學年學期：2023學年學期：2023-2024第二學期課程名稱網(wǎng)絡系統(tǒng)安全運行與維護任課教師：王坤使用班級：信息安全22A1、22A2單位部門：人工智能學院序號：1授課班級信息安全22A1信息安全22A2授課日期3.43.8出勤情況全勤全勤課程名稱網(wǎng)絡安全運行與維護教學類型一體化教學復習舊課引入新課引入新課：windows桌面系統(tǒng)用戶與文件系統(tǒng)管理教學目標了解用戶賬號及組的建議及密碼的安全設置掌握共享文件及共享權(quán)限的操作過程掌握NTFS權(quán)限的配置講授要點教學設計講授要點：共享文件夾設置共享文件夾的權(quán)限設置NTFS權(quán)限遠程桌面連接的使用教學設計：新課引入windows桌面系統(tǒng)的安全管理，需要從最普遍、最入門的用戶賬號的安全進行任務引入在網(wǎng)絡應用中，要保證終端的安全，首先需要加固的就是用戶的賬戶安全知識講授通過理論講授和實驗演示法，講解本節(jié)知識任務實施分4個步驟完成本節(jié)實驗課堂總結(jié)重點難點解決方法重點：如何共享一個本地文件夾；怎樣設置共享文件夾的權(quán)限；設置文件或者文件夾的NTFS權(quán)限；難點：NTFS權(quán)限分類解決辦法：實驗演示法課后作業(yè)總結(jié)NTFS文件和文件夾的權(quán)限分類課后總結(jié)在驗證測試階段，學生容易出問題，由于實驗中的一個小的錯誤，就會導致實驗不成功，因此要警告學生一定要細心再細心，同時總結(jié)常見錯誤，再統(tǒng)一進行輔導和演示鄭州鐵路職業(yè)技術(shù)學院教師教案第1-PAGE6頁模塊1Windows桌面系統(tǒng)安全管理與維護能力單元1.1加強Windows主機安全訪問權(quán)限的管理教學過程步驟主要內(nèi)容教學組織新課導入我們在使用計算機上網(wǎng)的過程中會遭遇各種各樣的安全問題，如何避免這些安全隱患給我們帶來的損失，需要從我們自身的計算機著手，加強其安全性3分鐘講述本課程需要解決的問題任務引入在網(wǎng)絡應用環(huán)境中，為了保證終端的安全，防止惡意訪問敏感信息。首先需要加固的就是用戶的賬戶安全，最有效的方法是通過密碼的復雜程度及密碼字符位數(shù)來進行設置。如果企業(yè)想建立共享文件夾，那么需要設置文件夾的共享權(quán)限及NTFS權(quán)限。5分鐘講述本節(jié)課實施的意義和目的知識講授1、用戶賬戶安全每個計算機使用者都會有一個用戶賬戶，用戶的權(quán)限不同，決定了用戶對計算機及網(wǎng)絡控制的能力與范圍。對于一些管理保存有重要資料計算機的用戶，往往也擁有特殊的權(quán)限，如果非法用戶獲得該用戶的權(quán)限或密碼，也就相當于獲取了這些資料。因此，保護好用戶賬戶是保護計算機網(wǎng)絡的重要措施。具體的組如下所示：1）管理員組（Administrators）可以被授權(quán)的權(quán)利包括：更改系統(tǒng)事件、創(chuàng)建頁面文件、裝載和卸載設備驅(qū)動程序、在本地登錄、管理審核安全日志、配置單一進程、配置系統(tǒng)性能、關閉系統(tǒng)、取得文件或者對象的所有權(quán)。2）備份操作員組(BackupOperators)可以被授權(quán)的權(quán)利包括：備份文件和目錄、在本地登錄、還原文件和目錄。3）Everyone組：每個計算機及網(wǎng)絡賬戶所在的組。4）PowerUser組：高級用戶組，PowerUsers可以執(zhí)行除了為Administrators組保留的任務外的其他任何操作系統(tǒng)任務。分配給PowerUsers組的默認權(quán)限允許PowerUsers組的成員修改整個計算機的設置。但PowerUsers不具有將自己添加到Administrators組的權(quán)限。在權(quán)限設置中，這個組的權(quán)限是僅次于Administrators的。