| win2000系統(tǒng)故障分析 |
| 2009-5-15 11:03:21 哈爾濱百姓網(wǎng) 來(lái)源:賓縣百姓網(wǎng)-收集 瀏覽 次 【大 中 小】【打印】【關(guān)閉】 |
|
計(jì)算機(jī)安全不僅包括保護(hù)計(jì)算機(jī)的本地?cái)?shù)據(jù)����,還要保護(hù)網(wǎng)絡(luò)上的數(shù)據(jù)安全。優(yōu)秀的操作系統(tǒng)可以對(duì)試圖訪問(wèn)計(jì)算機(jī)資源的人員進(jìn)行身份識(shí)別����,防止特定資源被用戶不適當(dāng)?shù)卦L問(wèn),并且提供用戶簡(jiǎn)單有效的方法來(lái)設(shè)置和維護(hù)計(jì)算機(jī)的安全����。
目前PC用戶常用的還是Windows��,比較以前的版本���,基于NT平臺(tái)技術(shù)的 Windows 2000在穩(wěn)定性和安全性上有很大的改善。下面以Windows 2000 Professional 為例進(jìn)行說(shuō)明�����,并順便介紹一個(gè)應(yīng)用問(wèn)題的解決�����。
一�、 Windows 2000安全功能
1.用戶帳戶和帳戶組功能
確保只有有權(quán)用戶才能訪問(wèn)計(jì)算機(jī),同時(shí)有效地管理用戶的特定任務(wù)權(quán)利和權(quán)限�,如文件夾訪問(wèn)權(quán)限等。系統(tǒng)內(nèi)置組可以使大多數(shù)用戶獲得執(zhí)行各自任務(wù)所需的全部用戶權(quán)利和權(quán)限���。管理界面在“控制面板”中的“用戶和密碼”����。
2.共享文件夾權(quán)限
通過(guò)給任何文件夾賦予共享文件夾權(quán)限�����,您可以限制或允許通過(guò)網(wǎng)絡(luò)訪問(wèn)這些文件夾。通過(guò)項(xiàng)目的屬性菜單設(shè)置���。默認(rèn)情況下��,在Windows 2000中新增一個(gè)共享目錄時(shí)�,操作系統(tǒng)會(huì)自動(dòng)將EveryOne這個(gè)用戶組添加到權(quán)限模塊當(dāng)中�,由于這個(gè)組的默認(rèn)權(quán)限是完全控制,結(jié)果使得任何人都可以對(duì)共享目錄進(jìn)行讀寫(xiě)����。因此,在新建共享目錄之后��,要立刻刪除EveryOne組或者將該組的權(quán)限調(diào)整為讀取��。
3. 比FAT和FAT32更安全的NTFS文件系統(tǒng)的功能:
磁盤(pán)限額服務(wù)����,可以控制每個(gè)用戶允許使用的磁盤(pán)空間大��������;支持設(shè)置文件或文件夾的權(quán)限���,限制或允許用戶或組的訪問(wèn)�,規(guī)定訪問(wèn)類(lèi)型����,就是說(shuō)可以將每個(gè)用戶允許讀寫(xiě)的文件限制在磁盤(pán)目錄下的任何一個(gè)文件夾內(nèi)。如果要共享位于 NTFS 驅(qū)動(dòng)器的文件夾無(wú)需特別設(shè)置�����,NTFS 文件夾訪問(wèn)權(quán)限在本機(jī)和網(wǎng)絡(luò)上均有效���;NTFS還支持所有者加密文件和文件夾�,更好地保護(hù)信息���。推薦使用NTFS磁盤(pán)分區(qū)���。
4.打印機(jī)權(quán)限
通過(guò)指派打印機(jī)權(quán)限來(lái)限制用戶訪問(wèn)。分打印文檔�、管理文檔、管理打印機(jī)三種權(quán)限�����。通過(guò)項(xiàng)目的屬性菜單設(shè)置。
5.審核
可以使用審核跟蹤用于訪問(wèn)文件或其他對(duì)象的帳戶���,以及用戶登錄嘗試����、關(guān)閉或重新啟動(dòng)系統(tǒng)及其它指定的事件���。在審核發(fā)生之前����,您必須使用“組策略”指定要審核的事件類(lèi)型���。例如�,要審核文件夾��,首先要啟用“組策略”中“審核策略”的“審核對(duì)象訪問(wèn)”�����。下一步�����,您可以象設(shè)置權(quán)限那樣來(lái)設(shè)置審核:選擇對(duì)象(例如文件或文件夾)��,然后選擇要審核其操作的用戶和組�。最后,選擇想要審核的操作��,例如�,試圖打開(kāi)或刪除受限制的文件夾��?梢詫徍顺晒褪〉膰L試�。通過(guò)使用“事件查看器”來(lái)查看“安全”日志可以跟蹤審核活動(dòng)。對(duì)于磁盤(pán)訪問(wèn)的審核機(jī)制只能應(yīng)用在NTFS文件系統(tǒng)之上��。應(yīng)對(duì)所有需要審核的用戶使用審核機(jī)制����。
