- 相關推薦
關于Windows 2000 安全性技術概述
Windows 2000 安全性技術概述
域是網絡對象(包括組織單元、用戶帳戶、組和計算機,他們都共享與安全性有關的公用目錄數據庫)的集合。域形成 Active Diectory 內邏輯體系結構的核心單元,因此在安全性中扮演重要角色。如果將對象分組到一個或多個域中,您的網絡就可反映您公司的組織方式。
較大型的組織可以含有多個域,這種情況下的域層次結構就稱為域目錄樹。第一個創建的域是根域,它是在其下創建的域的父域,其下的域稱為子域。若要支持非常大型的組織,可將域目錄樹鏈接在一起,形成一種稱為目錄林的排列。(在使用多個域控制器的情況下,Active Directory 會按固定時間間隔復制到域中的每個域控制器上,以使數據庫永遠同
步。)
域可標識一個安全機構,并使用一致的內部策略及與其它域間的明確安全性關系形成一個安全邊界。特定域的管理員只在本域中有設置策略的權限。這對大型企業的幫助很大,因為不同的管理員可以創建并管理組織中不同的域。此管理含義在下面的“管理委派”部分有進一步的探討。
站點是在學習有關 Active Directory 的知識時會碰到的另一個術語。域通常會反映一個組織的商業結構,而站點則通常被用來定義與地理分布有關的 Active Directory 服務器組。這些計算機通常都以高速鏈接來連接,但它們彼此之間可以有也可以沒有邏輯關系。例如,若您有一個大型建筑物供一些相對無關的組織活動使用,如視頻產品設備、備辦食物、文件存儲等,則這棟建筑物中的 Active Directory 服務器可以被當作一個站點(即使在該服務器上所完成的處理是不相關
的)。
所謂組織單元(OU),是指一個容器,可用它將對象組織成域中的邏輯管理組。OU 可包含對象,如:用戶帳戶、組、計算機、打印機、應用程序、文件共享和其他的 OU。
對象包含關于個別項目(如特定用戶、計算機或硬件)等的信息(稱為屬性)。例如,用戶對象的屬性可能包含姓和名、電話號碼和管理器名稱。計算機的對象可能包含計算機的位置及訪問控制列表 (ACL),列表中會指定對該計算機擁有訪問
權限的組和個人。
通過將信息分組到域和 OU 中,可以管理對象集合(如用戶組和計算機組)的安全性,而不是逐個管理每個用戶和對象。此概念將在下面的“使用組策略來管理安全性”部分作進一步描述。首先,還有另一個對了解安全性如何使用 Active
Directory 極為重要的概念:信任。
域間的信任關系
為了讓用戶登錄網絡一次就可以使用網絡上所有資源(通常稱為單一登錄能力),Windows 2000 支持域間的信任關系。所謂信任關系,是指一種邏輯關系,這種邏輯關系在域之間建立,用來支持直接傳遞身份驗證,讓用戶和計算機可以在目錄林的任何域中接受身份驗證。這讓用戶或計算機僅需登錄網絡一次就可以對任何他們有適當權限的資源進行訪問。這種穿越許多域的能力說明了傳遞信任這個術語,它是指跨越一連串信任關系的身份驗證。
基于 Windows NT 的網絡使用單向、非傳遞的信任關系。相反,當基于 Windows 2000 的域被組織成目錄樹時(如上面的 圖 1 所示),域間會創建隱含信任關系。這使在中型和大型組織中建立域間的信任關系更為容易。屬于域目錄樹的域定義與目錄樹中的父域的雙向信任關系,而所有域都隱含地信任目錄樹中的其他域。(如果有不應該有雙向信任的特定域,您應該定義明確的單向信任關系。)對于具有多個域的組織,使用 Windows 2000 比使用 Windows NT 4.0,明確的單向信任關系總數顯著減少,這種改變將大大簡化域的管理。傳遞信任在默認情況下建立于目錄樹中,這樣做之所以有意義是因為
通常是由單個管理員來管理一個目錄樹。但因為目錄林不太可能被單個管理員控制,因此目錄林的目錄樹間的傳遞信任關系必須特別創建。
有關信任關系工作方式的說明,請再次參考上面的圖 1。Windows 2000 自動于根域 (Microsoft.com) 及其兩個子域(FarEast.Microsoft.com 和 Europe.Microsoft.com)間建立雙向信任關系。此外,因為 Microsoft.com 信任這兩個子域,因此信任關系也在 FarEast 和 Europe 域間傳遞性地建立。這些關系在基于 Windows 2000 的域間自動建立。在有基于 Windows 2000 和基于 Windows NT 域的網絡中,管理員可以創建用在基于 Windows NT 的網絡中明確的單向信任關系。
