1、l1) 1) 用戶驗證：它檢查嘗試登錄到域或訪問網絡資源的所有用戶的身份。用戶驗證：它檢查嘗試登錄到域或訪問網絡資源的所有用戶的身份。l2) 2) 基于對象的訪問控制：允許管理員控制對網絡中資源或對象的訪問。管理員通過對存儲在活動目錄中的對象指定安全描述符的方式來執行訪問控制。安全描述符將列出基于對象的訪問控制：允許管理員控制對網絡中資源或對象的訪問。管理員通過對存儲在活動目錄中的對象指定安全描述符的方式來執行訪問控制。安全描述符將列出獲得訪問許可權限的用戶和組以及指定給這些用戶和組的特殊權限。安全描述符還指定了針對對象審核的各類訪問事件，對象實例包括文件、打印機和服務等。通過管理對獲得訪問許

2、可權限的用戶和組以及指定給這些用戶和組的特殊權限。安全描述符還指定了針對對象審核的各類訪問事件，對象實例包括文件、打印機和服務等。通過管理對象屬性，管理員可以設置權限、指定所有權和監視用戶訪問。象屬性，管理員可以設置權限、指定所有權和監視用戶訪問。l3) 3) 活動目錄和安全性：活動目錄通過使用對象的訪問控制和用戶憑據提供用戶賬戶和組信息的保護存儲。由于活動目錄不僅存儲用戶憑據，還包括訪問控制信息，所以登活動目錄和安全性：活動目錄通過使用對象的訪問控制和用戶憑據提供用戶賬戶和組信息的保護存儲。由于活動目錄不僅存儲用戶憑據，還包括訪問控制信息，所以登錄到網絡的用戶可同時獲得訪問系統資源的驗證和授

3、權。錄到網絡的用戶可同時獲得訪問系統資源的驗證和授權。l1.4.2.3 1.4.2.3 公用密鑰公用密鑰l公用密鑰加密技術是保證認證和完整性的安全質量最高的加密方法，用來確定某一特定電子文檔是否來自于某一特定客戶機。公用密鑰基本系統簡稱公用密鑰加密技術是保證認證和完整性的安全質量最高的加密方法，用來確定某一特定電子文檔是否來自于某一特定客戶機。公用密鑰基本系統簡稱DKIDKI，是一個進行數字，是一個進行數字認證、證書授權和其他注冊授權的系統。認證、證書授權和其他注冊授權的系統。l通過公用系統密鑰基本體系，管理員驗證訪問信息人員的身份，并在驗證身份的前提下控制其訪問信息的范圍，在組織中方便安全地

4、分配和管理識別憑據等安全問題。通過公用系統密鑰基本體系，管理員驗證訪問信息人員的身份，并在驗證身份的前提下控制其訪問信息的范圍，在組織中方便安全地分配和管理識別憑據等安全問題。l1.4.2.4 1.4.2.4 數據保護數據保護l數據的保密性和完整性從網絡驗證開始，用戶可以使用正確的憑據登錄到網絡，并在該過程中獲得訪問存儲數據的權限。數據的保密性和完整性從網絡驗證開始，用戶可以使用正確的憑據登錄到網絡，并在該過程中獲得訪問存儲數據的權限。lWindowsWindows支持兩種數據保護類型支持兩種數據保護類型存儲數據和網絡數據：存儲數據和網絡數據：l1) 1) 存儲數據保護：用戶可以使用加密文件系

5、統存儲數據保護：用戶可以使用加密文件系統 (EFS) (EFS) 和數字簽名方法存儲數據。和數字簽名方法存儲數據。l2) 2) 網絡數據保護：站點內的網絡數據由驗證協議保護。用戶可以用來保護傳入和傳出站點網絡數據的實用工具，包括：網絡數據保護：站點內的網絡數據由驗證協議保護。用戶可以用來保護傳入和傳出站點網絡數據的實用工具，包括：IP SecurityIP Security、路由和遠程訪問、代理服務器。、路由和遠程訪問、代理服務器。l1.4.3 1.4.3 賬戶和組的安全性賬戶和組的安全性l在在WindowsWindows計算機上建立安全體系需要一個管理員。管理員為訪問計算機上建立安全體系需要

