好的安全系统可确认试图访问计算环境的个人的身份,防止冒名顶替者的访问、盗窃或者破坏系统资源;保护环境中的特定资源免受用户的不正当访问;为设置和维护用户工作环境中的安全性提供了一种简单而有效的方法,同时防止信息和资源被损坏以及有人未授权访问。
本章主要内容有:
1、安全的基本概念
2、控制对象的访问
3、事件的审核
4、管理磁盘上的数据加密
5、管理安全模板
6、安全配置和分析
10.1 安全的基本概念
10.1.1 安全模型
Windows 2000 安全模型的主要功能是用户身份验证和访问控制。
用户身份验证: Windows 2000 安全模型包括用户身份验证的概念,这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中,安全性系统提供了两种类型的身份验证:交互式登录(根据用户的本地计算机或 Active Directory 帐户确认用户的身份)和网络身份验证(根据此用户试图访问的任何网络服务确认用户的身份)。为提供这种类型的身份验证,Windows 2000 安全系统包括了三种不同的身份验证机制:Kerberos V5、公钥证书和 NTLM(与 Windows NT 4.0 系统兼容)。
基于对象的访问控制:通过用户身份验证,Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组,以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性,管理员可以设置权限,分配所有权以及监视用户访问。
管理员不仅可以控制对特殊对象的访问,也可以控制对该对象特定属性的访问。例如,通过适当配置对象的安全描述符,用户可以被允许访问一部分信息,如只访问员工姓名和电话号码而不能访问他们的家庭住址。
Active Directory 和安全性:Active Directory 通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息,因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如,用户登录到网络时,Windows 2000 安全系统通过存储在 Active Directory 上的信息来验证用户。然后,当用户试图访问网络上的服务时,系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组帐户,因此管理员可以更有效地管理系统的安全性。例如,通过调节文件属性,管理员可以允许组中的所有用户读取文件。这样,访问 Active Directory 中的对象以组成员为基础。
10.1.2 域的体系结构
域和安全性
域是网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。每个域都是一个安全界限,这意味着安全策略和设置(例如系统管理权利、安全策略和访问控制表)不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。由于每个域都是一个安全壁垒,因此不同的系统管理员可以在单位中创建和管理不同的域。 理解域的关键是:
安全策略可以贯穿整个域来实现。
为保证数据库的同步,包括安全信息的 Active Directory 会定期复制到域中每个域控制器。
Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。
可转移的信任关系可以建立在域树中的域之间。
单个域和多个域
Windows NT 4.0 限制了目录可以存储的用户帐户的个数。因此,为了适应大计算环境的需要,创建和管理多个域而且每个都拥有自己的用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织:主域(存储用户和组的帐户)和资源域(存储文件、打印机、应用程序服务等等)。
这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。
通过扩大存储用户、组和计算机帐户的能力,Active Directory 可实现多个域的功能,因此取而代之。通过 Active Directory,系统管理员可以把跨越多个域的所有帐户(过去必须存储在主域中)和所有资源(过去必须存储在资源域中)合并到单个域中。出于管理目的,系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而,在某些情况下,用户出于策略原因可能希望保留多个域。
