Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc

《Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè).doc（27頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

Windows系統(tǒng)通用安全標(biāo)準(zhǔn)配置手冊(cè) 1.1 適用范圍 本文檔的適用操作系統(tǒng)為 Microsoft Windows 2000 Server/Advanced Server Microsoft Windows 2003 Server/Advanced Server 1.2 更新要求 本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。 各操作系統(tǒng)廠商推出新版本時(shí)，亦必須重新審查內(nèi)容及修正。 2.1 windows系統(tǒng)安全模型 Windows系統(tǒng)的安全模塊是操作系統(tǒng)內(nèi)核的不可分割的一部分。由于訪問(wèn)任何系統(tǒng)資源必須經(jīng)過(guò)內(nèi)核安全模塊的驗(yàn)證，從而保證沒(méi)有得到正確的授權(quán)的用戶(hù)不能訪問(wèn)相應(yīng)資源。 用戶(hù)使用Windows 系統(tǒng)資源，首先必須在系統(tǒng)中擁有賬號(hào)，其次，此賬號(hào)必須具有一定的“權(quán)力”和“權(quán)限”。在Windows系統(tǒng)中，“權(quán)力”指用戶(hù)對(duì)整個(gè)系統(tǒng)能夠做的事情，如關(guān)閉系統(tǒng)、增加設(shè)備、更改系統(tǒng)時(shí)間等等?！皺?quán)限”指用戶(hù)對(duì)系統(tǒng)資源所能做的事情 ，如對(duì)某文件的讀、寫(xiě)控制，對(duì)打印機(jī)隊(duì)列的管理。、Windows系統(tǒng)使用安全帳號(hào)數(shù)據(jù)庫(kù)，存放用戶(hù)賬號(hào)以及該賬號(hào)所具有的權(quán)力等。用戶(hù)對(duì)系統(tǒng)資源所具有的權(quán)限則與特定的資源一起存放。 在Windows系統(tǒng)中，安全模型由本地安全認(rèn)證、安全賬號(hào)管理器和安全監(jiān)督器構(gòu)成。除此之外還包括注冊(cè)、訪問(wèn)控制和對(duì)象安全服務(wù)等。它們之間的相互作用和集成構(gòu)成了安全模型的主要部分。 Windows 安全模型的主要功能是用戶(hù)身份驗(yàn)證和訪問(wèn)控制。身份驗(yàn)證過(guò)程通過(guò)某種技術(shù)手段確認(rèn)用戶(hù)所提供的身份的真實(shí)性，并在確認(rèn)用戶(hù)身份的真實(shí)性后賦予用戶(hù)相應(yīng)的權(quán)利和系統(tǒng)身份標(biāo)識(shí)。訪問(wèn)控制機(jī)制利用用戶(hù)獲得的系統(tǒng)身份標(biāo)識(shí)，以及事先分配給用戶(hù)的對(duì)系統(tǒng)資源的權(quán)限來(lái)確保系統(tǒng)資源被合理的使用。 用戶(hù)身份驗(yàn)證：Windows安全子系統(tǒng)提供了兩種類(lèi)型的身份驗(yàn)證：通過(guò)控制臺(tái)交互式登錄系統(tǒng)(根據(jù)用戶(hù)的計(jì)算機(jī)的本地賬戶(hù)來(lái)確認(rèn)用戶(hù)的身份)和通過(guò)網(wǎng)絡(luò)登錄系統(tǒng)（根據(jù)域控制器中保留的域賬戶(hù)來(lái)確認(rèn)用戶(hù)的身份）從而使得用戶(hù)可以訪問(wèn)網(wǎng)絡(luò)上遠(yuǎn)程主機(jī)的資源。為保證通過(guò)網(wǎng)絡(luò)登錄系統(tǒng)的安全性，Windows 安全子系統(tǒng)提供了三種不同的身份驗(yàn)證機(jī)制：Kerberos V5（僅Windows 2000系統(tǒng)提供）、公鑰證書(shū)和 NTLM。 基于對(duì)象的訪問(wèn)控制：Windows采用對(duì)象模型描述系統(tǒng)資源，管理員可以通過(guò)對(duì)特定資源配置相應(yīng)的用戶(hù)訪問(wèn)權(quán)限來(lái)控制用戶(hù)對(duì)系統(tǒng)資源的訪問(wèn)。管理員可以通過(guò)域控制器實(shí)現(xiàn)對(duì)整個(gè)域的資源的統(tǒng)一管理與控制。Windows系統(tǒng) 通過(guò)允許管理員以對(duì)象安全描述符的方式描述具體的訪問(wèn)控制策略。安全描述符列出了允許訪問(wèn)對(duì)象的用戶(hù)和組，以及分配給這些用戶(hù)和組的特殊權(quán)限。安全描述符還指定了該對(duì)象需要安全審核特定事件，如特定用戶(hù)的讀，寫(xiě)，執(zhí)行文件。文件、打印機(jī)和服務(wù)都是對(duì)象的具體例子。通過(guò)管理對(duì)象的屬性，管理員可以設(shè)置權(quán)限，分配所有權(quán)以及監(jiān)視用戶(hù)訪問(wèn)。 2.2用戶(hù)名和密碼 Windows 系統(tǒng)的安全機(jī)制通過(guò)分配用戶(hù)帳號(hào)和用戶(hù)密碼來(lái)幫助保護(hù)計(jì)算機(jī)及其資源。給值得信任的使用者，按其使用的要求和網(wǎng)絡(luò)所能給與的服務(wù)分配合適的用戶(hù)帳號(hào)，并且使用足夠安全的帳號(hào)密碼。使用對(duì)帳號(hào)的用戶(hù)權(quán)力的限制以及對(duì)文件的訪問(wèn)管理權(quán)限的策略，可以達(dá)到對(duì)服務(wù)器的數(shù)據(jù)的保護(hù)。其中用戶(hù)帳號(hào)有用戶(hù)名、全名、描述三個(gè)部分。用戶(hù)名是用戶(hù)帳號(hào)的標(biāo)識(shí)，全名是對(duì)應(yīng)用戶(hù)名的全稱(chēng)，描述是對(duì)用戶(hù)所擁有的權(quán)限的較具體的說(shuō)明。組有組名和描述兩個(gè)部份，組名是標(biāo)識(shí)，描述是說(shuō)明。一定的用戶(hù)帳號(hào)對(duì)應(yīng)一定的權(quán)限，NT 對(duì)權(quán)限的劃分比較細(xì)，例如：備份、遠(yuǎn)程管理、更改系統(tǒng)時(shí)間等等，通過(guò)對(duì)用戶(hù)的授權(quán)（在規(guī)則菜單中）可以細(xì)化一個(gè)用戶(hù)或組的權(quán)限。用戶(hù)的帳號(hào)和密碼有一定的規(guī)則，包括帳號(hào)長(zhǎng)度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過(guò)對(duì)這些的綜合修改可以保證用戶(hù)帳號(hào)的安全使用。 系統(tǒng)將用戶(hù)分為管理者、用戶(hù)和來(lái)賓三類(lèi)，各有其不同的權(quán)限。雙擊“我的電腦/控制面板/用戶(hù)和密碼”圖標(biāo)，打開(kāi)“用戶(hù)和密碼”對(duì)話框。系統(tǒng)在安裝完成后自動(dòng)建立Administrator(系統(tǒng)管理員)和Guest（來(lái)賓）用戶(hù)。你可在第一次啟動(dòng)按Ctrl＋Alt＋Del后選“更改密碼”更改系統(tǒng)管理員的密碼。你還可按“添加/刪除”來(lái)添加/刪除用戶(hù)或用戶(hù)組。 用戶(hù)名列表上方有一個(gè)復(fù)選框“要使用本機(jī)，必須輸入用戶(hù)名和密碼”，要使用用戶(hù)管理必須使之有效，即：選中它。 