信息安全概論主講人 夏淑華二0一0年八月 第一章計(jì)算機(jī)安全概論第二章實(shí)體及硬件安全技術(shù)第三章計(jì)算機(jī)軟件安全技術(shù)第四章操作系統(tǒng)安全基礎(chǔ)第五章密碼技術(shù)第六章數(shù)據(jù)庫系統(tǒng)安全第七章計(jì)算機(jī)病毒及防范第八章網(wǎng)絡(luò)安全技術(shù)第九章防火墻技術(shù)第十章黑客攻擊與防范 目錄 第1章計(jì)算機(jī)安全概論 1 1計(jì)算機(jī)安全研究的重要性1 2計(jì)算機(jī)系統(tǒng)的安全技術(shù)1 3計(jì)算機(jī)系統(tǒng)安全評(píng)估1 4計(jì)算機(jī)安全法規(guī)1 5計(jì)算機(jī)安全技術(shù)的發(fā)展方向與市場(chǎng)分析 3 本章學(xué)習(xí)目標(biāo) 1 掌握計(jì)算機(jī)系統(tǒng)安全的基本概念 明確計(jì)算機(jī)系統(tǒng)安全的重要性和計(jì)算機(jī)系統(tǒng)所面臨的威脅及脆弱的根源 2 掌握計(jì)算機(jī)系統(tǒng)安全的主要技術(shù) 3 明確計(jì)算機(jī)系統(tǒng)安全評(píng)估的重要性 理解可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn) 4 了解我國計(jì)算機(jī)信息系統(tǒng)的主要安全法規(guī) 5 了解計(jì)算機(jī)安全技術(shù)的發(fā)展趨勢(shì) 4 1 1計(jì)算機(jī)安全研究的重要性 1 1 1計(jì)算機(jī)信息系統(tǒng)面臨的威脅1 計(jì)算機(jī)信息系統(tǒng)概念 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 計(jì)算機(jī)信息系統(tǒng)是指 由計(jì)算機(jī)及其相關(guān)的和配套設(shè)備 設(shè)施 含網(wǎng)絡(luò) 構(gòu)成的 按照一定的應(yīng)用和規(guī)則對(duì)信息進(jìn)行采集 加工 存儲(chǔ) 傳輸 檢索等處理的人機(jī)系統(tǒng) 2 計(jì)算機(jī)信息系統(tǒng)面臨的攻擊和威脅 1 對(duì)實(shí)體的攻擊和威脅計(jì)算機(jī)本身和外部設(shè)備乃至網(wǎng)絡(luò)和通信線路面臨各種風(fēng)險(xiǎn) 如各種自然災(zāi)害 人為破壞 操作失誤 設(shè)備故障 電磁干擾 被盜和各種不同類型的不安全因素所致的物質(zhì)財(cái)產(chǎn)損失 數(shù)據(jù)資料損失等 2 對(duì)信息的威脅與攻擊 信息泄露即故意或偶然地偵收 截獲 竊取 分析和收到系統(tǒng)中的信息 特別是機(jī)密或敏感的信息 造成泄密事件 信息破壞信息破壞是指由于偶然或人為因素破壞信息的機(jī)密性 完整性 可用性及真實(shí)性 1 計(jì)算機(jī)犯罪種類 3 計(jì)算機(jī)犯罪 網(wǎng)上金融盜竊 竊用計(jì)算機(jī)系統(tǒng) 散布破壞性病毒 邏輯炸彈或者放置后門程序犯罪 蓄意破壞 入侵 偷窺 復(fù)制 更改或者刪除計(jì)算機(jī)信息犯罪 網(wǎng)絡(luò)詐騙 教唆犯罪 網(wǎng)絡(luò)侮辱 誹謗與恐嚇犯罪 網(wǎng)絡(luò)色情傳播犯罪 2 計(jì)算機(jī)犯罪特點(diǎn) 作案手段智能化 隱蔽性強(qiáng) 犯罪侵害的目標(biāo)較集中 偵查取證困難 破案難度大 犯罪后果嚴(yán)重 社會(huì)危害性大 4 計(jì)算機(jī)病毒1984年 美國人Thompson開發(fā)出了針對(duì)UNIX操作系統(tǒng)的病毒程序 1988年11月2日晚 美國康爾大學(xué)研究生羅特 莫里斯將計(jì)算機(jī)病毒蠕蟲投放到網(wǎng)絡(luò)中 該病毒程序迅速擴(kuò)展 造成了大批計(jì)算機(jī)癱瘓 甚至歐洲聯(lián)網(wǎng)的計(jì)算機(jī)都受到影響 直接經(jīng)濟(jì)損失近億美元 在我國 80年代開始 有關(guān)計(jì)算機(jī)病毒問題的研究和防范已成為計(jì)算機(jī)安全方面的重大課題 1 1 2計(jì)算機(jī)系統(tǒng)的脆弱性 1 操作系統(tǒng)的脆弱性 1 體系結(jié)構(gòu)不安全 2 進(jìn)程管理機(jī)制中的缺陷 3 操作系統(tǒng)提供的RPC服務(wù)和安排的漏洞 4 常用操作系統(tǒng)的不穩(wěn)定性和不安全性 5 為操作系統(tǒng)開發(fā)人員提供的無口令入口 5 操作系統(tǒng)提供Debug與Wizard給黑客可乘之機(jī) 2 網(wǎng)絡(luò)安全的脆弱性 1 漏洞和后門 2 電磁輻射 3 線路竊聽 4 串音干擾 5 硬件故障 6 軟件故障 7 網(wǎng)絡(luò)規(guī)模 8 通信系統(tǒng) 3 數(shù)據(jù)庫安全的脆弱性 1 用戶權(quán)限 2 數(shù)據(jù)共享 3 數(shù)據(jù)更新 4 數(shù)據(jù)庫完整性 5 數(shù)據(jù)庫管理系統(tǒng)的安全等級(jí) 4 防火墻的脆弱性 1 不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊和威脅 2 不能防范繞過防火墻的攻擊和威脅 3 不能阻止感染病毒文件的傳輸 5 研究信息安全的社會(huì)意義 1 信息安全與政治 2 信息安全與經(jīng)濟(jì) 3 信息安全與軍事 4 信息安全與國家安全 美國著名未來學(xué)家阿爾溫 托爾勒說過 誰掌握了信息 控制了網(wǎng)絡(luò) 誰將擁有整個(gè)世界 1 2計(jì)算機(jī)系統(tǒng)的安全技術(shù) 國際標(biāo)準(zhǔn)化組織 ISO 將 計(jì)算機(jī)安全 定義為 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)硬件 軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞 更改和泄漏 上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容 其邏輯安全的內(nèi)容可理解為我們常說的信息安全 是指對(duì)信息的保密性 完整性和可用性的保護(hù) 1 2 1計(jì)算機(jī)系統(tǒng)安全 1 計(jì)算機(jī)安全定義 2 計(jì)算機(jī)安全涉及的方面 1 物理安全 PhysicalSecurity 保護(hù)計(jì)算機(jī)設(shè)備 設(shè)施 含網(wǎng)絡(luò) 以及其他媒免遭地震 水災(zāi) 火災(zāi) 有害氣體和其他環(huán)境事故 如電磁污染等 破壞的措施 過程 2 運(yùn)行安全 OperationSecurity 為了保證系統(tǒng)功能 提供一套安全措施 如 風(fēng)險(xiǎn)分析 審計(jì)跟蹤 備份與恢復(fù) 應(yīng)急等 來保護(hù)信息處理過程的安全 3 信息安全 InformationSecurity 防止信息財(cái)產(chǎn)被故意地或偶然地非授權(quán)泄露 更改 破壞或使信息被非法的系統(tǒng)辨識(shí) 控制 1 2 2計(jì)算機(jī)系統(tǒng)的安全技術(shù) 1 實(shí)體硬件安全 主要是指為保證計(jì)算機(jī)設(shè)備和通信線路及設(shè)施 建筑物等 的安全 3 數(shù)據(jù)安全 指為保證計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)庫 或數(shù)據(jù)文件 免遭破壞 修改 泄露和竊取等威脅和攻擊而采用的技術(shù)方法 2 軟件安全 主要是指保證計(jì)算機(jī)系統(tǒng)中的軟件 如操作系統(tǒng) 數(shù)據(jù)庫系統(tǒng)或應(yīng)用程序 免遭破壞 非法拷貝 非法使用而采用的技術(shù)和方法 4 網(wǎng)絡(luò)安全 指為保證網(wǎng)絡(luò)及其節(jié)點(diǎn)安全而采用的技術(shù)和方法 5 病毒防治 包括計(jì)算機(jī)病毒預(yù)防 計(jì)算機(jī)病毒檢測(cè) 計(jì)算機(jī)病毒清除 計(jì)算機(jī)病毒免疫 6 防范計(jì)算機(jī)犯罪 通過一定的社會(huì)規(guī)范 法律和技術(shù)方法等 杜絕計(jì)算機(jī)犯罪的發(fā)生 并在計(jì)算機(jī)犯罪發(fā)生以后 跟蹤或偵查犯罪行為 及時(shí)制裁和打擊犯罪分子 