快好知 kuaihz

Windows 安全性

Windows 2000 安全性

Windows 2000 安全性技术概述--3

为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。因为基于 Windows 2000 的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理。不过请注意,对于 ACL 不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她)。传递信任让管理员更容易定义和配置访问权限。

使用组策略管理安全性

组策略设置是配置设置,管理者可用此设置来控制 Actove Directory 中对象的各种行为。“组策略”是 Active Directory 一项显著的功能,它让您以相同的方式将所有类型的策略应用到众多计算机上。例如,可以使用“组策略”来

配置安全性选项,管理应用程序,管理桌面外观,指派脚本,以及将文件夹从本地计算机重新定向到网络位置。系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户

可以将“组策略”配置设置与三个 Active Directory 容器相关联:组织单元 (OU)、域或站点。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合。

可以使用“组策略”来定义广泛的安全性策略。域级策略应用于域中的所有用户并包含如帐户策略等的信息 - 例如,最短密码长度或用户多久该更改密码一次。可以指定在较低级别是否可改写这些设置。

在使用“组策略”功能来应用广泛的策略后,可以进一步细化个别 PC 上的安全性设置。本地计算机安全性设置控制您想要授予特定用户或计算机的权限和特权。例如可以指定谁可在服务器上进行备份和还原、或希望审核桌上型计算机的数据访问量。

特定计算机的设置是从域到 OU 所有策略设置的组合。例如,在上面的图 1 中,Europe.Microsoft.com 域中用户的设置

是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上设置的所有策略的集合。

身份验证和访问控制

身份验证是系统安全性的基本方面。身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份。Windows 2000 身份验证过程是使单一登录可访问所有网络资源的过程的一部分。使用单一登录,用户可以用单一密码或智能卡登录到域中一次,并可对域中任何计算机进行身份验证。

在基于 Windows 2000 的计算环境中,成功的用户身份验证是由两个单独的过程组成的: 互动式登录,这会向域帐户或本地计算机确认用户的身份;以及网络身份验证,这会向用户试图访问的任何网络服务确认用户的身份。

一旦用户帐户经过身份验证并可访问对象时,要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型。至于域中的对象,该对象类型的对象管理器会实施访问控制。例如,注册表会对注册表项实施访问控制。

本节后面会更为详尽地描述 Windows 2000 身份验证过程及访问控制规定。

身份验证

用户在 Active Directory 中必须有一个 Windows 2000 用户帐户,以登录到计算机或域中。此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。

用户帐户还可用作一些应用程序的服务帐户。也就是说,服务可被配置成以用户帐户登录(身份验证),然后通过该用户帐户授予对特定网络资源的访问权限。

就像用户帐户一样,Windows 2000 计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。每一台您想要授予访问资源权限的基于 Windows 2000 计算机都必须有一个唯一的计算机帐户。

注意 运行 Windows 98 和 Windows 95 的计算机没有那些运行 Windows 2000 和 Windows NT 的计算机所拥有的高级安全功能,并且在基于 Windows 2000 的域中不能被指派计算机帐户。不过,您可以登录网络并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的计算机。

Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份。在使用 Extranet 和电子商务应用程序来延伸您的网络到公司外的用户时,这个机制就非常重要。

用户进入网络时,用户必须提供身份验证信息以便安全系统身份验证其身份,之后再决定要允许该用户以什么权限(如果有的话)访问网络资源。Kerberos 身份验证协议(描述如下)用来验证您公司中的 Windows 2000 用户的身份。当将系统延伸到合作伙伴、供货商和 Internet 上的客户时,您必须支持多种方法让您公司以外的.用户证明他们的身份。

为了帮助您满足这种需求,Windows 2000 支持数种产业标准身份验证机制,包括 X.509 证书、智能卡和 Kerberos 协议。此外,Windows 2000 还支持在 Windows 中使用多年的 NTLM 协议,并为开发生物身份验证机制的厂商提供接口。

详解Win2000的12个安全防范对策

由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系统的。但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们该如何通过合理的方法来防范Win2000的安全呢?下面笔者搜集和整理了一些防范Win2000安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。

1、及时备份系统

为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Win2000完好的系统进行备份,最好是在一完成Win2000系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。

2、设置系统格式为NTFS

安装Win2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。选择Win2000文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且Win2000新增的磁盘限额服务还可以控制每个用户允许使用的磁盘空间大小。

3、加密文件或文件夹

为了防别人偷看系统中的文件,我们可以利用Win2000系统提供的加密工具,来保护文件和文件夹。其具体操作步骤是,在“Win 资源管理器中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性。单击“常规选项卡上的“高级,然后选定“加密内容以保证数据安全复选框。

4、取消共享目录的EveryOne组

默认情况下,在Win2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。

用Win2000 Server实现安全文件服务器(图)

两人之间共享文件,可按“网上邻居法设置共享目录;如果共享文件给多个人,可效仿“FTP法建立一个简单的FTP服务器。难道掌握了这些本领,我们真的就高枕无忧了吗?

