信息安全竞赛培训Windows安全管理ppt课件.ppt

《信息安全竞赛培训Windows安全管理ppt课件.ppt》由会员分享，可在线阅读，更多相关《信息安全竞赛培训Windows安全管理ppt课件.ppt（80页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 WindowsWindows安全管理培安全管理培安全管理培安全管理培训训为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能主要内容WindowsWindows系统安全性系统安全性Windows安全体系构架Windows安全配置Windows系统高级安全配置Windows系统的审计分析为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能操作系统安全定义 信息安全的五类服务，作为安全的操作系统时必须提供的信息安全的五类服务，作为安全的操作系统时必须提供的 有些操作系统所提供的服务

2、是不健全的、默认关闭的有些操作系统所提供的服务是不健全的、默认关闭的为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能信息安全评估标准ITSEC和TCSECTCSEC描述的系统安全级别D-ACC(Common Critical)标准BS 7799:2000标准体系ISO 17799标准为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能TCSEC安全等级安全级别安全级别描述描述D D最低的级别。如最低的级别。如MS-DOSMS-DOS计算机，没有安全性可言计算机，没有安全性可言

3、C1C1自主安全保护。系统不需要区分用户。可提供根本的访问控制大自主安全保护。系统不需要区分用户。可提供根本的访问控制大部分部分UNIXUNIX达到此标准。达到此标准。C2C2可控访问保护。系统可通过注册过程、与安全相关事件的审计以可控访问保护。系统可通过注册过程、与安全相关事件的审计以及资源隔离等措施，使用户对他们的活动分别负责。及资源隔离等措施，使用户对他们的活动分别负责。NTNT属于属于C2C2级的系统级的系统B1B1标记安全保护。系统提供更多的保护措施包括各式的安全级别。标记安全保护。系统提供更多的保护措施包括各式的安全级别。如如ATATT T的的SYSTEM VSYSTEM V和和U

4、NIX with MLS UNIX with MLS 以及以及IBM MVS/ESAIBM MVS/ESAB2B2结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。如Trusted XENIX and Honeywell MULTICSTrusted XENIX and Honeywell MULTICSB3B3安全域。提出数据隐藏和分层，阻止层之间的交互。如安全域。提出数据隐藏和分层，阻止层之间的交互。如Honeywell XTS-200Honeywell XTS-200A A校验级设计。需要严格的准确的证明系统不会被危害。如校验级

5、设计。需要严格的准确的证明系统不会被危害。如Honeywell SCOMPHoneywell SCOMP为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能基于C2级标准的安全组件灵活的访问控制-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-Windows NT很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。强制登陆-Windows NT用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计-因为Windo

6、ws NT采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问-Windows NT不允许直接访问系统里的资源。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows系统漏洞导致的损失2004年，Mydoom所造成的经济损失已经达到261亿美元。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。为深入学习习近平新时代中

7、国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能主要内容Windows系统安全性WindowsWindows体系构架体系构架Windows安全配置Windows系统高级安全配置Windows的审计分析为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能服务管理器服务进程系统支持进程本地安全验证服务Windows登录会话管理器应用程序环境子系统Svchost.exeWinmgmt.exeSpoolerServices.exe任务管理器Windows浏览器用户级应用程序子系统动态链接库OS/2POSIX

8、Win32系统服务调度进程核心可调用接口I/O设备设备管理器管理器设备、文件设备、文件驱动程序驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器NTdll,dllWin32UserGDI图形驱动图形驱动HAL（硬件抽象层）Micro kernel安全引用监视器WindowsNT系统构架为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能进程地址空间进程地址空间进程地址空间进程地址空间系统地址空间系统地址空间系统地址空间系统地址空间线程线程线程线程线程线程线程线程线程线程线程线程进程和线程什么是进程？代表了运行程序的一个实例

9、每一个进程有一个私有的内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能系统进程基本的系统进程System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间smss.exe 会话管理子系统，负责启动用户会话csrss.exe 子系统服务器进程winlogon.exe 管理用户登录service

