第6章局域网的安全管理.ppt

第6章 局域网的安全管理学习目标 ◎ 了解影响局域网的安全因素，并理解硬件设备和线路、系统和软件、用户身份认证、有缺陷的网络服务等都可能造成安全隐患◎ 正确理解局域网的安全技术，重点掌握密码技术和入网访问控制技术◎ 学会Windows 2003 Server的安全与保护措施第6章 局域网的安全管理内容要点 △ 局域网安全的安全因素；△ 局域网的安全技术：主动防御技术，密码技术，访问控制技术；△ Windows 2003 Server的安全与保护措施第6章 局域网的安全管理学前要求 ◇ 对计算机信息安全有一定的了解，或者初略知晓局域网接入Internet带来的安全缺陷◇ 已经学习了Windows 2003 Server网络操作系统等基础知识◇ 已经学会了局域网硬件设备的连接与操作平台的搭建等基本操作，也就是说已经具有学习局域网安全管理所需要的基础知识和技能6.1 局域网的安全问题6.2 局域网的安全技术6.3 Windows 2003 Server的安全与保护措施第6章 局域网的安全管理6.1 局域网的安全问题6.1.1 影响局域网安全的因素6.1.2 Internet接入带来的安全缺陷6.1.1 影响局域网安全的因素1. 硬件设备和线路的安全问题2. 系统和软件的安全问题3. 网络管理人员的安全意识问题4. 环境的安全因素Internet接入带来的安全缺陷1. 薄弱的认证环节2. 系统的易被监视性3. 系统的易被欺骗性4. 有缺陷的局域网服务和相互信任的主机5. 复杂的设备和控制6. 无法估计系统的安全性6.2 局域网的安全技术6.2.1网络安全技术的概述6.2.2 密码技术6.2.3 访问控制技术主动防御技术⑴ 数据加密密码技术被认为是解决网络安全问题的最好途径。

目前对数据最为有效的保护手段就是加密⑵ 身份验证身份验证是一致性验证的一种身份验证包括验证依据、验证系统和安全要求⑶ 存取控制存取控制规定何种主体对何种客体具有何种操作权力主要包括人员限制、数据标识、权限控制、控制类型和风险分析等⑷ 授权用户需要控制哪些用户访问网络的资源，它们能够对资源进行何种操作⑸ 虚拟网络技术使用VPN(虚拟专用网)或VLAN(虚拟局域网)技术，通过网络的物理或逻辑划分，控制网络数据的流向，使其不要流向非法用户，以达到安全防范的目的主动防御技术被动防御技术⑴ 防火墙技术防火墙是内部网与Internet之间实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及哪些外部服务允许内部访问⑵ 安全扫描器可自动检测远程或本地主机安全性弱点的程序，用于观察网络是否在正常工作，收集主机的信息⑶ 密码检查器通过口令验证程序检查薄弱的口令被动防御技术⑷ 记账服务在系统中保留一个日志文件，与安全相关的事件可以记录在日志文件中，以便事后调查和分析，追查有关责任者，发现系统安全的弱点和入侵点⑸ 路由过滤路由器中的过滤器对所接收的每一个数据包根据包过滤规则做出允许或拒绝的决定。

⑹ 物理及管理安全通过制定规章制度和条例减少人为因素的影响传统加密算法在传统的加密算法中，加密密钥与解密密钥是相同的或者可以由其中一个推知另一个，称为对称密钥算法这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息 在早期的密钥密码体制中，典型的有代替密码由于英文字母中各字母出现的频度早已有人进行过统计，所以根据字母频度表可以很容易对这种代替密码进行破译数据加密标准DESDES是对称加密算法中最具代表性的一种DES算法原是IBM公司为保护产品的机密研制成功的，后被美国国家标准局和国家安全局选为数据加密标准，并于1977年颁布使用DES可以对任意长度的数据加密，实际可用密钥长度56比特，加密时首先将数据分为64比特的数据块，采用ECB、CBC、CFB等模式之一，每次将输入的64比特明文变换为64比特密文最终，将所有输出数据块合并，实现数据加密公开密钥密码体制公开密钥密码体制是加密和解密使用不同的密钥，每个用户保存着一对密钥：公开密钥和秘密密钥，因此，这种体制又称为非对称密钥密码体制在公钥加密算法下，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者；私钥是保密的，用于解密其接收的公钥加密过的信息。