可转移的信任关系
当用户将对象从多个域转到单个域时,会降低必须建立和保持的域信任关系的数量。同样,将域合并成单个域林时,这些域将自动建立可转移的信任关系,减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域,每个域同域林中的另一个域只需要一个信任关系。
服务器角色
域中的服务器担当下面的其中一种角色:
域控制器运行 Active Directory 并且提供身份验证和策略。
成员服务器不提供 身份验证和策略,常作为文件、应用程序、数据库、Web服务器等使用。
10.1.3 身份验证
身份验证是系统安全性的一个基本方面。它负责确认试图登录域或访问网络资源的任何用户的身份。Windows 2000 身份验证允许对整个网络资源进行单独登记。采用单独登记的方法,用户可以使用单个密码或智能卡一次登录到域,然后通过身份验证向域中的所有计算机表明身份。
Windows 2000 支持几种工业标准的身份验证类型。验证用户身份时,Windows 2000 依据多种要素使用不同种类的身份验证。Windows 2000 支持的身份验证类型有:
Kerberos V5 身份验证
安全套接字层 (SSL) 和传输层安全性 (TLS) 的身份验证
NTLM 身份验证
在 Windows 2000 中,NTLM 被用作域中两台计算机之间事务的身份验证协议,其中一台或两台计算机运行 Windows NT 4.0 或更早版本。Windows 2000 在默认情况下以混合模式网络配置安装。混合模式的网络配置使用 Windows NT 4.0 和 Windows 2000 的任意组合系统。如果没有混合模式网络,可以在域控制器中转换为本地模式来禁用 NTLM 身份验证。
10.1.4 授权
Windows 2000 的安全性建立在身份验证和授权之上。
管理员可以指派特定权利组帐户或单个用户帐户。
用户权利定义了本地级别上的功能。虽然用户权利可以应用于单个的用户帐户,但最好是在组帐户基础上管理。这样可以确保作为组成员登录的帐户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利,可以简化用户帐户管理的任务。当组中的用户都需要相同的用户权利时,用户可以一次对该组指派用户权利,而不是重复地对每个单独的用户帐户指派相同的用户权利。
对组指派的用户权利应用到该组的所有成员(在它们还是成员的时候)。如果用户是多个组的成员,则用户权利是累积的,这意味着用户有多组权利。指派给某个组的权利只有在特定登录权利的情况下才会与指派给其他组的权利发生冲突。然而,指派给某个组的用户权利通常不会与指派给其他组的权利冲突。要删除用户的权利,管理员只需简单地从组中删除用户。在这种情况下,用户不再拥有指派给这个组的权利。
用户权利有两种类型:特权和登录权利。
§ 特权。特权的一个典型范例就是备份文件和目录的权利。
§ 登录权利。登录权利的一个典型范例就是登录本地系统的权利。
10.1.5 审核
安全审核是 Windows 2000 的一项功能,负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。
应该被审核的最普通的事件类型包括:
§ 访问对象,例如文件和文件夹
§ 户和组帐户的管理
§ 用户登录以及从系统注销时
除了审核与安全性有关的事件,Windows 2000 还生成安全日志并提供了查看日志中所报告的安全事件的方法。
10.1.6 安全策略
安全设置定义了系统的安全相关操作。通过对 Active Directory 中组策略对象的使用,系统管理员可以集中应用保护企业系统所要求的安全级别。
确定包括多台计算机的组策略对象的设置时,必须考虑给定站点、域或单位的组织和功能特征。例如,销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。
安全设置
安全设置包括安全策略(帐户和本地策略)、访问控制(服务、文件、注册表)、事件日志、组成员(受限的组)、网际协议 (IP) 的安全策略和公钥策略。
安全模板
安全模板是安全配置的物理表现:一组安全设置应该存储于一个文件中。Windows 2000 包括一组以计算机的角色为基础的安全模板:从低安全域客户端的安全设置到非常安全的域控制器。这些模板可用于创建自定义安全模板,修改模板或者作为自定义安全模板的基础。
安全配置工具
管理员可使用安全模板管理单元来定义和使用安全模板。
管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。
