1、项目二项目二 Windows桌面系统安全运行与维护桌面系统安全运行与维护项目主要内容:项目主要内容:任务一 提高Windows主机安全访问权限任务二 使用Windows防火墙规则加强Windows主机安全任务三 使用文件加密系统加强Windows文件系统安全任务四 使用本地安全策略加强Windows主机整体安全任务五 使用安全审计加强Windows主机安全维护 目前办公网络中,企业员工大多使用Windows操作系统。为方便日常工作,员工的计算机互相连接形成小型的办公网络,在网络中实现资源共享。但是在资源共享的过程中,必须设置文件的访问权限保护公司文件服务器的安全,针对网络中每一类用户设置不同的
2、权限级别,使用不同等级的文件共享资源。为了使系统健康运行,需要对公司网络启用防火墙进行保护,针对员工的计算机系统设置安全运行策略,并对各个文件及文件夹采取加密措施。最终实现公司各层人员拥有不同的权限,在不同安全级别运行系统,可以访问不同级别的加密文件。【项目描述】能够实现文件系统安全设置能够对文件共享时的安全策略进行部署会在Windows系统中针对特定服务设置防火墙规则进行控制访问能够利用文件加密系统对文件安全加密能够使用本地安全策略加强Windows主机整体安全学会使用Windows系统中“事件查看器”和“性能监视器”审核系统安全【学习目标】任务一 提高Windows主机安全访问权限 在办公
3、网络中,如果没有设置任何网络安全防范措施,网络应用会存在很大风险,企业的机密文件面临泄露风险,因此必须加强办公网络中计算机的安全行为管理。本任务中,主要实施以下三个模块:1.保护用户保护用户帐帐户安全户安全 通过设置多个Windows用户帐户和Windows组,以及用户和组之间的关系管理用户帐户的安全。2.实现文件共享安全实现文件共享安全 在创建文件共享时,针对不同内容和用户创建多个文件夹,并对用户分配不同的访问权限,实现文件共享时的安全设置。3.保护文件系统安全保护文件系统安全 使用文件系统自带的NTFS权限,保护文件及文件夹的安全。任务提出任务提出1.保护用户保护用户帐帐户安全户安全 在W
4、indows系统中,使用者通过使用计算机中的用户操作计算机,用户的访问权限决定了用户对计算机和网络的操作和使用范围。用户帐户的安全,是计算机系统的第一层安全保护。如果计算机中存放了一些重要管理资料,应当特别提防非法用户获得该用户的账户 信息。因此可以对Windows系统设置多个用户、多个用户组,当用户比较多时,将不同用户加入到不同的用户组中,达到批量配置和管理。每台计算机使用者都可建立自己的用户帐户,用户的访问权限决定了用户对计算机和网络的控制能力。对于计算机中存放的一些重要管理资料,往往要求计算机的用户拥有特殊的权限才可以访问,如果非法用户获得该用户的帐户信息,也就相当于获取了这些资料。因此
5、,保护好用户帐户是保障计算机网络安全的重要措施。任务分析任务分析在本任务中为计算机设置用户帐户安全策略,具体如下:为每台计算机配置默认管理员帐户并设置权限。建立多个Windows用户帐户。建立多个Windows组。将不同用户加入不同的用户组中。(1)用户帐户的分类)用户帐户的分类在网络中每台计算机的使用者具有各自不同的身份,拥有不同的访问管理权限。将用户添加至不同的组,为组指定权限,确保作为组成员登录的帐户自动继承该组的相关权限,这样通过对组而不是对单个用户指派用户权限,可以简化帐户管理的任务。具体的组类型如下:管理员组(Administrators):可以被授予的权限包括更改系统事件、创建页
6、面文件、装载和卸载设备驱动程序、在本地登录、管理审核安全日志、配置单一进程、配置系统性能、关闭系统、取得文件或者对象的所有权。备份操作员组(Backup Operators):可以被授予的权限包括备份文件和目录、在本地登录、还原文件和目录。所有用户组(Everyone):每台计算机及网络账户所在的组。高级用户组(Power Users):可以执行除了为Administrators组保留的任务外的其他任何操作系统任务。普通用户组(Users):新建的用户在默认情况下都属于这个组。该组的成员用户可以运行经过验证的应用程序。系统组(System):该组拥有比Administrators更高的权限,在