典型的公钥加密算法如RSA，是目前使用比较广泛的加密算法RSA算法建立在大数因子分解的复杂性上RSA的保密性在于大数的分解难度上，如果大数分解成功，则RSA也就无保密性可言了数字签名采用两个密钥加密即公开密钥PK和秘密密钥SK加密：发送数据时，将发送的数据采用传统的加密方法(如DES算法)得到的密文和用来解码的密钥一起发送；但发送的密钥本身必须用公开密钥密码算法中的公开密钥PK加密，到目的地后先令一个密钥SK来解开传统加密方法中的密钥，再用该密钥解开密文，这种组合加密被称为数字签名6.2.3 访问控制技术访问控制是指对网络中的某些资源的访问要进行控制，只有被授予特权的用户，才有资格并有可能去访问有关的数据或程序访问控制是防止对任何资源的非法访问所谓非法访问是指未经授权的使用、泄露、销毁以及发布等访问控制是系统保密性、完整性、可用性和合法使用性的基础访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问它也是维护网络系统安全、保护网络资源的重要手段入网访问控制入网访问控制为网络访问提供了第一层访问控制它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和登录入网的工作站。

用户的入网访问控制可分为： ⑴ 对网络用户的用户名和口令进行验证⑵ 用户名和口令验证有效之后，再进一步履行用户账号的默认限制检查 只要其中的任何一个步骤未通过，该用户便不能进入该网络访问权限控制访问权限控制是针对非法操作所提出的一种安全保护措施用户和用户组被赋予一定的权限，即控制可以访问哪些文件夹、子文件夹、文件和其他资源？以及对这些文件、文件夹、设备能够执行哪些操作？受托者指派受托者指派和继承权限屏蔽继承权限屏蔽作为访问权限控制的两种实现方式受托者指派控制用户和用户组如何使用网络服务器的文件夹、文件和设备继承权限屏蔽相当于一个过滤器，可以限制子文件夹从父文件夹那里继承哪些权限根据访问权限将用户分为 特殊用户特殊用户(如系统管理员)；一般一般用户用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户审计用户，负责网络的安全控制与资源使用情况的审计用户对网络资源的访问权限可以用一个访问控制表来描述6.2.3 访问控制技术3. 文件夹级安全控制4. 属性安全控制5. 网络服务器安全控制6. 网络监测和锁定控制7. 网络端口和节点的安全控制8. 防火墙控制 Windows 2003 Server的安全与保护措施6.3.1 Windows 2003 Server的安全概述6.3.2 Windows 2003 Server用户账户的管理6.3.3 文件/文件夹的权限设置6.3.4 Windows 2003 Server的安全访问控制6.3.5 单元实训：权限配置和安全审核6.3.1 Windows 2003 Server的安全概述1. 1. 概述概述–⑴⑴ 用户身份验证用户身份验证–⑵⑵ 基于对象的访问控制基于对象的访问控制–⑶⑶ Active DirectoryActive Directory和安全性和安全性6.3.1 Windows 2003 Server的安全概述2. 域的体系结构–⑴⑴ 域和安全性域和安全性–⑵⑵ 单个域和多个域单个域和多个域–⑶⑶ 可转移的信任关系可转移的信任关系–⑷⑷ 服务器角色服务器角色6.3.1 Windows 2003 Server的安全概述3. 身份验证–身份验证是系统安全性的一个基本方面。

它身份验证是系统安全性的一个基本方面它负责确认试图登录域或访问网络资源的任何负责确认试图登录域或访问网络资源的任何用户的身份用户的身份WindowsWindows身份验证允许对整个身份验证允许对整个网络资源进行单独登记采用单独登记的方网络资源进行单独登记采用单独登记的方法，用户可以使用密码或智能卡一次登录到法，用户可以使用密码或智能卡一次登录到域，然后，通过身份验证向域中的所有计算域，然后，通过身份验证向域中的所有计算机表明身份机表明身份6.3.1 Windows 2003 Server的安全概述Windows支持几种工业标准的身份验证类型验证用户身份时，Windows依据多种要素使用不同种类的身份验证Windows支持的身份验证类型有：⑴ Kerberos V5身份验证；⑵ 安全套接字层(SSL)和传输层安全性(TLS)的身份验证；⑶ NTLM身份验证6.3.1 Windows 2003 Server的安全概述4. 授权5. 审核6. 安全策略7. 数据保护8. 公钥基础结构6.3.2 Windows 2003 Server用户账户的管理添加用户账号⑴ 启动Active Directory用户和计算机管理器，单击User选项会看到在安装Active Directory时自动建立的用户账号。