本學(xué)期課程涉及到的主要信息安全技術(shù)如圖1 1所示 圖1 1計(jì)算機(jī)信息系統(tǒng)安全技術(shù) 1 3計(jì)算機(jī)安全評(píng)估 安全評(píng)估服務(wù) 是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn) 對(duì)信息系統(tǒng)及由其處理 傳輸和存儲(chǔ)的信息的保密性 完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程 它主要評(píng)估信息系統(tǒng)的脆弱性 信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響 估計(jì)每種攻擊的代價(jià) 估算出可能的應(yīng)付措施的費(fèi)用 選擇恰當(dāng)?shù)陌踩珯C(jī)制 1 3 1計(jì)算機(jī)安全評(píng)估的重要性 20世紀(jì)70年代 美國國防部就已經(jīng)發(fā)布了諸如 自動(dòng)數(shù)據(jù)處理系統(tǒng)安全要求 等一系列的安全評(píng)估標(biāo)準(zhǔn) 1983年又發(fā)布了 可信計(jì)算機(jī)評(píng)價(jià)標(biāo)準(zhǔn) 即所謂的桔皮書 黃皮書 紅皮書和綠皮書 并于1985年對(duì)此標(biāo)準(zhǔn)進(jìn)行了修訂 我國從20世紀(jì)80年代開始 本著積極采用國際標(biāo)準(zhǔn)的原則 轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn) 有關(guān)的信息安全標(biāo)準(zhǔn)如 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 商用密碼管理?xiàng)l理 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條理 等 1 3 2計(jì)算機(jī)系統(tǒng)的安全標(biāo)準(zhǔn) 常見的計(jì)算機(jī)系統(tǒng)安全等級(jí)的劃分有兩種 一種是依據(jù)美國國防部發(fā)表的評(píng)估計(jì)算機(jī)系統(tǒng)安全等級(jí)的橙皮書 將計(jì)算機(jī)安全等級(jí)劃分為四類八級(jí) 即A2 A1 B3 B2 B1 C2 C1 D級(jí) 等級(jí)劃分內(nèi)容如表1 1所示 另一種是依據(jù)我國頒布的 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB17859 1999 將計(jì)算機(jī)安全等級(jí)劃分為五級(jí) 1 3 3計(jì)算機(jī)系統(tǒng)的安全等級(jí) 表1 1可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則及等級(jí) 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 第六條規(guī)定 公安部主管全國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作 并以第十七條 第十八條和第十九條規(guī)定了公安機(jī)關(guān)行使計(jì)算機(jī)安全監(jiān)察的職權(quán) 明確了計(jì)算機(jī)信息系統(tǒng)安全監(jiān)督檢查的總體目標(biāo) 了解 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 可單擊鏈接 1 4計(jì)算機(jī)安全法規(guī) 我國計(jì)算機(jī)安全法規(guī)主要有 計(jì)算機(jī)軟件保護(hù)條例 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法 中國公用計(jì)算機(jī)Internet國際聯(lián)網(wǎng)管理辦法 計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 商用密碼管理?xiàng)l例 計(jì)算機(jī)病毒防治管理辦法 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 電子出版物管理規(guī)定 等 1 5計(jì)算機(jī)安全技術(shù)的發(fā)展方向 1 密碼技術(shù)2 安全操作系統(tǒng)技術(shù)現(xiàn)狀及發(fā)展趨勢(shì)3 網(wǎng)絡(luò)隔離技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)4 網(wǎng)絡(luò)行為安全監(jiān)管技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)5 容災(zāi)與應(yīng)急處理技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)6 身份認(rèn)證技術(shù)現(xiàn)狀和發(fā)展趨勢(shì)7 可信計(jì)算技術(shù)現(xiàn)狀和發(fā)展趨勢(shì) 作業(yè) 1 簡述計(jì)算機(jī)系統(tǒng)面臨的安全威脅 2 試歸納網(wǎng)絡(luò)本身存在的安全缺陷 3 計(jì)算機(jī)系統(tǒng)安全的重要性體現(xiàn)在哪些方面 4 試分析計(jì)算機(jī)安全技術(shù)研究的6大內(nèi)容 5 計(jì)算機(jī)安全技術(shù)有哪些發(fā)展方向 第2章實(shí)體安全與硬件防護(hù)技術(shù) 2 1計(jì)算機(jī)房安全的環(huán)境條件2 2實(shí)體及硬件的安全防護(hù)2 3計(jì)算機(jī)硬件的檢測(cè)與維修 本章學(xué)習(xí)目標(biāo) 1 了解實(shí)體安全的定義 目的和內(nèi)容 2 掌握計(jì)算機(jī)房場(chǎng)地環(huán)境的安全要求 包括機(jī)房建筑和結(jié)構(gòu)要求 三度要求 防靜電措施 供電要求 接地與防雷 防火 防水等的技術(shù) 方法與措施 3 理解電磁防護(hù)和硬件防護(hù)的基本方法 4 掌握硬件故障診斷和排除的方法 2 1實(shí)體安全技術(shù)概述 1 實(shí)體安全概念實(shí)體安全 PhysicalSecurity 又叫物理安全 是保護(hù)計(jì)算機(jī)設(shè)備 設(shè)施 含網(wǎng)絡(luò) 免遭地震 水災(zāi) 火災(zāi) 有害氣體和其他環(huán)境事故 如電磁污染等 破壞的措施和過程 2 影響實(shí)體安全的主要因素 1 計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素 2 各種自然災(zāi)害導(dǎo)致的安全問題 3 由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問題 3 實(shí)體安全的內(nèi)容 1 環(huán)境安全 2 物理隔離 3 電磁防護(hù) 4 安全管理 2 2計(jì)算機(jī)房安全的環(huán)境條件 2 2 1計(jì)算機(jī)房場(chǎng)地環(huán)境選擇2 2 2計(jì)算機(jī)房內(nèi)的環(huán)境條件要求 2 2 1計(jì)算機(jī)房場(chǎng)地的安全要求 機(jī)房建筑和結(jié)構(gòu)從安全的角度 還應(yīng)該考慮 1 電梯和樓梯不能直接進(jìn)入機(jī)房 2 建筑物周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進(jìn)入的設(shè)施 3 外部容易接近的進(jìn)出口 而周邊應(yīng)有物理屏障和監(jiān)視報(bào)警系統(tǒng) 窗口應(yīng)采取防范措施 必要時(shí)安裝自動(dòng)報(bào)警設(shè)備 4 機(jī)房進(jìn)出口須設(shè)置應(yīng)急電話 5 機(jī)房供電系統(tǒng)應(yīng)將動(dòng)力照明用電與計(jì)算機(jī)系統(tǒng)供電線路分開 機(jī)房及疏散通道應(yīng)配備應(yīng)急照明裝置 6 計(jì)算機(jī)中心周圍100m內(nèi)不能有危險(xiǎn)建筑物 7 進(jìn)出機(jī)房時(shí)要更衣 換鞋 機(jī)房的門窗在建造時(shí)應(yīng)考慮封閉性能 8 照明應(yīng)達(dá)到規(guī)定標(biāo)準(zhǔn)等 2 2 