管理员可使用组策略管理单元来配置 Active Directory 中的安全性。
10.1.7 数据保护
数据的保密性和完整性开始于网络的身份验证。用户可以通过适当的凭据(安全的密码或者公钥凭据)在网络上登录,并在此过程中获得访问存储数据的权限。
Windows 2000 支持两种数据保护方式:存储数据和网络数据。以下部分介绍这两种类型的保护方式。
存储数据的保护
保护存储的数据(联机或是脱机)可以通过:
文件加密系统 (EFS):EFS 使用公钥加密技术对本地的 NTFS 数据进行加密。
数字签名:数字签名对软件组件进行签名以确保它们的合法性。
网络数据的保护
在用户的工作环境(局域网和子网)中的网络数据通过身份验证协议来保护它的安全。用户也可以选择其他的安全级对用户工作环境中的网络数据进行加密。使用网际协议 (IP) 的安全机制,用户可以为指定的客户端或某个域中的所有客户端的所有网络通讯数据进行加密。
传入及传出用户所在工作环境的网络数据(通过内部网、外部网或 Internet 网关)可以通过使用以下实用程序进行保护:
网际协议安全。对客户端的所有 TCP/IP 通讯进行加密。
路由和远程访问。配置远程访问协议和路由。
代理服务器。为站点提供防火墙和代理服务器。
另外,象 Microsoft Exchange、Microsoft Outlook 和 Microsoft Internet Explorer 这样的程序都提供了某个站点内或者整个网络上的信息和事务的公钥加密。
10.1.8 公钥基础结构
在这个信息互连的时代,单位的网络可能包括内部网、Internet 站点和外部网这些都有可能被一些未经授权、蓄意盗阅或更改单位数字信息财产的个人访问。
有许多潜在的机会可未经授权访问网络上的信息。个人可以尝试监视或更改类似于电子邮件、电子商务和文件传输这样的信息流。用户的单位可能与合作伙伴在限定的范围和时间内进行项目合作,有些雇员用户虽然一无所知,但却必须给他们一定的权限访问用户的部分信息资源。如果用户的用户为了访问不同安全系统需要记住许多密码,他们可以会选择一些防护性较差或很普通的密码,以便于记忆。这不仅给黑客提供一个容易破解的密码,而且还提供了众多安全系统和存储数据的访问。
那么,系统管理员怎样才能确定正在访问信息的用户的身份而且利用身份对被访问的信息进行控制呢?另外,系统管理员怎样才能轻松而安全地分发和管理单位中的身份凭证呢?这些都是可以通过仔细规划的公钥基础结构解决的问题。
通常缩写为 PKI 的公钥系统是由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。尽管作为电子商务必要组成部分的公钥基础结构 (PKI) 已被广泛应用,但它仍然在发展之中。
10.2 控制对象的访问
1.设置、查看、更改或删除文件和文件夹权限
步骤1 打开 "Windows 资源管理器",然后定位到用户要设置权限的文件和文件夹。
步骤2 右键单击该文件或文件夹,单击"属性",然后单击"安全"选项卡,
如图 10.1
步骤3 执行以下任一项操作: 要设置新组或用户的权限,请单击"添加"。按照域名\名称的格式键入要设置权限的组或用户的名称,然后单击"确定"关闭对话框。
要更改或删除现有的组或用户的权限,请单击该组或用户的名称。
步骤4 如果必要,请在"权限"中单击每个要允许或拒绝的权限的"允许"或"拒绝"。 或者,若要从权限列表中删除组或用户,请单击"删除"。
注意:
只能在格式化为使用 NTFS 的驱动器上设置文件和文件夹权限。
要更改访问权限,用户必须是所有者或已经由所有者授权执行该操作。
无论保护文件和子文件夹的权限如何,被准许对文件夹进行完全控制的组或用户都可以删除该文件夹内的任何文件和子文件夹。
如果"权限"下的复选框为灰色,或者没有"删除"按钮,则文件或文件夹已经继承了父文件夹的权限。
2.设置、查看或删除共享文件夹或驱动器的权限
步骤1 打开 "Windows 资源管理器",然后定位到要设置权限的共享文件夹或驱动器。
步骤2 右键单击共享文件夹或驱动器,然后单击"共享"。
步骤3 在"共享"选项卡上,单击"权限"。
步骤4 要设置共享文件夹权限,请单击"添加"。键入要设置权限的组或用户的名称,然后单击"确定"关闭对话框。
要删除权限,请在"名称"中选择组或用户,然后单击"删除"。
步骤5 在"权限"中,如果需要,请对每个权限单击"允许"或"拒绝"。如图
3.取得文件或文件夹的所有权
步骤1 打开 "Windows 资源管理器",然后定位到要取得其所有权的文件或文件夹
