Windows 2000 安全性

　　Windows 2000 安全性技術概述--3

　　為了向后兼容性，在 Windows 2000 中，信任關系通過使用 Kerberos V5 協(xié)議及 NTLM 身份驗證（描述如下）支持跨域的身份驗證。這一點很重要，因為許多組織的基于 Windows NT 的企業(yè)域模型非常復雜，具有多個主域和許多資源域，而這些組織發(fā)現(xiàn)管理資源域和其主帳戶域間的信任關系既花費成本又非常復雜。因為基于 Windows 2000 的域目錄樹支持傳遞信任目錄樹，它簡化了較大型組織的網絡域集成及管理。不過請注意，對于 ACL 不同意授予某些權限的人，傳遞信任不會自動將這些權限指派給他（或她）。傳遞信任讓管理員更容易定義和配置訪問權限。

　　使用組策略管理安全性

　　組策略設置是配置設置，管理者可用此設置來控制 Actove Directory 中對象的各種行為。“組策略”是 Active Directory 一項顯著的功能，它讓您以相同的方式將所有類型的策略應用到眾多計算機上。例如，可以使用“組策略”來

　　配置安全性選項，管理應用程序，管理桌面外觀，指派腳本，以及將文件夾從本地計算機重新定向到網絡位置。系統(tǒng)將“組策略”設置在計算機激活時應用于計算機，在用戶登錄時應用于用戶。

　　可以將“組策略”配置設置與三個 Active Directory 容器相關聯(lián)：組織單元 (OU)、域或站點。與給定的容器相關的“組策略”設置不是影響該容器中所有的用戶或計算機，就是影響該容器中特定的對象集合。

　　可以使用“組策略”來定義廣泛的安全性策略。域級策略應用于域中的所有用戶并包含如帳戶策略等的信息 - 例如，最短密碼長度或用戶多久該更改密碼一次�？梢灾付ㄔ谳^低級別是否可改寫這些設置。

　　在使用“組策略”功能來應用廣泛的策略后，可以進一步細化個別 PC 上的安全性設置。本地計算機安全性設置控制您想要授予特定用戶或計算機的權限和特權。例如可以指定誰可在服務器上進行備份和還原、或希望審核桌上型計算機的數據訪問量。

　　特定計算機的設置是從域到 OU 所有策略設置的組合。例如，在上面的圖 1 中，Europe.Microsoft.com 域中用戶的設置

　　是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上設置的所有策略的集合。

　　身份驗證和訪問控制

　　身份驗證是系統(tǒng)安全性的基本方面。身份驗證是用來確認任何試圖登錄到域或訪問網絡資源的用戶的身份。Windows 2000 身份驗證過程是使單一登錄可訪問所有網絡資源的過程的一部分。使用單一登錄，用戶可以用單一密碼或智能卡登錄到域中一次，并可對域中任何計算機進行身份驗證。

　　在基于 Windows 2000 的計算環(huán)境中，成功的用戶身份驗證是由兩個單獨的過程組成的： 互動式登錄，這會向域帳戶或本地計算機確認用戶的身份；以及網絡身份驗證，這會向用戶試圖訪問的任何網絡服務確認用戶的身份。

　　一旦用戶帳戶經過身份驗證并可訪問對象時，要么是分配至該用戶的權力要么就是附加于對象的許可來決定所授予的訪問權限的類型。至于域中的對象，該對象類型的對象管理器會實施訪問控制。例如，注冊表會對注冊表項實施訪問控制。

　　本節(jié)后面會更為詳盡地描述 Windows 2000 身份驗證過程及訪問控制規(guī)定。

　　身份驗證

　　用戶在 Active Directory 中必須有一個 Windows 2000 用戶帳戶，以登錄到計算機或域中。此帳戶會為用戶創(chuàng)建一個身份，然后操作系統(tǒng)會使用此身份驗證用戶的身份并授予訪問特定域資源的權限。

　　用戶帳戶還可用作一些應用程序的服務帳戶。也就是說，服務可被配置成以用戶帳戶登錄（身份驗證），然后通過該用戶帳戶授予對特定網絡資源的訪問權限。

　　就像用戶帳戶一樣，Windows 2000 計算機帳戶提供一種方法來進行身份驗證以及審核計算機對網絡的訪問權限以及對域資源的訪問權限。每一臺您想要授予訪問資源權限的基于 Windows 2000 計算機都必須有一個唯一的計算機帳戶。