2計(jì)算機(jī)房內(nèi)環(huán)境條件要求 1 溫度2 濕度3 潔凈度4 腐蝕性氣體5 靜電6 振動(dòng)與噪聲7 電源8 照明 溫度 機(jī)房溫度一般應(yīng)控制在18 22 即 20 2 溫度過低會(huì)導(dǎo)致硬盤無法啟動(dòng) 過高會(huì)使元器件性能發(fā)生變化 耐壓降低 導(dǎo)致不能工作 濕度 相對(duì)濕度過高會(huì)使電氣部分絕緣性降低 加速金屬器件的腐蝕 引起絕緣性能下降 而相對(duì)濕度過低 過于干燥會(huì)導(dǎo)致計(jì)算機(jī)中某些器件龜裂 印刷電路板變形 特別是靜電感應(yīng)增加 使計(jì)算機(jī)內(nèi)信息丟失 損壞芯片 對(duì)計(jì)算機(jī)帶來嚴(yán)重危害 機(jī)房內(nèi)的相對(duì)濕度一般控制在40 60 為好 即 50 10 潔凈度 清潔度要求機(jī)房塵埃顆粒直徑小于0 5 平均每升空氣含塵量小于1萬顆 灰塵會(huì)造成接插件的接觸不良 發(fā)熱元件的散熱效率降低 絕緣破壞 甚至造成擊穿 灰塵還會(huì)增加機(jī)械磨損 尤其對(duì)驅(qū)動(dòng)器和盤片 靜電 是由物體間的相互磨擦 接觸而產(chǎn)生的 靜電放電時(shí)發(fā)生火花 造成火災(zāi)或損壞芯片 機(jī)房內(nèi)避免使用掛毯 地毯等吸塵 容易產(chǎn)生靜電的材料 電源 有六類電源線干擾 中斷 異常中斷 電壓瞬變 沖擊 噪聲 突然失效事件 電源保護(hù)裝置有濾波器 電壓調(diào)整變壓器 VRT 和不間斷電源 UPS 等 防雷措施 機(jī)房的外部防雷應(yīng)使用接閃器 引下線和接地裝置 吸引雷電流 并為其泄放提供一條通道 照明 計(jì)算機(jī)機(jī)房照明的好壞不僅會(huì)影響計(jì)算機(jī)操作人員和軟 硬件維修人員的工作效率和身心健康 而且還會(huì)影響到電子機(jī)房的可靠運(yùn)行 機(jī)房照明分為自然采光和人工采光2種形式 主機(jī)房內(nèi)在離地面0 8m處 照度不應(yīng)低于3001x 輔助機(jī)房內(nèi)照度不應(yīng)低于1501x 應(yīng)急照明應(yīng)大于301x 緊急出口標(biāo)志燈 疏散指示燈照度應(yīng)大于5lx 2 3實(shí)體及硬件的安全防護(hù) 2 3 1三防措施2 3 2電磁防護(hù)2 3 3存儲(chǔ)媒體的訪問控制 2 3 1三防措施 1 防火2 防水3 防盜 隔離 建筑內(nèi)的計(jì)算機(jī)房四周應(yīng)設(shè)計(jì)一個(gè)隔離帶 以使外部的火災(zāi)至少可隔離一個(gè)小時(shí) 火災(zāi)報(bào)警系統(tǒng) 在火災(zāi)初期就能檢測(cè)到并及時(shí)發(fā)出警報(bào) 火災(zāi)報(bào)警系統(tǒng)按傳感器的不同 分為煙報(bào)警和溫度報(bào)警兩種類型 滅火設(shè)施 滅火工具及輔助設(shè)備 管理措施 機(jī)房應(yīng)有防盜管理制度 應(yīng)急計(jì)劃及相關(guān)制度 要嚴(yán)格執(zhí)行計(jì)算機(jī)房環(huán)境和設(shè)備維護(hù)的各項(xiàng)規(guī)章制度 加強(qiáng)對(duì)隱患部位的檢查 電磁輻射越來越強(qiáng) 其主要危害有 干擾廣播 電視 通信信號(hào)的接收 干擾電子儀器 設(shè)備的正常工作 可能造成信息失誤 控制失靈等事故 可能引燃一些易燃易爆物質(zhì) 引起爆炸和火災(zāi) 較強(qiáng)的電磁輻射對(duì)人體的健康有很大的影響 2 3 2電磁防護(hù) 1 電磁干擾和電磁兼容電磁干擾 EMI 是干擾電纜信號(hào)并降低信號(hào)完好性的電子噪音 電磁干擾可通過電磁輻射和傳導(dǎo)兩條途徑影響設(shè)備的工作 電磁兼容設(shè)計(jì)的目的是解決電路之間的相互干擾 防止電子設(shè)備產(chǎn)生過強(qiáng)的電磁發(fā)射 防止電子設(shè)備對(duì)外界干擾過度敏感 我國電子兼容標(biāo)準(zhǔn)包括兩個(gè)方面 一時(shí)限制設(shè)備對(duì)外界產(chǎn)生的電磁干擾 而是要求設(shè)備不能對(duì)來自外界的電磁干擾過度敏感 2 電磁泄漏 主要有輻射泄漏和傳導(dǎo)泄漏2中方式 輻射泄漏 以電磁波的形式輻射出去 由計(jì)算機(jī)內(nèi)部的各種傳輸線 設(shè)備外殼 外殼上的孔縫 傳導(dǎo)泄漏 通過各種線路和金屬管傳導(dǎo)出去 例如 電源線 機(jī)房內(nèi)的電話線 上 下水管道和暖氣管道 地線等媒介 3 電磁防護(hù)的措施目前主要防護(hù)措施有兩類 一類是對(duì)傳導(dǎo)發(fā)射的防護(hù) 主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器 減小傳輸阻抗和導(dǎo)線間的交叉耦合 另一類是對(duì)輻射的防護(hù) 為提高電子設(shè)備的抗干擾能力 除在芯片 部件上提高抗干擾能力外 主要的措施有屏蔽 隔離 濾波 隔離 接地 干擾等 其中屏蔽是應(yīng)用最多的方法 2 3 3存儲(chǔ)媒體的訪問控制計(jì)算機(jī)系統(tǒng)中的大量信息都存儲(chǔ)在某種媒體上 如磁盤 磁帶 半導(dǎo)體 光盤 打印紙等 為了防止對(duì)信息的破壞 篡改 盜竊等事件的發(fā)生 就必須對(duì)存儲(chǔ)媒體進(jìn)行保護(hù)和管理 嚴(yán)格其訪問控制 1 身份識(shí)別 身份識(shí)別的目的是確定系統(tǒng)的訪問者是否是合法用戶 一般包含 識(shí)別 和 驗(yàn)證 兩個(gè)方面 圖2 1建立計(jì)算機(jī)賬戶 2 控制訪問權(quán)限 系統(tǒng)要確定用戶對(duì)資源 比如CPU 內(nèi)存 I O設(shè)備 計(jì)算機(jī)終端等 的訪問權(quán)限 并賦予用戶不同的權(quán)限等級(jí) 如工作站用戶 超級(jí)用戶 系統(tǒng)管理員等 一般來說 用戶的權(quán)限等級(jí)是在注冊(cè)時(shí)賦予的 圖2 2用戶權(quán)限設(shè)置 3 管理措施 存儲(chǔ)媒體安全管理的目標(biāo)是 保證系統(tǒng)在有充分保護(hù)的安全環(huán)境中運(yùn)行 由可靠的操作人員按規(guī)范使用計(jì)算機(jī)系統(tǒng) 系統(tǒng)符合安全標(biāo)準(zhǔn) 管理應(yīng)緊緊圍繞信息的輸入 存儲(chǔ) 處理和交換這個(gè)過程來進(jìn)行 除此之外 還應(yīng)該健全機(jī)構(gòu)和崗位責(zé)任制 完善安全管理的規(guī)章制度 加強(qiáng)對(duì)技術(shù) 業(yè)務(wù) 管理人員的法制教育 職業(yè)道德教育 增加安全保密和風(fēng)險(xiǎn)防范意識(shí) 以實(shí)現(xiàn)科學(xué)化 規(guī)范化的安全管理 2 4計(jì)算機(jī)硬件的檢測(cè)與維修 在計(jì)算機(jī)系統(tǒng)的故障現(xiàn)象中 硬件的故障占到了很大的比例 正確的分析故障原因 快速的排除故障 可以避免不必要的故障檢索工作 使系統(tǒng)得以正常運(yùn)行 計(jì)算機(jī)硬件故障是指由于計(jì)算機(jī)硬件損壞 品質(zhì)不良 安裝 設(shè)置不正確或接觸不良等而引起的故障 其原因多種多樣 1 工藝問題引起的故障 2 元器件損壞引起的故障 3 干擾或噪聲引起的故障 4 設(shè)計(jì)上造成的故障 5 人為故障 計(jì)算機(jī)假故障 1 硬件故障的檢測(cè)步驟及原則 1 檢測(cè)的基本步驟通常是由大到小 由粗到細(xì) 2 檢測(cè)的原則 先靜后動(dòng) 先外后內(nèi) 先輔后主 先電源后負(fù)載 先一般后特殊 先簡單后復(fù)雜 先主要后次要 顯示器無信號(hào) 2 硬件故障的診斷和排除要排除硬件故障 最主要的是要設(shè)法找到產(chǎn)生故障的原因 一旦找到原因 排除故障就很容易了 一些尋找故障原因常用的方法 1 清潔法 2 直接觀察法 3 拔插法 4 交換法 5 比較法 6 振動(dòng)敲擊法 7 升溫降溫法 8 程序測(cè)試法 故障部件 Cpu 故障原因 藍(lán)色警告窗口 死機(jī) 硬件故障的診斷實(shí)例 散熱不良參數(shù)設(shè)置錯(cuò)誤引腳脫落或失誤風(fēng)扇安裝不當(dāng) 故障部件 主板故障原因 主板組件接觸不良 短路CMOS電池電量不足主板電路元件損壞BIOS受損設(shè)置不當(dāng)驅(qū)動(dòng)等 一看 二聽 三聞 四摸 清潔法 觀察法 交換法 