7、查看用户组的时候它不会被显示出来,也不允许任何用户加入。其主要是为了保证系统服务的正常运行,赋予系统及系统服务的权限。来宾组(Guest):该组与Users组的成员具有同等访问权,但比Users组的成员拥有更多限制。(2)用户帐户的密码)用户帐户的密码 在Windows桌面系统中,用户密码是保证用户系统安全的重要手段之一。用户密码的最短长度不受限制(即允许密码为空),但在Windows服务器系统中,规定用户密码最少为8位。2.实现文件共享安全实现文件共享安全 在网络中为了方便管理员远程管理,会开启一些默认共享,允许通过共享“命名管道”的资源IPC$(Internet Process Conne
8、ction)连接对所有的逻辑磁盘共享(C$,D$,E$,)和系统目录 Windows NT 或 Windows(Admin$)实现访问。根据安全的需要,计算机启动后应关闭默认共享。网络用户通过网络共享实现对文件资源进行访问,因此除了设置 NTFS权限外,还需要设置共享文件夹权限,为不同文件夹分配不同共享权限。本任务需要为网络计算机的文件及文件夹设置共享权限,具体如下:关闭不需要的默认共享,提高桌面系统安全性。创建多个文件夹用于共享。为不同文件夹分配不同共享权限。将文件夹设置为共享资源时,除了必须为文件和文件夹指定NTFS权限外,还应当为共享文件夹指定相应的访问权限。共享文件夹权限类似于NTFS
9、权限,但NTFS权限的优先级要高于共享文件夹权限。因此,共享文件夹的权限可以粗略设置,而NTFS权限则必须详细划分。(1)共享文件夹权限的特点)共享文件夹权限的特点 共享文件夹权限只适用于文件夹,而不适用于单个文件,并且只能为整个文件夹设置共享权限。(2)共享文件夹权限的种类)共享文件夹权限的种类读取:显示文件夹名称、文件名称、文件数据和属性,运行应用程序文件。修改:创建文件夹,向文件夹中添加文件,修改文件中的数据,在文件中添加数据,修改文件属性,删除文件夹中的文件,以及执行“读取”权限所允许的操作。完全控制:修改文件,获得文件的所有权。3.保护文件系统安全保护文件系统安全 文件系统可以为用户
10、提供数据存储服务,同时也可作为网站服务器的远程共享文件夹,实现数据的集中安全存储。在网络集中式远程存储方式中,几乎所有重要且敏感的数据都被存储在各种文件服务器中,而这些文件和数据是恶意用户所觊觎的目标,这是导致各种网络攻击频繁发生的真正原因,因此确保网络中文件服务系统的访问安全是保证网络安全的根本所在。Windows操作系统系列中,自win 7以上版本均采用NTFS文件系统。通过设置文件及文件夹的NTFS权限,可以达到限制网络用户对文件和文件级的读取、写入、修改、完全控制等权限,进而保护文件及文件夹的安全。在本任务中需要为网络中的计算机文件及文件夹设置NTFS权限,具体如下:针对各用户设置文件
11、夹的NTFS权限。针对各用户设置文件的NTFS权限。(1)NTFS权限概述权限概述 NTFS是从Windows NT系统开始引入的文件系统,它支持本地安全性。借助于NTFS,不仅可以为文件夹授权,而且还可以为单个文件授权,对用户访问权限的控制变得更加细致。NTFS还支持数据压缩和磁盘配额,从而可以进一步提高硬盘空间的使用效率。用户可以对NTFS磁盘内的文件夹和数据设置访问权限,具有访问权限的用户才可以访问资源。(2)NTFS权限分类权限分类NTFS文件权限 读取(read):可以读取文件内容、查看文件属性与权限等。写入(write):可以修改文件内容、修改文件属性等。读取和执行(read&ex
12、ecute):除了拥有读取的权限外,还具备运行应用程序的权限。修改(modify):除了拥有读取、写入与读取和执行的权限外,还可以删除文件。完全控制(full control):拥有所有的NTFS文件权限,也就是除了拥有上述所有权限之外,还拥有更改权限与取得所有权的特殊权限。NTFS文件夹权限读取(read):查看该文件夹中的文件和子文件夹,查看文件夹的所有者、权限和属性。写入(write):可以在文件夹内新建文件与子文件夹、修改文件夹属性等。列出文件夹目录(list folder contents):查看该文件夹中的文件和子文件夹的名称。读取和执行(read&execute):拥有与列出文件
