第9章安全的管理

第9章安全的管理主讲人:刘晓辉本章要点:★WindowsServer2003安全概述★设计活动目录安全★设计身份验证★设计文件资源安全★其他安全设计★Microsoft推荐的安全操作9.1WindowsServer2003安全概述MicrosoftWindowsServer2003家族安全模型的主要功能是“用户身份验证”和“访问控制”，其安全基础是WindowsServer2003的ActiveDirectory（目录服务），通过ActiveDirectory和WindowsServer2003中相关的服务组件以及支持WindowsServer2003ActiveDirectory的一些其他的服务如Exchange2003、ISAServer等相关服务软件，可以组成功能强大而又比较安全的企业网络。9.2设计活动目录安全设计活动目录安全包括一系列的内容，包括设置组织单元、设置用户和用户组安全、设置密码、设计委派权限和设计审核策略等。图9-1新建一个组织单位图9-3选择“新建对象→组织单位”9.2.1设计组织单元（OU）9.2.2设置用户和用户组1.为每个OU创建一个用户组图9-6新建用户组2.在每个OU中创建用户图9-8新建用户3.移动现有用户到指定的OU中图9-11将用户添加到组图9-12选择用户组9.2.3设置密码策略图9-15安全设置界面9.2.4账户锁定策略图9-16账户锁定策略设定界面9.2.5授权委派在一个大的网络中，通常会根据需要设置多个不同级别的管理员，如针对某一部门来说，可以设置部门的领导为某一部门的管理员，或者选择部门的一个职工，为本部门的管理员。可以根据实际需要，将不同的权限分配给部门的管理员，如可以为部门管理员分配管理本部门用户的添加、删除或更改密码的权限。这一项就需要使用“委派”功能来实现。图9-17委派控制图9-18选择委派的权限9.2.6设计审核策略图9-21设计审核策略界面9.3设计身份验证身份验证是系统安全的一个基础方面。它将对尝试登录到域或访问网络资源的任何用户进行身份确认。WindowsServer2003家族身份验证启用对所有网络资源的单一登录。单一登录允许用户使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。9.3.1KerberosV5身份验证KerberosV5是在域中进行身份验证的主要安全协议。KerberosV5协议同时要验证用户的身份和网络服务。这种双重验证称为“相互身份验证。图9-22设定KerberosV5身份验证界面9.3.2NTLM身份验证NTLM身份验证在网络环境中，NTLM用作身份验证协议以处理两台计算机（其中至少有一台计算机运行WindowsNT4.0或更早版本）之间的事务。9.3.3Passport身份验证Passport身份验证是由Microsoft提供的集中服务，可为成员网站提供单个的登录和核心配置文件服务。由于不必重新登录即可访问其他受保护的资源或网站，网站用户可从中获益。可通过使用Passport身份验证提供程序，使您的商务网站与Passport身份验证和授权兼容。9.4设计文件资源安全在网络的服务器上，通常都保存有公司需要的一些安装程序或者一些数据文件，怎样保护这些文件或数据的安全，是整个系统中比较重要的事情。在设置文件资源的安全性时，需要考虑如下的三点：1、共享文件夹权限的设置2、NTFS文件系统权限设计3、共同使用共享文件夹权限与NTFS权限时的影响。9.4.1设置共享文件夹安全在Windows2000的网络中，默认的共享文件夹的权限是“完全控制”，而在WindowsServer2003中，默认的共享文件夹权限是“只读”。图9-24设置共享权限图9-25设置NTFS权限9.4.2设置NTFS文件系统安全9.5其他安全设计9.5.1网络安全设计在WindowsServer2003或Windows2000网络中，特别是已经连接到了Internet的网络中，为了整个网络的安全，需要在Internet接入之后安装防火墙系统，在接入服务器上安装防火墙及防病毒软件，在整个网络的工作站上，集成安装防病毒软件和防火墙软件，或者启用操作系统自带的防火墙。9.5.2EFS加密文件系统在多人共同使用一台计算机时，或者启用“漫游配置文件”并重定向“我的文档”到服务器时，为了保证数据的安全，便需要启用“EFS加密”功能。9.5.3启用IPSEC保证数据传输的安全1.IPSEC概述2.启用IPSEC3.身份验证设置4.为传输数据选择加密算法5.模式选择6.恢复IPSEC的默认设置图9-34IPSEC管理窗口9.5.4设计组策略组策略的是Windows2000和WindowsServer2003网络中的一项重新内容，许多高级的网络管理功能如设计用户密码强度、定制计算机和用户界面、自动分发软件、RIS远程安装服务、重定向文件夹等，都是通过组策略来实现的。