实训6-1--Windows访问控制功能.doc

PAGE2 信息安全技术

第6章访问控制与审计技术 PAGE3

实训

实训6.1

Windows访问控制

Windows访问控制功能

本节实训与思考的目的是：

(1)熟悉访问控制技术的基本概念，了解访问控制技术的工作原理和基本内容。

(2)通过学习配置安全的Windows操作系统，来加深理解访问控制技术，掌握Windows的访问控制功能。

1工具/准备工作

在开始本实训之前，请认真阅读本课程的相关内容。

需要准备一台运行WindowsXPProfessional操作系统，并带有浏览器，能够访问因特网的计算机。

2实训内容与步骤

(1)概念理解

1)请通过查阅有关资料，尽量用自己的语言解释以下有关访问控制技术的概念：

①自主访问控制：是一种比较宽松的访问控制机制，一个主体的访问权限具有传递性，拥有资源的用户来决定其他一个或一些主体可以在什么程度上访问哪些资源。

②强制访问控制：这是一种比较强硬的控制机制，系统为所有的主体和客体指定安全级别，不同级别标记了不同重要程度和能力的实体，不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。

③角色和基于角色的访问控制：就是通过定义角色的权限，为系统中的主体分配角色来实现访问控制，用户先经认证后获得一定角色，该角色被分派了一定的权限，用户以特定角色访问系统资源，访问控制机制检查角色的权限，并决定是否允许访问。

2)请查阅有关资料，根据你的理解和看法，给出“访问控制技术”的定义：

访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制，也是信息安全理论基础的重要组成部分。

这个定义的来源是：课本

(2)配置安全的Windows操作系统

关注网络安全，首先就要关注操作系统及其安全设置。根据用户的不同要求，操作系统的选择也有所不同。从整体上来说，操作系统可以分为3种类型：第一类是选用Windows98/ME；第二类是选用Windows2000/XP甚至2003；第三类是使用Unix/Linux操作系统。从安全角度看，各种操作系统都存在着一定的漏洞，或多或少，有的漏洞可能还没有被发现。而正是这些还没被发现的漏洞严重的威胁着大家计算机的安全。但这些漏洞都是可以通过自己修改系统来减小危害的。

1)Windows98/ME操作系统。这一类操作系统所受到的网络攻击相对比较少，原因是其主要面对家庭用户，网络功能较弱，一般的服务器不会选择这类操作系统。但是，漏洞还是存在的。

比如Windows98有一个很著名的共享导致蓝屏的漏洞：当你共享一个分区，例如C盘时，只要在运行里输入\\ip\c\con\con或者\\机器名\c\con\con，就会导致蓝屏。其原因是由于硬件冲突，这是Windows98的一个bug。黑客经常利用这些漏洞攻击电脑。其解决的办法就是不共享和安装补丁。目前来看，Windows98/ME操作系统的安全防范主要就是针对那些菜鸟级别的黑客，只要注意安装网络防火墙，小心木马之类的软件就可以了。安装的时候应尽量选用正版软件。

下面的内容主要是针对Windows2000/XP/2003操作系统安全设置的。

2)Windows版本选择。

①版本选择。Windows2000/XP/2003等都有各种语言的版本。国内用户见到的基本都是简体中文版和英文版，如果没有语言障碍，建议选择使用英文版的操作系统。这主要是因为Windows操作系统是基于英文开发的，一般来说，中文版的bug肯定要多于英文版，而且因为各种补丁通常都是先发表英文版的，中文版往往要延迟一段时间，那么延迟的这段时间就相当凶险了。

②正确安装系统。建议尽量不要采用网络安装方式，并强烈建议不要采用升级安装，而是进行全新安装，这样可以避免升级方式带来的种种问题。

安装完成后，各种服务均自动运行，此时的机器是漏洞满身，非常危险，所以，建议一定要在安装完毕，并且安装好各种补丁后才接入网络。

③硬盘的分区问题。硬盘如果只有一个分区，直接安装系统，这样做的风险很大。建议划分3个以上分区。第一个用来安装系统和日志，第二个放IIS，第三个放

XP：在最初的WindowsXP以及SP1中，WindowsXP内置的防火墙提供了良好的反黑客保护。WindowsXP的SP2则大大改进了防火墙的保护功能，并且可以阻止恶意程序访问网络，但是它对于商业应用来讲依旧显得相对简单，所以许多重视安全性能的用户依然会使用第三方提供的功能更强的防火墙或是互联网安全组件。

Vista：Vista拥有一个与WindowsXPSP2相似却又有较大改进的防火墙。InternetExplorer7具有“反钓鱼”功能，可对部分钓鱼站点进行清理。

网络钓鱼：是网络上众多诱骗手法之中的