第5章Windows操作系统的安全机制5.1Windows操作系统的安全性概述接下来是Windows9X系列，包括WindowsMe，Windows9X的系统是一种16位/32位混合源代码的准32位操作系统，故不稳定。 Windows2000是发行于1999年12月19日的32位图形商业性质的操作系统。Windowsxp是微软公司发布的一款视窗操作系统。它发行于2001年8月25日。WindowsServer2003是目前微软推出的使用最广泛的服务器操作系统，于2003年3月28日发布。 WindowsVista已在2006年11月30日发布。Windows7是微软的下一代操作系统，正式版已于2009年10月23日发布。据国外媒体报道，日前有消息称Windows8计划的发布将是2012年下半年。5.1.2WindowsXP的安全特性 1．适合需要的文件系统 WindowsXP支持3种文件系统，即NTFS、FAT16和FAT32。 2．保护系统免受病毒侵害 系统中的软件限制策略，可以避免计算机感染病毒和其他通过电子邮件和Internet传播的恶意代码。 3．在连接Internet期间保证系统安全 Internet协议安全 KerberosV5身份验证协议 Internet连接防火墙 Cookie管理 4．使用智能卡增强安全性 使用智能卡可存储证书和私钥并实现公钥操作，比如身份验证、数字签名和密钥交换，Windowsxp允许在安装了相应硬件和软件的计算机上充分利用智能卡的优点。 5.1.3Windows2000的安全特性4．企业和Internet的单点安全登录 5．易用的管理性和高扩展性 6．其他的安全特性 加密应用程序编程接口 设备驱动程序签名 一个安全模型5.1.5Windows2000的网络模式 1．工作组模式：是一种简单的网络模式，各个工作站的用户通过加入一个用户组共享资源。 2．域模式：在此模式中，用户账号数据库和计算机策略是以共享方式存储的。 3．安全限制：系统在共享级访问控制和用户级访问控制方面是安全的，因为其有严格的登录要求。5.1.6Windows2000安全管理工具Windows2000可以创建一个或多个“控制台”，这些控制台内可以包含一个或多个的管理单元。所有这些特性都能被远程计算机使用，并允许管理员从同一网络上的任何其他计算机上修复和配置其中的某台计算机。“管理控制台”和“管理单元”帮助用户更容易地管理本地或远程计算机。 MMC控制台窗口 Windows2000的MMC控制台窗口由两个窗格组成，左窗格称为控制台目录树，右窗格则称为结果窗格，如下图所示的“组件服务”控制台窗口。 控制台目录树显示给定控制台中可用的项目，结果窗格则包含有关这些项目功能的信息。在控制台目录树中，当用户单击不同项目时，结果窗格中的信息将相应改变，结果窗格可以显示很多类型的信息，包括网页、图形、图表、表格和列表等。 2024/10/16添加/删除管理单元 为了便于统一管理和增强控制台的功能，用户可以向控制台添加管理单元。但有时，某一项控制台管理单元的功能可能不再为用户所使用，这时用户可以将它删除。 步骤：A.启动MMC，在“运行”菜单输入mmc.exe，此时打开一个空白的MMC。 B.选择“控制台”—“添加/删除管理单元”,打开对话框，选择独立（或扩展）管理单元类型。 C.打开“管理单元列表”对话框，选定其中一个（例如：事件查看器）管理单元。 D.打开“选择计算机”对话框，选择事件查看器将监视哪一台计算机（可选择远程计算机），此处选择本地计算机。 E.完成后可在“程序”—“管理工具”查看到新建的管理单元。 5.2ActiveDirectory的结构与功能5.2.1ActiveDirectory的功能和特点 1．高度的集成性 2．集成的安全性 3．自定义的用户环境 4．ActiveDirectory与域名系统（DomainNameSystem，DNS）高度集成 5．ActiveDirectory可直接支持LightweightDirectoryAccessProtocol(LDAP)及HypertextTransferProtocol(HTTP) 6．ActiveDirectory支持许多常用的标准名称格式 7．服务配置 8．支持目录的应用程序和软件安装 5.2.2ActiveDirectory组件全局编录域：是网络对象的集合，这些对象可以包括组织单元、用户、组和计算机，它们都共享与安全性有关的公用目录数据库。它是ActiveDirectory的基础，是其逻辑体系结构的核心单元。 组策略：它提供了将安全性和配置设置组合为模板的能力，可将这种模板应用于单独的系统和域。ActiveDirectory和安全性5.3ActiveDirect