10、s.exe 包含很多系统服务lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务spoolsv.exe 将文件加载到内存中以便迟后打印explorer.exe 资源管理器internat.exe 托盘区的拼音图标为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能系统进程树smss.exe对话管理器，第一个创建的进程引入参数 HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(csrss)，然后winlogoncsrss.exeWin32 子

11、系统winlogon.exe 登录进程：装入services.exe 和 lsass.exe 显示登录对话框（“键入CTRL+ALT+DEL，登录）当有人登入，运行在 HKLMSoftwareMicrosoftWindows NTWinLogonUserinit 中的进程（通常只是userinit.exe)services.exe 服务控制器：也是几项服务的出发点 服务的开始进程不是services.exe的一部分 (由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器（打开SAM）userinit.exe 登陆之后启动。启动外壳

12、（通常是Explorer.exe 见 HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonShell)装入配置文件，恢复驱动器标识符映象，然后退出 explorer.exe和它的子进程是所有交互式应用的创建者 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能附加的系统进程mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet

13、 信息服务的管理单元提供信息服务连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)dns.exe 应答对域名系统 (DNS)名称的查询和更新请求。(系统服务)。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows系统的安全架构 Windows NT系统内置支持用户认证、访问 控制、管理、审核。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows系统的安全组件访问控制的判断（Discretion

14、access control）允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用（Object reuse）当资源（内存、磁盘等）被某应用访问时，Windows 禁止所有的系统应用访问该资源，这也就是为什么无法恢复已经被删除的文件的原因。强制登陆（Mandatory log on）要求所有的用户必须登陆，通过认证后才可以访问资源审核（Auditing）在控制用户访问资源的同时，也可以对这些访问作了相应的记录。对象的访问控制（Control of access to object）不允许直接访问系统的某些资源。必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。为深入学

15、习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统的组件（1）安全标识符（Security Identifiers）:就是我们经常说的SID，每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID永远都是唯一的，由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例：S-1-5-21-1763234323-3212657521-1234321321-500访问令牌（Access tokens）:用户通过验证后，

16、登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给Windows 系统，然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统的组件（2）安全描述符（Security descriptors）：Windows 系统中的任何对象的属性都

17、有安全描述符这部分。它保存对象的安全配置。访问控制列表（Access control lists）：访问控制列表有两种：任意访问控制列表（Discretionary ACL）、系统访问控制列表（System ACL）。任意访问控制列表包含了用户和组的列表，以及相应的权限，允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的，包含了对象被访问的时间。访问控制项（Access control entries）:访问控制项（ACE）包含了用户或组的SID以及对象的权限。访问控制项有两种：允许访问和拒绝访问。拒绝访问的级别高于允许访问。为深入学习习近平新时代中

18、国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统（1）安全子系统包括以下部分：WinlogonGraphical Identification and Authentication DLL(GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM)为深入学习

19、习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows 安全子系统（2）WinlogonGINALSASecurity Account ManagementNetlogonAuthentication PackagesSecurity Support ProviderSSPI加载GINA，监视认证顺序加载认证包支持额外的验证机制为认证建立安全通道提供登陆接口提供真正的用户校验管理用户和用户证书的数据库为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统（

20、3）Winlogon and Gina:Winlogon调用GINA DLL，并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（指纹、视网膜）替换内置的GINA DLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon NTCurrentVersionWinlogon，如果存在，如果存在GinaDLLGinaDLL键，键，Winlogon

21、Winlogon将使用这个将使用这个DLLDLL，如果不存在该键，Winlogon将使用默认值MSGINA.DLL为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统（4）本地安全认证（Local Security Authority）：本地安全认证（LSA）是一个被保护的子系统，它负责以下任务：调用所有的认证包，检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值，并调用该DLL进行认证（MSV_1.DLL）。在4.0版里，W

22、indows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理信任关系。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统（5）安全支持提供者的接口（Security Support Provide Interface）：微软的Security Support Provide Int