⑵ 单击“操作”→“新建”→“用户”，在“创建新对象”对话框中输入用户的姓名、登录名，其中的“用户登录名”是指当用户从运行Windows早期版本的操作系统的计算机登录网络所使用的用户名，在图示的窗体中，单击“下一步”按钮；⑶ 在密码对话框中输入密码或不填写密码，并选择“用户下次登录时须更改密码”选项，以便让用户在第一次登录时修改密码；⑷ 在完成对话框中会显示以上设置的信息，单击“完成”按钮这时用户会在管理器中看到新添加的用户管理器中显示添加的用户6.3.2 Windows 2003 Server用户账户的管理新建对象 |用户6.3.2 Windows 2003 Server用户账户的管理6.3.2 Windows 2003 Server用户账户的管理2. 管理用户账户⑴ 输入用户的信息在用户属性对话框中的常规标签中可以输入有关用户的描述、办公室、、电子邮件地址及个人主页地址；在地址标签中输入用户的所在地区及通信地址；在/备注标签中输入有关用户的家庭、寻呼机、移动、、IP及相关备注信息这样便于用户以后在活动文件夹中查找用户并获得相关信息⑵ 用户环境的设置用户可以设置每一个用户的环境，例如用户配置文件、登录脚本、宿主文件夹等，这些设置根据实际情况而定。

6.3.2 Windows 2003 Server用户账户的管理设置用户登录时间⑶ 设置用户登录时间在账户标签中单击“登录时间”按钮，出现如下图所示的对话框，图中横轴每个方块代表一小时，纵轴每个方块代表一天，蓝色方块表示允许用户使用的时间，空白方块表示该时间不允许用户使用限制用户由某台客户机登录6.3.2 Windows 2003 Server用户账户的管理⑷ 限制用户由某台客户机登录 在账户中单击“登录到”按钮，出现如右图所示的对话框，在默认情况下用户可以从所有的客户机登录，也可以设置让用户从某些客户机登录，设置时输入计算机的计算机名称，然后单击“添加”按钮，这些设置对于非Windows客户机是无效的，例如用户可以不受限制的从任何一台Windows客户机登录6.3.2 Windows 2003 Server用户账户的管理⑸ 设置账户的有效期限⑹ 管理用户账户在创建用户账号后，可以根据需要对账户进行密码重新设置、修改、重命名等操作① 重设密码② 账户的移动③ 重命名④ 删除账户6.3.2 Windows 2003 Server用户账户的管理计算机账户的创建 ⑺ 计算机账户的创建① 首选启动Active Directory用户和计算机管理器，单击Computer→“操作”→“计算机”，则出现如右图所示的对话框。

② 输入计算机名称，单击“下一步”→“确定”按钮完成创建工作6.3.2 Windows 2003 Server用户账户的管理3. 组的管理用户可以利用将用户加入到组中的方式，简化网络的管理工作当用户对组设置了权限后，则组中所有的用户就具有了该权限，这样避免用户对每一个用户设置权限，从而减轻了工作量⑴ 添加组① 打开Active Directory用户和计算机② 在控制台树中，双击域节点③ 单击要添加组的文件夹，指向“新建”，然后单击“组”按钮6.3.2 Windows 2003 Server用户账户的管理新建对象-组④ 键入新组的名称，在默认情况下，用户输入的名称还将作为新组的Windows早期版本的名称，如右图所示⑤ 单击所需的“组作用域”按钮注意：如果用户目前创建的组所属的域处于混合模式，则只能选择具有“本地域”或“全局”作用域的安全组⑥ 单击所需的“组类型”按钮6.3.2 Windows 2003 Server用户账户的管理⑵ 指定用户隶属的组 设置方法是在组属性对话框中，单击“成员属于”标签，如图7-7所示可以查看用户隶属于哪些组，如果要将用户添加到其他的组中则单击“添加”按钮，出现如图7-8所示的对话框，在上方的窗体中选择需要添加的组(可以按住Shift键或Ctrl键，利用鼠标选择多个组)，然后单击“添加”按钮则所选的组会出现在下方的窗体中，单击“确定”按钮。