13、夹目录几乎完全相同的权限。修改(modify):除了拥有前面的所有权限外,还可以删除此文件夹。完全控制(full control):拥有所有的NTFS文件夹权限,还拥有更改权限与取得所有权的特殊权限。NTFS权限属性可继承性:当父文件夹的权限设置完成后,父文件夹的NTFS权限自动被子文件夹继承。累加性:如果某一个用户属于多个用户组,而该用户及用户所在的组对某个文件或者文件夹拥有不同的NTFS权限,那么该用户便拥有多个组的NTFS权限。假如A用户同时属于销售组与经理组,如果销售组对某文件夹的权限是读取+写入,经理组的权限是读取+执行,那么A用户的权限是读取+写入+执行。拒绝权限优先:上面提到NT
14、FS的权限是累加的,但有一种特殊情况,就是只要其中一个权限是拒绝,则用户就不再拥有此权限。在上面的案例中,如果销售组的权限是允许读取+拒绝写入,而经理组的权限为读取+写入,那么A用户的权限就为读取。任务实施任务实施1.保护用户保护用户帐帐户安全户安全 步骤1 实验准备阶段,在VMware Workstation中部署两台Windows Server 2008 R2虚拟机PC1和PC2,并将两台虚拟机实现网络连通。PC1和PC2的IP地址规划如表所示。设备名称名称设备角色角色操作系操作系统IP地址地址PC1文件共享服务器Windows Server 2008192.168.159.3/24PC2
15、测试计算机Windows Server 2008192.168.159.4/24步骤2 在PC1上创建Windows用户账户(1)在开始菜单中选择“管理工具”“计算机管理”,在“计算机管理”窗口展开“本地用户和组”节点,右击“用户”节点,在弹出的快捷菜单中选择“新用户”命令,打开“新用户”对话框,如图1所示。图1(2)创建用户时,密码设置一般为8位以上,并包含数字、大小写字母和特殊字符等三种或以上元素,以保证用户密码安全。以创建user1用户为例,在用户名框中输入user1,描述框中可以对该用户加以描述,如图2所示。接着创建用户user2和user3,创建结果如图3所示。图2图3步骤3 在PC
16、1上创建Windows用户组(1)在计算机管理界面,右击“组”节点,在弹出的快捷菜单中选择“新建组”命令,打开“新建组”对话框,在组名一栏中输入名称group1,再单击“创建”按钮,即可创建一个组group1,如图4所示。图4(2)创建用户组group2和group3,结果如图5所示。图5步骤4 在PC1上将用户加入到用户组(1)展开“本地用户和组”“组”节点,在其对应的右侧列表框中,双击指定用户组group1,出现group1的属性对话框,在打开的对话框中单击“添加”按钮,出现“选择用户”对话框,如图6所示。图6(2)在打开的“选择用户”对话框中,单击左下角“高级”按钮,在打开的对话框中,单
17、击“立即查找”按钮,将搜索出本计算机系统中所有的用户,如图7所示。图7(3)找到并选中用户user1,单击“确定”按钮,将会在“选择用户”界面中出现所选中的用户的完整名称,如图8所示。图8(4)确定所选用户无误,单击“确定”按钮,即可将user1加入group1中,结果如图9所示。图9(5)将user2、user3分别加入到用户组group2和group3中,如图10、11所示。图10图112.实现文件共享安全实现文件共享安全步骤1 创建共享文件夹(1)在PC1上创建文件夹。在C磁盘上先创建文件夹File,然后在文件夹File中创建3个子文件夹group1、group2和group3,如图12