要回答上面的问题,让我们先来看看下面几种情况:如果权限分配出现失误,文件的普通访问者变成了控制者;如果当你好意提供给别人的上传空间时,很可能被感染了活动猖獗的蠕虫病毒;如果办公室里有很多人都想共享自己的文件,难道每个人都在自己的电脑上;

建立共享目录或者FTP服务器?说到这里,你也就明白在力求工作效率与计算机安全的办公环境中,“网络邻居法与“FTP法都远远不及“专职文件服务器 (一台安装了Windows 2000 Server操作系统而且随时听候我们调用的服务器)。下面我们就来建立一台可以指定一定空间给同事们使用又能最大限度防止受病毒侵害的文件服务器。

初级篇

让我们从Windows 2000磁盘限额分配方法谈起。安装设置完成Windows 2000 Server以后,作为文件服务器管理员的你就得考虑划分一个专用于存放共享文件的分区,如果你的系统分区是C,那么建议共享文件的分区分配在D或者E等分区,做好这一步之后继续。

1.将分区格式转换成NTFS

采用NTFS格式的分区是实现磁盘限额的基本条件。众所周知,如果共享目录所在的分区采用FAT32格式,而你又分配给同事写入数据的权限,那这个分区的可用空间就开始处在不确定状态中,而且你很难掌控空间的使用情况。如果磁盘分区采用NTFS这种更加高效安全的分区格式,那么你就能决定同事最多能占用多大的空间,就能顺理成章地把握整个分区乃至磁盘空间的使用状态。现在的分区仍然是FAT32吗?赶快转换成NTFS吧!

小知识如何将FAT32转换成NTFS分区格式?

方法一:使用Windows 2000的分区转换命令Convert.exe。例如,要把D分区由FAT32转换成NTFS,操作步骤是:点击“开始→运行;在运行输入框中输入命令 Convert D: /FS: NTFS;在输入卷标提示后面输入D分区的卷标,如D_DISK。剩余的工作就交给Windows 2000自动去完成了。

方法二:使用Server Magic 4.0等专业分区管理软件(这里略过不谈)

2.启用磁盘限额

用鼠标右击D分区,在弹出的快捷菜单中选中“属性,在D分区属性窗口中切换到“配额选项卡――这就是磁盘限额功能所在的地方啦。然后,依次点击选中 “启用配额管理和“拒绝将磁盘空间给超过配额限制的用户两个选项,接下来就根据办公室和服务器的情况来决定磁盘空间限制为多少,本例中的限制为 100MB。

Windows 2008与Windows 7并存时的故障详解

上周末,我下了很大的决心,对笔记本计算机进行了全面清理,以便安装Windows 7 RTM。经常阅读我文章的读者应该知道,从2008年底开始,我就一直在使用Windows 7测试版。当Windows 7候选发布版到来时,我采取的是非常规安装方式,直接从测试版升级到RC版(微软并不支持这样的操作)。但这次,我决定采用全新安装的方式升级到Windows 7 RTM,如同在上周的文章中说的一样。

尽管我努力注意保证小心不出大错,但在Windows 7启动管理器的环节还是出现了问题。下面就描述一下出现问题的情况和我发现的解决方法。

在多启动模式下开始安装

目前,我的笔记本计算机的主要应用于为客户运行产品展示之类的日常工作,偶尔也会运行任教的课程项目。在一个外置的串行ATA硬盘中,我已经安装了采用多启动模式的Windows Server 2008。

我相信,在Windows 7 RTM的安装过程中,连接外部驱动器的话,会让安装向会检测到是需要配置多启动模式,并希望它可以自动进行配置,这样的话,我也就不必对整个过程进行过多的干预了。

这样做导致了相当有趣的结果是。在整个安装过程中,并没有出现问题;在重新安装了Office 2007和Live在线服务后,我安装了几个软件并对一些设备进行了简单配置,准备导入旧数据。

因为我首先进行的是重新加载备份数据的操作,所以并没有马上发现这个问题。直到我退出安装光盘,才发现找不到启动设备了。

更糟糕的是,我发现即使是拔掉外部驱动器使用启动盘也无法启动系统了。

于是,我首先采用光盘启动模式,并使用F8键。选择对系统和启动菜单进行修复。但系统没有发现任何问题,我又选择利用安装光盘进行处理,但得到的结果也是相同的。我只好进入命令行模式并使用BCDEDIT进行处理,以找出启动模式使用的实际分区。

为了获得这些信息,必须在系统管理员的权限下运行命令行模式,具体内容如图A所示:

图 A

BCEDIT显示出问题的所在

结果显示开机管理器选择的是外置串行ATA硬盘所在的D盘作为启动盘。

为了更改这项设置,我输入:bcdedit /set device “partition=C:

我还发现C盘和刚刚使用的D盘一样也包含了开机管理器的文件。这就是我发现最有趣的地方,看起来是没有办法解决这个问题了。

于是,我输入下面的命令选择使用开机管理器的备份文件:bcdedit /export c:filename

接下来,我使用安装光盘重新启动计算机,并选择修复系统。并通过命令行模式删除笔记本内部驱动器和外部串行ATA硬盘上的bootmgr.efi文件。

最后,我关闭系统并且断开外部串行ATA硬盘。重新利用安装光盘启动系统。选择修复系统,在安装向导为Windows安装进行自动扫描的时间,它马上发现了问题,并给出修复的选项。我选择同意,并在没有外部串行ATA硬盘和安装光盘的情况下,重新启动计算机。

这次终于成功了!