顯示器燈亮 但是沒有信號(hào)輸出 沒有自檢聲 鍵盤燈亮就滅了 硬盤不能啟動(dòng)運(yùn)行 故障部件 內(nèi)存故障原因 與內(nèi)存插槽接觸不良內(nèi)存條損壞質(zhì)量問題內(nèi)存與其他器件不兼容 計(jì)算機(jī)清潔灰塵后 揚(yáng)聲器出現(xiàn)急促的嘩嘩的聲音 無法啟動(dòng) 清潔法 金手指 插槽 替換法 作業(yè) 1 簡述計(jì)算機(jī)實(shí)體安全的重要性 2 實(shí)體及硬件的安全防護(hù)包括哪幾個(gè)方面 3 什么叫電磁防護(hù) 它有哪些方面的危害 4 列舉一些你所知道的身份識(shí)別技術(shù) 5 計(jì)算機(jī)硬件產(chǎn)生故障的原因有哪些 6 根據(jù)實(shí)例 談?wù)勀銓?duì)硬件故障診斷和排除方法的理解和應(yīng)用 第三章計(jì)算機(jī)軟件安全技術(shù) 3 1計(jì)算機(jī)軟件安全技術(shù)概述3 2軟件分析技術(shù)3 3常用的軟件保護(hù)技術(shù)3 4軟件加殼與脫殼3 5軟件安全保護(hù)建議 本章學(xué)習(xí)目標(biāo) 1 掌握計(jì)算機(jī)軟件安全的基本概念 內(nèi)容和軟件安全保護(hù)的指導(dǎo)思想 2 了解一般采用哪些技術(shù)措施來保證計(jì)算機(jī)軟件的安全 3 掌握可執(zhí)行文件的加密方式和加密原理 軟件運(yùn)行中的反跟蹤技術(shù) 常用的防止非法復(fù)制軟件的技術(shù) 能夠編制具有反跟蹤功能的加密盤 3 1計(jì)算機(jī)軟件安全技術(shù)概述 1 計(jì)算機(jī)軟件安全概念2 計(jì)算機(jī)軟件安全的內(nèi)容3 計(jì)算機(jī)軟件安全的技術(shù)措施4 軟件的本質(zhì)及特征5 軟件安全保護(hù)的指導(dǎo)思想 1 計(jì)算機(jī)軟件安全的定義 軟件的安全就是為計(jì)算機(jī)軟件系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù) 保護(hù)計(jì)算機(jī)軟件 數(shù)據(jù)不因偶然或惡意的原因而遭破壞 更改 顯露 盜版 非法復(fù)制 保證軟件系統(tǒng)能正常連續(xù)的運(yùn)行 2 計(jì)算機(jī)軟件安全的內(nèi)容 1 軟件的自身安全 2 軟件的存儲(chǔ)安全 3 軟件的通信安全 4 軟件的使用安全 5 軟件的運(yùn)行安全 3 計(jì)算機(jī)軟件安全的技術(shù)措施 必須采取兩個(gè)方面的措施 1 非技術(shù)性措施 如制定有關(guān)法律 法規(guī) 加強(qiáng)各方面的管理 2 技術(shù)性措施 如軟件安全的各種防拷貝加密技術(shù) 防靜態(tài)分析 防動(dòng)態(tài)跟蹤技術(shù)等 4 軟件的本質(zhì)及特征 1 軟件是用戶使用計(jì)算機(jī)的工具 2 軟件是一種知識(shí)產(chǎn)品 3 軟件是人類社會(huì)的財(cái)富 4 軟件可以存儲(chǔ)和移植 5 軟件是具有巨大威懾力量的武器 6 軟件具有寄生性 5 軟件安全保護(hù)的指導(dǎo)思想 軟件安全保護(hù)的指導(dǎo)思想是采用加密 反跟蹤 防非法復(fù)制等技術(shù) 在軟件系統(tǒng)上或原盤上產(chǎn)生一種信息 這種信息既是軟件系統(tǒng)中各可執(zhí)行文件在運(yùn)行中必須引用的 又是各種文件復(fù)制命令或軟盤復(fù)制軟件所無法正確復(fù)制 無法正確安裝或無法正確運(yùn)行的 3 2軟件分析技術(shù) 3 2 1靜態(tài)分析技術(shù)從反匯編出來的程序清單上分析 從提示信息入手分析 常用的靜態(tài)分析工具有IDA W32Dasm和HEW等 圖3 1反匯編窗口 3 2 2動(dòng)態(tài)分析在進(jìn)行軟件的破解 解密以及計(jì)算機(jī)病毒分析工作中 一個(gè)首要的問題是對(duì)軟件及病毒進(jìn)行分析 這些軟件都是機(jī)器代碼程序 對(duì)于它們分析必須使用靜態(tài)或動(dòng)態(tài)調(diào)試工具 分析跟蹤其匯編代碼 如靜態(tài)分析找不出線索 就要?jiǎng)討B(tài)分析程序 主要原因 1 許多軟件在整體上完成的功能 一般要分解成若干模塊來完成 而且后一模塊在執(zhí)行時(shí) 往往需要使用其前一模塊處理的結(jié)果 這一結(jié)果我們把它叫中間結(jié)果 如果我們只對(duì)軟件本身進(jìn)行靜態(tài)地分析 一般是很難分析出這些中間結(jié)果的 另外 在程序的運(yùn)行過程中 往往會(huì)在某一地方出現(xiàn)許多分支和轉(zhuǎn)移 不同的分支和轉(zhuǎn)移往往需要不同的條件 而這些條件一般是由運(yùn)行該分支之前的程序來產(chǎn)生的 2 有許多軟件在運(yùn)行時(shí)最初執(zhí)行的一段程序需要對(duì)該軟件的后面各個(gè)模塊進(jìn)行初始始化工作 而沒有依賴系統(tǒng)的重定位 3 有許多加密程序?yàn)榱俗柚狗欠ǜ櫤烷喿x 對(duì)執(zhí)行代碼的大部分內(nèi)容進(jìn)行了加密變換 而只有很短的一段程序是明文 加密程序運(yùn)行時(shí) 采用了逐塊解密 逐塊執(zhí)行和方法 首先運(yùn)行最初的一段明文程序 該程序在運(yùn)行過程中 不僅要完成阻止跟蹤的任務(wù) 而且還要負(fù)責(zé)對(duì)下一塊密碼進(jìn)行解密 顯然僅對(duì)該軟件的密碼部分進(jìn)行反匯編 不對(duì)該軟件動(dòng)態(tài)跟蹤分析 是根本不可能進(jìn)行解密的 動(dòng)態(tài)分析步驟 1 對(duì)軟件進(jìn)行粗跟蹤所謂粗跟蹤 即在跟蹤時(shí)要大塊大塊地跟蹤 也就是說每次遇到調(diào)用CALL指令 重復(fù)操作指令REP 循環(huán)操作LOOP指令以及中斷調(diào)用INT指令等 一般不要跟蹤進(jìn)去 而是根據(jù)執(zhí)行結(jié)果分析該段程序的功能 2 對(duì)關(guān)鍵部分進(jìn)行細(xì)跟蹤對(duì)軟件進(jìn)行了一定程度的粗跟蹤之后 便可以獲取軟件中我們所關(guān)心的模塊或程序段 這樣就可以針對(duì)性地對(duì)該模塊進(jìn)行具體而詳細(xì)地跟蹤分析 3 3常用的軟件保護(hù)技術(shù) 3 3 1序列號(hào)方式3 3 2時(shí)間限制3 3 3NAG窗口3 3 4KeyFile保護(hù)3 3 5功能限制的程序3 3 6CD check 軟件驗(yàn)證序列號(hào)的合法性過程就是驗(yàn)證用戶名和序列號(hào)之間的換算關(guān)系 即數(shù)學(xué)映射關(guān)系是否正確的過程 1 以用戶名生成序列號(hào)序列號(hào) F 用戶名 2 通過注冊(cè)碼來驗(yàn)證用戶名的正確性序列號(hào) F 用戶名 用戶名 F 序列號(hào) 3 3 1序列號(hào)保護(hù)機(jī)制 3 3 2時(shí)間限制時(shí)間限制程序有兩類 一類是對(duì)每次運(yùn)行程序的時(shí)間進(jìn)行限制 另一類是每次運(yùn)行時(shí)間不限 要實(shí)現(xiàn)時(shí)間限制 應(yīng)用程序中必須有計(jì)時(shí)器來統(tǒng)計(jì)程序運(yùn)行的時(shí)間 在Windows下使用計(jì)時(shí)器有SetTimer TimeSetEvent GetTickCount TimeGetTime 圖3 2時(shí)光倒流窗口 3 3 3警告 NAG 窗口Nag窗口是軟件設(shè)計(jì)者用來不斷提醒用戶購買正式版本的窗口 去除警告窗口最常用的方法是利用資源修改工具來修改程序的資源 將可執(zhí)行文件中的警告窗口的屬性改成透明 不可見 這樣就可以變相去除警告窗口了 若要完全去除警告窗口 只要找到創(chuàng)建此窗口的代碼 并跳過該代碼的執(zhí)行 3 3 4注冊(cè)保護(hù)注冊(cè)文件 KeyFile 是一種利用文件來注冊(cè)軟件的保護(hù)方式 KeyFile內(nèi)容是一些加密過或未加密的數(shù)據(jù) 其中可能有用戶名 注冊(cè)碼等信息 當(dāng)用戶向軟件作者付費(fèi)注冊(cè)之后 會(huì)收到注冊(cè)文件 用戶只要將該文件存入到指定的目錄中 就可以讓軟件成為正式版 為增加破解難度 可以在KeyFile中加入一些垃圾信息 對(duì)于注冊(cè)文件的合法性檢查可分散在軟件的不同模塊中進(jìn)行判斷 對(duì)注冊(cè)文件內(nèi)的數(shù)據(jù)處理也盡可能采用復(fù)雜的算法 3 3 