系統(tǒng)管理員對(duì)用戶(hù)和密碼的管理權(quán)限主要有：添加用戶(hù)、刪除用戶(hù)及更改用戶(hù)。系統(tǒng)會(huì)在你添加新用戶(hù)時(shí)詢(xún)問(wèn)其權(quán)限的設(shè)置。選擇“高級(jí)”標(biāo)簽，再點(diǎn)擊“高級(jí)”按鈕，就會(huì)出現(xiàn)“本地用戶(hù)和組”管理對(duì)話框窗口，上面列出了全部用戶(hù)和按組分類(lèi)的用戶(hù)名單。在上述界面右邊窗口中選中某個(gè)用戶(hù)，點(diǎn)右鍵，在彈出的快捷菜單中選“屬性”，彈出“用戶(hù)屬性”窗口，在其中可對(duì)此用戶(hù)賬號(hào)進(jìn)行是否允許修改密碼、是否停用賬號(hào)等項(xiàng)設(shè)置。注意：停用賬戶(hù)和刪除賬戶(hù)是有區(qū)別的，停用賬戶(hù)是臨時(shí)停止某個(gè)賬戶(hù)的使用，隨時(shí)可以恢復(fù)，而刪除掉的賬戶(hù)必須重建后才能使用。 另外，Windows系統(tǒng)支持工作組概念，可以方便的給一組用戶(hù)授予特權(quán)和權(quán)限，同時(shí)一個(gè)用戶(hù)同時(shí)屬于一個(gè)或多個(gè)工作組。方便了對(duì)用戶(hù)權(quán)限的細(xì)化。在Windows系統(tǒng)中有兩種類(lèi)型的工作組：全局工作組和本地工作組。本地工作組只能在本地的系統(tǒng)或域內(nèi)使用。全局工作組可以在系統(tǒng)中相互信任的域中使用。 Win2000的默認(rèn)安裝允許所有用戶(hù)通過(guò)空用戶(hù)名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶(hù)共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶(hù)也可以通過(guò)同樣的方法得到你的用戶(hù)列表，并可能使用暴力法破解用戶(hù)密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞，這是整個(gè)網(wǎng)絡(luò)中的最大不安全因素之一 2.3域和委托 以Windows 系統(tǒng)組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。所謂“域”是指網(wǎng)絡(luò)服務(wù)器和其它計(jì)算機(jī)的邏輯分組，凡是在共享域范圍內(nèi)的用戶(hù)都使用公共的安全機(jī)制和用戶(hù)帳號(hào)信息。每個(gè)用戶(hù)有一個(gè)帳號(hào)，每次登錄的是整個(gè)域，而不是某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上可以在一個(gè)域上，域的集中化用戶(hù)帳號(hào)數(shù)據(jù)庫(kù)和安全策略使得系統(tǒng)管理員可以用一個(gè)簡(jiǎn)單而有效的方法維護(hù)整個(gè)網(wǎng)絡(luò)的安全。在網(wǎng)絡(luò)環(huán)境下，使用域的管理就顯得更為有效。這里我們應(yīng)該注意到在NT中，關(guān)于域的所用的安全機(jī)制信息或用戶(hù)帳號(hào)信息都存放在目錄數(shù)據(jù)庫(kù)中（稱(chēng)為安全帳號(hào)管理器（SAM）數(shù)據(jù)庫(kù)）。目錄數(shù)據(jù)庫(kù)存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。通過(guò)有規(guī)律的同步處理，可以保證數(shù)據(jù)庫(kù)的安全性、有效性。在用戶(hù)每次登錄時(shí)，通過(guò)目錄數(shù)據(jù)庫(kù)檢查用戶(hù)的帳號(hào)和密碼。所以在對(duì) NT進(jìn)行維護(hù)時(shí)應(yīng)該特別小心目錄數(shù)據(jù)庫(kù)的完整性，一般來(lái)講只有管理員才具有對(duì)此的編輯權(quán)限。 　　域的最大的優(yōu)點(diǎn)是域中的控制器服務(wù)器形成了共享的安全機(jī)制和用戶(hù)帳號(hào)信息的單個(gè)管理單元，大大地節(jié)省了管理員和用戶(hù)的精力和時(shí)間，在管理上較方便，也顯得集中。在使用“域”的劃分時(shí)，我們應(yīng)該注意到“域”是建立在一個(gè)子網(wǎng)范圍內(nèi)，其基礎(chǔ)是相互之間的信任度。由NT組網(wǎng)區(qū)別于一般的TCP/IP的組網(wǎng)，TCP/IP是一種較松散的組網(wǎng)型式，靠路由器完成子網(wǎng)之間的尋徑通訊；而NT組網(wǎng)是一種緊密的聯(lián)合，服務(wù)器之間是靠安全信任建立他們的聯(lián)系的。主從關(guān)系，委托關(guān)系是建立在信任度上的。委托是一種管理辦法，它將多個(gè)域連接在一起，并且允許域中的用戶(hù)互相訪問(wèn)。委托關(guān)系可使用戶(hù)帳號(hào)和工作組能夠在建立它們的域之外的域中使用。委托關(guān)系只能是被定義為單向的，為了獲得雙向委托關(guān)系，域和域之間必須相互委托。 2.4活動(dòng)目錄 活動(dòng)目錄的概念 Active Directory 是用于 Windows 2000 Server 的目錄服務(wù)。它存儲(chǔ)著網(wǎng)絡(luò)上各種對(duì)象的有關(guān)信息，并使該信息易于管理員和用戶(hù)查找及使用。Active Directory 目錄服務(wù)使用結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)作為目錄信息的邏輯層次結(jié)構(gòu)的基礎(chǔ)。Active Directory 的優(yōu)點(diǎn)：信息安全性 、基于策略的管理 、可擴(kuò)展性 、可伸縮性 、信息的復(fù)制 、與 DNS 集成 、與其它目錄服務(wù)的互操作性、靈活的查詢(xún)。　　 域 域提供了多項(xiàng)優(yōu)點(diǎn)： ? 組織對(duì)象。 ? 發(fā)布有關(guān)域?qū)ο蟮馁Y源和信息。 ? 將組策略對(duì)象應(yīng)用到域可加強(qiáng)資源和安全性管理。 ? 委派授權(quán)使用戶(hù)不再需要大量的具有廣泛管理權(quán)利的管理員。 要?jiǎng)?chuàng)建域，用戶(hù)必須將一個(gè)或更多的運(yùn)行 Windows 2000 Server 的計(jì)算機(jī)升級(jí)為域控制器。域控制器為網(wǎng)絡(luò)用戶(hù)和計(jì)算機(jī)提供 Active Directory 目錄服務(wù)、存儲(chǔ)目錄數(shù)據(jù)并管理用戶(hù)和域之間的交互作用，包括用戶(hù)登錄過(guò)程、驗(yàn)證和目錄搜索。每個(gè)域至少必須包含一個(gè)域控制器。 　　域樹(shù)和域林 　　活動(dòng)目錄中的每個(gè)域利用 DNS 域名加以標(biāo)識(shí)，并且需要一個(gè)或多個(gè)域控制器。如果用戶(hù)的網(wǎng)絡(luò)需要一個(gè)以上的域，則用戶(hù)可以創(chuàng)建多個(gè)域。共享相同的公用架構(gòu)和全局目錄的一個(gè)或多個(gè)域稱(chēng)為域林。如果樹(shù)林中的多個(gè)域有連續(xù)的 DNS 域名，則該結(jié)構(gòu)稱(chēng)為域樹(shù)。 