现在,在启动菜单中,我可以选择Windows 7(恢复)和Windows Server 2008(恢复) 两种系统了。

当Windows 7开始正常工作后,我选择关闭系统并连接外部串行ATA硬盘。当重新启动后,我选择安装Windows Server 2008,这样其运行的也非常好。

BCDEDIT的正确输出结果如图B所示。

图 B

故障排除后的BCEDIT

为了消除显示项目中的恢复字样,可以输入下面的命令:

Bcdedit /set description “Windows 7 Ultimate

Bcdedit /set description “Windows Server 2008 Enterprise

需要注意的是:替换为其它任何内容都是可以的。

关键原因是什么?

我相信导致这一问题的根本原因是选择全新安装Windows 7 RTM的时间,安装向导发现了Server 2008并将其作为主要启动设备,因此,这导致了bootmgr文件被复制,并自动进行配置,引起了问题的发生。

你在安装Windows 7 RTM的时间,遇到过什么奇怪的问题么?如果有的话,请告诉我,对此我非常有兴趣。

发现一个windows7与chrome兼容性问题

周末在家,本想着继续写完青海游记,没想到在使用chrome浏览器编辑谷歌在线文件时,每当文件自动保存时就会造成网络中断,只有重新启动电脑才能恢复。开始我并没有发现究竟是什么原因,经过几次反复调试之后,我才发现windows7与chrome之间存在着一些兼容性问题,而这在之前的windows2003操作系统中从未遇到过,这不得不让我想到,微软与谷歌之间的恩怨,会不会正在我的电脑中上演呢?

将这一问题发布上网,没有发现其他人也遇到过类似的问题,当然更谈不上有什么好的解决方案了,于是又跑去谷歌产品论坛上发贴子,希望我的反馈能让这两家公司注意一下,尽快解决一下这个bug——要知道这太影响我的心情了,不过如果问题出在我的设备上,我可就太冤了。

不管怎么样,写作还要继续,在问题解决前,我只能使用IE8继续编辑谷歌文档了。

微软发布Windows 7更新:解决部分程序兼容性问题

微软本周通过Windows Update为Windows 7和Windows Server 2008 R2发布了首次升级,此次升级主要解决系统与某些游戏、应用和固件的兼容性问题,如果你的Windows系统还没有收到Windows Update的推送,你也可以微软下载中心下载。此前微软也曾经为Windows 7发布过应用程序兼容性升级,不过那些都是专为Windows 7 Beta(Build 7000)和RC(Build 7100)测试人员提供的。微软计划今后为Windows 7和Windows Server 2008 R2不断发布应用程序兼容性升级,此次发布只是个开端。

此次升级解决了以下应用程序与Windows 7的兼容性问题:Alcohol 52%、Altiris和赛门铁克虚拟软件6.1.499.x版本、ZoomText version 9.18、戴尔打印机驱动(V105、V305、V505)、Trend Micro Internet Security 2007、Trend Micro Internet Security 2008、Trend Micro Internet Security 2009、移动飞信2.2.X和3.5.X版本、PGP Desktop 9.x、Trend Micro VirusBuster 2008、Windows Live相册。

官方下载:

32位Windows 7(1.77MB):

http://www.microsoft.com/downloads/details.aspx?FamilyId=87bc03c6-4e24-4706-ae99-5c57ce50a970&displaylang=en

64位Windows 7(1.90MB):

http://www.microsoft.com/downloads/details.aspx?FamilyId=0f9e69a3-c29d-4538-af0e-c081635c65c5&displaylang=en

Windows Server 2008 R2(1.90MB):

http://www.microsoft.com/downloads/details.aspx?FamilyId=29de679b-3aa5-41ae-a425-35579fffbe20&displaylang=en

Windows Server 2008 R2 for Itanium(1.97MB):

http://www.microsoft.com/downloads/details.aspx?FamilyId=cf65da8d-04cb-41e0-80e5-a7f24cf4548a&displaylang=en

本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:Windows 安全性  安全性  安全性词条  Windows  Windows词条  
电脑

 夏日电脑除尘的注意点

夏日电脑除尘的注意点对于多数普通用户来说,机箱那是很久都不会打开一次,更谈不上给电脑做做清洁了,现在天气热了,不少用户开始发现自己的电脑频繁出现死机、重启的问题...(展开)

电脑

 无线路由器设置好了上不了网

无线路由器设置好了上不了网换个路由器测试下能够上网;虽然路由器损坏的可能性比较小,但是还是存在的。如果你的B-Link路由器已经损坏了,无论你怎么设置,肯定是上...(展开)

电脑

 无线路由器怎么连接

无线路由器怎么连接随着信息技术的告诉发展,我们的生活现在已经离不开路由器了。那么无线路由器怎么连接呢?下面就让jy135小编来告诉大家吧,欢迎阅读。第一步:连接...(展开)