5功能限制這類程序一般是Demo 演示 版 這類程序一般是Demo 演示 版 功能限制的程序一般分為兩種 1 一種是試用版和正式版的軟件完全分開的兩個(gè)版本 正式版只有向軟件作者購買 2 另一種是試用版和注冊(cè)版為同一個(gè)文件 一旦注冊(cè)之后就 用戶可以使用全部功能 3 3 6光盤軟件保護(hù)為了能有效地防止光盤盜版 從技術(shù)來說要解決三個(gè)問題 1 要防止光盤之間的拷貝 2 要防止破解和跟蹤加密光盤 3 要防止光盤與硬盤的拷貝 目前防止光盤盜版技術(shù)有 1 特征碼技術(shù)特征碼技術(shù)是通過識(shí)別光盤上的特征碼 如SID SourceIdent ificationCode 來區(qū)分是正版光盤還是盜版光盤 該特征碼是在光盤壓制生產(chǎn)時(shí)自然產(chǎn)生的 而不同的母盤壓制出的特征碼不一樣 光盤上的軟件運(yùn)行時(shí)必須先使用該特征碼 2 非正常導(dǎo)入?yún)^(qū)光盤的導(dǎo)入?yún)^(qū)TOC TrackOnCD 是用來記錄有關(guān)于光盤類型等信息 是由光盤自動(dòng)產(chǎn)生的 并且光盤無法復(fù)制非正常的導(dǎo)入?yún)^(qū) 因此 在導(dǎo)入?yún)^(qū)內(nèi)添加重要數(shù)據(jù)以供讀盤使用 便能有效地防止光盤之間的非法復(fù)制 3 非正常扇區(qū)對(duì)于一般的應(yīng)用軟件來說 在讀取光盤非正常扇區(qū)數(shù)據(jù)的時(shí)候 會(huì)出現(xiàn)錯(cuò)誤 無法讀出非正常扇區(qū)數(shù)據(jù) 但我們可以通過特定的方法在光盤上制造一個(gè)特殊的扇區(qū) 并在光盤上編寫一個(gè)程序?qū)ｉT讀取該扇區(qū)的數(shù)據(jù) 4 使用光盤保護(hù)軟件還可以使用一些商業(yè)光盤保護(hù)軟件 光盤加密大師 能對(duì)光盤多種格式鏡像文件 ISO 系統(tǒng)進(jìn)行可視化修改 將光盤鏡像文件中的目錄和文件進(jìn)行特別隱藏 將普通文件變?yōu)槌笪募?將普通目錄變?yōu)槲募夸浀?3 4軟件加殼與脫殼 3 4 1 殼 的概念3 4 2軟件加殼工具介紹3 4 3軟件脫殼 3 4 1 殼 的概念 加殼 就是用專門的工具或方法 在應(yīng)用程序中加入一段如同保護(hù)層的代碼 使原程序代碼失去本來的面目 從而防止程序被非法修改和編譯 用戶在執(zhí)行被加殼的程序時(shí) 實(shí)際上是先執(zhí)行 外殼 程序 而由這個(gè) 外殼 程序負(fù)責(zé)把原程序在內(nèi)存中解開 并把控制權(quán)交還給解開后原程序 加殼軟件按照其加殼目的和作用 可分為兩類 一是保護(hù) 二是壓縮 1 保護(hù)程序這是給程序加殼的主要目的 就是通過給程序加上一段如同保護(hù)層的代碼 使原程序文件代碼失去本來的面目 它的主要目的在于反跟蹤 保護(hù)代碼和數(shù)據(jù) 保護(hù)程序數(shù)據(jù)的完整性 防止程序被調(diào)試 脫殼等 2 壓縮程序這項(xiàng)功能應(yīng)該是加殼程序的附加功能 類似WINZIP的效果 只不過這個(gè)壓縮之后的文件 可以獨(dú)立運(yùn)行 解壓過程完全隱蔽 都在內(nèi)存中完成 一般軟件都加 殼 這樣不但可以保護(hù)自己的軟件不被破解 修改還可以增加運(yùn)行時(shí)啟動(dòng)速度 3 4 2軟件加殼工具介紹現(xiàn)在用于壓縮程序?yàn)橹饕康牡某Ｒ娂託ぼ浖蠥SPacK UPX和PECompact等 用于保護(hù)程序?yàn)橹饕康牡某Ｒ娂託ぼ浖蠥sProtect tElock和幻影等 下面簡單介紹一些常用的加殼軟件 1 ASPackASPack是一款Win32高效保護(hù)性的壓縮軟件 文件壓縮比率高達(dá)40 70 ASPack無內(nèi)置解壓縮 不能自解壓自己壓縮過的程序 2 ASProtectASProtect具有壓縮 加密 反跟蹤代碼 反 反匯編代碼 CRC校驗(yàn)和花指令等保護(hù)措施 它使用RSA1024作為注冊(cè)密鑰生成器 它還通過API鉤子與加殼的程序進(jìn)行通信 圖3 3PEiD查殼窗口 3 4 3軟件脫殼對(duì)一個(gè)加了殼的程序 就要去除其中的無關(guān)干擾信息和保護(hù)限制 把它的殼脫去 解除偽裝 還原軟件的本來面目 這一過程就稱為脫殼 對(duì)軟件進(jìn)行脫殼時(shí) 可以使用手動(dòng)脫殼 也可軟件脫殼 手動(dòng)脫殼前 需要熟悉Win32下的可執(zhí)行文件標(biāo)準(zhǔn)格式 可以使用一些輔助工具 如沖擊波 W32Dasm等 手動(dòng)脫殼主要步驟有 查找程序入口點(diǎn) 獲取內(nèi)存映像文件 重建輸入表等 1 手動(dòng)脫殼 脫殼軟件主要分為兩大類 即專用脫殼軟件和通用脫殼軟件 常用的偵殼軟件有Language2000 FileScanner FileInfo PEiDentifer等 脫殼成功的標(biāo)志是脫殼后的文件能正常運(yùn)行 并且功能沒有減少 一般來說 脫殼后的文件長度大于原文件長度 即使同一個(gè)文件 當(dāng)采用不同脫殼軟件進(jìn)行脫殼的時(shí)候 由于脫殼軟件機(jī)理不同 脫出來的文件大小也不盡相同 2 軟件脫殼 3 5設(shè)計(jì)軟件的一般性建議1 軟件發(fā)行之前一定要將可執(zhí)行程序進(jìn)行加殼 2 要在自己寫的軟件中嵌入反跟蹤的代碼 3 增加對(duì)軟件自身的完整性檢查 4 不要采用一目了然的名字來命名與軟件保護(hù)相關(guān)的函數(shù)和文件 5 過一段時(shí)間后使軟件停止工作 6 可以通過讀取關(guān)鍵的系統(tǒng)文件的修改時(shí)間來得到系統(tǒng)時(shí)間的信息 7 給軟件保護(hù)加入一定的隨機(jī)性 8 如果試用版與正式版是分開的兩個(gè)版本 而是徹底刪除相關(guān)的代碼 9 如果軟件中包含驅(qū)動(dòng)程序 則最好將保護(hù)判斷加在驅(qū)動(dòng)程序中 10 將注冊(cè)碼 安裝時(shí)間記錄在多個(gè)不同的地方 11 采用一機(jī)一碼 可以防止注冊(cè)碼傳播 12 最好是采用成熟的密碼學(xué)算法 13 可以采用在線注冊(cè)的方法 14 keyfile的尺寸不能太小 作業(yè) 1 軟件安全的內(nèi)容包括哪幾個(gè)方面 2 軟件靜態(tài)分析的含義是什么 有哪些常用的工具 3 常見的軟件保護(hù)技術(shù)有哪些 4 計(jì)算機(jī)軟件中的 殼 是指什么 5 簡述脫殼的2種方法 6 應(yīng)如何做好軟件安全保護(hù)工作 第四章操作系統(tǒng)安全基礎(chǔ) 4 1Windows系統(tǒng)4 2Unix系統(tǒng)4 3Linux系統(tǒng) 學(xué)習(xí)目標(biāo) 掌握操作系統(tǒng)安全定義與架構(gòu)掌握WINDOWS系統(tǒng)的安全策略掌握Unix系統(tǒng)基礎(chǔ)知識(shí)與安全策略掌握Linux系統(tǒng)基礎(chǔ)知識(shí)與安全漏洞的解決方案 4 1Windows系統(tǒng) 4 1 1WindowsNT 2000 XP的安全策略1 windows安全基礎(chǔ)概念 1 用戶賬戶管理在Windows2000 XP 中 訪問控制依賴于系統(tǒng)能夠惟一地識(shí)別出每個(gè)用戶 用戶賬戶 UserAccount 提供了這種惟一性 2 計(jì)算機(jī)賬號(hào)運(yùn)行Windows2000和WindowsNT的計(jì)算機(jī)加入域時(shí)都需要一個(gè)賬號(hào)登陸 訪問域資源 3 組 除用戶帳戶外 Windows2000 XP 還提供組帳戶 可使用組帳戶對(duì)同類用戶授予權(quán)限以簡化帳戶管理 如果用戶是可訪問某個(gè)資源的一個(gè)組中的成員 則該特定用戶也可訪問這一資源 因此 若要使某個(gè)用戶能訪問各種工作相關(guān)的資源 只需將該用戶加入正確的組 圖4 1工作組建立和加入 用戶和組都有一定的權(quán)力 權(quán)力定義了用戶在系統(tǒng)中能做什么 如 從網(wǎng)絡(luò)中訪問計(jì)算機(jī) 向域中添加工作站和成員服務(wù)器 備份文件和目錄 改變系統(tǒng)時(shí)間 強(qiáng)制從遠(yuǎn)程系統(tǒng)退出 裝 卸設(shè)備驅(qū)動(dòng)器 本地登錄 恢復(fù)文件和目錄等 這些權(quán)力大多數(shù)只指定給管理用戶 4 域組是專門用于客戶機(jī) 服務(wù)器網(wǎng)絡(luò)中的一個(gè)概念 他是域的組成部分 使用組的目的是便于對(duì)用戶進(jìn)行管理 