如果相關(guān)域樹(shù)共享相同的 Active Directory 架構(gòu)以及目錄配置和復(fù)制信息，但不共享連續(xù)的 DNS 名稱(chēng)空間，則稱(chēng)之為域林。 　　域樹(shù)和域林的組合為用戶(hù)提供了靈活的域命名選項(xiàng)。連續(xù)和非連續(xù)的 DNS 名稱(chēng)空間都可加入到用戶(hù)的目錄中。 域和帳戶(hù)命名 　　Active Directory 域名通常是該域的完整 DNS 名稱(chēng)。但是，為確保向下兼容，每個(gè)域還有一個(gè) Windows 2000 以前版本的名稱(chēng)，以便在運(yùn)行 Windows 2000 以前版本的操作系統(tǒng)的計(jì)算機(jī)上使用。用戶(hù)帳戶(hù) 　　在 Active Directory 中，每個(gè)用戶(hù)帳戶(hù)都有一個(gè)用戶(hù)登錄名、一個(gè) Windows 2000 以前版本的用戶(hù)登錄名（安全帳戶(hù)管理器的帳戶(hù)名）和一個(gè)用戶(hù)主要名稱(chēng)后綴。在創(chuàng)建用戶(hù)帳戶(hù)時(shí)，管理員輸入其登錄名并選擇用戶(hù)主要名稱(chēng)。Active Directory 建議 Windows 2000 以前版本的用戶(hù)登錄名使用此用戶(hù)登錄名的前 20 個(gè)字節(jié)。 　　所謂用戶(hù)主要名稱(chēng)是指由用戶(hù)賬戶(hù)名稱(chēng)和表示用戶(hù)賬戶(hù)所在的域的域名組成。這是登錄到 Windows 2000 域的標(biāo)準(zhǔn)用法。表準(zhǔn)格式為：user@domain.com (類(lèi)似個(gè)人的電子郵件地址)。但不要在用戶(hù)登錄名或用戶(hù)主要名稱(chēng)中加入 @ 號(hào)。Active Directory 在創(chuàng)建用戶(hù)主要名稱(chēng)時(shí)自動(dòng)添加此符號(hào)。包含多個(gè) @ 號(hào)的用戶(hù)主要名稱(chēng)是無(wú)效的。 　　在 Active Directory 中，默認(rèn)的用戶(hù)主要名稱(chēng)后綴是域樹(shù)中根域的 DNS 名。如果用戶(hù)的單位使用由部門(mén)和區(qū)域組成的多層域樹(shù)，則對(duì)于底層用戶(hù)的域名可能很長(zhǎng)。對(duì)于該域中的用戶(hù)，默認(rèn)的用戶(hù)主要名稱(chēng)可能是 grandchild.child.root.com。該域中用戶(hù)默認(rèn)的登錄名可能是 user@grandchild.child.root.com 。創(chuàng)建主要名稱(chēng)后綴 - "root" 使同一用戶(hù)使用更簡(jiǎn)單的登錄名 user@root.com 就可以登錄。 域間信任關(guān)系 　　對(duì)于 Windows 2000 計(jì)算機(jī)，通過(guò)基于 Kerberos V5 安全協(xié)議的雙向、可傳遞信任關(guān)系啟用域之間的帳戶(hù)驗(yàn)證。 　　在域樹(shù)中創(chuàng)建域時(shí)，相鄰域（父域和子域）之間自動(dòng)建立信任關(guān)系。在域林中，在樹(shù)林根域和添加到樹(shù)林的每個(gè)域樹(shù)的根域之間自動(dòng)建立信任關(guān)系。因?yàn)檫@些信任關(guān)系是可傳遞的，所以可以在域樹(shù)或域林中的任何域之間進(jìn)行用戶(hù)和計(jì)算機(jī)的身份驗(yàn)證。 　　如果將 Windows 2000 以前版本的 Windows 域升級(jí)為 Windows 2000 域時(shí)，Windows 2000 域?qū)⒈Ａ粲蚝腿魏纹渌蛑g現(xiàn)有的單向信任關(guān)系。包括 Windows 2000 以前版本的 Windows 域的所有信任關(guān)系。如果用戶(hù)要安裝新的 Windows 2000 域并且希望與任何 Windows 2000 以前版本的域建立信任關(guān)系，則必須創(chuàng)建與那些域的外部信任關(guān)系。 　　所有域信任關(guān)系都只能有兩個(gè)域：信任域和受信任域。域信任關(guān)系按以下特征進(jìn)行描述： 　單向 　　單向信任是域 A 信任域 B 的單一信任關(guān)系。所有的單向關(guān)系都是不可傳遞的，并且所有的不可傳遞信任都是單向的。身份驗(yàn)證請(qǐng)求只能從信任域傳到受信任域。Windows 2000 的域可與以下域建立單向信任：不同樹(shù)林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 領(lǐng)域。 　雙向 　　Windows 2000 樹(shù)林中的所有域信任都是雙向可傳遞信任。建立新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。 　可傳遞 　　Windows 2000 樹(shù)林中的所有域信任都是可傳遞的。可傳遞信任始終為雙向：此關(guān)系中的兩個(gè)域相互信任。 　　可傳遞信任不受信任關(guān)系中的兩個(gè)域的約束。每次當(dāng)用戶(hù)建立新的子域時(shí)，在父域和新子域之間就隱含地（自動(dòng)）建立起雙向可傳遞信任關(guān)系。這樣，可傳遞信任關(guān)系在域樹(shù)中按其形成的方式向上流動(dòng)，并在域樹(shù)中的所有域之間建立起可傳遞信任。　　 　不可傳遞 　　不可傳遞信任受信任關(guān)系中的兩個(gè)域的約束，并不流向樹(shù)林中的任何其它域。在大多數(shù)情況下，用戶(hù)必須明確建立不可傳遞信任。在 Windows 2000 域和 Windows NT 域之間的所有信任關(guān)系都是不可傳遞的。從 Windows NT 升級(jí)至 Windows 2000 時(shí)，目前所有的 Windows NT 信任都保持不動(dòng)。在混和模式環(huán)境中，所有的 Windows NT 信任都是不可傳遞的。不可傳遞信任默認(rèn)為單向信任關(guān)系。 　外部信任 　　外部信任創(chuàng)建了與樹(shù)林外部的域的信任關(guān)系。創(chuàng)建外部信任的優(yōu)點(diǎn)在于使用戶(hù)可以通過(guò)樹(shù)林的信任路徑不包含的域進(jìn)行身份驗(yàn)證。所有的外部驗(yàn)證都是單向非轉(zhuǎn)移的信任 　快捷信任 　　快捷信任是雙向可傳遞的信任，使用戶(hù)可以縮短復(fù)雜樹(shù)林中的路徑。Windows 2000 同一樹(shù)林中域之間的快捷信任是明確創(chuàng)建的?？旖菪湃尉哂袃?yōu)化的性能，能縮短與 Windows 2000 安全機(jī)制有關(guān)的信任路徑以便進(jìn)行身份驗(yàn)證。在樹(shù)林中的兩個(gè)域樹(shù)之間使用快捷信任是最有效的。 站點(diǎn) 　　站點(diǎn)是由一個(gè)或多個(gè) IP 子網(wǎng)中的一組計(jì)算機(jī)，確保目錄信息的有效交換，站點(diǎn)中的計(jì)算機(jī)需要很好地連接，尤其是子網(wǎng)內(nèi)的計(jì)算機(jī)。站點(diǎn)和域名稱(chēng)空間之間沒(méi)有必要的連接。站點(diǎn)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)，而域通常反映用戶(hù)單位的邏輯結(jié)構(gòu)。邏輯結(jié)構(gòu)和物理結(jié)構(gòu)相互獨(dú)立，所以網(wǎng)絡(luò)的物理結(jié)構(gòu)及其域結(jié)構(gòu)之間沒(méi)有必要的相關(guān)性，Active Directory 允許單個(gè)站點(diǎn)中有多個(gè)域，單個(gè)域中有多個(gè)站點(diǎn)。 　　