关于Windows 2000 安全性技术概述
Windows 2000 安全性技术概述
域是网络对象(包括组织单元、用户帐户、组和计算机,他们都共享与安全性有关的公用目录数据库)的集合。域形成 Active Diectory 内逻辑体系结构的核心单元,因此在安全性中扮演重要角色。如果将对象分组到一个或多个域中,您的网络就可反映您公司的组织方式。
较大型的组织可以含有多个域,这种情况下的域层次结构就称为域目录树。第一个创建的域是根域,它是在其下创建的域的父域,其下的域称为子域。若要支持非常大型的组织,可将域目录树链接在一起,形成一种称为目录林的排列。(在使用多个域控制器的情况下,Active Directory 会按固定时间间隔复制到域中的每个域控制器上,以使数据库永远同
步。)
域可标识一个安全机构,并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界。特定域的管理员只在本域中有设置策略的权限。这对大型企业的帮助很大,因为不同的管理员可以创建并管理组织中不同的域。此管理含义在下面的“管理委派”部分有进一步的探讨。
站点是在学习有关 Active Directory 的知识时会碰到的另一个术语。域通常会反映一个组织的商业结构,而站点则通常被用来定义与地理分布有关的 Active Directory 服务器组。这些计算机通常都以高速链接来连接,但它们彼此之间可以有也可以没有逻辑关系。例如,若您有一个大型建筑物供一些相对无关的组织活动使用,如视频产品设备、备办食物、文件存储等,则这栋建筑物中的 Active Directory 服务器可以被当作一个站点(即使在该服务器上所完成的处理是不相关
的)。
所谓组织单元(OU),是指一个容器,可用它将对象组织成域中的逻辑管理组。OU 可包含对象,如:用户帐户、组、计算机、打印机、应用程序、文件共享和其他的 OU。
对象包含关于个别项目(如特定用户、计算机或硬件)等的信息(称为属性)。例如,用户对象的属性可能包含姓和名、电话号码和管理器名称。计算机的对象可能包含计算机的位置及访问控制列表 (ACL),列表中会指定对该计算机拥有访问
权限的组和个人。
通过将信息分组到域和 OU 中,可以管理对象集合(如用户组和计算机组)的安全性,而不是逐个管理每个用户和对象。此概念将在下面的“使用组策略来管理安全性”部分作进一步描述。首先,还有另一个对了解安全性如何使用 Active
Directory 极为重要的概念:信任。
域间的信任关系
为了让用户登录网络一次就可以使用网络上所有资源(通常称为单一登录能力),Windows 2000 支持域间的信任关系。所谓信任关系,是指一种逻辑关系,这种逻辑关系在域之间建立,用来支持直接传递身份验证,让用户和计算机可以在目录林的任何域中接受身份验证。这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问。这种穿越许多域的能力说明了传递信任这个术语,它是指跨越一连串信任关系的身份验证。
基于 Windows NT 的网络使用单向、非传递的信任关系。相反,当基于 Windows 2000 的域被组织成目录树时(如上面的 图 1 所示),域间会创建隐含信任关系。这使在中型和大型组织中建立域间的信任关系更为容易。属于域目录树的域定义与目录树中的父域的双向信任关系,而所有域都隐含地信任目录树中的其他域。(如果有不应该有双向信任的特定域,您应该定义明确的单向信任关系。)对于具有多个域的组织,使用 Windows 2000 比使用 Windows NT 4.0,明确的单向信任关系总数显著减少,这种改变将大大简化域的管理。传递信任在默认情况下建立于目录树中,这样做之所以有意义是因为
通常是由单个管理员来管理一个目录树。但因为目录林不太可能被单个管理员控制,因此目录林的目录树间的传递信任关系必须特别创建。
有关信任关系工作方式的说明,请再次参考上面的图 1。Windows 2000 自动于根域 (Microsoft.com) 及其两个子域(FarEast.Microsoft.com 和 Europe.Microsoft.com)间建立双向信任关系。此外,因为 Microsoft.com 信任这两个子域,因此信任关系也在 FarEast 和 Europe 域间传递性地建立。这些关系在基于 Windows 2000 的域间自动建立。在有基于 Windows 2000 和基于 Windows NT 域的网络中,管理员可以创建用在基于 Windows NT 的网络中明确的单向信任关系。
