《网络系统安全运行与维护》课件项目二 任务一 提高Windows主机安全访问权限.pptx
《《网络系统安全运行与维护》课件项目二 任务一 提高Windows主机安全访问权限.pptx》由会员分享,可在线阅读,更多相关《《网络系统安全运行与维护》课件项目二 任务一 提高Windows主机安全访问权限.pptx(52页珍藏版)》请在文库网上搜索。
1、项目二项目二 Windows桌面系统安全运行与维护桌面系统安全运行与维护项目主要内容:项目主要内容:任务一 提高Windows主机安全访问权限任务二 使用Windows防火墙规则加强Windows主机安全任务三 使用文件加密系统加强Windows文件系统安全任务四 使用本地安全策略加强Windows主机整体安全任务五 使用安全审计加强Windows主机安全维护 目前办公网络中,企业员工大多使用Windows操作系统。为方便日常工作,员工的计算机互相连接形成小型的办公网络,在网络中实现资源共享。但是在资源共享的过程中,必须设置文件的访问权限保护公司文件服务器的安全,针对网络中每一类用户设置不同的
2、权限级别,使用不同等级的文件共享资源。为了使系统健康运行,需要对公司网络启用防火墙进行保护,针对员工的计算机系统设置安全运行策略,并对各个文件及文件夹采取加密措施。最终实现公司各层人员拥有不同的权限,在不同安全级别运行系统,可以访问不同级别的加密文件。【项目描述】能够实现文件系统安全设置能够对文件共享时的安全策略进行部署会在Windows系统中针对特定服务设置防火墙规则进行控制访问能够利用文件加密系统对文件安全加密能够使用本地安全策略加强Windows主机整体安全学会使用Windows系统中“事件查看器”和“性能监视器”审核系统安全【学习目标】任务一 提高Windows主机安全访问权限 在办公
3、网络中,如果没有设置任何网络安全防范措施,网络应用会存在很大风险,企业的机密文件面临泄露风险,因此必须加强办公网络中计算机的安全行为管理。本任务中,主要实施以下三个模块:1.保护用户保护用户帐帐户安全户安全 通过设置多个Windows用户帐户和Windows组,以及用户和组之间的关系管理用户帐户的安全。2.实现文件共享安全实现文件共享安全 在创建文件共享时,针对不同内容和用户创建多个文件夹,并对用户分配不同的访问权限,实现文件共享时的安全设置。3.保护文件系统安全保护文件系统安全 使用文件系统自带的NTFS权限,保护文件及文件夹的安全。任务提出任务提出1.保护用户保护用户帐帐户安全户安全 在W
4、indows系统中,使用者通过使用计算机中的用户操作计算机,用户的访问权限决定了用户对计算机和网络的操作和使用范围。用户帐户的安全,是计算机系统的第一层安全保护。如果计算机中存放了一些重要管理资料,应当特别提防非法用户获得该用户的账户 信息。因此可以对Windows系统设置多个用户、多个用户组,当用户比较多时,将不同用户加入到不同的用户组中,达到批量配置和管理。每台计算机使用者都可建立自己的用户帐户,用户的访问权限决定了用户对计算机和网络的控制能力。对于计算机中存放的一些重要管理资料,往往要求计算机的用户拥有特殊的权限才可以访问,如果非法用户获得该用户的帐户信息,也就相当于获取了这些资料。因此
5、,保护好用户帐户是保障计算机网络安全的重要措施。任务分析任务分析在本任务中为计算机设置用户帐户安全策略,具体如下:为每台计算机配置默认管理员帐户并设置权限。建立多个Windows用户帐户。建立多个Windows组。将不同用户加入不同的用户组中。(1)用户帐户的分类)用户帐户的分类在网络中每台计算机的使用者具有各自不同的身份,拥有不同的访问管理权限。将用户添加至不同的组,为组指定权限,确保作为组成员登录的帐户自动继承该组的相关权限,这样通过对组而不是对单个用户指派用户权限,可以简化帐户管理的任务。具体的组类型如下:管理员组(Administrators):可以被授予的权限包括更改系统事件、创建页
6、面文件、装载和卸载设备驱动程序、在本地登录、管理审核安全日志、配置单一进程、配置系统性能、关闭系统、取得文件或者对象的所有权。备份操作员组(Backup Operators):可以被授予的权限包括备份文件和目录、在本地登录、还原文件和目录。所有用户组(Everyone):每台计算机及网络账户所在的组。高级用户组(Power Users):可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。普通用户组(Users):新建的用户在默认情况下都属于这个组。该组的成员用户可以运行经过验证的应用程序。系统组(System):该组拥有比Administrators更高的权限,在
7、查看用户组的时候它不会被显示出来,也不允许任何用户加入。其主要是为了保证系统服务的正常运行,赋予系统及系统服务的权限。来宾组(Guest):该组与Users组的成员具有同等访问权,但比Users组的成员拥有更多限制。(2)用户帐户的密码)用户帐户的密码 在Windows桌面系统中,用户密码是保证用户系统安全的重要手段之一。用户密码的最短长度不受限制(即允许密码为空),但在Windows服务器系统中,规定用户密码最少为8位。2.实现文件共享安全实现文件共享安全 在网络中为了方便管理员远程管理,会开启一些默认共享,允许通过共享“命名管道”的资源IPC$(Internet Process Conne