如果配置方案未組織成站點(diǎn)，則域和客戶(hù)之間的信息交換可能非?；靵y。站點(diǎn)能提高網(wǎng)絡(luò)使用的效率。站點(diǎn)服務(wù)在以下兩方面令網(wǎng)絡(luò)操作更為有效：服務(wù)請(qǐng)求和復(fù)制。 　　當(dāng)客戶(hù)從域控制器請(qǐng)求服務(wù)時(shí)，只要相同域中的域控制器有一個(gè)可用，此請(qǐng)求就將會(huì)發(fā)給這個(gè)域控制器。選擇與發(fā)出請(qǐng)求的客戶(hù)連接良好的域控制器將使該請(qǐng)求的處理效率更高。 站點(diǎn)使目錄信息以流水線的方式復(fù)制。目錄架構(gòu)和配置信息分布在整個(gè)樹(shù)林中，而且域數(shù)據(jù)分布在域中的所有域控制器之間。通過(guò)有策略地減少?gòu)?fù)制，用戶(hù)的網(wǎng)絡(luò)擁塞也會(huì)同樣減少。Active Directory 在一個(gè)站點(diǎn)內(nèi)比在站點(diǎn)之間更頻繁地復(fù)制目錄信息。這樣，連接最好的域控制器中，最可能需要特定目錄信息的域控制器首先接收復(fù)制的內(nèi)容。其它站點(diǎn)中的域控制器接收對(duì)目錄所進(jìn)行的更改，但不頻繁，以降低網(wǎng)絡(luò)帶寬的消耗。 Active Directory 用戶(hù)和計(jì)算機(jī)帳戶(hù) 　　Active Directory 用戶(hù)和計(jì)算機(jī)帳戶(hù)代表物理實(shí)體，諸如計(jì)算機(jī)或人。用戶(hù)賬戶(hù)和計(jì)算機(jī)賬戶(hù)（以及組）稱(chēng)為安全主體。安全主體是自動(dòng)分配安全標(biāo)識(shí)符的目錄對(duì)象。帶安全標(biāo)識(shí)符的對(duì)象可登錄到網(wǎng)絡(luò)并訪問(wèn)域資源。用戶(hù)或計(jì)算機(jī)賬戶(hù)用于： ? 驗(yàn)證用戶(hù)或計(jì)算機(jī)的身份。 ? 授權(quán)或拒絕訪問(wèn)域資源。 ? 管理其它安全主體。 ? 審計(jì)使用用戶(hù)或計(jì)算機(jī)帳戶(hù)執(zhí)行的操作。 　　Windows 2000 提供了可用于登錄到運(yùn)行 Windows 2000 的計(jì)算機(jī)的預(yù)定義用戶(hù)帳戶(hù)。這些預(yù)定義帳戶(hù)為： ? 管理員賬戶(hù) ? 來(lái)賓賬戶(hù) 預(yù)定義賬戶(hù)就是允許用戶(hù)登錄到本地計(jì)算機(jī)并訪問(wèn)本地計(jì)算機(jī)上資源的默認(rèn)用戶(hù)賬戶(hù)。設(shè)計(jì)這些賬戶(hù)的主要目的是本地計(jì)算機(jī)的初始登錄和配置。每個(gè)預(yù)定義賬戶(hù)均有不同的權(quán)利和權(quán)限組合。管理員賬戶(hù)有最廣泛的權(quán)利和權(quán)限，同時(shí)來(lái)賓賬戶(hù)有受限制的權(quán)利和權(quán)限。 組策略 組策略設(shè)置影響計(jì)算機(jī)或用戶(hù)賬戶(hù)并且可應(yīng)用于站點(diǎn)、域或組織單位。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。 集成DNS 　　由于 Active Directory 與 DNS 集成而且共享相同的名稱(chēng)空間結(jié)構(gòu)，因此注意兩者之間的差異非常重要： 　DNS 是一種名稱(chēng)解析服務(wù)。 　　DNS 客戶(hù)機(jī)向配置的 DNS 服務(wù)器發(fā)送 DNS 名稱(chēng)查詢(xún)。DNS 服務(wù)器接收名稱(chēng)查詢(xún)，然后通過(guò)本地存儲(chǔ)的文件解析名稱(chēng)查詢(xún)，或者查詢(xún)其它 DNS 服務(wù)器進(jìn)行名稱(chēng)解析。DNS 不需要 Active Directory 就能運(yùn)行。 　Active Directory 是一種目錄服務(wù)。 Active Directory 提供信息儲(chǔ)存庫(kù)以及讓用戶(hù)和應(yīng)用程序訪問(wèn)信息的服務(wù)。Active Directory 客戶(hù)使用"輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP)"向 Active Directory 服務(wù)器發(fā)送查詢(xún)。要定位 Active Directory 服務(wù)器，Active Directory 客戶(hù)機(jī)將查詢(xún) DNS。Active Directory 需要 DNS 才能工作。 Active Directory 用于組織資源，而 DNS 用于查找資源。只有它們共同工作才能為用戶(hù)或其它請(qǐng)求類(lèi)似信息的過(guò)程返回信息。DNS 是 Active Directory 的關(guān)鍵組件，如果沒(méi)有 DNS，Active Directory 就無(wú)法將用戶(hù)的請(qǐng)求解析成資源的IP地址，因此在安裝和配置 Active Directory 之前，用戶(hù)必須對(duì) DNS 有深入的理解。 組織單位 　　包含在域中的特別有用的目錄對(duì)象類(lèi)型就是組織單位。組織單位是可將用戶(hù)、組、計(jì)算機(jī)和其它單位放入其中的 Active Directory 容器。組織單位不能包括來(lái)自其它域的對(duì)象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單位。使用組織單位，用戶(hù)可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣用戶(hù)就可以根據(jù)用戶(hù)的組織模型管理帳戶(hù)和資源的配置和使用。 2.5登錄 Windows系統(tǒng)首先必須在系統(tǒng)中擁有一個(gè)賬號(hào)，其次，規(guī)定該賬號(hào)在系統(tǒng)中 的權(quán)力和權(quán)限。 　　在沒(méi)有用戶(hù)登錄時(shí)，可以看到屏幕上顯示一個(gè)對(duì)話框，提示用戶(hù)登錄在NT系統(tǒng)中。實(shí)際上，NT系統(tǒng)中有一個(gè)登錄進(jìn)程。當(dāng)用戶(hù)在開(kāi)始登錄時(shí)，按下Ctrl+Alt +Del鍵，NT系統(tǒng)啟動(dòng)登錄進(jìn)程，彈出登錄對(duì)話框，讓用戶(hù)輸入帳號(hào)名及口令。按 下Ctrl+Alt+Del鍵時(shí)，NT系統(tǒng)保證彈出的登錄對(duì)話框是系統(tǒng)本身的，而不是一個(gè)貌似登錄對(duì)話框的應(yīng)用程序，以防止被非法竊取用戶(hù)名及口令。登錄進(jìn)程收到用戶(hù)輸入的賬號(hào)和口令后，就查找安全賬戶(hù)數(shù)據(jù)庫(kù)中的信息。如果帳戶(hù)及口令無(wú)效，則用戶(hù)的登錄企圖被拒絕；如果帳戶(hù)及口令有效，則把安全帳戶(hù)數(shù)據(jù)庫(kù)中有關(guān)該賬戶(hù)的信息收集在一起，形成一個(gè)存取標(biāo)識(shí)。 　　存取標(biāo)識(shí)中的主要內(nèi)容有： ? 用戶(hù)名以及SID ? 用戶(hù)所屬的組及組SID ? 