如果需要将用户从他所属的指定组中删除，则在成员属于窗体中选择该组，单击“删除”按钮注意，用户账号至少隶属于一个组，该组被称为主要组，这个主要组必须是一个全局组且它不可删除6.3.2 Windows 2003 Server用户账户的管理组属性-“成员属于”标签页成员属于→添加→选择组6.3.2 Windows 2003 Server用户账户的管理3. 组的管理⑶ 管理组将组转换为另一种组类型，其步骤如下：① 打开Active Directory用户和计算机；② 在控制台树中，双击域节点；③ 单击包含该组的文件夹；④ 在详细信息窗格中，右键单击组，然后单击“属性”；⑤ 在“常规”标签页的“组类型”中，单击“分布式”或“安全式”6.3.2 Windows 2003 Server用户账户的管理⑶ 管理组更改组作用域，其步骤如下：打开Active Directory用户和计算机→在控制台树中，双击域节点→单击包含组的文件夹→在详细信息窗格中，右击“组”按钮，然后单击“属性”按钮→在“常规”标签页的“组作用域”下，单击“本地域”、“全局”或“通用”按钮删除组，其步骤如下：打开Active Directory用户和计算机→在控制台树中，双击域节点→单击包含组的文件夹→在详细信息窗格中，右击“组”按钮，然后单击“删除”按钮。

6.3.2 Windows 2003 Server用户账户的管理4. 域和域控制器的管理 ⑴ 更改域模式 打开Active Directory域和信任关系→右击用户想要管理的域的域节点，然后单击“属性”→在“常规”标签页上，单击“更改模式”，然后单击“是” 更改域模式6.3.2 Windows 2003 Server用户账户的管理⑵ 创建明确域信任，其步骤如下：① 打开Active Directory域和信任关系；② 在控制台树中，右键单击要管理的域的域节点，然后单击“属性”；③ 单击“信任”标签页；④ 根据用户的需要，单击“受此域信任的域”或“信任此域的域”按钮，然后单击“添加”按钮；⑤ 如果要添加的域是Windows 2003域，则键入域的DNS全名注意：密码必须是信任域和被信任域双方都接受的6.3.2 Windows 2003 Server用户账户的管理⑶ 验证信任关系，其步骤如下：① 打开Active Directory域和信任关系；② 在控制台树中，用右键单击要验证的信任关系所涉及的一个域，然后单击“属性”按钮；③ 单击“信任”标签页；④ 在“受此域信任的域”或“信任此域的域”中，单击要验证的信任关系，然后单击“编辑”；⑤ 单击“验证”按钮。

6.3.2 Windows 2003 Server用户账户的管理⑷ 撤消信任关系，其步骤是：① 打开Active Directory域和信任关系；② 在控制台树中，用右键单击要验证的信任关系所涉及的一个域节点，然后单击“属性”按钮；③ 单击“信任”标签页；④ 在“受此域信任的域”或“信任此域的域”中，单击要撤消的信任关系，然后单击“删除”按钮；⑤ 对于此信任关系中涉及的其他域，重复该过程注意：用户不可能撤消树林中不同域之间的默认双向可传递信任关系，但可删除明确创建的快捷信任关系6.3.3 文件/文件夹的权限设置1. 通过Windows资源管理器设置权限⑴ 选择：开始→程序→Windows资源管理器⑵ 在左侧窗口中选中要设置权限的文件夹，右击，选择“共享”选项，在“共享”标签页中，选中“共享为”选项，输入共享名、用户个数设置单击“权限”按钮，进入用户权限分配窗口，在该窗口中，可以“添加”和“删除”一个或多个用户及用户组对所选文件夹的权限，设定权限为：读取、写入、完全控制、拒绝访问等6.3.3 文件/文件夹的权限设置通过Windows资源管理器设置权限6.3.3 文件/文件夹的权限设置2. 通过计算机管理来管理共享文件夹选择“开始”→“程序(P)”→“管理工具(公用)”，从中单击“计算机管理”选项，可激活“计算机管理”窗口。