5）User組：普通用戶組。新建的用戶缺省情況下都屬于這個組。這個組的成員用戶可以運行經(jīng)過驗證的應用程序。分配給Users組的默認權(quán)限不允許成員修改操作系統(tǒng)的設置或用戶資料。Users組提供了一個最安全的程序運行環(huán)境。在經(jīng)過NTFS格式化的卷上，默認安全設置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改系統(tǒng)注冊表設置、操作系統(tǒng)文件或程序文件。Users可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。Users可以關閉工作站，但不能關閉服務器。6）SYSTEM組：這個組擁有和Administrators一樣甚至更高的權(quán)限，在察看用戶組的時候它不會被顯示出來，也不允許任何用戶的加入。這個組主要是保證了系統(tǒng)服務的正常運行，賦予系統(tǒng)及系統(tǒng)服務的權(quán)限。7）Guest組：來賓組，來賓組跟普通組Users的成員有同等訪問權(quán)，但來賓賬戶的限制更多。在本任務中，需要為300臺桌面系統(tǒng)設定自己的用戶及用戶賬戶策略。具體體現(xiàn)為：1）為每一個用戶配置修改Administrator默認管理員賬戶，配置其權(quán)限。2）建立多個新的Windows用戶賬戶。3）建立多個新的Windows組。4）將不同用戶加入到不同的用戶組中。2.用戶賬戶的密碼：在windows桌面系統(tǒng)中，用戶的密碼長度不受限制（即允許密碼為空）。在windows服務器系統(tǒng)中，規(guī)定用戶賬戶的密碼最少為7位。3．NTFS文件系統(tǒng)1）NTFS權(quán)限概述NTFS是從WindowsNT開始引入的文件系統(tǒng)。借助于NTFS，不僅可以為文件夾授權(quán)，而且還正可以為單個的文件授權(quán)，使得對用戶訪問權(quán)限的控制變得更加細致。NTFS還支持數(shù)據(jù)壓縮和磁盤配額，從可以進一步高效率地使用硬盤空間。一旦用戶磁盤格式化成NTFS格式，那么用戶就可以對NTFS磁盤內(nèi)的文件夾與數(shù)據(jù)設定訪問權(quán)限，具有允許訪問權(quán)限的用戶才可以訪問這些資源。2）NTFS權(quán)限分類NTFS文件權(quán)限讀取(Read)可以讀取文件內(nèi)容、查看文件屬性與權(quán)限等。文件屬性指的是只讀、隱藏等。寫入(Write)可以修改文件內(nèi)容、在文件后面添加數(shù)據(jù)或修改文件屬性等。讀取和執(zhí)行(Read&Execute)除了擁有讀取的權(quán)限外，還具備運行應用程序的權(quán)限。修改(Modify)除了擁有讀取、寫人與讀取和執(zhí)行的權(quán)限外，還可以刪除文件。完全控制(FullControl)擁有所有的NTFS文件權(quán)限，也就是除了上述的所有權(quán)限之外，還擁有更改權(quán)限與取得所有權(quán)的特殊權(quán)限。NTFS文件夾權(quán)限讀取(Read)查看該文件夾中的文件和子文件夾。查看文件夾的所有者、權(quán)限和屬性。寫入(Write)可以在文件夾內(nèi)新建文件與子文件夾、修改文件夾屬性等。列出文件件夾目錄(ListFolderContents)查看該文件夾中的文件和子文件夾的名稱讀取和執(zhí)行(Read&Execute)擁有與列出文件夾目錄幾乎完全相同的權(quán)限。修改(Modify)除了擁有前面的所有權(quán)限外，還可以刪除此文件夾。完全控制(FullControl)擁有所有的NTFS文件夾權(quán)限，還擁有更改權(quán)限與取得所有權(quán)的特殊權(quán)限。