用戶(hù)對(duì)系統(tǒng)所具有的權(quán)力 　　然后NT就啟動(dòng)一個(gè)用戶(hù)進(jìn)程，將該存取標(biāo)識(shí)與之連在一起，這個(gè)存取標(biāo)識(shí)就成了用戶(hù)進(jìn)程在NT系統(tǒng)中的通行證。用戶(hù)進(jìn)行任何操作，NT中負(fù)責(zé)安全的進(jìn)程都會(huì)檢查其存取標(biāo)識(shí)，以確定其操作是否合法。 　　用戶(hù)成功地登錄之后，只要用戶(hù)沒(méi)有注銷(xiāo)自己，其在系統(tǒng)中的權(quán)力就以存取 標(biāo)識(shí)為準(zhǔn)，NT安全系統(tǒng)在此期間不再檢查安全帳戶(hù)數(shù)據(jù)庫(kù)。這主要是考慮到效率。 　　存取標(biāo)識(shí)的作用相當(dāng)于緩存，只不過(guò)存取標(biāo)識(shí)緩存的是用戶(hù)安全信息，使得 系統(tǒng)不必再?gòu)挠脖P(pán)上查找。安全帳戶(hù)數(shù)據(jù)庫(kù)是由域用戶(hù)管理器來(lái)維護(hù)的，在某個(gè) 用戶(hù)登錄后，有可能管理員會(huì)修改其帳戶(hù)以及權(quán)力等，但這些修改只有在用戶(hù)下 次登錄時(shí)才有效，因?yàn)镹T安全系統(tǒng)在用戶(hù)登錄后只檢查存取標(biāo)識(shí)，而不是檢查安全帳戶(hù)數(shù)據(jù)庫(kù)。比如User1已登錄到了NT系統(tǒng)中，管理員發(fā)現(xiàn)其缺少了某種權(quán)力，就用域用戶(hù)管理器做了相應(yīng)的修改，那么，除非User1重新登錄一次，否則User1仍無(wú)法享有該權(quán)力。 在Windows系統(tǒng)中登錄過(guò)程還包括網(wǎng)絡(luò)登錄，在網(wǎng)絡(luò)登錄中，每次登錄到Windows系統(tǒng)中都會(huì)產(chǎn)生一個(gè)訪問(wèn)令牌，訪問(wèn)令牌是由用戶(hù)帳號(hào)和工作組帳號(hào)的安全標(biāo)示符（SID）以及用戶(hù)LUID（用戶(hù)特權(quán)和工作組特權(quán)）組合而成的，訪問(wèn)令牌有兩個(gè)用途： ? 訪問(wèn)令牌保存全部安全信息，可以加速訪問(wèn)驗(yàn)證過(guò)程。當(dāng)某個(gè)用戶(hù)進(jìn)程要訪問(wèn)某個(gè)對(duì)象時(shí)，安全子系統(tǒng)檢查該進(jìn)程的訪問(wèn)令牌，判斷該用戶(hù)的訪問(wèn)特權(quán)。 ? 每個(gè)進(jìn)程均有一個(gè)與之相關(guān)聯(lián)的訪問(wèn)令牌，因此，每個(gè)進(jìn)程都可以在不影響其它代表該用戶(hù)運(yùn)行的進(jìn)程的條件下，在某種可允許的范圍內(nèi)修改進(jìn)程的安全特性。 2.6存儲(chǔ)控制 Windows系統(tǒng)啟動(dòng)一個(gè)用戶(hù)進(jìn)程，將存儲(chǔ)標(biāo)識(shí)與之連在一起。存取標(biāo)識(shí)包含的內(nèi)容并沒(méi)有訪問(wèn)許可權(quán)限，而存取標(biāo)識(shí)又是用戶(hù)在系統(tǒng)中的通行證，那么NT如何根據(jù)存取標(biāo)識(shí)控制用戶(hù)對(duì)資源的訪問(wèn)呢？ 當(dāng)某個(gè)進(jìn)程要訪問(wèn)一個(gè)對(duì)象時(shí)，進(jìn)程的SID與訪問(wèn)控制項(xiàng)列表比較，決定是否可以訪問(wèn)該對(duì)象，訪問(wèn)控制列表由訪問(wèn)控制項(xiàng)（ACE）組成，每個(gè)訪問(wèn)控制項(xiàng)標(biāo)識(shí)用戶(hù)和工作組對(duì)該對(duì)象的訪問(wèn)權(quán)限。一般情況下，訪問(wèn)控制列表有三個(gè)訪問(wèn)控制項(xiàng)，分別代表如下含義：拒絕對(duì)該對(duì)象的訪問(wèn)；允許對(duì)該對(duì)象讀取和寫(xiě)入；允許執(zhí)行該對(duì)象。訪問(wèn)控制列表首先列出拒絕訪問(wèn)的訪問(wèn)控制項(xiàng)，然后才是允許的訪問(wèn)控制項(xiàng)。 給資源分配的權(quán)限作為該資源的一個(gè)屬性與資源一起存放。比如目錄為D：\Files，對(duì)其指定User1只讀，User2可完全控制，則這兩個(gè)權(quán)限都作為 D：\Files目錄的屬性與該目錄連在一起，在NT內(nèi)部以訪問(wèn)控制列表的形式存放。ACL中包含了每個(gè)權(quán)限的分配，以訪問(wèn)控制項(xiàng)來(lái)表示。ACL中包含了用戶(hù)名以及該用戶(hù)的權(quán)限。比如上面提到的這個(gè)例子中，D：\Files的ACL中有兩個(gè)ACE，分別是User1：只讀，User2：完全控制。當(dāng)User1訪問(wèn)該目錄時(shí)，NT安全系統(tǒng)檢查用戶(hù)的存取標(biāo)識(shí)，與目錄的ACL對(duì)照，發(fā)現(xiàn)用戶(hù)存取標(biāo)識(shí)中的用戶(hù)名與ACL中有對(duì)應(yīng)關(guān)系且所要求的權(quán)限合法，則訪問(wèn)獲得允許，否則，訪問(wèn)被拒絕。 控制對(duì)象訪問(wèn)過(guò)程如下： 1．設(shè)置、查看、更改或刪除文件和文件夾權(quán)限 　　步驟1 打開(kāi) "Windows 資源管理器"，然后定位到用戶(hù)要設(shè)置權(quán)限的文件和文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項(xiàng)卡， 如圖： 步驟3 執(zhí)行以下任一項(xiàng)操作： 要設(shè)置新組或用戶(hù)的權(quán)限，請(qǐng)單擊"添加"。按照域名\名稱(chēng)的格式鍵入要設(shè)置權(quán)限的組或用戶(hù)的名稱(chēng)，然后單擊"確定"關(guān)閉對(duì)話框。要更改或刪除現(xiàn)有的組或用戶(hù)的權(quán)限，請(qǐng)單擊該組或用戶(hù)的名稱(chēng)。 步驟4 如果必要，請(qǐng)?jiān)?權(quán)限"中單擊每個(gè)要允許或拒絕的權(quán)限的"允許"或"拒絕"。 或者若要從權(quán)限列表中刪除組或用戶(hù)，請(qǐng)單擊"刪除"。 注意： 只能在格式化為使用 NTFS 的驅(qū)動(dòng)器上設(shè)置文件和文件夾權(quán)限。 要更改訪問(wèn)權(quán)限，用戶(hù)必須是所有者或已經(jīng)由所有者授權(quán)執(zhí)行該操作。 無(wú)論保護(hù)文件和子文件夾的權(quán)限如何，被準(zhǔn)許對(duì)文件夾進(jìn)行完全控制的組或用戶(hù)都可以刪除該文件夾內(nèi)的任何文件和子文件夾。 如果"權(quán)限"下的復(fù)選框?yàn)榛疑?，或者沒(méi)有"刪除"按鈕，則文件或文件夾已經(jīng)繼承了父文件夾的權(quán)限。 2．設(shè)置、查看或刪除共享文件夾或驅(qū)動(dòng)器的權(quán)限 　　步驟1 打開(kāi) "Windows 資源管理器"，然后定位到要設(shè)置權(quán)限的共享文件夾或驅(qū)動(dòng)器。 　　步驟2 右鍵單擊共享文件夾或驅(qū)動(dòng)器，然后單擊"共享"。 　　步驟3 在"共享"選項(xiàng)卡上，單擊"權(quán)限"。 　　步驟4 要設(shè)置共享文件夾權(quán)限，請(qǐng)單擊"添加"。鍵入要設(shè)置權(quán)限的組或用戶(hù)的名稱(chēng)，然后單擊"確定"關(guān)閉對(duì)話框。