23、erface很简单地遵循RFC 2743和RFC 2744的定义，提供一些安全服务的API，为应用程序和服务提供请求安全的认证连接的方法。所有通过所有通过APIAPI调用进行。调用进行。认证包（Authentication Package）：认证包可以为真实用户提供认证。通过GINA DLL的可信认证后，认证包返回用户的SIDs给LSA，然后将其放在用户的访问令牌中。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows安全子系统（6）安全支持提供者（Security Support Provider）：安全支持提供者是以驱

24、动的形式安装的，能够实现一些附加的安全机制，默认情况下，Windows NT安装了以下三种：Msnsspc.dll：微软网络挑战/反应认证模块Msapsspc.dll：分布式密码认证挑战/反应模块，该模块也可以在微软网络中使用Schannel.dll：该认证模块使用某些证书颁发机构提供的证书来进行验证，常见的证书机构比如Verisign。这种认证方式经常在使用SSL（Secure Sockets Layer）和PCT（Private Communication Technology）协议通信的时候用到。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中

25、小学图书室育人功能Windows安全子系统（7）网络登陆（网络登陆（NetlogonNetlogon）：）：网络登陆服务必须在通过认证后建立一个安全的通道。要实现这网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过个目标，必须通过安全通道与域中的域控制器建立连接，然后，再通过安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回安全的通道传递用户的口令，在域的域控制器上响应请求后，重新取回用户的用户的SIDsSIDs和用户权限。和用户权限。安全账号管理者（安全账号管理者（Security Account Manager

26、Security Account Manager）：）：安全账号管理者，也就是我们经常所说的安全账号管理者，也就是我们经常所说的SAMSAM，它是用来保存用户，它是用来保存用户账号和口令的数据库。保存了注册表中账号和口令的数据库。保存了注册表中HKLMSecuritySamHKLMSecuritySam中的一部分中的一部分内容。不同的域有不同的内容。不同的域有不同的SamSam，在域复制的过程中，在域复制的过程中，SamSam包将会被拷贝。包将会被拷贝。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能用户登录认证过程为深入学习习近平

27、新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能主要内容Windows系统安全性Windows体系构架WindowsWindows安全配置安全配置Windows系统高级安全配置Windows的审计分析为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能身身 份份 认认 证证安全配置程序安全配置程序数据的安全数据的安全EFSIPSecSSL/TLSKerberos证书服务智能卡安全模板组策略安全分析安全策略NTLM安全管理与维护安全管理与维护保护注册表用户管理漏洞与补丁数据备份Win2000基

28、本安全注意事项基本安全注意事项访问控制访问控制TCP/IP权限控制组权限IP安全策略Windows安全配置流程为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Win2000安装配置建立和选择分区建立和选择分区选择安装目录选择安装目录不安装多余的组件不安装多余的组件停止多余的服务停止多余的服务安装系统补丁安装系统补丁为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能多余的组件Internt信息服务（IIS）（如不需要）索引服务Indexing Service消息队列服务（MS

29、MQ）远程安装服务远程存储服务终端服务终端服务授权为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Win2K服务为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能用户身份验证交互式登录使用域帐号使用本地计算机帐户网络身份验证NTLM验证Kerberos V5安全套接字层/传输层安全（SSL/TLS）为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能SYSKEY(1)SYSKEY(1)从NT4 Service Pac

30、k 3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEY。SYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密(不是对SAM文件加密，而是对散列)。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能SYSKEY(2)SYSKEY(2)为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能访问控制NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制为深入学习习近平新时代中国特色社会主义思想和党的十九

31、大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能NTFS与FAT分区权限FAT32NTFS为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能文件权限为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能用户权限Administrators 组Users 组Power Users 组Backup Operators组为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能权限控制原则和特点权限控制原则和特点权限是累计的

32、用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。拒绝的权限要比允许的权限高拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。文件权限比文件夹权限高利用用户组来进行权限控制权限的最小化原则为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能网络访问控制为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能利用IP安全策略实现访问控制设置设置IPSe