18、所示。图12(2)打开group1文件夹,在文件夹中右键单击,在弹出的快捷菜单中选择“新建”“BMP图像”,创建图像文件group1.bmp,如图13所示。(3)在PC1上配置共享文件夹权限。右击文件夹File,在弹出的快捷菜单中选择“共享”“特定用户”命令。图13(4)在文件共享选项对话框中,分别选中下拉菜单中的user1、user2、user3,然后点击“添加”,“共享”,即可将文件夹进行共享,如图14所示。图14步骤2 测试文件夹共享第1步:在PC2上访问共享文件夹 (1)分别在PC1和PC2的计算机管理中,右键单击Administrator,选中“设置密码”,为管理员账户设置密码,为了
19、保护帐户安全,尽量不要使用相同的密码,如图15所示。图15(2)在PC2上访问共享文件夹。在PC2上找到“开始”“运行”,输入“192.168.159.3”,然后输入PC1的管理员用户名和密码,访问PC1中的共享文件夹File,如图16、17所示。图16图17(3)双击文件夹File,显示File中的子文件夹group1、group2和group3,如图18所示,能够访问File文件夹内的任何文件和子文件夹,不受任何限制。图18(4)如果要限制PC2对PC1的共享文件夹不能修改,可以在PC1上选择“开始”“管理工具”“本地安全策略”,然后选择“安全设置”“安全选项”,找到“网络访问:本地帐户的
20、共享和安全模型”,如图19所示。图19(5)右键单击“网络访问:本地帐户的共享和安全模型”属性,将本地安全设置选择为“仅来宾对本地用户进行身份验证,其身份为来宾”,如图20所示。这样PC2访问PC1的共享文件夹时不再具有Administrators组的权限,我们只需对everyone用户设置只读权限即可限制PC2对文件夹的修改权限。图20(6)经过上述设置,PC2访问PC1的共享文件夹时,会遇到无法访问和登录问题,此时需要在File文件夹的属性共享中选择“网络和共享中心”,如图21所示。然后选择“关闭密码保护共享”,如图22所示,这样PC2访问PC1的共享文件夹时,就不再需要输入密码,可以直接
21、搜索和查看共享文件夹。图21图22(7)尝试在PC2上删除文件group1.bmp,提示该操作被拒绝,如图23所示。此时必须在PC1上将File共享中everyone用户权限修改为“读取/写入”,如图24所示,这样才可以使PC2具有对共享文件夹进行删除、添加的权限。图23图24 第2步:在PC1上使用不同用户访问共享文件夹在PC1上,分别切换至用户user1、user2、user3,尝试访问File文件夹,然后试着删除group1或其他文件夹及文件,结果该三个用户无法删除File文件夹及其子文件夹,弹出登录管理员界面,如图25所示。图25 步骤3:在PC1上修改共享文件夹权限 为File文件夹
22、针对每个用户设置不同的共享权限,具体操作如下:(1)配置user1用户的文件夹共享权限:对File文件夹只能读取a a.在File属性对话框中,单击“共享”选项卡,选择“高级共享”“权限”“添加”“高级”“立即查找”,选择user1用户,单击确定。将user1用户的File权限设置为“读取”,如图26所示。b.然后在PC1上切换至user1用户访问File共享文件夹,只可读取File文件夹及其子文件夹和文件,不能进行添加、删除和修改等操作。图26(2)配置user2用户的文件夹共享权限:对File文件夹可以更改 a.按照(1)中的方法,在“高级共享”对话框中设置用户user2具有读取和更改的权
23、限,如图27所示。b.然后在“共享”界面中,将user2的权限级别设置为读取/写入,如图28所示。图27图28 c.然后在PC1上切换至user2用户访问File共享文件夹,尝试在group2文件夹中创建user2.txt,如图29所示。说明user2用户已具备修改权限。图29(3)配置user3用户的文件夹共享权限:对File文件夹可以完全控制 a.按照(1)中的方法,设置用户user3具有完全控制的权限,如图30所示。b.然后在“共享”界面中,将user3的权限级别设置为读取/写入,如图31所示。图30图31 NTFS文件系统的权限分为读取(read)、写入(write)、读取和执行(re