　　注意 運行 Windows 98 和 Windows 95 的計算機沒有那些運行 Windows 2000 和 Windows NT 的計算機所擁有的高級安全功能，并且在基于 Windows 2000 的域中不能被指派計算機帳戶。不過，您可以登錄網絡并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的計算機。

　　Windows 2000 支持多重身份驗證機制以供用戶在進入網絡時證明自己的身份。在使用 Extranet 和電子商務應用程序來延伸您的網絡到公司外的用戶時，這個機制就非常重要。

　　當用戶進入網絡時，用戶必須提供身份驗證信息以便安全系統(tǒng)身份驗證其身份，之后再決定要允許該用戶以什么權限（如果有的話）訪問網絡資源。Kerberos 身份驗證協(xié)議（描述如下）用來驗證您公司中的 Windows 2000 用戶的身份。當將系統(tǒng)延伸到合作伙伴、供貨商和 Internet 上的客戶時，您必須支持多種方法讓您公司以外的用戶證明他們的身份。

　　為了幫助您滿足這種需求，Windows 2000 支持數種產業(yè)標準身份驗證機制，包括 X.509 證書、智能卡和 Kerberos 協(xié)議。此外，Windows 2000 還支持在 Windows 中使用多年的 NTLM 協(xié)議，并為開發(fā)生物身份驗證機制的廠商提供接口。

　　詳解Win2000的12個安全防范對策

　　由于Win2000操作系統(tǒng)良好的網絡功能，因此在因特網中有部分網站服務器開始使用的Win2000作為主操作系統(tǒng)的。但由于該操作系統(tǒng)是一個多用戶操作系統(tǒng)，黑客們?yōu)榱嗽诠�擊中隱藏自己，往往會選擇Win2000作為首先攻擊的對象。那么，作為一名Win2000用戶，我們該如何通過合理的方法來防范Win2000的安全呢?下面筆者搜集和整理了一些防范Win2000安全的幾則措施，現(xiàn)在把它們貢獻出來，懇請各位網友能不斷補充和完善。

　　1、及時備份系統(tǒng)

　　為了防止系統(tǒng)在使用的過程中發(fā)生以外情況而難以正常運行，我們應該對Win2000完好的系統(tǒng)進行備份，最好是在一完成Win2000系統(tǒng)的安裝任務后就對整個系統(tǒng)進行備份，以后可以根據這個備份來驗證系統(tǒng)的完整性，這樣就可以發(fā)現(xiàn)系統(tǒng)文件是否被非法修改過。如果發(fā)生系統(tǒng)文件已經被破壞的情況，也可以使用系統(tǒng)備份來恢復到正常的狀態(tài)。備份信息時，我們可以把完好的系統(tǒng)信息備份在CD-ROM光盤上，以后可以定期將系統(tǒng)與光盤內容進行比較以驗證系統(tǒng)的完整性是否遭到破壞。如果對安全級別的要求特別高，那么可以將光盤設置為可啟動的并且將驗證工作作為系統(tǒng)啟動過程的一部分。這樣只要可以通過光盤啟動，就說明系統(tǒng)尚未被破壞過。

　　2、設置系統(tǒng)格式為NTFS

　　安裝Win2000時，應選擇自定義安裝，僅選擇個人或單位必需的系統(tǒng)組件和服務，取消不用的網絡服務和協(xié)議，因為協(xié)議和服務安裝越多，入侵者入侵的途徑越多，潛在的系統(tǒng)安全隱患也越大。選擇Win2000文件系統(tǒng)時，應選擇NTFS文件系統(tǒng)，充分利用NTFS文件系統(tǒng)的安全性。NTFS文件系統(tǒng)可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內，而且Win2000新增的磁盤限額服務還可以控制每個用戶允許使用的磁盤空間大小。

