光电工程师社区

标题: Windows2000的安全设置概述 [打印本页]

---

作者: suncon    时间: 2004-6-17 09:03
标题: Windows2000的安全设置概述
Windows2000的安全设置概述

保持计算机安全是非常重要的。我们不仅要保护计算机本身的数据，还要保护网络上的数据。优秀的安全系统可以对试图访问计算机资源的人员进行身份识别，防止特定资源被用户不适当地访问，并且提供一种简单而高效的方法来设置和维护计算机的安全。
　　
　　Windows 2000 Professional是MicroSoft公司的视窗操作系统研究开发征途上的又一个里程碑式的产物，它以NT的稳定性保证了它作为一个优秀的操作系统而应有的高效的安全性。为帮助你实现计算机资源安全的目标， 它提供以下安全功能：
　　
　　一、用户帐户
　　
　　要使用运行 Windows 2000 的计算机，你必须有用户帐户，它由唯一的用户名和密码组成。（按 CTRL+ALT+DEL 然后）键入用户名和密码时，Windows 2000 将验证用户名和密码，如果用户帐户已被禁用或删除，Windows 2000 将阻止用户访问计算机，以确保只有有效用户才能访问计算机。在“控制面板”中的“用户和密码”可以创建用户、在已有组中添加或删除用户，并更改用户密码（注意必须以 Administrator 或 Administrators 组成员身份登录才能使用“用户和密码”），而且允许将用户添加到你的计算机，以及将用户添加到组中。在 Windows 2000 中，权限和用户权力通常授予组，通过将用户添加到组，可以将指派给该组的所有权限和用户权力授予这个用户。例如，“用户”组中的成员可以执行完成其工作所必需的大部分任务，如登录到计算机、创建文件和文件夹、运行程序以及保存文件的更改，但是，只有 Administrators 组的成员可以将用户添加到组、更改用户密码或者修改大多数系统设置。本地用户帐户是指此计算机创建的帐户，“用户和密码”允许创建或更改本地用户帐户的密码，这对于创建新用户帐户或用户忘记密码的情况非常有用。如果你的计算机是网络的一部分，还可以将网络用户帐户添加到计算机上的组中，并且那些用户可以使用他们的网络密码登录。不能更改网络用户的密码。
　　
　　二、组帐户
　　
　　使用组帐户可以有效地向用户指派用户权利和权限，用户必须拥有特定用户权利和权限才能在运行 Windows 2000 的计算机上执行特定的任务。Windows 2000 根据用户通常执行的任务附带了许多内置组，如管理员、备份操作员或用户组。将用户指派给一个或多个内置的组，可以使大多数用户获得执行各自任务所需的全部或部分用户权利和权限。
　　
　　三、加密（仅 NTFS 驱动器）
　　
　　“加密文件系统(EFS) “提供一种核心文件加密技术，该技术用于在 NTFS 文件系统卷上存储已加密文件。使用 EFS 可以防止在未经授权的情况下获取对物理存储的敏感数据（例如，窃取便携式计算机或 Zip 磁盘）的访问的入侵者，以确保文档安全。对拥有该文件的私钥（如果用户亲自加密了文件，或用户是注册的故障恢复代理）的用户，加密是透明的（不必在使用前解密已加密的文件），你可以打开该文件并将其按常规文档一样处理。但是，试图访问已加密文件或文件夹的入侵者（没有文件私钥的用户）将被禁止这些操作，如果入侵者试图打开、复制、移动或重新命名已加密文件或文件夹，将收到拒绝访问的消息。正如设置其他任何属性（如只读、压缩或隐藏）一样，通过为文件夹和文件设置加密属性，可以对文件夹或文件进行加密和解密，如果加密一个文件夹，则在加密文件夹中创建的所有文件和子文件夹都自动加密。
　　
　　在使用加密文件和文件夹时，应注意：
　　
　　只有 NTFS 卷上的文件和文件夹才能被加密
　　
　　不能加密压缩文件或文件夹（必须先对文件和文件夹解压缩，然后才能加密 ）
　　
　　无法加密系统文件
　　
　　不能共享加密文件，EFS 不能用于发布私人数据
　　
　　如果将加密的文件复制或移动到非 NTFS 格式的卷上，该文件将会被解密
　　
　　加密的文件夹或文件不能防止被删除，任何拥有删除权限的人均可以删除加密的文件夹或文件
　　
　　四、文件和文件夹权限（仅 NTFS 驱动器）
　　
　　在设置文件或文件夹的权限时，请指定要限制或允许其访问的组和用户，然后选择访问类型。向多个对象分配权限时指定组帐户更方便，可以在需要允许或禁止用户访问时将用户添加到适当组。例如，对一个包含时间表的文件夹，你可以给教师以“完全控制”权限，而给学生以“写”访问权限，使学生可以将时间表复制到该文件夹中，但是不阅读该文件夹的内容。
　　
　　五、共享文件夹权限
　　