詳解Win2000的12個安全防范對策
由于Win2000操作系統良好的網絡功能,因此在因特網中有部分網站服務器開始使用的Win2000作為主操作系統的。但由于該操作系統是一個多用戶操作系統,黑客們為了在攻擊中隱藏自己,往往會選擇Win2000作為首先攻擊的對象。那么,作為一名Win2000用戶,我們該如何通過合理的方法來防范Win2000的安全呢?下面筆者搜集和整理了一些防范Win2000安全的幾則措施,現在把它們貢獻出來,懇請各位網友能不斷補充和完善。
1、及時備份系統
為了防止系統在使用的過程中發生以外情況而難以正常運行,我們應該對Win2000完好的系統進行備份,最好是在一完成Win2000系統的安裝任務后就對整個系統進行備份,以后可以根據這個備份來驗證系統的完整性,這樣就可以發現系統文件是否被非法修改過。如果發生系統文件已經被破壞的情況,也可以使用系統備份來恢復到正常的狀態。備份信息時,我們可以把完好的系統信息備份在CD-ROM光盤上,以后可以定期將系統與光盤內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高,那么可以將光盤設置為可啟動的并且將驗證工作作為系統啟動過程的一部分。這樣只要可以通過光盤啟動,就說明系統尚未被破壞過。
2、設置系統格式為NTFS
安裝Win2000時,應選擇自定義安裝,僅選擇個人或單位必需的系統組件和服務,取消不用的網絡服務和協議,因為協議和服務安裝越多,入侵者入侵的途徑越多,潛在的系統安全隱患也越大。選擇Win2000文件系統時,應選擇NTFS文件系統,充分利用NTFS文件系統的安全性。NTFS文件系統可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內,而且Win2000新增的磁盤限額服務還可以控制每個用戶允許使用的磁盤空間大小。
3、加密文件或文件夾
為了防別人偷看系統中的文件,我們可以利用Win2000系統提供的加密工具,來保護文件和文件夾。其具體操作步驟是,在“Win 資源管理器中,用鼠標右鍵單擊想要加密的文件或文件夾,然后單擊“屬性。單擊“常規選項卡上的“高級,然后選定“加密內容以保證數據安全復選框。
4、取消共享目錄的EveryOne組
默認情況下,在Win2000中新增一個共享目錄時,操作系統會自動將EveryOne這個用戶組添加到權限模塊當中,由于這個組的默認權限是完全控制,結果使得任何人都可以對共享目錄進行讀寫。因此,在新建共享目錄之后,要立刻刪除EveryOne組或者將該組的權限調整為讀取。
用Win2000 Server實現安全文件服務器(圖)
兩人之間共享文件,可按“網上鄰居法設置共享目錄;如果共享文件給多個人,可效仿“FTP法建立一個簡單的FTP服務器。難道掌握了這些本領,我們真的就高枕無憂了嗎?
要回答上面的問題,讓我們先來看看下面幾種情況:如果權限分配出現失誤,文件的普通訪問者變成了控制者;如果當你好意提供給別人的上傳空間時,很可能被感染了活動猖獗的蠕蟲病毒;如果辦公室里有很多人都想共享自己的文件,難道每個人都在自己的電腦上;
建立共享目錄或者FTP服務器?說到這里,你也就明白在力求工作效率與計算機安全的辦公環境中,“網絡鄰居法與“FTP法都遠遠不及“專職文件服務器 (一臺安裝了Windows 2000 Server操作系統而且隨時聽候我們調用的服務器)。下面我們就來建立一臺可以指定一定空間給同事們使用又能最大限度防止受病毒侵害的文件服務器。
初級篇
讓我們從Windows 2000磁盤限額分配方法談起。安裝設置完成Windows 2000 Server以后,作為文件服務器管理員的你就得考慮劃分一個專用于存放共享文件的分區,如果你的系統分區是C,那么建議共享文件的分區分配在D或者E等分區,做好這一步之后繼續。
1.將分區格式轉換成NTFS
采用NTFS格式的分區是實現磁盤限額的基本條件。眾所周知,如果共享目錄所在的分區采用FAT32格式,而你又分配給同事寫入數據的權限,那這個分區的可用空間就開始處在不確定狀態中,而且你很難掌控空間的使用情況。如果磁盤分區采用NTFS這種更加高效安全的分區格式,那么你就能決定同事最多能占用多大的空間,就能順理成章地把握整個分區乃至磁盤空間的使用狀態。現在的分區仍然是FAT32嗎?趕快轉換成NTFS吧!
小知識如何將FAT32轉換成NTFS分區格式?