　　3、加密文件或文件夾

　　為了防別人偷看系統(tǒng)中的文件，我們可以利用Win2000系統(tǒng)提供的加密工具，來保護文件和文件夾。其具體操作步驟是，在“Win 資源管理器中，用鼠標右鍵單擊想要加密的文件或文件夾，然后單擊“屬性。單擊“常規(guī)選項卡上的“高級，然后選定“加密內容以保證數據安全復選框。

　　4、取消共享目錄的EveryOne組

　　默認情況下，在Win2000中新增一個共享目錄時，操作系統(tǒng)會自動將EveryOne這個用戶組添加到權限模塊當中，由于這個組的默認權限是完全控制，結果使得任何人都可以對共享目錄進行讀寫。因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的權限調整為讀取。

　　用Win2000 Server實現(xiàn)安全文件服務器(圖)

　　兩人之間共享文件，可按“網上鄰居法設置共享目錄；如果共享文件給多個人，可效仿“FTP法建立一個簡單的FTP服務器。難道掌握了這些本領，我們真的就高枕無憂了嗎？

　　要回答上面的問題，讓我們先來看看下面幾種情況：如果權限分配出現(xiàn)失誤，文件的普通訪問者變成了控制者；如果當你好意提供給別人的上傳空間時，很可能被感染了活動猖獗的蠕蟲病毒；如果辦公室里有很多人都想共享自己的文件，難道每個人都在自己的電腦上;

　　建立共享目錄或者FTP服務器？說到這里，你也就明白在力求工作效率與計算機安全的辦公環(huán)境中，“網絡鄰居法與“FTP法都遠遠不及“專職文件服務器 (一臺安裝了Windows 2000 Server操作系統(tǒng)而且隨時聽候我們調用的服務器)。下面我們就來建立一臺可以指定一定空間給同事們使用又能最大限度防止受病毒侵害的文件服務器。

　　初級篇

　　讓我們從Windows 2000磁盤限額分配方法談起。安裝設置完成Windows 2000 Server以后，作為文件服務器管理員的你就得考慮劃分一個專用于存放共享文件的分區(qū)，如果你的系統(tǒng)分區(qū)是C，那么建議共享文件的分區(qū)分配在D或者E等分區(qū)，做好這一步之后繼續(xù)。

　　1.將分區(qū)格式轉換成NTFS

　　采用NTFS格式的分區(qū)是實現(xiàn)磁盤限額的基本條件。眾所周知，如果共享目錄所在的分區(qū)采用FAT32格式，而你又分配給同事寫入數據的權限，那這個分區(qū)的可用空間就開始處在不確定狀態(tài)中，而且你很難掌控空間的使用情況。如果磁盤分區(qū)采用NTFS這種更加高效安全的分區(qū)格式，那么你就能決定同事最多能占用多大的空間，就能順理成章地把握整個分區(qū)乃至磁盤空間的使用狀態(tài)。現(xiàn)在的分區(qū)仍然是FAT32嗎？趕快轉換成NTFS吧！

　　小知識如何將FAT32轉換成NTFS分區(qū)格式？

　　方法一：使用Windows 2000的分區(qū)轉換命令Convert.exe。例如，要把D分區(qū)由FAT32轉換成NTFS，操作步驟是：點擊“開始→運行；在運行輸入框中輸入命令 Convert D: /FS: NTFS；在輸入卷標提示后面輸入D分區(qū)的卷標，如D_DISK。剩余的工作就交給Windows 2000自動去完成了。

　　方法二：使用Server Magic 4.0等專業(yè)分區(qū)管理軟件(這里略過不談)

　　2.啟用磁盤限額

　　用鼠標右擊D分區(qū)，在彈出的快捷菜單中選中“屬性，在D分區(qū)屬性窗口中切換到“配額選項卡――這就是磁盤限額功能所在的地方啦。然后，依次點擊選中 “啟用配額管理和“拒絕將磁盤空間給超過配額限制的用戶兩個選項，接下來就根據辦公室和服務器的情況來決定磁盤空間限制為多少，本例中的限制為 100MB。

　　Windows 2008與Windows 7并存時的故障詳解

　　上周末，我下了很大的決心，對筆記本計算機進行了全面清理，以便安裝Windows 7 RTM。經常閱讀我文章的讀者應該知道，從2008年底開始，我就一直在使用Windows 7測試版。當Windows 7候選發(fā)布版到來時，我采取的是非常規(guī)安裝方式，直接從測試版升級到RC版(微軟并不支持這樣的操作)。但這次，我決定采用全新安裝的方式升級到Windows 7 RTM，如同在上周的文章中說的一樣。