步骤2 右键单击该文件或文件夹,单击"属性",然后单击"安全"选项卡
步骤3 单击"高级",然后单击"所有者"选项卡 ,如图10.2
步骤4 单击新的所有者,然后单击"确定"
注意
选中"替换子容器和对象的所有者"复选框,可以更改目录树中所有子容器和对象的所有者。
可以两种方式转让所有权:
当前所有者可以授予其他人"取得所有权"权限,允许这些用户在任何时候取得所有权。
管理员可以获得计算机中任何文件的所有权。但是,管理员不能将所有权转让给其他人。该限制可以保持管理员的责任。
对子域或组织单位委派控制
步骤1 打开 Active Directory 用户和计算机。
步骤2 在控制台树中,展开域对象以显示子域或组织单位。
步骤3 右键单击要委派管理的子域或组织单位,然后单击"委派控制"。
步骤4 完成控制委派向导中的步骤。
10.3 事件的审核
1.设置、查看、更改或删除文件或文件夹的审核
步骤1 打开 "Windows 资源管理器",然后定位到想要审核的文件和文件夹
步骤2 右键单击该文件或文件夹,单击"属性",然后单击"安全"选项卡
步骤3 单击"高级",然后单击"审核"选项卡 ,如图10.3
步骤4 执行以下任一项操作:
要设置新组或用户的审核,请单击"添加"。在"名称"中,键入新的用户名,然后单击"确定",自动打开"审核项"对话框。
要查看或更改现有组或用户的审核,请单击相应的名称,然后单击"查看/编辑"。
要删除现有组或用户的审核,请单击相应的名称,然后单击"删除"。跳过步骤 5、6、7。
步骤5 如果有必要,请在"审核项"对话框中的"应用到"列表中选择要进行审核的位置"应用到"列表只能用于文件夹
步骤6 在"访问"下,单击要审核的访问的"成功"或"失败",或这两项
步骤7 如果要阻止目录树中的文件和子文件夹继承这些审核项,请选中"仅对此容器内的对象和/或容器应用这些审核项"复选框
注意:
在 Windows 2000 审核对文件和文件夹的访问之前,用户必须使用"组策略"管理单元来启用"审核策略"中的"审核对象访问"设置。否则,在设置文件和文件夹的审核时,将收到错误信息且不会审核任何文件或文件夹。启用了"组策略"中的审核之后,请查看"事件查看器"中的安全日志,以检查试图访问审核的文件和文件夹是成功还是失败。
只能在格式化为使用 NTFS 的驱动器上设置文件和文件夹审核。
因为安全日志有大小限制,用户应当仔细选择要审核的文件和文件夹。还应该考虑到用于安全日志的磁盘空间的大小。其最大空间是在"事件查看器"中定义的。
2.查看安全日志
步骤1 打开"事件查看器"
步骤2 双击"安全日志",如图 10.4
步骤3 在详细信息窗格中,检查审核事件列表。
10.4 管理磁盘上的数据加密
1.指定用于文件加密的远程服务器
步骤1 打开Active Directory 用户和计算机
步骤2 找到远程服务器的名称。
步骤3 右键单击远程服务器名称,然后单击"属性"
步骤4 选中"信任委派"复选框
2.加密文件或文件夹
步骤1 在"Windows 资源管理器"中,右键单击想要加密的文件或文件夹,再单击"属性"
步骤2 单击"常规"选项卡上的"高级" ,如图 10.5
步骤3 选中"加密内容以便保护数据"复选框
注意:
只可以加密 NTFS 文件系统卷上的文件和文件夹。
不能加密压缩的文件或文件夹。如果选中了"压缩内容以便节省磁盘空间"复选框,请清除该复选框,然后选择"加密内容以便保护数据"。
无法加密系统文件。
当在远程计算机上加密时,请通过返回文件夹或文件属性确认该文件夹或文件已经加密,方法是单击"高级",然后检查是否选中了"加密内容以便保护数据"复选框。
在加密文件夹时,系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做,那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件夹,则文件夹中当前所有文件和子文件夹将不加密。然而,任何将来被加入文件夹的文件和子文件夹在加入时均被加密。
在加密单个文件时,系统将询问是否要同时加密包含它的文件夹。如果选择这么做,所有将来添加进文件夹中的文件和子文件夹都将在添加时自动加密。
创建临时工作文件的程序会损害文件加密的安全性。如果使用这样的程序工作,请在文件夹级别加密,而不要加密单独的文件。
3.将加密的文件或文件夹移动或还原到另一台计算机
使用 Windows 2000 中的"备份"或任何为 Windows 2000 设计的备份程序将加密文件或文件夹移动或还原到与加密该文件或文件夹不同的计算机上。如果用户已经通过漫游用户配置文件访问到第二台计算机,就不必导入和导出加密证书和私钥,因为它们在用户登录的每台计算机上都可用。