方法一:使用Windows 2000的分區轉換命令Convert.exe。例如,要把D分區由FAT32轉換成NTFS,操作步驟是:點擊“開始→運行;在運行輸入框中輸入命令 Convert D: /FS: NTFS;在輸入卷標提示后面輸入D分區的卷標,如D_DISK。剩余的工作就交給Windows 2000自動去完成了。
方法二:使用Server Magic 4.0等專業分區管理軟件(這里略過不談)
2.啟用磁盤限額
用鼠標右擊D分區,在彈出的快捷菜單中選中“屬性,在D分區屬性窗口中切換到“配額選項卡――這就是磁盤限額功能所在的地方啦。然后,依次點擊選中 “啟用配額管理和“拒絕將磁盤空間給超過配額限制的用戶兩個選項,接下來就根據辦公室和服務器的情況來決定磁盤空間限制為多少,本例中的限制為 100MB。
快速安全刪除USB設備的小技巧一則
不知為何最近右下角的托盤圖標都顯示不出來了,只剩下殺毒軟件、虛擬光驅和MSN,其他的都看不到。也不是折疊的問題。插上USB設備后,安全刪除USB設備的圖標也不出來,只能去設備管理器里面去刪除,很麻煩。
上網查了查,雖然沒能解決托盤圖標消失的問題,但找到了如何安全刪除USB的命令:
rundll32 shell32.dll, Control_RunDLL hotplug.dll
運行上述命令即可打開“安全刪除硬件的對話框。做成快捷方式就比較方便了。
Winodws 7 RTM中很有用的安全策略
我們知道,很多木馬病毒,執行前一般都會在系統的temp(臨時文件夾)目錄生成并試圖啟動,再做其他動作。在Windows7中,無論文件是否有數字簽名,若發現在Temp文件夾中試圖運行,那么就會
攔截界面可以說是相當的土,但是也相當簡明易懂。 例如經常有一些WinRAR自解壓程序,試圖在臨時文件夾下釋放一些文件并運行,這個時候,windows7就會彈出如下提示:
如果該文件有數字簽名,還會顯示該文件的簽名信息,并可點擊文字查看其證書信息。
以后在Temp文件夾下運行的木馬,可就不是那么容易“無聲無息”了。
玩轉Windows Vista的安全模式
Vista安全模式的進入方法
安全模式是windows系統的一個特殊模式,說它特殊是因為在安全模式中,系統將盡可能地在最小模式運行,因此很多第三方設備驅動和程序都不會在系統啟動時加載。也正是因為這些原因,在安全模式中才可以更好地維護和修復系統故障。
要進入到vista的安全模式有兩個方法,一是當系統完成bios自檢后迅速按下F8鍵,這樣就進入到了系統啟動模式選擇菜單,選擇”安全模式”就可以了。此外也可以在正常模式啟動系統后,點擊開始按鈕并輸入msconfig,接下回來后打開系統配置,進入到系統配置/啟動,勾選安全啟動后按下確定即可。這時會提示重新啟動,點擊”確定”后重新啟動系統即可自動進入到安全模式。
PS:開機后按下鍵盤的ctrl鍵也可以進入到啟動模式選擇界面,msconfig的方法同樣適用于windows xp系統,另外如果系統每次開機都自動進入安全模式,去掉安全啟動的勾選就可以解決了。
Vista安全模式的分類
發全模式并不只有一種,它包含了以下幾種常見模式,當系統出現問題時就可以根據需要選擇合適的安全模式了。
安全模式:只加載系統最基本的驅動和系統文件,不支持網絡連接。
帶網絡連接的安全模式:在安全模式的基礎上增加了網絡連接的支持,但部分網絡軟件無法正常運行,可作為調試網絡或檢測惡意軟件之用。
帶命令提示符的安全模式:可以說是最簡單的安全模式,在登錄窗口聽到屏幕只保留了命令提示符,該模式自然也不支持網絡連接。
低分辨率視頻模式:在該模式下無法修改屏幕分辨率,但可以重新安裝驅動程序,適合顯卡驅動異常時修復和卸載之用。
最后一次正確的配置:根據系統上次關閉時的注冊表和驅動程序來啟動系統,當設置出現異常時可以修復系統,但無法解決文件或驅動丟失等情況。
Vista安全模式小技巧
快速還原系統
Vista系統如果無法正常啟動,可以進入到安全模式還原備份系統。依次進入到到”開始/所有程序/附件/系統工具/系統還原”,選擇合適的還原點后點吉下一步,根據提示即可恢復系統到創建還原點時的狀態了。此外也可以在”命令提示符”內輸入”%systemroot%system32restorerstrui.exe,按下回車后根據提示完成系統的恢復。
刪除頑固文件或文件夾
在vista系統中,經常會遇到某些文件或文件夾無法刪除的情況,會出現當前文件正在使用中的提示。其實無需借助”冰刃”等第三方軟件,在”安全模式”中就可以輕松刪除這些文件。進入到安全模式后由于眾多程序都不會隨著系統加載,因此文件的控制權自然得以釋放,因此文件就可以正常刪除了。在安全模式中還可以更完全地卸載某些軟件,或是徹底查殺病毒。
卸載錯誤的驅動
驅動安裝不正確不僅硬件無法正常使用,還可能導致系統崩潰,尤其是硬盤或顯卡等驅動。遇到這樣的問題就可以進入到安全模式中卸載已安裝的驅動,這樣再次以正常模式啟動系統后安裝正確的驅動就可以了。”安全模式”還可以讓很多工作更高效,比如磁盤清理,碎片整理或是重新分區等,當系統出現問題時不要驚慌,通過安全模式也許就能讓問題得以解決呢。
【Windows 安全性技術概述】相關文章:
windows鍵是哪個03-27
windows運行命令大全08-10
Windows 2003的安裝攻略10-14
Windows實用的操作技巧09-08
Windows勒索病毒防范方法06-03
Windows常用快捷鍵07-19
如何關閉windows安全警報06-04
怎么關閉windows安全警報06-04
Windows系統的安全策略03-09
Windows XP刻錄光盤的教程03-03