1、l1) 1) 用戶驗(yàn)證：它檢查嘗試登錄到域或訪問網(wǎng)絡(luò)資源的所有用戶的身份。用戶驗(yàn)證：它檢查嘗試登錄到域或訪問網(wǎng)絡(luò)資源的所有用戶的身份。l2) 2) 基于對(duì)象的訪問控制：允許管理員控制對(duì)網(wǎng)絡(luò)中資源或?qū)ο蟮脑L問。管理員通過對(duì)存儲(chǔ)在活動(dòng)目錄中的對(duì)象指定安全描述符的方式來執(zhí)行訪問控制。安全描述符將列出基于對(duì)象的訪問控制：允許管理員控制對(duì)網(wǎng)絡(luò)中資源或?qū)ο蟮脑L問。管理員通過對(duì)存儲(chǔ)在活動(dòng)目錄中的對(duì)象指定安全描述符的方式來執(zhí)行訪問控制。安全描述符將列出獲得訪問許可權(quán)限的用戶和組以及指定給這些用戶和組的特殊權(quán)限。安全描述符還指定了針對(duì)對(duì)象審核的各類訪問事件，對(duì)象實(shí)例包括文件、打印機(jī)和服務(wù)等。通過管理對(duì)獲得訪問許

2、可權(quán)限的用戶和組以及指定給這些用戶和組的特殊權(quán)限。安全描述符還指定了針對(duì)對(duì)象審核的各類訪問事件，對(duì)象實(shí)例包括文件、打印機(jī)和服務(wù)等。通過管理對(duì)象屬性，管理員可以設(shè)置權(quán)限、指定所有權(quán)和監(jiān)視用戶訪問。象屬性，管理員可以設(shè)置權(quán)限、指定所有權(quán)和監(jiān)視用戶訪問。l3) 3) 活動(dòng)目錄和安全性：活動(dòng)目錄通過使用對(duì)象的訪問控制和用戶憑據(jù)提供用戶賬戶和組信息的保護(hù)存儲(chǔ)。由于活動(dòng)目錄不僅存儲(chǔ)用戶憑據(jù)，還包括訪問控制信息，所以登活動(dòng)目錄和安全性：活動(dòng)目錄通過使用對(duì)象的訪問控制和用戶憑據(jù)提供用戶賬戶和組信息的保護(hù)存儲(chǔ)。由于活動(dòng)目錄不僅存儲(chǔ)用戶憑據(jù)，還包括訪問控制信息，所以登錄到網(wǎng)絡(luò)的用戶可同時(shí)獲得訪問系統(tǒng)資源的驗(yàn)證和授

3、權(quán)。錄到網(wǎng)絡(luò)的用戶可同時(shí)獲得訪問系統(tǒng)資源的驗(yàn)證和授權(quán)。l1.4.2.3 1.4.2.3 公用密鑰公用密鑰l公用密鑰加密技術(shù)是保證認(rèn)證和完整性的安全質(zhì)量最高的加密方法，用來確定某一特定電子文檔是否來自于某一特定客戶機(jī)。公用密鑰基本系統(tǒng)簡稱公用密鑰加密技術(shù)是保證認(rèn)證和完整性的安全質(zhì)量最高的加密方法，用來確定某一特定電子文檔是否來自于某一特定客戶機(jī)。公用密鑰基本系統(tǒng)簡稱DKIDKI，是一個(gè)進(jìn)行數(shù)字，是一個(gè)進(jìn)行數(shù)字認(rèn)證、證書授權(quán)和其他注冊(cè)授權(quán)的系統(tǒng)。認(rèn)證、證書授權(quán)和其他注冊(cè)授權(quán)的系統(tǒng)。l通過公用系統(tǒng)密鑰基本體系，管理員驗(yàn)證訪問信息人員的身份，并在驗(yàn)證身份的前提下控制其訪問信息的范圍，在組織中方便安全地