6、一個管理員。管理員為訪問WindowsWindows計算機的用戶建立賬戶，否則此用戶將無法對網絡進行訪問。建立了賬戶的用戶其使用權限和特權計算機的用戶建立賬戶，否則此用戶將無法對網絡進行訪問。建立了賬戶的用戶其使用權限和特權都由他所在的組決定。都由他所在的組決定。l在域內建立安全體系需要域管理員。域管理員首先需要為用戶和計算機建立賬戶，然后把用戶和計算機進行分組并放入賬戶數據庫中。域管理員還可以選擇哪一個組被包括在域內建立安全體系需要域管理員。域管理員首先需要為用戶和計算機建立賬戶，然后把用戶和計算機進行分組并放入賬戶數據庫中。域管理員還可以選擇哪一個組被包括進哪一個安全策略之中，并將這些操作

7、的結果放進安全策略數據庫。進哪一個安全策略之中，并將這些操作的結果放進安全策略數據庫。l在在Windows XPWindows XP中，組內可以包含任何用戶、計算機和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動態目錄服務把域詳細地劃分成組織單元中，組內可以包含任何用戶、計算機和組賬戶，而不用顧及這些用戶和賬戶在域目錄中的什么位置。另外，動態目錄服務把域詳細地劃分成組織單元 (OU) (OU) ，分別管理域中的一些用戶、計算機、組、文件和打印機等資源對象。分別管理域中的一些用戶、計算機、組、文件和打印機等資源對象。l1.4.4 1.4.4 域的安全性域的安全性l域在活動目錄中是

8、用來定義安全邊界的。活動目錄由一個或多個域組成。每個域均擁有與其他域相關的安全策略和安全關系。域提供以下便利：域在活動目錄中是用來定義安全邊界的。活動目錄由一個或多個域組成。每個域均擁有與其他域相關的安全策略和安全關系。域提供以下便利：l1) 1) 兩個不同域的安全策略和設置兩個不同域的安全策略和設置 ( (諸如管理權限和訪問控制列表諸如管理權限和訪問控制列表) ) 不能相互交叉。不能相互交叉。l2) 2) 分派管理權限消除了需要大量具有廣泛管理權限的管理員的必要。分派管理權限消除了需要大量具有廣泛管理權限的管理員的必要。l3) 3) 將對象分成不同的組放入域中有助于在網絡中反映公司的組織結構

9、。將對象分成不同的組放入域中有助于在網絡中反映公司的組織結構。l4) 4) 每個域只存儲有關該域中對象的信息。活動目錄可通過拆分目錄信息的存儲組織擴展成數量龐大的對象。每個域只存儲有關該域中對象的信息。活動目錄可通過拆分目錄信息的存儲組織擴展成數量龐大的對象。l域通常分為兩種類型：主域域通常分為兩種類型：主域 ( (存儲用戶和組賬戶存儲用戶和組賬戶) ) 和資源域和資源域 ( (存儲文件、打印機、應用服務等等存儲文件、打印機、應用服務等等) ) 。在這種多域計算環境中，資源域需要具有所有主域的多委托關系。這些。在這種多域計算環境中，資源域需要具有所有主域的多委托關系。這些委托關系允許主域中的用

10、戶訪問資源域中的資源。委托關系允許主域中的用戶訪問資源域中的資源。l1.4.5 1.4.5 文件系統的安全性文件系統的安全性lWindowsWindows推薦使用的推薦使用的NTFSNTFS文件系統提供了文件系統提供了FATFAT和和FAT32FAT32文件系統所沒有的全面的性能、可靠性和兼容性。文件系統所沒有的全面的性能、可靠性和兼容性。NTFSNTFS文件系統的設計目標就是能夠在很大的硬盤上很快地執行諸如讀文件系統的設計目標就是能夠在很大的硬盤上很快地執行諸如讀、寫和搜索這樣的標準文件操作，甚至包括像文件系統恢復這樣的高級操作。、寫和搜索這樣的標準文件操作，甚至包括像文件系統恢復這樣的高級