要断开某一用户与所有共享资源的连接，可在“共享资源”窗口中，选定“已连接的用户”框中的用户名，然后单击“断开”按钮要断开所有用户与所有共享资源的连接，在该窗口中，单击“全部断开”按钮管理员应当在断开连接之前警告已连接的用户，然后再实施操作断开连接之后，每一被断开连接的用户，将断开与计算机上所有共享资源的连接6.3.3 文件/文件夹的权限设置2. 通过计算机管理来管理共享资源 添加共享文件夹；修改共享文件夹；设置已存在共享文件夹的权限；停止已存在共享文件夹 在“计算机管理”窗口中，选定计算机名在该窗口的“计算机”下拉式菜单中，选择“共享文件夹(D)”选项，弹出“共享文件夹”窗口在“共享文件夹”窗口中列出了计算机的共享文件夹并显示每个共享文件夹的路径使用“新建共享(N)”按钮添加共享资源；“属性(P)”按钮修改共享资源的属性；“停止共享(S)”按钮停止资源的共享；使用完毕要退出时，单击“关闭”6.3.3 文件/文件夹的权限设置3. 用户的最终有效权 由于可以给每个用户账户与组账户指派不同的权限，因此针对某个资源，可能某个用户同时被指派了多个权限例如，若用户A与这些组都分别被指派了不同的NTFS权限，用户A的最后的有效权限是什么呢？⑴ 权限是有累加性的⑵ “拒绝”权限会覆盖其他所有的权限⑶ 文件权限会覆盖文件夹的权限⑷ 从父文件夹继承的权限不能修改⑸ 文件和文件夹的所有权⑹ 复制后的新文件或文件夹权限有可能改变6.3.4 Windows 2003 Server的安全访问控制1. Windows 2003控制对象的访问⑴ 设置、查看、更改或删除文件和文件夹权限① 打开“Windows资源管理器”，然后定位到用户要设置权限的文件和文件夹。

② 右击该文件或文件夹，弹出属性对话框，然后单击“安全”标签页，如图7-11所示③ 执行以下任一项操作：要设置新组或用户的权限，可单击“添加”按钮按照域名\名称的格式键入要设置权限的组或用户的名称，然后单击“确定”按钮关闭对话框要更改或删除现有的组或用户的权限，可单击该组或用户的名称④ 如果必要，请在“权限”中单击每个要允许或拒绝的权限的“允许”或“拒绝”若要从权限列表中删除组或用户，可单击“删除”按钮6.3.4 Windows 2003 Server的安全访问控制图7-11 “Source Code属性”对话框6.3.4 Windows 2003 Server的安全访问控制1. Windows 2003控制对象的访问⑵ 设置、查看或删除共享文件夹或驱动器的权限① 打开“Windows资源管理器”，然后定位到要设置权限的共享文件夹或驱动器；② 右击共享文件夹或驱动器，然后单击“共享”；③ 在“共享”标签页上，单击“权限”选项；④ 要设置共享文件夹权限，单击“添加”按钮键入要设置权限的组或用户的名称，然后单击“确定”按钮关闭对话框要删除权限，可在“名称”中选择组或用户，然后单击“删除”按钮；⑤ 在“权限”中，如果需要，对每个权限单击“允许”或“拒绝”选项，如图7-12所示。

6.3.4 Windows 2003 Server的安全访问控制图7-12 设置共享文件夹权限6.3.4 Windows 2003 Server的安全访问控制1. Windows 2003控制对象的访问⑶ 取得文件或文件夹的所有权① 打开“Windows资源管理器”，然后定位到要取得其所有权的文件或文件夹；② 右击该文件或文件夹，弹出属性对话框，然后单击“安全”标签页；③ 单击“高级”，然后单击“所有者”标签页，如图7-13所示；④ 单击新的所有者，然后单击“确定”按钮6.3.4 Windows 2003 Server的安全访问控制图7-13 SourceCode的访问控制设置图7-13 SourceCode的访问控制设置6.3.4 Windows 2003 Server的安全访问控制⑷ 对子域或组织单位委派控制，其步骤如下① 打开Active Directory用户和计算机② 在控制台树中，展开域对象以显示子域或组织单位③ 右击要委派管理的子域或组织单位，然后单击“委派控制”④ 完成委派控制向导中的步骤2. 事件的审核设置、查看、更改或删除文件或文件夹的审核，其步骤如下：① 打开“Windows资源管理器”，然后定位到想要审核的文件和文件夹；② 右击该文件或文件夹，弹出“Sourcecode属性”对话框，然后单击“安全”标签页；③ 单击“高级”，然后单击“审核”标签页；6.3.4 Windows 2003 Server的安全访问控制④ 执行以下任一项操作：要设置新组或用户的审核，可单击“添加”按钮。