4、分配和管理識(shí)別憑據(jù)等安全問題。通過公用系統(tǒng)密鑰基本體系，管理員驗(yàn)證訪問信息人員的身份，并在驗(yàn)證身份的前提下控制其訪問信息的范圍，在組織中方便安全地分配和管理識(shí)別憑據(jù)等安全問題。l1.4.2.4 1.4.2.4 數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)l數(shù)據(jù)的保密性和完整性從網(wǎng)絡(luò)驗(yàn)證開始，用戶可以使用正確的憑據(jù)登錄到網(wǎng)絡(luò)，并在該過程中獲得訪問存儲(chǔ)數(shù)據(jù)的權(quán)限。數(shù)據(jù)的保密性和完整性從網(wǎng)絡(luò)驗(yàn)證開始，用戶可以使用正確的憑據(jù)登錄到網(wǎng)絡(luò)，并在該過程中獲得訪問存儲(chǔ)數(shù)據(jù)的權(quán)限。lWindowsWindows支持兩種數(shù)據(jù)保護(hù)類型支持兩種數(shù)據(jù)保護(hù)類型存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)：存儲(chǔ)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)：l1) 1) 存儲(chǔ)數(shù)據(jù)保護(hù)：用戶可以使用加密文件系

5、統(tǒng)存儲(chǔ)數(shù)據(jù)保護(hù)：用戶可以使用加密文件系統(tǒng) (EFS) (EFS) 和數(shù)字簽名方法存儲(chǔ)數(shù)據(jù)。和數(shù)字簽名方法存儲(chǔ)數(shù)據(jù)。l2) 2) 網(wǎng)絡(luò)數(shù)據(jù)保護(hù)：站點(diǎn)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)由驗(yàn)證協(xié)議保護(hù)。用戶可以用來保護(hù)傳入和傳出站點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)用工具，包括：網(wǎng)絡(luò)數(shù)據(jù)保護(hù)：站點(diǎn)內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)由驗(yàn)證協(xié)議保護(hù)。用戶可以用來保護(hù)傳入和傳出站點(diǎn)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)用工具，包括：IP SecurityIP Security、路由和遠(yuǎn)程訪問、代理服務(wù)器。、路由和遠(yuǎn)程訪問、代理服務(wù)器。l1.4.3 1.4.3 賬戶和組的安全性賬戶和組的安全性l在在WindowsWindows計(jì)算機(jī)上建立安全體系需要一個(gè)管理員。管理員為訪問計(jì)算機(jī)上建立安全體系需要

6、一個(gè)管理員。管理員為訪問WindowsWindows計(jì)算機(jī)的用戶建立賬戶，否則此用戶將無法對(duì)網(wǎng)絡(luò)進(jìn)行訪問。建立了賬戶的用戶其使用權(quán)限和特權(quán)計(jì)算機(jī)的用戶建立賬戶，否則此用戶將無法對(duì)網(wǎng)絡(luò)進(jìn)行訪問。建立了賬戶的用戶其使用權(quán)限和特權(quán)都由他所在的組決定。都由他所在的組決定。l在域內(nèi)建立安全體系需要域管理員。域管理員首先需要為用戶和計(jì)算機(jī)建立賬戶，然后把用戶和計(jì)算機(jī)進(jìn)行分組并放入賬戶數(shù)據(jù)庫中。域管理員還可以選擇哪一個(gè)組被包括在域內(nèi)建立安全體系需要域管理員。域管理員首先需要為用戶和計(jì)算機(jī)建立賬戶，然后把用戶和計(jì)算機(jī)進(jìn)行分組并放入賬戶數(shù)據(jù)庫中。域管理員還可以選擇哪一個(gè)組被包括進(jìn)哪一個(gè)安全策略之中，并將這些操作

7、的結(jié)果放進(jìn)安全策略數(shù)據(jù)庫。進(jìn)哪一個(gè)安全策略之中，并將這些操作的結(jié)果放進(jìn)安全策略數(shù)據(jù)庫。l在在Windows XPWindows XP中，組內(nèi)可以包含任何用戶、計(jì)算機(jī)和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動(dòng)態(tài)目錄服務(wù)把域詳細(xì)地劃分成組織單元中，組內(nèi)可以包含任何用戶、計(jì)算機(jī)和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動(dòng)態(tài)目錄服務(wù)把域詳細(xì)地劃分成組織單元 (OU) (OU) ，分別管理域中的一些用戶、計(jì)算機(jī)、組、文件和打印機(jī)等資源對(duì)象。分別管理域中的一些用戶、計(jì)算機(jī)、組、文件和打印機(jī)等資源對(duì)象。l1.4.4 1.4.4 域的安全性域的安全性l域在活動(dòng)目錄中是