24、ad&execute)、修改(modify)、完全控制(full control)。(1)读取:可以读取文件内容、查看文件属性与权限等。(2)写入:可以修改文件内容、修改文件属性等。(3)读取和执行:除了拥有读取的权限外,还具备运行应用 程序的权限。(4)修改:除了拥有读取、写入与读取和执行的权限外,还可以删除文件。(5)完全控制:拥有所有的NTFS文件权限,也就是除了拥有上述所有权限之外,还拥有更改权限与取得所有权的特殊权限。c.然后在PC1上切换至user3用户访问File共享文件夹,尝试在group3文件夹中创建user3.txt,如图32所示。说明user3用户已具备修改权限。图32
25、d.在PC1上,使用Administrator用户登录,打开File文件夹的“属性”“安全”“高级”,在“File的高级安全设置”中,选择“所有者”一栏,如图33所示。图33 e.打开“编辑”“其他用户或组”,选择user3用户,如图34所示,再点击“应用”“确定”按钮,即可为user3获得文件的所有权。这表明,user3不仅具有修改文件夹的权限,还具有获得文件夹所有权的权限,即user3具有完全控制权限。图343.3.保护文件系统安全保护文件系统安全步骤1:在PC1上为用户分配NTFS权限(1)设置除管理员之外,只有用户user1可以修改文件夹group1 a.右键单击group1文件夹,在
26、弹出的快捷菜单中选择“属性”,打开“安全”选项卡。b.在“安全”选项卡中,依次选择“高级”,打开“高级安全设置”对话框,如图35所示。图35 c.在“高级安全设置”对话框中,单击“更改权限”,将“包括可从该对象的父项继承的权限”复选框中的选择取消,在弹出的“Windows安全”对话框中选择“删除”,如图36所示。完成文件夹高级安全设置如图37所示。图36图37 d.在图37中,依次单击“添加”“高级”“立即查找”,在列表中选择“Administrator”用户,单击确定,将“Administrator”用户添加到group1文件夹的权限中,并设置为完全控制,如图38所示。注意:若没有该步骤,未
27、将Administrator设为group1文件夹的完全控制权限,则Administrator接下来无法操作该文件夹,会引发一些删除等方面的麻烦,因此,在该步骤中,Administrator需要拥有完全控制权限。图38 e.在group1文件夹“属性”“安全”“编辑”对话框中,单击“添加”“高级”“立即查找”,选择user1用户,在“user1”用户的权限中选择“修改”及“读取和执行”复选框,如图39所示。图39(2)设置除Administrator之外,只有group2组的用户user2可以读取文件夹group2 按照(1)中的方法,设置用户user2具有读取文件夹group2的权限,Adm
28、inistrator设为文件夹的完全控制权限,如图40所示。图40(3)设置除Administrator之外,只有group3组的用户user3完全控制文件夹group3 按(1)中的方法,设置用户user3具有完全控制文件夹group3的权限,如图41所示。图41步骤2:在PC1上切换用户验证测试(1)在PC1上使用user1用户登录,可以访问文件夹group1,并在文件夹中进行添加、删除等修改操作。使用user1用户分别访问文件夹group2、group3,提示无权访问该文件夹,如图42所示。图42(2)在PC1上使用user2用户登录,可以访问文件夹group2,但不能在文件夹中进行添加
29、、删除等修改操作,如图43所示,尝试修改user2.txt的文件名称时,要求必须登录管理员帐户。使用user2用户分别访问文件夹group1、group3,提示无权访问该文件夹。图43(3)在PC1上使用user3用户登录,可以访问文件夹group3,可以在文件夹中进行添加、删除等修改操作,如图44所示。a.使用user3用户分别访问文件夹group1、group2,提示无权访问该文件夹。b.同样,切换至Administrator用户,在group3“属性”“高级”“所有者”“编辑”“其他用户或组”,可以将user3获取文件夹的所有权,说明user3具有group3的完全控制权。图44任务小结:任务小结:1.保护用户帐户安全2.实现文件共享安全3.保护文件系统安全