33、c策略，禁止策略，禁止Ping。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能EFS加密文件系统简介EFSEFS（Encrypted File SystemEncrypted File System，加密文件系统）是，加密文件系统）是Windows NT 5.0Windows NT 5.0之后所特有的一个实用功能，对于之后所特有的一个实用功能，对于NTFSNTFS卷卷上的文件和数据，都可以直接被操作系统加密保存，在很上的文件和数据，都可以直接被操作系统加密保存，在很大程度上提高了数据的安全性。大程度上提高了数据的安全性。采用单一密

34、钥技术核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数据加密用户使用透明，其他用户被拒绝不能加密压缩的和系统文件，加密后不能被共享、能被删除建议加密文件夹，不要加密单独的文件为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能EFS恢复代理故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。默认的超级管理员就是恢复代理默认的超级管理员就是恢复代理使用条件：当加密密钥丢失为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精

35、神,充分发挥中小学图书室育人功能IPSecIPSec组件组件身份认证报头AH协议提供数据源身份认证、数据完整性保护负载安全封装ESP协议提供数据保密、数据源身份认证、数据完整性因特网安全关联和密钥管理协议IKE(以前被叫 ISAKMP/Oakley)提供自动建立安全关联和管理密钥的功能为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能IPsec工作模式（1）IPsec的传输模式默认配置，提供点到点的安全IPsec的隧道模式数据的封装、发送和拆封称为隧道，在路由器两端配置保护路由间的通讯为深入学习习近平新时代中国特色社会主义思想和党的十

36、九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能IPsec工作模式（2）为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能IPSec的安全性使用IPSec可以避免数据包被跟听、篡改。安装IPSec后,客户端和服务器端都会消耗一定资源来对数据加密/解密。如果使用IPSec考虑安全性的级别。还要考虑IPSec策略的过滤器配置个数。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能本地安全策略本地安全策略-帐号策略帐号策略账户策略-密码策略中设定：密码复杂性要求 启用密

37、码长度最小值 6位强制密码历史 5次最长存留期 30天账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能本地安全策略-本地策略审核策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。用户权利分配：决定在计算机上有登录/任务特权的用户或组。安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。为深入学习习近平新时代中国特色社会主义思想

38、和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能安全模板与配置分析工具安全模板安全配置分析配置计算机为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能预定义安全模板默认工作站(basicwk.inf)默认服务器(basicsv.inf)默认域控制器(basicdc.inf)兼容工作站或服务器(compatws.inf)安全工作站或服务器(securews.inf)高度安全工作站或服务器(hisecws.inf)专用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hise

39、cdc.inf)为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能用户管理更改超级管理名称取消guest帐号合理分配其它用户权限为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Regedit与Regedt32的区别regeditregedt32使用较新的Windows 9x/me用户界面使用较早的windows3.1用户界面可搜索：键名、值名、值内容只能搜索键名可以搜索并编辑远程注册表可以搜索并编辑远程注册表在一个窗口中显示整个注册表对每一控制项显示各自的窗口可以导出、导入

40、文本文件可以导出但不能导入文本文件不能导出或导入二进制文件可以导出并导入二进制文件不能提供“只读”模式提供“只读”模式，但不作为缺省形式不提供安全特性支持完整的Windows NT/2000访问控制和审计存放在winnt文件夹里存放在winntsystem32文件里只完全支持Windows 9x/me 注册表数据类型（字符串、二进制、DWORD）支持全部Windows NT/2000注册表数据类型/字符串、二进制、DWORD、多字符串、可扩展字符串、资源描述为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能注册表安全设置不显示上次登录

41、的用户名HKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogonHKLMSoftwareMicrosoftWindows NTCurrentVersionsWindlogon将将DontDisplayLastUserNameDontDisplayLastUserName的值设为的值设为1 1禁止默认网络共享服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersKey:HKLMSYSTEMCurrentControlSetServiceslanmanserverpar

42、ametersName:Name:AutoShareServerAutoShareServerType:DWORDType:DWORDValue:0Value:0工作站：Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersKey:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:Name:AutoShareWksAutoShareWksType:DWORDType:DWORDValue:0Value:0禁止枚举域内用户Key:HKLMSYSTEMCur