11、操作。NTFSNTFS文件系統包括了公司環境中文件服務器和高端個人計算機所需的安全特性，它還支持對于文件系統包括了公司環境中文件服務器和高端個人計算機所需的安全特性，它還支持對于關鍵數據完整性的數據訪問控制和私有權限。除了可以賦予關鍵數據完整性的數據訪問控制和私有權限。除了可以賦予 WindowsWindows計算機中的共享文件夾特定權限外，計算機中的共享文件夾特定權限外，NTFSNTFS文件和文件夾無論共享與否都可以賦予權限。文件和文件夾無論共享與否都可以賦予權限。l在在NTFSNTFS卷中設置權限就是指定一個組或用戶對該目錄的訪問許可。設置目錄權限時，對已有的子目錄和文件除非特別指定，否則

12、是不會更改其權限的。生成新的子目錄和文卷中設置權限就是指定一個組或用戶對該目錄的訪問許可。設置目錄權限時，對已有的子目錄和文件除非特別指定，否則是不會更改其權限的。生成新的子目錄和文件時，它們就從目錄中繼承了新設置的權限。件時，它們就從目錄中繼承了新設置的權限。l與目錄權限類似，在與目錄權限類似，在NTFSNTFS卷中設置文件權限就是指定組或用戶對該文件的訪問許可。在目錄中創建一個文件時，該文件也從目錄中繼承了這種權限。需要注意的是，賦予了卷中設置文件權限就是指定組或用戶對該文件的訪問許可。在目錄中創建一個文件時，該文件也從目錄中繼承了這種權限。需要注意的是，賦予了對一個目錄的對一個目錄的“完

13、全控制完全控制”權限的組或用戶可以刪除該目錄中的文件，而無論該文件有何保護權限。權限的組或用戶可以刪除該目錄中的文件，而無論該文件有何保護權限。l通過設置目錄和文件權限，用戶可以保護自己的文件和目錄，也可以通過設置通過設置目錄和文件權限，用戶可以保護自己的文件和目錄，也可以通過設置NTFSNTFS卷中的文件和目錄的特殊訪問權限來加強對自己的文件和目錄的保護。特殊訪問權限可以卷中的文件和目錄的特殊訪問權限來加強對自己的文件和目錄的保護。特殊訪問權限可以對目錄、所選目錄的所有文件或選定文件有效。對目錄、所選目錄的所有文件或選定文件有效。l1.4.6 IP1.4.6 IP安全性管理安全性管理l在在W

14、indowsWindows中使用了因特網安全協議，即通常所說的中使用了因特網安全協議，即通常所說的 IPIP安全性，簡稱為安全性，簡稱為IPSecIPSec，它能夠定義與網絡通信相聯系的安全策略。，它能夠定義與網絡通信相聯系的安全策略。lIPIP安全性可以自動對進出該系統的安全性可以自動對進出該系統的IPIP網絡包進行加密或解密。從而，可以防止通信內容被竊取。另外在網絡包進行加密或解密。從而，可以防止通信內容被竊取。另外在IPIP網絡中安裝網絡中安裝IPIP安全性時，與所送的安全性時，與所送的TCP/IPTCP/IP包的類型和包的類型和TCP/IPTCP/IP端口一端口一樣，既可以使其覆蓋所有的機器，也可以只覆蓋一部分機器。樣，既可以使其覆蓋所有的機器，也可以只覆蓋一部分機器。l1.4.7 1.4.7 實驗與思考實驗與思考l本節實驗與思考的目的是：本節實驗與思考的目的是：l1) 1) 通過學習使用通過學習使用WindowsWindows系統管理工具，熟悉系統