減少系統(tǒng)設(shè)置和維護(hù)的工作量 域是網(wǎng)絡(luò)中許多服務(wù)器和客戶機(jī)的集合 它們使用同一個(gè)名字 域名 享用自己的帳號(hào)和安全機(jī)制 域最大的好處是單一網(wǎng)絡(luò)登錄能力 用戶只要在域中有一個(gè)合法的帳號(hào) 登錄到域后就可以訪問域中對(duì)該用戶授權(quán)許可的共享資源 要?jiǎng)?chuàng)建域 必須將一臺(tái)運(yùn)行WindowServer2003的計(jì)算機(jī)設(shè)置為域控制器 域控制器為網(wǎng)絡(luò)用戶和計(jì)算機(jī)提供ActiveDirectory服務(wù)并管理用戶 包括用戶登錄過程 驗(yàn)證和目錄搜索等 為保證數(shù)據(jù)的同步 包含安全信息的ActiveDirectory會(huì)定期復(fù)制到域中每個(gè)域控制器 ActiveDirectory中的對(duì)象可以按組織單位的不同級(jí)別進(jìn)行組織和管理 可轉(zhuǎn)移的信任關(guān)系可以建立在域樹種的域之間 圖4 2Windowsserver2003域中對(duì)象 5 身份驗(yàn)證負(fù)責(zé)確認(rèn)試圖登陸域或訪問網(wǎng)絡(luò)資源的任何用戶的身份 在Windows2000計(jì)算環(huán)境中成功的用戶身份驗(yàn)證包括2個(gè)獨(dú)立的過程 交互式登陸向域賬戶或本地計(jì)算機(jī)確定用戶的身份 網(wǎng)絡(luò)身份驗(yàn)證對(duì)給用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確定用戶身份 在用戶試圖訪問安全的Web服務(wù)器時(shí)使用 6 授權(quán) Windows2000的安全性建立在身份驗(yàn)證和授權(quán)之上 管理員可以派特定權(quán)力組賬戶或單個(gè)用戶賬戶 用戶權(quán)力有2種 特權(quán) 如備份文件和目錄的權(quán)力 登陸權(quán)力 如登陸本地系統(tǒng)的權(quán)力 圖4 3用戶賬號(hào)建立 7 審核安全審核是Windows系統(tǒng)的一項(xiàng)功能 負(fù)責(zé)監(jiān)視各種與安全性有關(guān)的事件 圖4 4windows安全審核 利用安全設(shè)置 可以從任一臺(tái)已經(jīng)加入到域中的計(jì)算機(jī)修改組織單位 域或站點(diǎn)的安全策略 安全設(shè)置允許安全管理員修改已分配給組策略對(duì)象的安全設(shè)置 8 安全設(shè)置 2 用戶賬戶的管理 1 添加用戶賬戶 域用戶賬戶域用戶賬戶建立在域控制器的ActiveDirectory數(shù)據(jù)庫內(nèi) 用戶可以利用域用戶賬戶來登錄域 并利用它來訪問網(wǎng)絡(luò)上的資源 例如訪問其他計(jì)算機(jī)內(nèi)的文件 打印機(jī)等資源 本地用戶賬戶本地用戶賬戶建立在Windows2000獨(dú)立服務(wù)器 Windows2000成員服務(wù)器或Windows2000Professional的本地安全數(shù)據(jù)庫內(nèi) 而不是域控制器內(nèi) 用戶可以利用本地用戶賬戶來登錄此計(jì)算機(jī) 但是只能夠訪問這臺(tái)計(jì)算機(jī)內(nèi)的資源 無法訪問網(wǎng)絡(luò)上的資源 圖4 5新建用戶 圖4 6設(shè)置密碼 2 用戶個(gè)人信息的設(shè)置 用戶個(gè)人信息 就是指姓名 地址 電話 傳真 移動(dòng)電話 公司 部門 職稱 電子郵件 Web頁等 如圖所示 圖4 7用戶個(gè)人信息 3 賬戶信息的設(shè)置選擇 賬戶 選項(xiàng)卡 如圖所示 賬戶過期 登錄時(shí)間的設(shè)置 限制用戶只能夠從某些工作站登錄 圖4 8賬號(hào)信息設(shè)置 圖4 9登陸時(shí)間設(shè)置 圖4 10設(shè)置允許登錄的工作站 3 組的管理Windows2000所支持的組分為以下兩種類型 安全式和分布式 安全組 安全組可以用來設(shè)置權(quán)限 簡化網(wǎng)絡(luò)的維護(hù)和管理 分布式組 分布式組只能用在與安全 權(quán)限的設(shè)置等 無關(guān)的任務(wù)上 例如 可以將電子郵件發(fā)送給某個(gè)分布式組 分布式組不能進(jìn)行權(quán)限設(shè)置 可以依次選擇 開始 菜單中的 程序 單擊 管理工具 選擇 ActiveDirectory用戶和計(jì)算機(jī) 選項(xiàng) 打開 ActiveDirectory用戶和計(jì)算機(jī) 對(duì)話框 來添加 刪除與管理域組 1 添加組 依次選擇 開始 菜單中的 程序 單擊 管理工具 選擇 ActiveDirectory用戶和計(jì)算機(jī) 選項(xiàng) 在控制臺(tái)樹種 雙擊域結(jié)點(diǎn) 右鍵單擊要添加組的文件夾 指向 新建 然后單擊 組 鍵入新組的名稱 單擊所需的 組作用域 單擊所需的 組類型 全局組全局組主要是用來組織用戶 可以將多個(gè)權(quán)限相似的用戶賬戶加入到同一個(gè)全局組內(nèi) 本地域組本地域組主要用來指派其在所屬域內(nèi)的訪問權(quán)限 以便可以訪問該域內(nèi)的資源 通用組通用組主要用來指派在所有域內(nèi)的訪問權(quán)限 以便可以訪問每一個(gè)域內(nèi)的資源 組的作用域 2 為用戶添加組在控制臺(tái)目錄樹中 展開域節(jié)點(diǎn) 接著單擊Computers或者要加入組的計(jì)算機(jī)所在的其他組織單元及容器 在詳細(xì)資料窗格中 右擊要加入組的用戶帳戶 從彈出的快捷菜單中選擇 將成員添加到組 命令 圖4 11添加工作組 3 管理組 更改組類型 更改組的作用域 刪除組依次選擇 開始 菜單中的 程序 單擊 管理工具 選擇 ActiveDirectory用戶和計(jì)算機(jī) 選項(xiàng) 雙擊域結(jié)點(diǎn) 右鍵單擊組 選擇 屬性 單擊 常規(guī) 選項(xiàng)卡中的 組類型 中 單擊 分布式 或 安全式 選擇 組作用域 為 本地域 或 通用 或者右鍵單擊組 選擇 刪除 命令 4 Windows2000安全模型Windows2000安全模型的主要功能是用戶身份驗(yàn)證和訪問控制 1 用戶身份驗(yàn)證Windows2000安全模型包括用戶身份驗(yàn)證的概念 這種身份驗(yàn)證賦予用戶登錄系統(tǒng)訪問網(wǎng)絡(luò)資源的能力 在這種身份驗(yàn)證模型中 安全性系統(tǒng)提供了兩種類型的身份驗(yàn)證 交互式登錄 根據(jù)用戶的本地計(jì)算機(jī)或ActiveDirectory帳戶確認(rèn)用戶的身份 和網(wǎng)絡(luò)身份驗(yàn)證 根據(jù)此用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份 為提供這種類型的身份驗(yàn)證 Windows2000安全系統(tǒng)包括了三種不同的身份驗(yàn)證機(jī)制 KerberosV5 公鑰證書和NTLM 與WindowsNT4 0系統(tǒng)兼容 2 基于對(duì)象的訪問控制通過用戶身份驗(yàn)證 Windows2000允許管理員控制對(duì)網(wǎng)上資源或?qū)ο蟮脑L問 Windows2000通過允許管理員為存儲(chǔ)在ActiveDirectory中的對(duì)象分配安全描述符實(shí)現(xiàn)訪問控制 安全描述符列出了允許訪問對(duì)象的用戶和組 以及分配給這些用戶和組的特殊權(quán)限 安全描述符還指定了需要為對(duì)象審核的不同訪問事件 文件 打印機(jī)和服務(wù)都是對(duì)象的實(shí)例 通過管理對(duì)象的屬性 管理員可以設(shè)置權(quán)限 分配所有權(quán)以及監(jiān)視用戶訪問 5 ActiveDirectory安全性安全性通過登錄身份驗(yàn)證以及目錄對(duì)象的訪問控制集成在ActiveDirectory之中 通過單點(diǎn)網(wǎng)絡(luò)登錄 管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位 經(jīng)過授權(quán)的網(wǎng)絡(luò)用戶可以訪問網(wǎng)絡(luò)任意位置的資源 ActiveDirectory通過對(duì)象訪問控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳戶和組信息 因?yàn)锳ctiveDirectory不但可以保存用戶憑據(jù) 而且可以保存訪問控制信息 