8、ction)连接对所有的逻辑磁盘共享(C$,D$,E$,)和系统目录 Windows NT 或 Windows(Admin$)实现访问。根据安全的需要,计算机启动后应关闭默认共享。网络用户通过网络共享实现对文件资源进行访问,因此除了设置 NTFS权限外,还需要设置共享文件夹权限,为不同文件夹分配不同共享权限。本任务需要为网络计算机的文件及文件夹设置共享权限,具体如下:关闭不需要的默认共享,提高桌面系统安全性。创建多个文件夹用于共享。为不同文件夹分配不同共享权限。将文件夹设置为共享资源时,除了必须为文件和文件夹指定NTFS权限外,还应当为共享文件夹指定相应的访问权限。共享文件夹权限类似于NTFS
9、权限,但NTFS权限的优先级要高于共享文件夹权限。因此,共享文件夹的权限可以粗略设置,而NTFS权限则必须详细划分。(1)共享文件夹权限的特点)共享文件夹权限的特点 共享文件夹权限只适用于文件夹,而不适用于单个文件,并且只能为整个文件夹设置共享权限。(2)共享文件夹权限的种类)共享文件夹权限的种类读取:显示文件夹名称、文件名称、文件数据和属性,运行应用程序文件。修改:创建文件夹,向文件夹中添加文件,修改文件中的数据,在文件中添加数据,修改文件属性,删除文件夹中的文件,以及执行“读取”权限所允许的操作。完全控制:修改文件,获得文件的所有权。3.保护文件系统安全保护文件系统安全 文件系统可以为用户
10、提供数据存储服务,同时也可作为网站服务器的远程共享文件夹,实现数据的集中安全存储。在网络集中式远程存储方式中,几乎所有重要且敏感的数据都被存储在各种文件服务器中,而这些文件和数据是恶意用户所觊觎的目标,这是导致各种网络攻击频繁发生的真正原因,因此确保网络中文件服务系统的访问安全是保证网络安全的根本所在。Windows操作系统系列中,自win 7以上版本均采用NTFS文件系统。通过设置文件及文件夹的NTFS权限,可以达到限制网络用户对文件和文件级的读取、写入、修改、完全控制等权限,进而保护文件及文件夹的安全。在本任务中需要为网络中的计算机文件及文件夹设置NTFS权限,具体如下:针对各用户设置文件
11、夹的NTFS权限。针对各用户设置文件的NTFS权限。(1)NTFS权限概述权限概述 NTFS是从Windows NT系统开始引入的文件系统,它支持本地安全性。借助于NTFS,不仅可以为文件夹授权,而且还可以为单个文件授权,对用户访问权限的控制变得更加细致。NTFS还支持数据压缩和磁盘配额,从而可以进一步提高硬盘空间的使用效率。用户可以对NTFS磁盘内的文件夹和数据设置访问权限,具有访问权限的用户才可以访问资源。(2)NTFS权限分类权限分类NTFS文件权限 读取(read):可以读取文件内容、查看文件属性与权限等。写入(write):可以修改文件内容、修改文件属性等。读取和执行(read&ex
12、ecute):除了拥有读取的权限外,还具备运行应用程序的权限。修改(modify):除了拥有读取、写入与读取和执行的权限外,还可以删除文件。完全控制(full control):拥有所有的NTFS文件权限,也就是除了拥有上述所有权限之外,还拥有更改权限与取得所有权的特殊权限。NTFS文件夹权限读取(read):查看该文件夹中的文件和子文件夹,查看文件夹的所有者、权限和属性。写入(write):可以在文件夹内新建文件与子文件夹、修改文件夹属性等。列出文件夹目录(list folder contents):查看该文件夹中的文件和子文件夹的名称。读取和执行(read&execute):拥有与列出文件
13、夹目录几乎完全相同的权限。修改(modify):除了拥有前面的所有权限外,还可以删除此文件夹。完全控制(full control):拥有所有的NTFS文件夹权限,还拥有更改权限与取得所有权的特殊权限。NTFS权限属性可继承性:当父文件夹的权限设置完成后,父文件夹的NTFS权限自动被子文件夹继承。累加性:如果某一个用户属于多个用户组,而该用户及用户所在的组对某个文件或者文件夹拥有不同的NTFS权限,那么该用户便拥有多个组的NTFS权限。假如A用户同时属于销售组与经理组,如果销售组对某文件夹的权限是读取+写入,经理组的权限是读取+执行,那么A用户的权限是读取+写入+执行。拒绝权限优先:上面提到NT
14、FS的权限是累加的,但有一种特殊情况,就是只要其中一个权限是拒绝,则用户就不再拥有此权限。在上面的案例中,如果销售组的权限是允许读取+拒绝写入,而经理组的权限为读取+写入,那么A用户的权限就为读取。任务实施任务实施1.保护用户保护用户帐帐户安全户安全 步骤1 实验准备阶段,在VMware Workstation中部署两台Windows Server 2008 R2虚拟机PC1和PC2,并将两台虚拟机实现网络连通。PC1和PC2的IP地址规划如表所示。设备名称名称设备角色角色操作系操作系统IP地址地址PC1文件共享服务器Windows Server 2008192.168.159.3/24PC2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络系统安全运行与维护 网络系统安全运行与维护课件项目二 任务一 提高Windows主机安全访问权限 网络 系统安全 运行 维护 课件 项目 任务 提高 Windows 主机 安全 访问 权限