功，失败。 审核账户登录事件：成功，失败。 审核账户管理：成功，失败,审核策略开启之后，审核的信息会记录到事件日志中，可以通过选择“开始”“控制面板”“管理工具”“事件查看器”来查看各种事件，包括应用程序、安全性及系统事件,6.2.8 Windows日志文件的保护,1修改日志文件存放目录 。 2设置文件访问权限,6.3 Windows Server 2003访问控制技术 6.3.1 访问控制技术简介,访问控制通常需要定义访问的主体和客体。主体通常是访问者，可以是用户计算机也可以是某个应用进程或者程序，客体通常指的是网络资源，包括计算机、文件等 访问控制主要有强制访问控制和自主访问控制两种 ：,1、强制访问控制 在这种访问模式中，主体和客体均被定义了。主体的访问权限一旦被系统定义，用户就不能随意更改，同样，客体的权限被系统定义之后也不能被无权限的用户更改。主体和客体通常会定义一个安全等级，通过比较主体和客体的安全等级可以判定访问者是否有权限访问。,2自主访问控制 主要通过访问控制列表来实现，在这种模式中，每种资源都会有一个访问控制列表。如果某个资源隶属于某个用户，那么该用户可以通过该资源的访问控制列表定义其他的对该资源有访问权限的主体,6.3.2 Windows Server 2003访问控制的使用,Windows Server 2003要使用NTFS权限需要先对磁盘做NTFS格式的格式化操作，不能使用其他的诸如FAT32格式。NTFS权限是指系统管理员或文件拥有者赋予用户和组访问某个文件和文件夹的权限，即允许或禁止某些用户或组访问文件或文件类，以实现对资源的保护。NTFS权限可以应用在本地或域中。,NTFS为卷上的对象在安全描述符中建立了一组访问控制列表（ACL），在ACL中列出了用户和组对象对该文件或文件夹所拥有的访问权限。当用户或组访问该资源时，ACL首先查看该用户或组是否在ACL上，再比较该用户的访问类型与在ACL中的访问权限是否一致，如果一致就允许用户访问该资源，否则就无法访问。,6.4 账户策略 6.4.1 账户策略的配置,账户策略包含以下设置。 1密码策略 （1）强制密码历史 （2）密码最长使用期限 （3）密码最短使用期限 （4）密码长度最小值 （5）密码必须符合复杂性要求 （6）用可还原的加密来储存密码,2账户锁定策略 （1）账户锁定时间 （2）账户锁定阈值 （3）复位账户锁定计数器,6.4.2 Kerberos策略,Kerberos策略用于域用户账户，用来确定与Kerberos相关的设置，如票证的有效期限和强制执行。Kerberos策略存在于本地计算机策略中。包括： 1强制用户登录限制 2服务票证最长寿命 3用户票证最长寿命 4用户票证续订最长寿命 5计算机时钟同步的最大容差,6.5 启用安全模板,可以使用Windows Server 2003提供的安全模板功能简化系统的安全配置,安全模板可用于定义以下内容 ： 1、账户策略。 2、本地策略。 3、事件日志：应用程序、系统和安全的事件日志设置。 4、受限制的组：安全敏感组的成员资格。 5、系统服务：系统服务的启动和权限。 6、注册表：注册表项的权限。,在Windows Server 2003中已经存在一些预定义的安全模板，用户可以直接使用这些模板来确保系统的安全，当然也可以根据实际情况进行更改。 Windows Server 2003的预定义的安全模板存放在systemrootsecuritytemplates目录，主要有以下几方面内容：,1默认安全设置（Setup security.inf） 2域控制器默认安全设置（DC security.inf） 3兼容（compatws.inf） 4安全（Secure*.inf） 5高级安全（hisec*.inf） 6系统根目录安全（Rootsec.inf）,6.5.2 启用安全模板的方法,在计算机桌面上选择“开始”“运行”，在“打开”文本框中输入mmc，并单击“确定”按钮，打开“控制台”窗口，在该窗口的“文件”菜单下单击“添加删除管理单元”命令，单击“添加”按钮，在弹出窗口中分别选择“安全模板”和“安全配置分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮,展开“安全模板”节点，可以看到预定义的所有安全模板的默认保存位置以及名称,