8、用來定義安全邊界的。活動(dòng)目錄由一個(gè)或多個(gè)域組成。每個(gè)域均擁有與其他域相關(guān)的安全策略和安全關(guān)系。域提供以下便利：域在活動(dòng)目錄中是用來定義安全邊界的。活動(dòng)目錄由一個(gè)或多個(gè)域組成。每個(gè)域均擁有與其他域相關(guān)的安全策略和安全關(guān)系。域提供以下便利：l1) 1) 兩個(gè)不同域的安全策略和設(shè)置兩個(gè)不同域的安全策略和設(shè)置 ( (諸如管理權(quán)限和訪問控制列表諸如管理權(quán)限和訪問控制列表) ) 不能相互交叉。不能相互交叉。l2) 2) 分派管理權(quán)限消除了需要大量具有廣泛管理權(quán)限的管理員的必要。分派管理權(quán)限消除了需要大量具有廣泛管理權(quán)限的管理員的必要。l3) 3) 將對(duì)象分成不同的組放入域中有助于在網(wǎng)絡(luò)中反映公司的組織結(jié)構(gòu)

9、。將對(duì)象分成不同的組放入域中有助于在網(wǎng)絡(luò)中反映公司的組織結(jié)構(gòu)。l4) 4) 每個(gè)域只存儲(chǔ)有關(guān)該域中對(duì)象的信息。活動(dòng)目錄可通過拆分目錄信息的存儲(chǔ)組織擴(kuò)展成數(shù)量龐大的對(duì)象。每個(gè)域只存儲(chǔ)有關(guān)該域中對(duì)象的信息。活動(dòng)目錄可通過拆分目錄信息的存儲(chǔ)組織擴(kuò)展成數(shù)量龐大的對(duì)象。l域通常分為兩種類型：主域域通常分為兩種類型：主域 ( (存儲(chǔ)用戶和組賬戶存儲(chǔ)用戶和組賬戶) ) 和資源域和資源域 ( (存儲(chǔ)文件、打印機(jī)、應(yīng)用服務(wù)等等存儲(chǔ)文件、打印機(jī)、應(yīng)用服務(wù)等等) ) 。在這種多域計(jì)算環(huán)境中，資源域需要具有所有主域的多委托關(guān)系。這些。在這種多域計(jì)算環(huán)境中，資源域需要具有所有主域的多委托關(guān)系。這些委托關(guān)系允許主域中的用

10、戶訪問資源域中的資源。委托關(guān)系允許主域中的用戶訪問資源域中的資源。l1.4.5 1.4.5 文件系統(tǒng)的安全性文件系統(tǒng)的安全性lWindowsWindows推薦使用的推薦使用的NTFSNTFS文件系統(tǒng)提供了文件系統(tǒng)提供了FATFAT和和FAT32FAT32文件系統(tǒng)所沒有的全面的性能、可靠性和兼容性。文件系統(tǒng)所沒有的全面的性能、可靠性和兼容性。NTFSNTFS文件系統(tǒng)的設(shè)計(jì)目標(biāo)就是能夠在很大的硬盤上很快地執(zhí)行諸如讀文件系統(tǒng)的設(shè)計(jì)目標(biāo)就是能夠在很大的硬盤上很快地執(zhí)行諸如讀、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級(jí)操作。、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的高級(jí)

11、操作。NTFSNTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性，它還支持對(duì)于文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個(gè)人計(jì)算機(jī)所需的安全特性，它還支持對(duì)于關(guān)鍵數(shù)據(jù)完整性的數(shù)據(jù)訪問控制和私有權(quán)限。除了可以賦予關(guān)鍵數(shù)據(jù)完整性的數(shù)據(jù)訪問控制和私有權(quán)限。除了可以賦予 WindowsWindows計(jì)算機(jī)中的共享文件夾特定權(quán)限外，計(jì)算機(jī)中的共享文件夾特定權(quán)限外，NTFSNTFS文件和文件夾無論共享與否都可以賦予權(quán)限。文件和文件夾無論共享與否都可以賦予權(quán)限。l在在NTFSNTFS卷中設(shè)置權(quán)限就是指定一個(gè)組或用戶對(duì)該目錄的訪問許可。設(shè)置目錄權(quán)限時(shí)，對(duì)已有的子目錄和文件除非特別指定，否則