详解Win2000的12个安全防范对策
由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系统的。但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们该如何通过合理的方法来防范Win2000的安全呢?下面笔者搜集和整理了一些防范Win2000安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。
1、及时备份系统
为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Win2000完好的系统进行备份,最好是在一完成Win2000系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的"并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。
2、设置系统格式为NTFS
安装Win2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。选择Win2000文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且Win2000新增的磁盘限额服务还可以控制每个用户允许使用的磁盘空间大小。
3、加密文件或文件夹
为了防别人偷看系统中的文件,我们可以利用Win2000系统提供的加密工具,来保护文件和文件夹。其具体操作步骤是,在“Win 资源管理器中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性。单击“常规选项卡上的“高级,然后选定“加密内容以保证数据安全复选框。
4、取消共享目录的EveryOne组
默认情况下,在Win2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。
用Win2000 Server实现安全文件服务器(图)
两人之间共享文件,可按“网上邻居法设置共享目录;如果共享文件给多个人,可效仿“FTP法建立一个简单的FTP服务器。难道掌握了这些本领,我们真的就高枕无忧了吗?
要回答上面的问题,让我们先来看看下面几种情况:如果权限分配出现失误,文件的普通访问者变成了控制者;如果当你好意提供给别人的上传空间时,很可能被感染了活动猖獗的蠕虫病毒;如果办公室里有很多人都想共享自己的文件,难道每个人都在自己的电脑上;
建立共享目录或者FTP服务器?说到这里,你也就明白在力求工作效率与计算机安全的办公环境中,“网络邻居法与“FTP法都远远不及“专职文件服务器 (一台安装了Windows 2000 Server操作系统而且随时听候我们调用的服务器)。下面我们就来建立一台可以指定一定空间给同事们使用又能最大限度防止受病毒侵害的文件服务器。
初级篇
让我们从Windows 2000磁盘限额分配方法谈起。安装设置完成Windows 2000 Server以后,作为文件服务器管理员的你就得考虑划分一个专用于存放共享文件的分区,如果你的系统分区是C,那么建议共享文件的分区分配在D或者E等分区,做好这一步之后继续。
1.将分区格式转换成NTFS
采用NTFS格式的分区是实现磁盘限额的基本条件。众所周知,如果共享目录所在的分区采用FAT32格式,而你又分配给同事写入数据的权限,那这个分区的可用空间就开始处在不确定状态中,而且你很难掌控空间的使用情况。如果磁盘分区采用NTFS这种更加高效安全的分区格式,那么你就能决定同事最多能占用多大的空间,就能顺理成章地把握整个分区乃至磁盘空间的使用状态。现在的分区仍然是FAT32吗?赶快转换成NTFS吧!
小知识如何将FAT32转换成NTFS分区格式?
方法一:使用Windows 2000的分区转换命令Convert.exe。例如,要把D分区由FAT32转换成NTFS,操作步骤是:点击“开始→运行;在运行输入框中输入命令 Convert D: /FS: NTFS;在输入卷标提示后面输入D分区的卷标,如D_DISK。剩余的工作就交给Windows 2000自动去完成了。
方法二:使用Server Magic 4.0等专业分区管理软件(这里略过不谈)
2.启用磁盘限额
