标题: Windows 2003 Server的新安全机制 [打印本页] 作者: tzlink 时间: 2007-10-9 10:40 标题: Windows 2003 Server的新安全机制 在这篇文章中,我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见,但这里我们只注重大多数Windows用户和管理员最关心的地方,借此粗略感受一下Windows Server 2003新的安全机制。
一、NTFS和共享权限
在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。但从Windows XP Pro开始,这种情况改变了。
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效。也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹,例如Program Files和Windows文件夹,Everyone组也已经从ACL中排除出去。(说明:ACL即“访问控制列表”,或Access Control List,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型:随机和系统)。
Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。例如,管理员应用户的要求创建了新的文件(例如复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地解决了(对于使用NTFS文件系统的任何类型的操作系统都有效,包括Windows NT 4.0、2000和XP Pro,只要修改是在Windows Server 2003上进行就可以了)。
值得一提的是,这个功能(有效权限和授予所有者权限)对于从Windows Server 2003管理的活动目录对象也同样有效。
三、Windows服务配置
Windows服务配置方面的变化可分成两类。
㈠ 启动类型。几种最容易受到攻击的服务,诸如Clipbook(启用“剪贴簿查看器”储存信息并与远程计算机共享)、Network DDE以及Network DDE DSDM(前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全;后者用于管理动态数据交换网络共享)、Telnet、WebClient(使基于Windows的程序能创建、访问和修改基于Internet的文件)等,默认情况下已经被禁止了。还有一些服务只有在必要时才启用,例如Intersite Messaging(启用在运行Windows Server的站点间交换消息)只有在域控制器提升时才启用,Routing and Remote Access Service(为网络上的客户端和服务器启用多重协议——LAN到LAN,LAN到WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务)只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。
活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系(要求两个林都运行在Windows 2003功能级别上)。在 Windows Server 2003林中,管理员可创建一个林,将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中,这种跨越将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
林信任具有许多优点:
⑴ 通过减少共享资源所需的外部信任数,使得跨越两个 Windows Server 2003林的资源的管理得以简化。
注意:在Windows 2000林中,如果一个林中的用户需要访问另一个林中的资源,管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任,因此限制了信任路径扩展到其他域的能力。但在Windows Server 2003 Active Directory中,默认情况下,新的外部信任和林信任强制SID筛选。SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录,而且也不会影响全局组的访问控制策略。