12、是不會(huì)更改其權(quán)限的。生成新的子目錄和文卷中設(shè)置權(quán)限就是指定一個(gè)組或用戶對(duì)該目錄的訪問許可。設(shè)置目錄權(quán)限時(shí)，對(duì)已有的子目錄和文件除非特別指定，否則是不會(huì)更改其權(quán)限的。生成新的子目錄和文件時(shí)，它們就從目錄中繼承了新設(shè)置的權(quán)限。件時(shí)，它們就從目錄中繼承了新設(shè)置的權(quán)限。l與目錄權(quán)限類似，在與目錄權(quán)限類似，在NTFSNTFS卷中設(shè)置文件權(quán)限就是指定組或用戶對(duì)該文件的訪問許可。在目錄中創(chuàng)建一個(gè)文件時(shí)，該文件也從目錄中繼承了這種權(quán)限。需要注意的是，賦予了卷中設(shè)置文件權(quán)限就是指定組或用戶對(duì)該文件的訪問許可。在目錄中創(chuàng)建一個(gè)文件時(shí)，該文件也從目錄中繼承了這種權(quán)限。需要注意的是，賦予了對(duì)一個(gè)目錄的對(duì)一個(gè)目錄的“完

13、全控制完全控制”權(quán)限的組或用戶可以刪除該目錄中的文件，而無論該文件有何保護(hù)權(quán)限。權(quán)限的組或用戶可以刪除該目錄中的文件，而無論該文件有何保護(hù)權(quán)限。l通過設(shè)置目錄和文件權(quán)限，用戶可以保護(hù)自己的文件和目錄，也可以通過設(shè)置通過設(shè)置目錄和文件權(quán)限，用戶可以保護(hù)自己的文件和目錄，也可以通過設(shè)置NTFSNTFS卷中的文件和目錄的特殊訪問權(quán)限來加強(qiáng)對(duì)自己的文件和目錄的保護(hù)。特殊訪問權(quán)限可以卷中的文件和目錄的特殊訪問權(quán)限來加強(qiáng)對(duì)自己的文件和目錄的保護(hù)。特殊訪問權(quán)限可以對(duì)目錄、所選目錄的所有文件或選定文件有效。對(duì)目錄、所選目錄的所有文件或選定文件有效。l1.4.6 IP1.4.6 IP安全性管理安全性管理l在在W

14、indowsWindows中使用了因特網(wǎng)安全協(xié)議，即通常所說的中使用了因特網(wǎng)安全協(xié)議，即通常所說的 IPIP安全性，簡稱為安全性，簡稱為IPSecIPSec，它能夠定義與網(wǎng)絡(luò)通信相聯(lián)系的安全策略。，它能夠定義與網(wǎng)絡(luò)通信相聯(lián)系的安全策略。lIPIP安全性可以自動(dòng)對(duì)進(jìn)出該系統(tǒng)的安全性可以自動(dòng)對(duì)進(jìn)出該系統(tǒng)的IPIP網(wǎng)絡(luò)包進(jìn)行加密或解密。從而，可以防止通信內(nèi)容被竊取。另外在網(wǎng)絡(luò)包進(jìn)行加密或解密。從而，可以防止通信內(nèi)容被竊取。另外在IPIP網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)中安裝IPIP安全性時(shí)，與所送的安全性時(shí)，與所送的TCP/IPTCP/IP包的類型和包的類型和TCP/IPTCP/IP端口一端口一樣，既可以使其覆蓋所有的機(jī)器，也可以只覆蓋一部分機(jī)器。樣，既可以使其覆蓋所有的機(jī)器，也可以只覆蓋一部分機(jī)器。l1.4.7 1.4.7 實(shí)驗(yàn)與思考實(shí)驗(yàn)與思考l本節(jié)實(shí)驗(yàn)與思考的目的是：本節(jié)實(shí)驗(yàn)與思考的目的是：l1) 1) 通過學(xué)習(xí)使用通過學(xué)習(xí)使用WindowsWindows系統(tǒng)管理工具，熟悉系統(tǒng)