在“名称”中，键入新的用户名，然后单击“确定”按钮，自动打开“审核项”对话框要查看或更改现有组或用户的审核，请单击相应的名称，然后单击“查看/编辑”；要删除现有组或用户的审核，可单击相应的名称，然后单击“删除”按钮跳过步骤⑤、⑥、⑦6.3.4 Windows 2003 Server的安全访问控制图7-14 SourceCode的权限项目⑤ 如果有必要，可在“审核项目”对话框中的“应用到”列表中，选择要进行审核的位置“应用到”列表只能用于文件夹，如图7-14所示⑥ 在“访问”下，单击要审核的访问的“成功”或“失败”或这两项⑦ 如果要阻止目录树中的文件和子文件夹继承这些审核项，可选中“仅对此容器内的对象和/或容器应用这些审核项”复选框6.3.4 Windows 2003 Server的安全访问控制图7-15 事件查看器3. 查看安全日志① 打开“事件查看器”对话框；② 双击“安全日志”选项，如图7-15所示；③ 在详细信息窗格中，检查审核事件列表6.3.4 Windows 2003 Server的安全访问控制图7-16 “高级属性”对话框4. 管理磁盘上的数据加密⑴ 指定用于文件加密的远程服务器⑵ 加密文件或文件夹⑶ 将加密的文件或文件夹移动或还原到另一台计算机上6.3.4 Windows 2003 Server的安全访问控制5. 管理安全模板启动安全模板，其设置步骤如下：① 决定是否将安全模板添加到现有的控制台或创建新控制台。

要创建控制台，单击“开始”→“运行”，然后键入“mmc”，然后单击“确定”按钮要将安全模板添加到现有的控制台中，打开控制台，然后进行下一步② 在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”按钮6.3.4 Windows 2003 Server的安全访问控制图7-17 安全模板接上页③ 选择“安全模板”，单击“添加”按钮，单击“关闭”按钮，然后单击“确定”按钮，如图7-17所示6.3.4 Windows 2003 Server的安全访问控制④ 在“控制台”菜单上，单击“保存”⑤ 输入指派给此控制台的名称，然后单击“保存”在启动安全模板后，用户可以执行以下操作：要自定义预定义安全模板、定义安全模板、删除安全模板、刷新安全模板列表、设置安全模板说明、将安全模板应用到本地计算机、将安全模板导入到“组策略”对象和查看有效的安全设置6. 安全配置和分析⑴ 安全配置和分析的准备⑵ 设置工作的安全数据库⑶ 分析系统的安全性6.3.4 Windows 2003 Server的安全访问控制图7-18 “打开数据库”对话框6.3.4 Windows 2003 Server的安全访问控制图7-19 分析系统安全6.3.4 Windows 2003 Server的安全访问控制图7-20 检查日志文件或复查结果6.3.5 单元实训：权限配置和安全审核1. 实训目标学习使用域用户管理器为用户授权和修改用户属性，同时可以设置其他帐号的安全属性。

学习利用存取控制列表来控制用户对对象的访问权限2. 实训条件运行Windows 2003 Server和Windows XP或Windows 2000 professional计算机组成的局域网，在Windows 2003 Server服务器上安装活动目录(Active Directory)，建立一主域服务器，以域方式工作必须有NTFS磁盘分区或卷用于保存SYSVOL文件夹；必须运行TCP/IP协议和DNS服务(可在安装活动目录的同时安装DNS)，Windows 2003 Server服务器上必须安装网卡6.3.5 单元实训：权限配置和安全审核3. 实训内容与步骤⑴ 安装活动目录① 使用dcpromo命令，将出现“AD安装向导”对话框，若在网络中第一次安装活动目录时，所创建的是森林的根域，此时选择“新域的域控制器”单选钮② 选择“创建一个新的目录树”和“创建新的域目录树”单选钮，输入新域的DNS全名，例如，③ 指定权限和密码等，此时开始安装AD并创建一个域活动目录安装后，将在“程序/管理”下产生三项：Active Directory用户和计算机、Active Directory域和信任关系、Active Directory站点和服务。