6.用戶權(quán)利
用戶權(quán)利是確定用戶可以在計(jì)算機(jī)上所執(zhí)行操作的規(guī)則。此外����,用戶權(quán)利控制用戶是否可以直接(在本地)或通過(guò)網(wǎng)絡(luò)登錄到計(jì)算機(jī)、將用戶添加到本地組、刪除用戶�,等等。內(nèi)置組具有已指派的用戶權(quán)利集合����。通常情況下,管理員通過(guò)向一個(gè)內(nèi)置組添加用戶帳戶��,或者通過(guò)創(chuàng)建新組并為該組指派特定用戶權(quán)利來(lái)指派用戶權(quán)利��。隨后添加到組中的用戶自動(dòng)獲得指派給組帳戶的所有用戶權(quán)利����。用戶權(quán)利是通過(guò)“組策略”管理的。
7.其它本地安全設(shè)置
允許安全管理員配置指派給“組策略”對(duì)象或本地計(jì)算機(jī)策略的安全等級(jí)�����。本地安全策略是用于配置本地計(jì)算機(jī)的安全設(shè)置��。這些設(shè)置包括密碼策略�、賬戶鎖定策略、審核策略���、IP 安全策略����、用戶權(quán)限指派�、加密數(shù)據(jù)的恢復(fù)代理以及其他安全選項(xiàng)。由于本地安全策略主要是針對(duì)本地用戶設(shè)置的����,因此只有在不是域控制器的 Windows 2000 計(jì)算機(jī)上才可用。
以上前四點(diǎn)功能常用且易于設(shè)置��,而審核與用戶權(quán)利等安全設(shè)置使用較為復(fù)雜�,但是功能確實(shí)非常強(qiáng)大,用戶可對(duì)系統(tǒng)的操作參數(shù)進(jìn)行深入細(xì)致的微調(diào)����,直至完全滿足個(gè)人需求。比如:
* 防止來(lái)自局域網(wǎng)內(nèi)部的惡意攻擊�����,用戶可以得到某賬戶被人遠(yuǎn)程嘗試登錄的機(jī)器位置和次數(shù)的記錄�,取消某賬號(hào)遠(yuǎn)程登錄的權(quán)利等,這非常有用���。
* 可以在策略上控制你所擁有的資源��,比如禁止從網(wǎng)絡(luò)訪問(wèn)本地的軟驅(qū)或光驅(qū)�,無(wú)論是否被設(shè)置為共享權(quán)限。
* 使用安全策略保護(hù)數(shù)據(jù)��,讓攻擊者破解困難或根本不可能�����。算法和密鑰的組合用于保護(hù)信息�����。Windows 2000通過(guò)使用基于加密的算法和密鑰獲得高安全級(jí)�����。
Windows 2000的安全設(shè)置主要在“本地安全策略”中進(jìn)行�����。使用時(shí)單擊“開(kāi)始”��,指向“程序”��,指向“管理工具”�,然后單擊“本地安全策略”就行了�。 它的設(shè)置包括:
* 帳戶策略:密碼和帳戶鎖定策略
* 本地策略:審核�����、用戶權(quán)利和安全選項(xiàng)策略
* 公鑰策略(IP 安全策略): Internet 協(xié)議安全性 (IPSec) 管理����。IPSec 策略為與別的計(jì)算機(jī)進(jìn)行安全通訊的管理策略���。使用它最好有高級(jí)管理員的指導(dǎo)��。
二����、本地安全策略設(shè)置出錯(cuò)一例解決及進(jìn)一步建議
1.本地安全策略設(shè)置過(guò)程中不注意的話�,會(huì)產(chǎn)生比較大的麻煩。一個(gè)例子:
單位一臺(tái)運(yùn)行 Windows 2000 Professional的機(jī)器����,用戶設(shè)置時(shí)出錯(cuò),在“本地策略”中����,把“用戶權(quán)利分配”的“拒絕本地登錄”項(xiàng)目設(shè)為“Users,Guests,EveryOne”���。導(dǎo)致注銷(xiāo)后用戶無(wú)法再次登錄,系統(tǒng)提示“無(wú)法進(jìn)行交互式會(huì)話”����。設(shè)置項(xiàng)包含“EveryOne”使得所有賬號(hào)都被禁止登錄。
解決辦法:Windows 2000將當(dāng)前本地安全設(shè)置的數(shù)據(jù)記錄存放在Windows系統(tǒng)目錄system32下的config目錄中�����,文件名SECURITY�,只有將它修改正確才能正常登錄。為簡(jiǎn)單起見(jiàn)�,用系統(tǒng)初始配置覆蓋它。由于機(jī)器使用FAT32格式�����,采用干凈的Win98軟盤(pán)啟動(dòng)���,將Windows目錄repair子目錄下的SECURITY文件拷貝到config下覆蓋出錯(cuò)文件����。登錄正常��。 如果機(jī)器使用了NTFS格式,就必須用Windows 2000 安裝軟盤(pán)或者安裝光盤(pán)啟動(dòng)���。為了防止類(lèi)似故障發(fā)生后一時(shí)找不到啟動(dòng)盤(pán)�,難以快速解決問(wèn)題��,可以應(yīng)用Windows 2000 故障恢復(fù)控制臺(tái)特性����。