NTFS權(quán)限屬性NTFS權(quán)限是可繼承的：當父文件夾的權(quán)限設置完畢后，父文件夾的NTFS權(quán)限自動被子文件夾繼承。NTFS權(quán)限是累加的：如果某一個用戶屬于多個用戶組，而這個用戶及用戶所在的組對某個文件或者文件夾擁有不同的NTFS權(quán)限，那么這個用戶的最后NTFS權(quán)限為多個組NTFS權(quán)限的集合。例如A用戶同時屬于銷售組與經(jīng)理組，銷售組對某文件夾的權(quán)限是讀取，經(jīng)理組的權(quán)限是讀取+執(zhí)行，那么A用戶的權(quán)限是讀取+執(zhí)行。拒絕的NTFS權(quán)限比允許的權(quán)限級別高上面我們提到NTFS的權(quán)限是累加的，但有一種特殊情況，就是只要其中一個權(quán)限是拒絕的權(quán)限，則用戶就不再擁有此權(quán)限。比如以上面的案例，A用戶所在銷售組的權(quán)限是允許讀取，而在經(jīng)理組的權(quán)限為拒絕讀取，那么A用戶的權(quán)限就為拒絕讀取。3．文件共享安全將文件夾設置為共享資源時，除了必須文件和文件夾指定NTFS權(quán)限外，還應當為共享文件夾指定相應的訪問權(quán)限。共享文件夾權(quán)限類似NTFS權(quán)限，但NTFS權(quán)限的優(yōu)先級要高于共享文權(quán)限。因此，共享文件夾的權(quán)限可以粗略設置，而NTFS權(quán)限則必須詳細劃分。共享文件夾權(quán)限的特點共享文件夾權(quán)限只適用于文件夾，而不適用于單的文件，并且只能為整個共享文件夾設置共享權(quán)限。共享文件夾權(quán)限的種類讀取：顯示文件夾名稱、文件名稱、文件數(shù)據(jù)和屬性，運行應用程序文件。修改：建文件夾，向文件夾中添加文件，修改文件中的數(shù)據(jù)，向文件中追加數(shù)據(jù)，修改文件屬性，刪除文件夾文件，以及執(zhí)行“讀取”權(quán)限所允許的操作。完全控制：改文件權(quán)限，獲得文件的所有權(quán)。10分鐘在計算機上進行演示，對比各個賬戶和組的權(quán)限不同，以及賬戶和組的創(chuàng)建和加入的方法10分鐘演示NTFS文件系統(tǒng)與傳統(tǒng)FAT格式的不同，對比兩者的功能和權(quán)限10分鐘以案例法、演示法講解NTFS權(quán)限的屬性，包括可繼承、可累加、拒絕的權(quán)限等7分鐘講解演示共享文件夾的創(chuàng)建以及權(quán)限設置任務實施〖步驟1〗創(chuàng)建用戶和組，并安全設置用戶密碼第一步：創(chuàng)建多個Windows用戶帳戶在PC1上創(chuàng)建bob、Mary、Tim三個用戶第二步：創(chuàng)建Windows用戶組在PC1上創(chuàng)建Sales、Manager、Engineer三個用戶組第三步：將不同用戶加入到不同的用戶組中將bob、Mary、Tim分別加入Sales、Manager、Engineer三個用戶組中〖步驟2〗創(chuàng)建共享文件夾及設置共享權(quán)限第一步：創(chuàng)建多個文件夾在PC1的D盤上創(chuàng)建File文件夾，并在file文件夾里創(chuàng)建3個子文件夾，分別以Sales、Manager、Engineer來命名。第二步：為不同的文件夾分配不同的共享權(quán)限右鍵-屬性-共享-高級共享-選擇共享此文件夾-權(quán)限-添加-高級-立即查找-選定某一用戶-確定-設置此用戶的共享權(quán)限。〖步驟3〗設置NTFS文件權(quán)限第一步：為不同的文件夾分配不同的NTFS權(quán)限文件夾-右鍵-屬性-安全-添加-高級-立即查找-選擇用戶-確定-設置該用戶權(quán)限Sales的NTFS權(quán)限：允許Bob讀取。Manager的NTFS權(quán)限：允許Mary完全控制。Enginee