要?jiǎng)h除權(quán)限，請(qǐng)?jiān)?名稱(chēng)"中選擇組或用戶(hù)，然后單擊"刪除"。 步驟5 在"權(quán)限"中，如果需要，請(qǐng)對(duì)每個(gè)權(quán)限單擊"允許"或"拒絕"。如圖 3.取得文件或文件夾的所有權(quán) 　　步驟1 打開(kāi) "Windows 資源管理器"，然后定位到要取得其所有權(quán)的文件或文件夾。 　　步驟2 右鍵單擊該文件或文件夾，單擊"屬性"，然后單擊"安全"選項(xiàng)卡。 步驟3 單擊"高級(jí)"，然后單擊"所有者"選項(xiàng)卡 ，如圖 步驟4 單擊新的所有者，然后單擊"確定" 2.7管理安全模板 　　啟動(dòng)安全模板流程如下： 步驟1 決定是否將安全模板添加到現(xiàn)有的控制臺(tái)，或創(chuàng)建新控制臺(tái)。要?jiǎng)?chuàng)建控制臺(tái)，請(qǐng)單擊"開(kāi)始"，單擊"運(yùn)行"，然后鍵入"mmc"，然后單擊"確定"。要將安全模板添加到現(xiàn)有的控制臺(tái)中，打開(kāi)控制臺(tái)，然后進(jìn)行下一步。 步驟2 在"控制臺(tái)"菜單上，請(qǐng)單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選擇"安全模板"，單擊"添加"，單擊"關(guān)閉"，然后單擊"確定"。 如圖： 步驟4 在"控制臺(tái)"菜單上，單擊"保存"。 步驟5 輸入指派給此控制臺(tái)的名稱(chēng)，然后單擊"保存"。 在安全模板啟動(dòng)后，用戶(hù)可以執(zhí)行以下操作： ? 要自定義預(yù)定義安全模板 ? 定義安全模板 ? 刪除安全模板 ? 刷新安全模板列表 ? 設(shè)置安全模板說(shuō)明 ? 將安全模板應(yīng)用到本地計(jì)算機(jī) ? 將安全模板導(dǎo)入到"組策略"對(duì)象 ? 查看有效的安全設(shè)置 安全配置和分析流程如下： 1.開(kāi)始安全配置和分析 步驟1 進(jìn)行以下某項(xiàng)操作： 要將安全配置和分析添加到新的控制臺(tái)，請(qǐng)單擊"開(kāi)始"，單擊"運(yùn)行"，然后鍵入"mmc"并單擊"確定"。要將安全配置和分析添加到現(xiàn)有的控制臺(tái)中，請(qǐng)直接進(jìn)行下一步。 步驟2 在"控制臺(tái)"菜單上，請(qǐng)單擊"添加/刪除管理單元"，然后單擊"添加"。 步驟3 選中"安全配置和分析"，然后單擊"添加"。 步驟4 單擊"關(guān)閉"，然后單擊"確定"。 步驟5 在"控制臺(tái)"菜單上，單擊"保存"。 步驟6 輸入指派給此控制臺(tái)的名稱(chēng)，然后單擊"保存"?？刂婆_(tái)將出現(xiàn)在"我的文檔"中，可以在桌面上或從"開(kāi)始"菜單訪問(wèn)。 2.設(shè)置工作的安全數(shù)據(jù)庫(kù) 步驟1 在安全配置和分析管理單元中，請(qǐng)右鍵單擊"安全配置和分析"。詳細(xì)信息，請(qǐng)參閱相關(guān)主題。 步驟2 請(qǐng)單擊"打開(kāi)數(shù)據(jù)庫(kù)"。 步驟3 選擇現(xiàn)有的個(gè)人數(shù)據(jù)庫(kù)，或鍵入文件名創(chuàng)建新的個(gè)人數(shù)據(jù)庫(kù)，如圖： 步驟4 單擊"打開(kāi)"。 步驟5 如果這不是當(dāng)前配置使用的數(shù)據(jù)庫(kù)，系統(tǒng)將提示用戶(hù)選擇要加載到數(shù)據(jù)庫(kù)的安全模板。 步驟6 如果選擇可能已包含模板的現(xiàn)有個(gè)人數(shù)據(jù)庫(kù)，并且 要替換此模板，而不是將它合并到已存儲(chǔ)的模板，請(qǐng)選中"覆蓋數(shù)據(jù)庫(kù)中現(xiàn)有的配置"。 步驟7 單擊"打開(kāi)"。 此數(shù)據(jù)庫(kù)現(xiàn)在可以用于配置系統(tǒng)。 3.分析系統(tǒng)的安全性 步驟1 在安全配置和分析中，設(shè)置工作數(shù)據(jù)庫(kù)（如果當(dāng)前沒(méi)有設(shè)置的話）。 步驟2 右鍵單擊"安全配置和分析"，然后單擊"立即分析系統(tǒng)"。 步驟3 單擊"確定"使用默認(rèn)的分析日志，或輸入日志的文件名和有效路徑。 當(dāng)分析它們時(shí)，將顯示不同的安全區(qū)域，一旦完成操作，就可以檢查日志文件或復(fù)查結(jié)果，如圖： 分析結(jié)果如圖： 利用"安全配置和分析"用戶(hù)還可以執(zhí)行以下任務(wù)： ? 設(shè)置工作的安全數(shù)據(jù)庫(kù) ? 導(dǎo)入安全模板 ? 檢查安全性分析結(jié)果 ? 配置系統(tǒng)安全性 ? 編輯基本安全配置 ? 查看有效的安全設(shè)置 ? 導(dǎo)出安全模板 2.8 windows審計(jì)子系統(tǒng) Windows2000的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志等等，這些日志默認(rèn)位置：%systemroot%\system32\config，默認(rèn)文件大小512KB。 ? 安全日志文件：%systemroot%\system32\config\SecEvent.EVT ? 系統(tǒng)日志文件：%systemroot%\system32\config\SysEvent.EVT ? 應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT 這些LOG文件在注冊(cè)表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 在Windows中通過(guò)策略可以實(shí)現(xiàn)對(duì)系統(tǒng)的各部分審核。 審核策略的設(shè)置 為運(yùn)行Windows 2000 Professional的計(jì)算機(jī)設(shè)置審核策略，需要運(yùn)行管理工具中的本地安全策略工具進(jìn)行設(shè)置。具體設(shè)置步驟如下： 1. 在“開(kāi)始”菜單上選擇“程序”→“管理工具”→“本地安全策略”。如果在“開(kāi)始”菜單中找不到“管理工具”程序組，則進(jìn)入“控制面板”，打開(kāi)“管理工具”程序組，選擇“本地安全策略”。（如果在“開(kāi)始”菜單的設(shè)置中沒(méi)有選擇“顯示管理工具”。則“管理工具”不會(huì)出現(xiàn)在“開(kāi)始”菜單中）； 2. 在“本地安全策略”窗口的控制臺(tái)目錄樹(shù)中，單擊“本地策略”，然后選擇“審核策略”； 3. 選中要審核的事件，在操作菜單中選擇“安全性”，或是雙擊所選擇的審核事件。 對(duì)文件和文件夾訪問(wèn)的審核 對(duì)文件和文件夾訪問(wèn)的審核，首先要求審核的對(duì)象必須位于NTFS分區(qū)之上，其次必須為對(duì)象訪問(wèn)事件設(shè)置審核策略。符合以上條件，就可以對(duì)特定的文件或文件夾進(jìn)行審核，并且對(duì)哪些用戶(hù)或組指定哪些類(lèi)型的訪問(wèn)進(jìn)行審核。 設(shè)置的步驟如下： 1. 在所選擇的文件或文件夾的屬性窗口的“安全”頁(yè)面上，點(diǎn)擊“高級(jí)”按鈕； 2. 在“審核”頁(yè)面上，點(diǎn)擊“添加”按鈕，選擇想對(duì)文件或文件夾訪問(wèn)進(jìn)行審核的用戶(hù)，單擊“確定”；在“審核項(xiàng)目”對(duì)話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框，選擇完成后確定； 3. 