所以登錄到網(wǎng)絡(luò)上的用戶既能夠獲得身份驗(yàn)證 也可以獲得訪問系統(tǒng)資源所需的權(quán)限 例如 在用戶登錄到網(wǎng)絡(luò)上的時(shí)候 安全系統(tǒng)首先利用存儲(chǔ)在ActiveDirectory中的信息驗(yàn)證用戶的身份 然后 在用戶試圖訪問網(wǎng)絡(luò)服務(wù)的時(shí)候 系統(tǒng)會(huì)檢查在服務(wù)的自由訪問控制列表 DCAL 中所定義的屬性 1 用戶登錄管理用戶登錄時(shí) 輸入登錄的用戶名和秘密 經(jīng)過安全賬戶數(shù)據(jù)庫驗(yàn)證 如果正確 安全賬戶數(shù)據(jù)庫將用戶信息集中在一起 形成一個(gè)存取標(biāo)示 用戶名及SID 用戶所屬的組及組SID 用戶所具有的系統(tǒng)權(quán)力 2 資源訪問管理用戶存取標(biāo)示中的用戶名與ACL中有對(duì)應(yīng)關(guān)系且所要求的權(quán)限合法 則訪問獲得允許 否則訪問被拒絕 6 Windows2000的安全機(jī)制Windows2000安全機(jī)制的建立主要從域 組合和文件系統(tǒng)等方面來考慮 1 域安全策略域安全設(shè)置分為賬戶策略 本地策略 事件日志 受限制的組 系統(tǒng)服務(wù) 注冊(cè)表 文件系統(tǒng) 公鑰策略和IP安全策略 域安全策略 是由用戶名 密碼組成 可以利用賬戶策略設(shè)置密碼策略 賬戶鎖定和Kerberos策略 本地策略 對(duì)本地計(jì)算機(jī)起作用 包括審核策略 授予用戶權(quán)限 設(shè)置各種安全機(jī)制 事件日志 對(duì)域 包括本地 的各種事件進(jìn)行記錄 為應(yīng)用程序日志 系統(tǒng)日志等配置大小 訪問方式和保留時(shí)間等 受限制的組 管理內(nèi)置組的成員資格 系統(tǒng)服務(wù) 運(yùn)行在計(jì)算機(jī)上的服務(wù)配置安全性和啟動(dòng)設(shè)置 注冊(cè)表 存儲(chǔ)Windows所需要的必要信息 文件系統(tǒng) 指定文件路徑配置安全性 公鑰策略 配置加密的數(shù)據(jù)恢復(fù)代理和信任認(rèn)證中心證書 IP安全性策略 配置IPSec 2 控制工作站的桌面不被修改 以管理員的身份登錄到服務(wù)器 從 管理工具 中打開 ActiveDirectory用戶和計(jì)算機(jī)管理器 在控制臺(tái)目錄樹種展開域 右擊 DomainControl 并選擇 屬性 命令 在 DomainControl屬性 中選擇 組策略 選項(xiàng)卡 單擊 新建 在主窗口中選擇 新建組策略對(duì)象 將其改名 雙擊組策略對(duì)象名 選擇 組策略 窗口中的 用戶配置 Windows設(shè)置 桌面 右擊 選擇屬性 進(jìn)行設(shè)置 3 對(duì)象的審核右鍵單擊該文件夾 選擇 屬性 在對(duì)話框中選擇 安全 在彈出的對(duì)話框中進(jìn)行設(shè)置 圖4 12對(duì)象的審核 7 WindowsNT 2000 XP的安全性 1 WindowsNT的安全性權(quán)力 在系統(tǒng)上完成特定動(dòng)作的授權(quán) 一般由系統(tǒng)指定給內(nèi)置組 但也可以由管理員將其擴(kuò)大到組和用戶上 共享 用戶可以通過網(wǎng)絡(luò)使用的文件夾 權(quán)限 可以授予用戶或組的文件系統(tǒng)能力 權(quán)力 權(quán)力適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作 通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù) 當(dāng)用戶登錄到一個(gè)具有某種權(quán)力的帳號(hào)時(shí) 該用戶就可以執(zhí)行與該權(quán)力相關(guān)的任務(wù) 下面列出了用戶的特定權(quán)力 如表4 1所示 表4 1用戶的特定權(quán)力 共享 共享只適用于文件夾 目錄 如果文件夾不是共享的 那么在網(wǎng)絡(luò)上就不會(huì)有用戶看到它 也就更不能訪問 如表4 2所示 表4 2用戶的共享權(quán)限 權(quán)限 權(quán)限適用于對(duì)特定對(duì)象如目錄和文件 只適用于NTFS卷 的操作 指定允許哪些用戶可以使用這些對(duì)象 以及如何使用 如把某個(gè)目錄的訪問權(quán)限授予指定的用戶 權(quán)限分為目錄權(quán)限和文件權(quán)限 每一個(gè)權(quán)限級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力 這些任務(wù)是 Read R Execute X Write W Delete D SetPermission P 和TakeOwnership O 表4 3和表4 4顯示了這些任務(wù)是如何與各種權(quán)限級(jí)別相關(guān)聯(lián)的 表4 3目錄權(quán)限 表4 4文件權(quán)限 2 Windows2000的安全性Windows2000安全系統(tǒng)提供了2種類型的身份驗(yàn)證 交互式登陸和網(wǎng)絡(luò)身份驗(yàn)證 ActiveDirectory使用對(duì)象和用戶憑據(jù)的訪問控制提供了對(duì)用戶賬戶和組信息的保護(hù)存儲(chǔ) ActiveDirectory還提供了對(duì)KerberosV5的支持 Windows2000采用IPSEC這種加密IP協(xié)議來加密網(wǎng)絡(luò)上的數(shù)據(jù) 在VPN安全性方面有了一定的提高 采用文件加密系統(tǒng)EFS 3 WindowsXP的安全性 完善的用戶管理功能 透明的軟件限制策略 支持NTFS文件系統(tǒng)以及加密文件系統(tǒng)EFS 安全的網(wǎng)絡(luò)訪問特性 圖4 13軟件限制策略 圖4 14數(shù)字證書的使用 4 1 2WindowsNT 2000 XP的安全防范措施 1 加強(qiáng)物理安全管理 去掉或鎖死軟盤驅(qū)動(dòng)器 禁止DOS或其他操作系統(tǒng)訪問NTFS分區(qū) 在服務(wù)器上設(shè)置系統(tǒng)啟動(dòng)密碼 設(shè)置BIOS禁用軟盤引導(dǎo)系統(tǒng) 不創(chuàng)建任何DOS分區(qū) 保證機(jī)房的物理安全 2 將系統(tǒng)管理員賬號(hào)改名 3 控制授權(quán)用戶的訪問權(quán)限 4 文件系統(tǒng)使用NTFS 不用FAT 5 確保注冊(cè)表安全 6 打開審計(jì)系統(tǒng) 4 1 3WindowsServer2003的安全1 windowServer2003版本簡介 1 WindowsServer2003標(biāo)準(zhǔn)版是一個(gè)可靠的網(wǎng)絡(luò)操作系統(tǒng) 可迅速方便地提供企業(yè)解決方案 是針對(duì)中小型企業(yè)的核心產(chǎn)品 支持證書服務(wù) UDDI服務(wù) 傳真服務(wù) ISA因特網(wǎng)驗(yàn)證服務(wù) 可移動(dòng)存儲(chǔ) RIS 智能卡 終端服務(wù) WMS和ServicesforMacintosh支持文件和打印機(jī)共享允許集中化的桌面應(yīng)用程序部署 2 WindowsServer2003企業(yè)版滿足各種規(guī)模的企業(yè)的一般用途而設(shè)計(jì)的 它是各種應(yīng)用程序 Web服務(wù)和基礎(chǔ)結(jié)構(gòu)的理想平臺(tái) 它提供高度可靠性 高性能和出色的商業(yè)價(jià)值 是一種全功能的服務(wù)器操作系統(tǒng) 支持多達(dá)8個(gè)處理器 提供企業(yè)級(jí)功能 如8節(jié)點(diǎn)群集 支持高達(dá)32GB內(nèi)存等 3 WindowsServer2003數(shù)據(jù)中心版是為運(yùn)行企業(yè)和任務(wù)所倚重的應(yīng)用程序而設(shè)計(jì)的 這些應(yīng)用程序需要最高的可伸縮性和可用性 是Microsoft迄今為止開發(fā)的功能最強(qiáng)大的服務(wù)器操系統(tǒng) 支持高達(dá)32路的SMP和64GB的RAM 提供8節(jié)點(diǎn)群集和負(fù)載平衡服務(wù)是它的標(biāo)準(zhǔn)功能 4 WindowsServer2003Web版用于Web服務(wù)和托管 生成和承載Web應(yīng)用程序 Web頁面以及XMLWeb服務(wù) 其主要目的是作為IIS6 0Web服務(wù)器使用 