　　要共享文件夹和驱动器，必须以管理员、服务器操作员、有权限的用户或用户组的成员登录。无论驱动器格式化为使用 NTFS、FAT 还是 FAT32 文件系统，其上的文件夹都可以设置共享文件夹权限，如果你是管理员或 Power Users 组的成员，可以共享本机文件夹，以便其他计算机用户能访问这些文件夹。通过给任何 NTFS、FAT 或 FAT32 共享文件夹赋予共享文件夹权限，你可以限制或允许通过网络访问这些文件夹，如果共享文件夹位于 NTFS 驱动器请使用 NTFS 文件夹访问权限，NTFS 权限在本机和网络上均有效。 共享文件夹权限应用于该共享文件夹中的所有文件和子文件夹，并且在非NTFS文件系统上仅当通过网络访问该文件夹或文件时才有效，当在本地打开该文件夹或文件时，共享文件夹权限不起保护作用，要保护本地计算机上的文件或文件夹，请使用 NTFS 权限，该权限包括共享文件夹权限以外的权限。 当然我们还可以使用“共享文件夹”管理单元来创建和管理共享文件夹，查看通过网络连接到共享文件夹的所有用户的列表，甚至可以断开其中的一个或全部用户，以及查看远程用户打开的文件的列表及关闭一个或全部打开的文件，而且你还可以更改远程计算机上共享文件夹的权限（不能更改根目录的权限）。
　　
　　六、打印机权限
　　
　　Windows 2000 提供了三个级别的打印安全权限：打印、管理打印机和管理文档。 因为共享的打印机对网络上的所有用户都是可用的，你可能会希望通过指派打印机权限来限制某些用户的访问。例，可以给部门中的所有非管理用户“打印”的权限，而给管理人员“打印和管理文档”的权限。这样做之后，所有用户和管理人员都能够打印文档，而管理人员还能够更改所有用户提交的全部打印作业的状态。 在网络上安装打印机后，指派给该打印机的默认权限为允许所有用户打印，而且允许选择组来管理打印机或发送到打印机的文档，或二者。因为该打印机对网络上的所有用户都是可用的，你可能想通过指派特定的打印机权限来限制某些用户的访问。例如，可以给部门中的所有非管理用户“打印”权限，给所有管理人员“打印和管理文档”的权限。这样，所有的用户和管理人员都能打印文档，但是管理人员还能够更改发送到打印机上的任何文档的打印状态。当给一组用户指派了多个权限时，则应用限制最少的权限。但是，当应用“拒绝”权限时，它优先于其他任何权限。
　　
　　七、组策略
　　
　　组策略是管理员为单位中的用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具，在 Active Directory 环境中，组策略还适用于以站点、域或组织单元的成员为基础的用户或计算机。 使用组策略可以设置各种软件、计算机和用户策略。例如，可以定义用户桌面环境的各种组件，如用户可以使用的程序、出现在用户桌面上的图标、“开始”菜单选项、哪些用户可以修改桌面及哪些用户不能修改桌面等等。也可以使用“组策略”设置用户权利，你可以管理下表列出的组策略组件（必须是系统管理员才能将组策略添加到 Microsoft 管理控制台 (MMC) 并使用保存的控制台中的组策略）：
　　
　　1、组件说明
　　
　　2、管理模板－－设置基于注册表的策略
　　
　　3、安全设置－－为域、计算机和用户配置安全性
　　
　　4、软件安装 －－向应该得到的用户分配或发布程序
　　
　　5、脚本 －－指定用户登录/注销以及计算机启动/关闭的脚本
　　
　　6、文件夹重定向 －－将特殊文件夹（如“My Documents”）放在网络上
　　
　　八、用户权利
　　
　　用户权利是通过“组策略”管理的，用户权利是确定用户可以在计算机上所执行操作的规则，此外，用户权利控制用户是否可以直接（在本地）或通过网络登录到计算机、将用户添加到本地组、删除用户等等。内置组具有已指派的用户权利集合，通常情况下，管理员通过向一个内置组添加用户帐户，或者通过创建新组并为该组指派特定用户权利来指派用户权利，添加到该组中的用户自动获得指派给组帐户的所有用户权利。
　　
　　九、审核
　　
　　使用审核跟踪可以用于访问文件或其他对象的用户帐户、以及登录尝试、系统关闭或重新启动以及类似的事件。在审核发生之前，你必须使用“组策略”指定要审核的事件类型。例如，要审核文件夹，首先要启用“组策略”中“审核策略”的“审核对象访问”，下一步，你可以象设置权限那样来设置审核：选择对象（例如文件或文件夹），然后选择要审核其操作的用户和组，最后，选择想要审核的操作。 在Windows 2000 审核对文件和文件夹的访问之前，你必须使用“组策略”管理单元来启用“审核策略”中的“审核对象访问”设置，否则，在设文件和文件夹的审核时，将收到错误信息且不会审核任何文件或文件夹。启用了“组策略”中的审核之后可以审核成功和失败的尝试，通过使用“事件查看器”来查看“安全”日志可以跟踪审核活动，建议你经常查看“事件查看器”中的安全日志，以检查试图访问审核的文件和文件夹是成功还是失败（注意要审核文件或文件夹，你必须以Administrators组的成员登录，或在“组策略”中被授予了“管理审核和安全日志”权限）。
　　
　　另外，为了确保安全性，你应该：
　　
　　1、创建具有强保密性的密码及保护密码 密码可能是计算机安全方案中最薄弱的环节，因为密码破解工具不断提高，用来破解密码的计算机也更加强大，所以具有强保密性的密码就显得非常重要。
　　
　　2、保证计算机的安全 要保护计算机上的数据，应当保证单个文件和文件夹的安全，并采取行动保证物理计算机本身的安全，如果计算机包含敏感信息，请将它保存在安全的位置。
　　
　　3、防止病毒和特洛伊木马 在现今的计算机时代，必须防止病毒和特洛伊木马有意侵入计算机和网络。

---

欢迎光临 光电工程师社区 (http://bbs.oecr.com/)

Powered by Discuz! X3.2