43、rentControlSetControlLsaKey:HKLMSYSTEMCurrentControlSetControlLsaName:Name:RestrictAnonymousRestrictAnonymousType:REG_DWORDType:REG_DWORDValue:1|2Value:1|2为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能备份和还原数据将文件备份到文件或磁带备份“系统状态”数据使用备份向导备份文件计划备份将文件备份到Microsoft Exchange为深入学习习近平新时代中国特色社会主义思想和党的

44、十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能系统漏洞及修复输入法漏洞空会话漏洞unicode漏洞.ida/.idq缓冲区溢出漏洞.print isapi扩展远程缓冲区溢出Frontpage 服务器扩展漏洞sqlserver 空口令Windows接口远程缓冲区漏洞 为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能主要内容Windows系统安全性Windows体系构架Windows安全配置WindowsWindows系统高级安全配置系统高级安全配置Windows的审计分析为深入学习习近平新时代中国特色社会主义思想和党的

45、十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能Windows系统高级安全配置域域PKI体系的建立AD下的组策略为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能域的基本概念活动目录信任边界管理为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能活动目录（AD）域控制器通过域控制器通过ADAD来提供目录的服务。来提供目录的服务。所有域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源。目录服务为管理

46、员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码，用户只需一次登录，即可访问本目录服务也为用户提供唯一的用户名和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行）。域或有信任关系的其它域上的所有资源（当然用户得有权限才行）。目录服务的功能目录服务的功能目录服务的功能目录服务的功能n组织组织n管理管理n控制控制资源资源集中管理集中管理集中管理集中管理n单点管理单点管理n单点登陆可访问所有的目录服务资单点登陆可访问所有的目录服务资源源为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育

47、大会精神,充分发挥中小学图书室育人功能利用活动目录来实行集中式管理活动目录:活动目录是采用分层结构来存储网络对象信息的一种网络管理体系活动目录可以提供存储目录数据和网络用户及管理员使用这些数据的方法可以使一个管理员集中管理网络资源可以使管理员容易的确定对象的信息可以使管理员把相似的对象组织到组织单元中可以使管理员给站点、域或组织单元指定具体的组策略设置OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1 Computer1Printer1User2搜索搜索搜索搜索为深入学习习近平新

48、时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能创建域通过将一台或几台Windows 2000服务器提升为域控制器，就可以很容易地创建Windows 2000域域控制器(Domain Controller,DC)是共享的域信息的安全存储仓库，同时也作为域中认证的中央控制机构在Windows 2000域中，所有的域控制器都是对等的都是对等的，它们之间进行的域信息复制称为多主机复制多主机复制为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能树和森林（1）由于Windows 2000活动目录的实现

49、，域已经不再像NT中那样是逻辑上的管理边界，在活动目录层次中，在域之上还存在“树”和“森林”的结构。树在很大程度上只是命名上的约定，没有太多安全上的含义，但是森林划分了Windows 2000目录服务的边界，它是管理控制的根本界限。活动目录与域紧密结合构成域目录林和域目录树，使大型网络中庞大、复杂的网络管理、控制、访问变得简单，使网络管理的效率更高。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能树和森林（2）为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能信任关系Win

50、dows 2000可以在域间形成信任关系。信任关系只是创建了域间的隐含访问能力，但是并没有显式地启用。信任可以是单向的或双向的。单向信任意味着一个域信任另一个域，反过来不存在信任。双向信任定义了两个域之间相互信任。信任可以是可传递的和不可传递的。可传递的信任意味着如果域A传递信任域B，而域B传递信任域C，则域A就传递信任域C。在默认情况下，Windows 2000森林中的所有域之间都存在可传递的、双向的信任可传递的、双向的信任。为深入学习习近平新时代中国特色社会主义思想和党的十九大精神,贯彻全国教育大会精神,充分发挥中小学图书室育人功能安全边界由于森林中各个域之间自动建立的双向可传递的信任，导