如果没有通过漫游用户配置文件访问第二台计算机,用户可以使用第一台计算机将加密证书和私钥以 .pfx 文件格式导出到软盘上。为此,在 Microsoft 管理控制台 (MMC) 中使用"证书"中的"导出"命令。然后,在第二台计算机(在此还原加密的文件或文件夹)上,从 MMC 的"证书"中使用"导入"命令从软盘将 .pfx 文件导入到"个人"存储区。
10.5 管理安全模板
10.5.1 启动安全模板
步骤1 决定是否将安全模板添加到现有的控制台,或创建新控制台。
§ 要创建控制台,请单击"开始",单击"运行",然后键入"mmc",然后单击"确定"。
§ 要将安全模板添加到现有的控制台中,打开控制台,然后进行下一步。
步骤2 在"控制台"菜单上,请单击"添加/删除管理单元",然后单击"添加"。
步骤3 选择"安全模板",单击"添加",单击"关闭",然后单击"确定"。 如图 10. 8
步骤4 在"控制台"菜单上,单击"保存"。
步骤5 输入指派给此控制台的名称,然后单击"保存"。
在安全模板启动后,用户可以执行以下操作:
§ 要自定义预定义安全模板
§ 定义安全模板
§ 删除安全模板
§ 刷新安全模板列表
§ 设置安全模板说明
§ 将安全模板应用到本地计算机
§ 将安全模板导入到"组策略"对象
§ 查看有效的安全设置
10.6 安全配置和分析
1.开始安全配置和分析
步骤1 进行以下某项操作:
要将安全配置和分析添加到新的控制台,请单击"开始",单击"运行",然后键入"mmc"并单击"确定"。
要将安全配置和分析添加到现有的控制台中,请直接进行下一步。
步骤2 在"控制台"菜单上,请单击"添加/删除管理单元",然后单击"添加"。
步骤3 选中"安全配置和分析",然后单击"添加"。
步骤4 单击"关闭",然后单击"确定"。
步骤5 在"控制台"菜单上,单击"保存"。
步骤6 输入指派给此控制台的名称,然后单击"保存"。控制台将出现在"我的文档"中,可以在桌面上或从"开始"菜单访问。
2.设置工作的安全数据库
步骤1 在安全配置和分析管理单元中,请右键单击"安全配置和分析"。详细信息,请参阅相关主题。
步骤2 请单击"打开数据库"。
步骤3 选择现有的个人数据库,或键入文件名创建新的个人数据库,如图10.7。
步骤4 单击"打开"。
步骤5 如果这不是当前配置使用的数据库,系统将提示用户选择要加载到数据库的安全模板。
步骤6 如果选择可能已包含模板的现有个人数据库,并且
要替换此模板,而不是将它合并到已存储的模板,请选中"覆盖数据库中现有的配置"。
步骤7 单击"打开"。
此数据库现在可以用于配置系统。
3.分析系统的安全性
步骤1 在安全配置和分析中,设置工作数据库(如果当前没有设置的话)。
步骤2 右键单击"安全配置和分析",然后单击"立即分析系统"。
步骤3 单击"确定"使用默认的分析日志,或输入日志的文件名和有效路径
当分析它们时,将显示不同的安全区域,如图10.8。一旦完成操作,就可以检查日志文件或复查结果,如图 10.9。
利用"安全配置和分析"用户还可以执行以下任务:
设置工作的安全数据库
导入安全模板
检查安全性分析结果
配置系统安全性
编辑基本安全配置
查看有效的安全设置
导出安全模板
当需要进行自动的任务分析时,自动的建立和应用模板、分析系统安全性,可以使用Secedit.exe 命令工具,当对多台机器进行分析时,Secedit.exe 工具十分有用。
Secedit.exe 命令语法如下:
secedit /analyze
此命令分析系统的安全性。
secedit /analyze [/DB filename ] [/CFG filename ] [/log logpath] [/verbose] [/quiet]
参数
/DB filename
提供到数据库的路径,此数据库包含执行分析的存储配置。该参数是必需的。如果 filename 指定了新数据库,也必须指定 CFGfilename 参数。
/CFG filename
该参数只有与 /DB 参数一起使用才有效。它是到安全模板的路径,此安全模板将被导入到数据库中以用于分析。如果没有指定此参数,则根据已存储在数据库中的配置执行分析。
/log logpath
此过程的日志文件的路径。如果不提供该参数,则使用默认文件。
/verbose
在分析过程中需要更详细的进度信息。
/quiet
不使用屏幕和日志文件的输出。使用安全配置和分析将仍然可以查看分析结果。
返回