返回到“訪問(wèn)控制設(shè)置”對(duì)話框。默認(rèn)情況下，對(duì)父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，清空檢查框“允許將來(lái)自父系的可繼承審核項(xiàng)目傳播給該對(duì)象”即可。 對(duì)打印機(jī)訪問(wèn)的審核 對(duì)打印機(jī)訪問(wèn)進(jìn)行審核，要求必須為對(duì)象訪問(wèn)事件設(shè)置審核策略。滿(mǎn)足這個(gè)條件就能夠?qū)μ囟ǖ拇蛴C(jī)進(jìn)行審核，并能夠?qū)徍酥付ǖ脑L問(wèn)類(lèi)型以及審核擁有訪問(wèn)權(quán)限的用戶(hù)。審核步驟如下： 1. 在選擇的打印機(jī)的屬性窗口，選擇“安全”頁(yè)面，點(diǎn)擊“高級(jí)”按鈕； 2. 在“審核”頁(yè)面，點(diǎn)擊“添加”按鈕，選擇想對(duì)打印機(jī)訪問(wèn)進(jìn)行審核的用戶(hù)或組，點(diǎn)擊“確定”。 審核結(jié)果的查看和維護(hù) 設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。 1．打開(kāi)“開(kāi)始”菜單，指向“程序”→“管理工具”→“事件查看器”。如果“開(kāi)始”菜單中沒(méi)有“管理工具”，則進(jìn)入控制面板，打開(kāi)“管理工具”，運(yùn)行“事件查看器”。 2．在事件查看器窗口的控制臺(tái)樹(shù)選擇“安全日志”。在右邊的窗格顯示日志條目的列表，以及每一條目的摘要信息，包括日期、事件、來(lái)源、分類(lèi)、事件、用戶(hù)和計(jì)算機(jī)名。成功的事件前顯示一鑰匙圖標(biāo)，而失敗的事件則顯示鎖的圖標(biāo)。 3．如果想查看某一條目的詳細(xì)信息，雙擊選擇的條目；或是選擇一條目后，點(diǎn)擊“操作”菜單的“屬性”項(xiàng)。 4．如果要查看某一指定類(lèi)型的事件，或某一時(shí)間段發(fā)生的事件，或某一用戶(hù)的事件，就需要運(yùn)用事件查看器的查找功能。具體操作如下： 確認(rèn)控制樹(shù)中當(dāng)前選定的項(xiàng)目是“安全日志”，點(diǎn)擊查看菜單的“查找”項(xiàng)。 在查找窗口中，選擇或輸入相應(yīng)的條件，點(diǎn)擊“查找下一個(gè)”按鈕，符合條件的事件就會(huì)在事件查看器的事件列表窗格中反顯出來(lái)。 5．如果想在事件查看器的事件列表窗格中只列出符合相應(yīng)條件的事件，這時(shí)要用到篩選功能。具體操作如下： 確認(rèn)控制樹(shù)中當(dāng)前選定的項(xiàng)目是“安全日志”，點(diǎn)擊“查看”→“篩選”。 在“篩選器”頁(yè)面中，選擇或輸入相應(yīng)的條件后，點(diǎn)擊“確定”按鈕，符合條件的事件就會(huì)在事件查看器的事件列表窗格中顯示出來(lái)。 6．隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認(rèn)情況下是512KB。如何更改日志文件的大小，或當(dāng)日志文件達(dá)到了所設(shè)定的大小時(shí)，自動(dòng)進(jìn)行那些操作呢？所有這些都可以通過(guò)更改日志文件的屬性來(lái)實(shí)現(xiàn)。在事件查看器的控制樹(shù)選中“安全日志”項(xiàng)，點(diǎn)擊“操作”菜單的“屬性”項(xiàng)，進(jìn)入安全日志的屬性窗口，在“常規(guī)”標(biāo)簽頁(yè)面上，可以對(duì)日志文件的大小進(jìn)行設(shè)置；對(duì)于日志文件達(dá)到最大尺寸時(shí)，用戶(hù)根據(jù)需要可以有以下三種選擇：改寫(xiě)事件；改寫(xiě)久于設(shè)定天數(shù)的事件和不改寫(xiě)事件。 2.9注冊(cè)表 在Windows文件夾中有system.dat和user.dat這樣兩個(gè)隱藏文件，其中保存了至關(guān)重要的注冊(cè)表信息。我們可以通過(guò)運(yùn)行regedit.exe來(lái)修改windows的設(shè)置，達(dá)到其它方法不能達(dá)到的效果，使Windows更如你意。本說(shuō)明書(shū)的內(nèi)容以Win98第一版為準(zhǔn)，但多數(shù)也是適用于Win95、Win95osr2、Win98se甚至Win2000的。 注冊(cè)表根鍵說(shuō)明 hkey_classes_root： 包含注冊(cè)的所有OLE信息和文檔類(lèi)型，是從 hkey_local_machine\software\classes復(fù)制的。 　　hkey_current_user ：包含登錄的用戶(hù)配置信息，是從hkey_users\當(dāng)前用戶(hù)子樹(shù)復(fù)制的。 　　hkey_local_machine ：包含本機(jī)的配置信息。其中config子樹(shù)是顯示器打印機(jī)信息； enum子樹(shù)是即插即用設(shè)備信息；system子樹(shù)是設(shè)備驅(qū)動(dòng)程序和服務(wù)參數(shù)的控制集合；software子樹(shù)是應(yīng)用程序?qū)Ｓ迷O(shè)置。 　　hkey_users： 所有登錄用戶(hù)信息。 hkey_current_config： 包含常被用戶(hù)改變的部分硬件軟件配置，如字體設(shè)置、顯示器類(lèi)型、打印機(jī)設(shè)置等。是從hkey_local_machine\config復(fù)制的。 　　hkey_dyn_data： 包含現(xiàn)在計(jì)算機(jī)內(nèi)存中保存的系統(tǒng)信息。 注冊(cè)表詳細(xì)內(nèi)容 Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\user shell folders 保存?zhèn)€人文件夾、收藏夾的路徑。 Hkey_local_machine\system\currentControlSet\control\keyboard Layouts保存鍵盤(pán)使用的語(yǔ)言以及各種中文輸入法。 Hkey_users\.Default\software\microsoft\internet explorer\typeURLs保存IE瀏覽器地址欄中輸入的URL地址列表信息。清除文檔菜單時(shí)將被清空。 Hkey_users\.Default\so..\Mi..\wi..\currentVersion\ex..\menuOrder\startMenu 保留程序菜單排序信息。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU 保存“開(kāi)始 * 運(yùn)行...“中運(yùn)行的程序列表信息。清除文檔菜單時(shí)將被清空。 Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\ecentDocs 保存最近使用的十五個(gè)文檔的快捷方式(刪除掉可解決文檔名稱(chēng)重復(fù)的毛病)，清除文檔菜單時(shí)將被清空。 Hkey_local_machine\software\microsoft\windows\currentVersion\uninstall 保存已安裝的Windows應(yīng)用程序卸載信息。 hkey_users\.default\software\microsoft\windows\currentVersion\applets 保存Windows應(yīng)用程序的紀(jì)錄數(shù)據(jù)。 