　　盡管我努力注意保證小心不出大錯，但在Windows 7啟動管理器的環(huán)節(jié)還是出現(xiàn)了問題。下面就描述一下出現(xiàn)問題的情況和我發(fā)現(xiàn)的解決方法。

　　在多啟動模式下開始安裝

　　目前，我的筆記本計算機的主要應用于為客戶運行產品展示之類的日常工作，偶爾也會運行任教的課程項目。在一個外置的串行ATA硬盤中，我已經安裝了采用多啟動模式的Windows Server 2008。

　　我相信，在Windows 7 RTM的安裝過程中，連接外部驅動器的話，會讓安裝向會檢測到是需要配置多啟動模式，并希望它可以自動進行配置，這樣的話，我也就不必對整個過程進行過多的干預了。

　　這樣做導致了相當有趣的結果是。在整個安裝過程中，并沒有出現(xiàn)問題;在重新安裝了Office 2007和Live在線服務后，我安裝了幾個軟件并對一些設備進行了簡單配置，準備導入舊數據。

　　因為我首先進行的是重新加載備份數據的操作，所以并沒有馬上發(fā)現(xiàn)這個問題。直到我退出安裝光盤，才發(fā)現(xiàn)找不到啟動設備了。

　　更糟糕的是，我發(fā)現(xiàn)即使是拔掉外部驅動器使用啟動盤也無法啟動系統(tǒng)了。

　　于是，我首先采用光盤啟動模式，并使用F8鍵。選擇對系統(tǒng)和啟動菜單進行修復。但系統(tǒng)沒有發(fā)現(xiàn)任何問題，我又選擇利用安裝光盤進行處理，但得到的結果也是相同的。我只好進入命令行模式并使用BCDEDIT進行處理，以找出啟動模式使用的實際分區(qū)。

　　為了獲得這些信息，必須在系統(tǒng)管理員的權限下運行命令行模式，具體內容如圖A所示：

　　圖 A

　　BCEDIT顯示出問題的所在

　　結果顯示開機管理器選擇的是外置串行ATA硬盤所在的D盤作為啟動盤。

　　為了更改這項設置，我輸入：bcdedit /set device “partition=C:

　　我還發(fā)現(xiàn)C盤和剛剛使用的D盤一樣也包含了開機管理器的文件。這就是我發(fā)現(xiàn)最有趣的地方，看起來是沒有辦法解決這個問題了。

　　于是，我輸入下面的命令選擇使用開機管理器的備份文件：bcdedit /export c:filename

　　接下來，我使用安裝光盤重新啟動計算機，并選擇修復系統(tǒng)。并通過命令行模式刪除筆記本內部驅動器和外部串行ATA硬盤上的bootmgr.efi文件。

　　最后，我關閉系統(tǒng)并且斷開外部串行ATA硬盤。重新利用安裝光盤啟動系統(tǒng)。選擇修復系統(tǒng)，在安裝向導為Windows安裝進行自動掃描的時間，它馬上發(fā)現(xiàn)了問題，并給出修復的選項。我選擇同意，并在沒有外部串行ATA硬盤和安裝光盤的情況下，重新啟動計算機。

　　這次終于成功了!

　　現(xiàn)在，在啟動菜單中，我可以選擇Windows 7(恢復)和Windows Server 2008(恢復) 兩種系統(tǒng)了。

　　當Windows 7開始正常工作后，我選擇關閉系統(tǒng)并連接外部串行ATA硬盤。當重新啟動后，我選擇安裝Windows Server 2008，這樣其運行的也非常好。

　　BCDEDIT的正確輸出結果如圖B所示。

　　圖 B

　　故障排除后的BCEDIT

　　為了消除顯示項目中的恢復字樣，可以輸入下面的命令：

　　Bcdedit /set description “Windows 7 Ultimate

　　Bcdedit /set description “Windows Server 2008 Enterprise

　　需要注意的是：替換為其它任何內容都是可以的。

　　關鍵原因是什么?