提供一個(gè)快速開發(fā)和部署XMLWeb服務(wù)和應(yīng)用程序的平臺(tái) 這些服務(wù)和應(yīng)用程序使用ASP NET技術(shù) 該技術(shù)是 NET框架的關(guān)鍵部分 便于部署和管理 5 WindowsServer2003 64 bitEdition 64位版本 專門針對(duì)64位處理器安騰Itanium而開發(fā)的版本 包括WindowsServer2003EnterpriseServer64 bitEdition和WindowsServer2003DatacenterServer64 bitEdition兩個(gè)版本 2 WindowsServer2003安全的基本概念 1 對(duì)稱加密 加密密鑰和解密密鑰相同 2 非對(duì)稱加密 加密密鑰和解密密鑰不相同 3 公鑰體系 非對(duì)稱密鑰體制 4 數(shù)字簽名 以電子形式存在于數(shù)據(jù)信息之中的 或作為其附件的或邏輯上與之有聯(lián)系的數(shù)據(jù) 可用于辨別數(shù)據(jù)簽署人的身份 表明簽署人對(duì)數(shù)據(jù)信息中包含的信息的認(rèn)可 5 密鑰和證書的區(qū)別 證書是CA中心對(duì)用戶公鑰的認(rèn)證 6 SSL協(xié)議 為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議 3 WindowsServer2003的安全特性 1 用戶驗(yàn)證 交互式登陸 網(wǎng)絡(luò)驗(yàn)證 KerberosV5 公用密鑰證書和NTLM 2 基于對(duì)象的訪問控制WindowsServer2003通過允許系統(tǒng)管理員對(duì)存儲(chǔ)在ActiveDirectory中的對(duì)象指定安全描述符來使用訪問控制 3 ActiveDirectory和安全性 ActiveDirectory通過對(duì)象訪問控制列表以及用戶憑據(jù)保護(hù)其存儲(chǔ)的用戶帳戶和組信息 因?yàn)锳ctiveDirectory不但可以保存用戶憑據(jù) 而且可以保存訪問控制信息 所以登錄到網(wǎng)絡(luò)上的用戶既能夠獲得身份驗(yàn)證 也可以獲得訪問系統(tǒng)資源所需的權(quán)限 例如 在用戶登錄到網(wǎng)絡(luò)上的時(shí)候 安全系統(tǒng)首先利用存儲(chǔ)在ActiveDirectory中的信息驗(yàn)證用戶的身份 然后 在用戶試圖訪問網(wǎng)絡(luò)服務(wù)的時(shí)候 系統(tǒng)會(huì)檢查在服務(wù)的自由訪問控制列表 DCAL 中所定義的屬性 因?yàn)锳ctiveDirectory允許管理員創(chuàng)建組帳戶 管理員得以更加有效地管理系統(tǒng)的安全性 例如 通過調(diào)整文件的屬性 管理員能夠允許某個(gè)組中的所有用戶讀取該文件 通過這種辦法 系統(tǒng)將根據(jù)用戶的組成員身份控制其對(duì)ActiveDirectory中對(duì)象的訪問操作 4 WindowsServer2003增強(qiáng)的安全機(jī)制 1 NTFS和共享權(quán)限快速查看NTFS權(quán)限 可以右擊文件或文件夾 選擇 屬性 選擇 安全 選項(xiàng)卡 單擊 高級(jí) 然后查看 有效權(quán)限 選項(xiàng)卡 圖4 15NTFS和共享權(quán)限 2 文件和文件夾的所有權(quán)WindowsServer2003直接在用戶界面中提供了設(shè)置所有者的功能 這類有關(guān)磁盤配額的問題可以方便地解決了 對(duì)于使用NTFS文件系統(tǒng)的任何類型的操作系統(tǒng)都有效 包括WindowsNT4 0 2000和XPPro 只要修改是在WindowsServer2003上進(jìn)行就可以了 圖4 16文件和文件夾的所有權(quán) 5 WindowsServer2003安全配置 1 WindowsServer2003基本安全配置 修改管理員賬號(hào)和創(chuàng)建陷阱賬號(hào) 刪除默認(rèn)共享存在的危險(xiǎn) 在記事本中輸入以下內(nèi)容 用戶可以根據(jù)自己的需要修改其中的內(nèi)容 圖4 17修改管理員賬號(hào) echooffNetshareC deleteNetshareD deleteNetshareE delete Pause將文件保存為delshare bat 單擊 開始 運(yùn)行 命令 在輸入框中輸入gpedit msc 單擊 確定 彈出 組策略 查看 依次選擇 用戶配置 Windows設(shè)置 腳本 登陸 注銷 雙擊窗口右邊的 登陸 彈出 登陸屬性 窗口 在該窗口中單擊 添加 按鈕 彈出 添加腳本 對(duì)話框 在 腳本名 欄中輸入deshare bat 單擊 確定 如此設(shè)置后 系統(tǒng)一開機(jī)就可以執(zhí)行腳本刪除系統(tǒng)默認(rèn)的共享 禁用IPC連接運(yùn)行regedit 找到如下主鍵HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control LSA把RestrictAnonymous DWORD 的鍵值改為 00000001 重新設(shè)置可遠(yuǎn)程訪問的注冊(cè)表路徑 圖4 18禁用IPC連接 gpedit msc 打開組策略編輯器 計(jì)算機(jī)配置 Windows設(shè)置 安全設(shè)置 本地策略 安全選項(xiàng) 網(wǎng)絡(luò)訪問 可遠(yuǎn)程訪問的注冊(cè)表路徑 及 網(wǎng)絡(luò)訪問 可遠(yuǎn)程訪問的注冊(cè)表 將設(shè)置遠(yuǎn)程可訪問的注冊(cè)表路徑和子路徑內(nèi)容設(shè)置為空即可 這樣可以有效防止黑客利用掃描器通過遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息 圖4 19重新設(shè)置可遠(yuǎn)程訪問的注冊(cè)表路徑 關(guān)閉不需要的端口控制面板 性能和維護(hù) 管理工具 本地安全策略 IP安全策略 在本地計(jì)算機(jī) 在右邊窗格右擊 創(chuàng)建IP安全策略 下一步按鈕 去掉 激活默認(rèn)響應(yīng)規(guī)則 左邊的鉤 單擊下一步 單擊 完成 創(chuàng)建了一個(gè)新的IP安全策略 在新建立的IP安全策略 屬性 窗口 去掉 使用向?qū)?左邊的鉤 單擊 添加 如下圖所示 圖4 20關(guān)閉端口 進(jìn)入 篩選器屬性 對(duì)話框 在 尋址 窗口的 源地址 中選擇 任何IP地址 在 目標(biāo)地址 選擇 我的IP地址 如下圖所示 單擊 協(xié)議 選項(xiàng)卡 選擇 TCP 到此端口輸入135 確定 這樣就添加了一個(gè)屏蔽TCP135端口的篩選器 它可以防止外界通過135端口連上用戶的計(jì)算機(jī) 在 新規(guī)則屬性 對(duì)話框 選擇 新IP篩選器列表 激活 在 篩選器操作 選項(xiàng)卡中 單擊 添加 在彈出的對(duì)話框 新篩選 圖4 21 篩選器屬性 設(shè)置 器操作屬性 的 安全措施 中 選擇 阻止 確定 在 新規(guī)則屬性 對(duì)話框 選擇 新篩選器操作 按鈕 單擊 關(guān)閉 回到 IP安全策略屬性 對(duì)話框 在 新的IP篩選器列表 左邊打鉤 單擊 確定 在 本地安全策略 窗口右擊新添加的IP安全策略 從快捷菜單中選擇 指派 命令 圖4 22 新規(guī)則屬性 設(shè)置 2 WindowsServer2003高級(jí)安全設(shè)置 重新支持ASP腳本a 在系統(tǒng)的開始菜單中 依次單擊 管理工具 Internet信息服務(wù)管理器 命令 b 在隨后出現(xiàn)的Internet信息服務(wù)屬性設(shè)置窗口中 用鼠標(biāo)選中左側(cè)區(qū)域中的 Web服務(wù)器擴(kuò)展 選項(xiàng) c 接著在對(duì)應(yīng)該選項(xiàng)右側(cè)的區(qū)域中 用鼠標(biāo)雙擊Activesserverpages 選項(xiàng) 然后將 任務(wù)欄 設(shè)置項(xiàng)處的 允許 按鈕單擊一下 系統(tǒng)中的IIS6就可以重新支持ASP腳本了 添加站點(diǎn)到 信任區(qū)域 a 在瀏覽器的地址框中 輸入需要訪問的站點(diǎn)地址 單擊回車鍵 就會(huì)自動(dòng)打開一個(gè)安全提示警告窗口 b 要是不想瀏覽該站點(diǎn)時(shí) 直接可以單擊 關(guān)閉 按鈕 要是想瀏覽的話 可以單擊 添加 按鈕 c 在隨后打開的 可信任站點(diǎn) 設(shè)置窗口中 你會(huì)發(fā)現(xiàn)當(dāng)前被訪問的