用鼠标右击D分区,在弹出的快捷菜单中选中“属性,在D分区属性窗口中切换到“配额选项卡――这就是磁盘限额功能所在的地方啦。然后,依次点击选中 “启用配额管理和“拒绝将磁盘空间给超过配额限制的用户两个选项,接下来就根据办公室和服务器的情况来决定磁盘空间限制为多少,本例中的限制为 100MB。
快速安全删除USB设备的小技巧一则
不知为何最近右下角的托盘图标都显示不出来了,只剩下杀毒软件、虚拟光驱和MSN,其他的都看不到。也不是折叠的问题。插上USB设备后,安全删除USB设备的图标也不出来,只能去设备管理器里面去删除,很麻烦。
上网查了查,虽然没能解决托盘图标消失的问题,但找到了如何安全删除USB的命令:
rundll32 shell32.dll, Control_RunDLL hotplug.dll
运行上述命令即可打开“安全删除硬件的对话框。做成快捷方式就比较方便了。
Winodws 7 RTM中很有用的安全策略
我们知道,很多木马病毒,执行前一般都会在系统的temp(临时文件夹)目录生成并试图启动,再做其他动作。在Windows7中,无论文件是否有数字签名,若发现在Temp文件夹中试图运行,那么就会
拦截界面可以说是相当的土,但是也相当简明易懂。 例如经常有一些WinRAR自解压程序,试图在临时文件夹下释放一些文件并运行,这个时候,windows7就会弹出如下提示:
如果该文件有数字签名,还会显示该文件的签名信息,并可点击文字查看其证书信息。
以后在Temp文件夹下运行的木马,可就不是那么容易“无声无息”了。
玩转Windows Vista的安全模式
Vista安全模式的进入方法
安全模式是windows系统的一个特殊模式,说它特殊是因为在安全模式中,系统将尽可能地在最小模式运行,因此很多第三方设备驱动和程序都不会在系统启动时加载。也正是因为这些原因,在安全模式中才可以更好地维护和修复系统故障。
要进入到vista的安全模式有两个方法,一是当系统完成bios自检后迅速按下F8键,这样就进入到了系统启动模式选择菜单,选择”安全模式”就可以了。此外也可以在正常模式启动系统后,点击开始按钮并输入msconfig,接下回来后打开系统配置,进入到系统配置/启动,勾选安全启动后按下确定即可。这时会提示重新启动,点击”确定”后重新启动系统即可自动进入到安全模式。
PS:开机后按下键盘的ctrl键也可以进入到启动模式选择界面,msconfig的方法同样适用于windows xp系统,另外如果系统每次开机都自动进入安全模式,去掉安全启动的勾选就可以解决了。
Vista安全模式的分类
发全模式并不只有一种,它包含了以下几种常见模式,当系统出现问题时就可以根据需要选择合适的安全模式了。
安全模式:只加载系统最基本的驱动和系统文件,不支持网络连接。
带网络连接的安全模式:在安全模式的基础上增加了网络连接的支持,但部分网络软件无法正常运行,可作为调试网络或检测恶意软件之用。
带命令提示符的安全模式:可以说是最简单的安全模式,在登录窗口听到屏幕只保留了命令提示符,该模式自然也不支持网络连接。
低分辨率视频模式:在该模式下无法修改屏幕分辨率,但可以重新安装驱动程序,适合显卡驱动异常时修复和卸载之用。
最后一次正确的配置:根据系统上次关闭时的注册表和驱动程序来启动系统,当设置出现异常时可以修复系统,但无法解决文件或驱动丢失等情况。
Vista安全模式小技巧
快速还原系统
Vista系统如果无法正常启动,可以进入到安全模式还原备份系统。依次进入到到”开始/所有程序/附件/系统工具/系统还原”,选择合适的还原点后点吉下一步,根据提示即可恢复系统到创建还原点时的状态了。此外也可以在”命令提示符”内输入”%systemroot%system32restorerstrui.exe,按下回车后根据提示完成系统的恢复。
删除顽固文件或文件夹
在vista系统中,经常会遇到某些文件或文件夹无法删除的情况,会出现当前文件正在使用中的提示。其实无需借助”冰刃”等第三方软件,在”安全模式”中就可以轻松删除这些文件。进入到安全模式后由于众多程序都不会随着系统加载,因此文件的控制权自然得以释放,因此文件就可以正常删除了。在安全模式中还可以更完全地卸载某些软件,或是彻底查杀病毒。
卸载错误的驱动
驱动安装不正确不仅硬件无法正常使用,还可能导致系统崩溃,尤其是硬盘或显卡等驱动。遇到这样的问题就可以进入到安全模式中卸载已安装的驱动,这样再次以正常模式启动系统后安装正确的驱动就可以了。”安全模式”还可以让很多工作更高效,比如磁盘清理,碎片整理或是重新分区等,当系统出现问题时不要惊慌,通过安全模式也许就能让问题得以解决呢。