　　我相信導致這一問題的根本原因是選擇全新安裝Windows 7 RTM的時間，安裝向導發(fā)現(xiàn)了Server 2008并將其作為主要啟動設備，因此，這導致了bootmgr文件被復制，并自動進行配置，引起了問題的發(fā)生。

　　你在安裝Windows 7 RTM的時間，遇到過什么奇怪的問題么?如果有的話，請告訴我，對此我非常有興趣。

　　發(fā)現(xiàn)一個windows7與chrome兼容性問題

　　周末在家，本想著繼續(xù)寫完青海游記，沒想到在使用chrome瀏覽器編輯谷歌在線文件時，每當文件自動保存時就會造成網絡中斷，只有重新啟動電腦才能恢復。開始我并沒有發(fā)現(xiàn)究竟是什么原因，經過幾次反復調試之后，我才發(fā)現(xiàn)windows7與chrome之間存在著一些兼容性問題，而這在之前的windows2003操作系統(tǒng)中從未遇到過，這不得不讓我想到，微軟與谷歌之間的恩怨，會不會正在我的電腦中上演呢？

　　將這一問題發(fā)布上網，沒有發(fā)現(xiàn)其他人也遇到過類似的問題，當然更談不上有什么好的解決方案了，于是又跑去谷歌產品論壇上發(fā)貼子，希望我的反饋能讓這兩家公司注意一下，盡快解決一下這個bug——要知道這太影響我的心情了，不過如果問題出在我的設備上，我可就太冤了。

　　不管怎么樣，寫作還要繼續(xù)，在問題解決前，我只能使用IE8繼續(xù)編輯谷歌文檔了。

　　微軟發(fā)布Windows 7更新：解決部分程序兼容性問題

　　微軟本周通過Windows Update為Windows 7和Windows Server 2008 R2發(fā)布了首次升級，此次升級主要解決系統(tǒng)與某些游戲、應用和固件的兼容性問題，如果你的Windows系統(tǒng)還沒有收到Windows Update的推送，你也可以微軟下載中心下載。此前微軟也曾經為Windows 7發(fā)布過應用程序兼容性升級，不過那些都是專為Windows 7 Beta(Build 7000)和RC(Build 7100)測試人員提供的。微軟計劃今后為Windows 7和Windows Server 2008 R2不斷發(fā)布應用程序兼容性升級，此次發(fā)布只是個開端。

　　此次升級解決了以下應用程序與Windows 7的兼容性問題：Alcohol 52%、Altiris和賽門鐵克虛擬軟件6.1.499.x版本、ZoomText version 9.18、戴爾打印機驅動(V105、V305、V505)、Trend Micro Internet Security 2007、Trend Micro Internet Security 2008、Trend Micro Internet Security 2009、移動飛信2.2.X和3.5.X版本、PGP Desktop 9.x、Trend Micro VirusBuster 2008、Windows Live相冊。

　　官方下載：

　　32位Windows 7(1.77MB)：

　　http://www.microsoft.com/downloads/details.aspx?FamilyId=87bc03c6-4e24-4706-ae99-5c57ce50a970&displaylang=en

　　64位Windows 7(1.90MB)：

　　http://www.microsoft.com/downloads/details.aspx?FamilyId=0f9e69a3-c29d-4538-af0e-c081635c65c5&displaylang=en

　　Windows Server 2008 R2(1.90MB)：

　　http://www.microsoft.com/downloads/details.aspx?FamilyId=29de679b-3aa5-41ae-a425-35579fffbe20&displaylang=en

　　Windows Server 2008 R2 for Itanium(1.97MB)：

　　http://www.microsoft.com/downloads/details.aspx?FamilyId=cf65da8d-04cb-41e0-80e5-a7f24cf4548a&displaylang=en

【Windows 安全性】相關文章：

windows鍵是哪個03-27

windows運行命令大全08-10

Windows 2003的安裝攻略10-14

Windows實用的操作技巧09-08

如何關閉windows安全警報06-04

怎么關閉windows安全警報06-04

Windows系統(tǒng)的安全策略03-09

Windows XP刻錄光盤的教程03-03

Windows XP清理垃圾的方法03-22

如何關閉Windows安全中心04-08