6.3.5 单元实训：权限配置和安全审核⑵ 设置活动目录权限① 设置标准权限② 设置特殊权限③ 委派管理控制⑶ 使用域用户管理器为用户建立和修改帐户及属性同时设置其他帐号属性⑷ 通过工作站以合法的用户帐号登陆到服务器上，查看用户权限⑸ 安全处理本章小结本章主要讨论局域网的安全管理，首先分析了影响局域网的安全因素，例如硬件设备和线路、系统软件、身份认证环节、系统的被监视性和被欺骗性，以及有缺陷的服务和相互信任的主机都有可能引起局域网的安全隐患；然后介绍了局域网的安全技术，重点是密码技术和入网访问控制技术，例如传统加密算法，数据加密标准DES，公开密钥密码体制，数字签名，还有文件与文件夹属性，服务器和网络端口和节点的安全控制等；作为面向应用的实例，本章最后讨论了Windows 2003 Server的安全与保护措施，如对用户账户的管理，文件/文件夹的权限设置，安全访问控制，控制对象的访问，事件的审核，查看安全日志，管理磁盘上的数据加密，管理安全模板，安全配置和分析等内容本章习题1. 简答题⑴ 影响局域网的安全因素有哪些？⑵ Windows系统采用何种数据保护安全机制？⑶ 简述密码技术、访问控制技术及数字签名概念。

⑷ 试说明数据加密标准DES的算法⑸ 传统的加密体制与公开密钥加密的体制有何不同？各有什么特点和优缺点？⑹ 网络安全策略主要包括哪些内容？网络安全策略的实现在技术上应从哪几个方面来保证？网络安全中有哪些访问控制策略？⑺ Internet接入带来的安全缺陷有哪些？⑻ 什么是域？在域模型中服务器类型有几种？在Windows 2000 Server中有几种域模型？工作组和域之间的主要区别是什么？⑼ 什么是活动目录？使用活动目录有哪些优点？⑽ 在Windows 2000域内，有哪几类用户帐号？⑾ 一个用户能够对一个域中的全部计算机完全地控制的简单的办法是什么？本章习题2. 填空题⑴ 基于密钥的算法通常有两类，其中RSA算法属于____________算法⑵ 网络加密的方式主要有_____________、_____________、_____________⑶ 网络安全中，脆弱性是指网络系统中________________的弱点⑷ Windows Server 2003系统安全服务主要提供________________、身份认证、________________和服务授权⑸ 在Windows 2003 Server中，一个用户帐号包含了_____________、______________、______________、______________、_____________等信息，在添加一个用户帐号后，它被自动分配一个安全标识SID，这个标识是唯一的，即使帐号被删除，它的SID仍然保留，如果在城中再添加一个相同名称的帐号，它将被分配一个新的SID，在域中利用帐号的SID来决定用户的权限。

⑹ 使用______________或______________技术，通过网络的物理或逻辑划分，控制网络数据的流向，使其不要流向非法用户，以达到安全防范目的本章习题3. 选择题⑴ 以下哪个算法为对称加密算法[ ]A. RSA算法 B. DES算法 C. DSA算法 D. MD5算法⑵ Windows主机推荐使用（ ）格式A. NTFS B、FAT32 C. FAT D. FAT16⑶ 为了防御网络监听，最常用的方法是[ ]A.采用物理传输（非网络） B.信息加密C.无线网 D.使用专线传输⑷ 安全操作系统的特征包括[ ]A. 最小特权原则 B.自主访问控制合强制访问控制原则C. 安全审计 D.安全域隔离⑸ 下列哪几项属于Windows系统安全防范策略[ ]A. 设置系统格式为NTFS B. 取消共享目录的everyone组C. 解除NetBIOS与TCP/IP协议的邦定 D. 安装双系统⑹ Windows Server 2003系统提供的安全机制有[ ]。

A. 审核 B. 证书 C. 加密与验证 D. A、B和C。