Hkey_local_machine\system\CurrentControlSet\services\class 保存控制面板-增添硬件設(shè)備-設(shè)備類(lèi)型目錄。 Hkey_local_machine\system\CurrentControlSet\control\update 立即刷新設(shè)置。值為00設(shè)置為自動(dòng)刷新，01設(shè)置為手工刷新[在資源管理器中按F5刷新]。 HKEY_CURRENT_USER\Control Panel\Desktop 新建串值名MenuShowDelay=0 可使“開(kāi)始”菜單中子菜單的彈出速度提高。新建串值名MinAnimate，值為1啟動(dòng)動(dòng)畫(huà)效果開(kāi)關(guān)窗口，值為0取消動(dòng)畫(huà)效果。 Hkey_local_machine\software\microsoft\windows\currentVersion\run 保存由控制面板設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱(chēng)，其圖標(biāo)顯示在任務(wù)條右邊。[啟動(dòng)文件夾程序運(yùn)行時(shí)圖標(biāo)也在任務(wù)條右邊]。 hkey_users\.default\software\microsoft\windows\currentVersion\run保存由用戶(hù)設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱(chēng)，其圖標(biāo)顯示在任務(wù)條右側(cè)。 HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon 默認(rèn)圖片的圖標(biāo)。雙擊窗口右側(cè)的字符串，在打開(kāi)的對(duì)話框中刪除原來(lái)的鍵值，輸入%1。重新啟動(dòng)后，在“我的電腦”中打開(kāi)Windows目錄，選擇“大圖標(biāo)“，然后你看到的Bmp文件的圖標(biāo)再也不是千篇一律的畫(huà)板圖標(biāo)了，而是每個(gè)Bmp文件的略圖。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ Policies\ Ratings 保存IE4.0中文版“安全”*“分級(jí)審查”中設(shè)置的口令(數(shù)據(jù)加密)。 Hkey-local-machine\ software\ microsoft\ windows\ currentVersion\ explorer\ desktop\nameSpace保存桌面中特殊的圖標(biāo),如回收站、收件箱、MS Network等。 注冊(cè)表中設(shè)有若干保護(hù)層，保護(hù)這些文件中的數(shù)據(jù)。所有注冊(cè)表文件均以加密的二進(jìn)制格式存儲(chǔ)，如果沒(méi)有相應(yīng)的工具和用戶(hù)授權(quán)，就無(wú)法讀取這些文件，使用純文本編輯器是無(wú)法進(jìn)入注冊(cè)表的，也就是說(shuō)，通過(guò)類(lèi)似于Editor的編輯器是不能直接編輯User.dat和System.dat文件的。 注冊(cè)表文件標(biāo)有只讀或隱藏的系統(tǒng)文件之類(lèi)的標(biāo)記，防止被無(wú)意刪除或發(fā)現(xiàn)。此外，即使擁有管理員權(quán)限也無(wú)法刪除注冊(cè)表文件，用戶(hù)可以通過(guò)注冊(cè)表編輯器（Registry Editor）查看和編輯注冊(cè)表，通過(guò)它可以修改系統(tǒng)低層的配置。 2.10 文件系統(tǒng) 文件系統(tǒng)介紹 文件系統(tǒng)就是在硬盤(pán)上存儲(chǔ)信息的格式。Windows 2000 Professional支持使用 NTFS文件系統(tǒng)和文件分配表文件系統(tǒng)（FAT或FAT32）。NTFS具有FAT文件系統(tǒng)的所有基本功能，并且提供FAT或FAT32文件系統(tǒng)所沒(méi)有的優(yōu)點(diǎn)。 NTFS支持WindowsNT的所有優(yōu)點(diǎn)。這些優(yōu)點(diǎn)中最重要的是WindowsNT的安全性。與NTFS文件系統(tǒng)相結(jié)合，能夠指定誰(shuí)能訪問(wèn)某一文件或目錄和對(duì)它作什么操作。在創(chuàng)建一個(gè)文件時(shí)，可以通知WindowsNT，哪些用戶(hù)可以讀該文件，哪些用戶(hù)可以修改該文件；另外，還可以指定誰(shuí)可以列出一個(gè)目錄的內(nèi)容和誰(shuí)可以在該目錄下增加文件。即使用戶(hù)知道文件的路徑，仍可以禁止訪問(wèn)目錄中的文件，只有NTFS分區(qū)中的文件才有這種稱(chēng)為任意訪問(wèn)控制的能力。 NTFS的第二個(gè)優(yōu)點(diǎn)是它具有先進(jìn)的容錯(cuò)能力。NTFS使用一種稱(chēng)為事務(wù)(transaction)登錄的技術(shù)跟蹤對(duì)磁盤(pán)的修改，因此，NTFS可以在幾秒鐘內(nèi)恢復(fù)錯(cuò)誤而不是HPFS的幾分鐘或幾小時(shí)（取決于HPFS分區(qū)的大小）。 NTFS的第三個(gè)優(yōu)點(diǎn)是其文件不易受到病毒和系統(tǒng)崩潰的侵襲，這種抗干擾直接源于WindowsNT操作系統(tǒng)的高度安全性能。即使在FAT和NTFS兩種文件系統(tǒng)在一個(gè)磁盤(pán)中并存時(shí)，由于NTFS文件系統(tǒng)只能被WindowsNT識(shí)別，一般的病毒還是很難在NTFS文件系統(tǒng)中找到生存空間。 對(duì)于大分區(qū)，NTFS比FAT和HPFS效率都高，F(xiàn)AT和HPFS比NTFS需要更多的空間來(lái)存儲(chǔ)文件系統(tǒng)用于管理硬盤(pán)上文件和目錄的信息。 此外，由于NTFS文件系統(tǒng)支持長(zhǎng)文件名，人們給文件命名時(shí)現(xiàn)也不需受8.3命名規(guī)則限制，從而可以給文件起一個(gè)反映其意義的文件名。NTFS支持向下兼容，甚至可以從新的長(zhǎng)文件名中產(chǎn)生老式的短文件名。當(dāng)文件寫(xiě)入可移動(dòng)媒體（如軟盤(pán)）時(shí)，它自動(dòng)采用FAT文件名FAT文件系統(tǒng)。 實(shí)際上NTFS的主要弱點(diǎn)是它只能被WindowsNT所識(shí)別。NTFS文件系統(tǒng)可以存取FAT文件系統(tǒng)和HPFS文件系統(tǒng)的文件，但其文件卻不能被FAT文件系統(tǒng)和HPFS文件系統(tǒng)所存取，兼容性不是特別好。但從網(wǎng)絡(luò)安全性的角度來(lái)說(shuō)，這種限制也是一種優(yōu)點(diǎn)，它可以保證如果其它操作系統(tǒng)沒(méi)有Windows的安全控制，其用戶(hù)就不能對(duì)NTFS分區(qū)中的文件進(jìn)行訪問(wèn)。另外，如果引導(dǎo)驅(qū)動(dòng)器（也就是C驅(qū)動(dòng)器）使用NTFS文件系統(tǒng)，就不能使用Flexboot選項(xiàng)，因?yàn)镈OS系統(tǒng)只能從C驅(qū)動(dòng)器引導(dǎo)，但不能從NTFS驅(qū)動(dòng)器引導(dǎo)。相對(duì)WindowsNT來(lái)說(shuō)，它的引導(dǎo)分區(qū)可以是FAT、NTFS和HPFS。最后它還存在一個(gè)問(wèn)題，那就是即使使用WindowsNT驅(qū)動(dòng)程序，許多備份實(shí)用程序在操作NTFS分區(qū)時(shí)仍有問(wèn)題。