2.Windows 2000故障恢復(fù)控制臺(tái)
Windows 2000 故障恢復(fù)控制臺(tái)是命令行控制臺(tái)���,可以從 Windows 2000 安裝程序啟動(dòng)����。使用故障恢復(fù)控制臺(tái)��,無(wú)需從硬盤(pán)啟動(dòng) Windows 2000 就可以執(zhí)行許多任務(wù)��,可以啟動(dòng)和停止服務(wù)���,格式化驅(qū)動(dòng)器�,在本地驅(qū)動(dòng)器上讀寫(xiě)數(shù)據(jù)(包括被格式化為 NTFS的驅(qū)動(dòng)器)�����,執(zhí)行許多其他管理任務(wù)。如果需要通過(guò)從軟盤(pán)或 CD-ROM 復(fù)制一個(gè)文件到硬盤(pán)來(lái)修復(fù)系統(tǒng)�,或者需要對(duì)一個(gè)阻止計(jì)算機(jī)正常啟動(dòng)的服務(wù)進(jìn)行重新配置,故障恢復(fù)控制臺(tái)將特別有用���。由于故障恢復(fù)控制臺(tái)非常強(qiáng)大��,只有通曉 Windows 2000 的高級(jí)用戶才能使用�����。此外必須是管理員才有權(quán)使用故障恢復(fù)控制臺(tái)����。
可以從 Windows 2000 安裝磁盤(pán)或者 Windows 2000 Professional CD 運(yùn)行故障恢復(fù)控制臺(tái)���。作為備用選擇���,可以在計(jì)算機(jī)上安裝故障恢復(fù)控制臺(tái),以便在不能重新啟動(dòng) Windows 2000 時(shí)解決問(wèn)題����。這時(shí)只需從引導(dǎo)菜單上選中 Windows 2000 故障恢復(fù)控制臺(tái)選項(xiàng)即可�����。在啟動(dòng)故障恢復(fù)控制臺(tái)后����,必須選擇要登錄的驅(qū)動(dòng)器(如果有雙重引導(dǎo)或者多重引導(dǎo)系統(tǒng))且必須用管理員密碼登錄����。
故障恢復(fù)控制臺(tái)提供了一個(gè)命令行,這樣在 Windows 2000 不啟動(dòng)時(shí)��,就可以更改系統(tǒng)���。一旦運(yùn)行故障恢復(fù)控制臺(tái),在命令提示符下鍵入“help”可獲得關(guān)于可用命令的幫助����。要重新啟動(dòng)計(jì)算機(jī),鍵入 exit 關(guān)閉命令提示符窗口�。
將故障恢復(fù)控制臺(tái)安裝為一個(gè)啟動(dòng)選項(xiàng),以便在計(jì)算機(jī)無(wú)法重新啟動(dòng)時(shí)�,可以運(yùn)行。安裝為啟動(dòng)選項(xiàng)的方法:以管理員或具有管理員權(quán)限的用戶登錄 Windows 2000�。將 Windows 2000 Professional 光盤(pán)插入 CD-ROM 驅(qū)動(dòng)器���。如果提示升級(jí)到 Windows 2000,單擊“否”����。 從命令提示符下(或從 Windows 2000 的“運(yùn)行”命令框內(nèi))鍵入指向相應(yīng) Winnt32.exe 文件(在Windows 2000 光盤(pán)內(nèi))的路徑,后跟一個(gè)空格和 /cmdcons 開(kāi)關(guān)選項(xiàng)����。例如:
e:\\i386\winnt32.exe /cmdcons
遵循出現(xiàn)的提示操作。
故障恢復(fù)控制臺(tái)安裝在根文件夾下 \Cmdcons 文件夾內(nèi)�,包括根文件夾中的Cmldr 文件。Boot.ini 文件內(nèi)包含故障恢復(fù)控制臺(tái)的啟動(dòng)條目����。
在Windows 2000的安全性無(wú)疑很高,但是�����,如果日常使用中不加注意的話���,漏洞仍然存在���,比如那些源自用戶自己的問(wèn)題��。對(duì)于一般用戶�,筆者建議將控制面板的管理工具中的本地安全策略隱去�����,以免發(fā)生使用不當(dāng)?shù)膯?wèn)題�����。確實(shí)需要時(shí)可以從命令行[命令格式:c:\winnt\system32\secpol.msc /s]啟動(dòng)本地安全策略設(shè)置�。 |
|
| [責(zé)任編輯:佚名] |
|
| 【信息發(fā)布】【論壇交流】【留言反饋】【打印網(wǎng)頁(yè)】【大 中 小】【↑頂部】 |
|
|
|
|
|
|
