第3章节_网络服务安全幻灯片.pptVIP

知识链接 1. 只读域控制器 2. 基于服务的AD DS 3. 目录数据库 4. 权限委派 5. 域用户组 1. 只读域控制器 RODC的优点 （1）只读AD数据库 （2）单向复制 （3）密码缓存 （4）只读DNS （5）RODC管理 （6）GC支持 RODC部署要求 AD数据库复制 林功能级别 2. 基于服务的AD DS 管理员可以使用MMC或命令行来停止和重新启动AD DS。需要注意的是，如果停止了ADDS，则DNS、KDC以及站间消息传递服务也会停止。 SYSVOL必须存储在NTFS卷中 ，其中容纳了组策略文件和脚本。客户端访问SYSVOL，必须运行Dfsclient服务。 3. 目录数据库 4. 权限委派 委派是将用于将某一功能的处理和管理的责任，分配给用户、组或组织单位。通常可以向以下Active Directory容器委派管理权限： 组织单位 域 站点 5. 域用户组 组类型 安全组 （可以显示在随机访问控制列表中的组 ） 通讯组 （仅用于分发电子邮件并且没有启用安全性的组。） 组作用域 本地域 全局 通用 3.3 文件服务安全 3.3.1 NTFS权限安全配置 3.3.2 磁盘配额 3.3.3 文件屏蔽 在Windows Server 2008文件服务器上，可以通过文件访问权限设、磁盘配额、文件屏蔽等措施，确保文件服务器及重要文件的安全。 3.3.1 NTFS权限安全配置 1. 设置NTFS文件夹和文件权限 2. 取消“Everyone”所有权限 1. 设置NTFS文件夹和文件权限 提示 如果权限带阴影显示，说明这些权限是从父文件夹的权限继承过来的。 设置NTFS文件夹和文件权限 2. 取消“Everyone”所有权限 提示 Everyone组代表所有当前系统或网络上的所有用户账户，包括来宾账户，并且无论用户何时登录到网络上，或通过网络访问本地计算机，都会自动将该用户添加到Everyone组中。 3.3.2 磁盘配额 启动磁盘限额 为特定的用户磁盘配额 监控每个用户的磁盘配额使用情况 1. 启动磁盘限额 提示 启用磁盘配额管理后，所有的用户都使用磁盘配额启动时设置的默认配额限制和配额警告级别。 2. 为特定的用户磁盘配额 3. 监控每个用户的磁盘配额使用情况 3.3.3 文件屏蔽 1. 安装文件服务器资源管理器 2. 创建限制文件组 3. 创建屏蔽模板 4. 部署文件屏蔽策略 5. 文件屏蔽测试 1. 安装文件服务器资源管理器 2. 创建限制文件组 3. 创建屏蔽模板 4. 部署文件屏蔽策略 5. 文件屏蔽测试 写入.docx文档时 写入.txt文件时 知识链接 1. 基于NTFS文件系统的访问控制 NTFS文件和文件夹权限 多重NTFS权限 NTFS权限的继承性 设置NTFS权限基本策略和规则 复制和移动文件夹对权限的影响 2. 磁盘配额 磁盘配额限度 磁盘配额警告级别 注意事项 3. 文件屏蔽 3.4 IIS服务安全 3.4.1 IP地址访问限制 通过IP地址可以禁止或允许某些特定的计算机、域，甚至整个网络访问站点。因此，通过IP地址限制排除来自Internet的未知用户是非常有效的方法。 3.4.2 安全HTTP SSL安全功能可以通过对传输信息进行加密，实现Web客户端与Web服务端的安全传输，避免数据被中途截获和篡改。 3.4.1 IP地址访问限制 1. Web站点 3.4.1 IP地址访问限制 2. FTP站点 3.4.2 安全HTTP 1. 创建服务器证书 3.4.2 安全HTTP 2. 启用SSL设置 3. 客户端设置 知识链接 ：IIS 7 IIS 7.0支持的身份验证方式如下： ASP.NET模拟身份验证 Forms身份验证 基本身份验证 摘要式身份验证 匿名身份验证 Windows身份验证 证书 习题 1. 什么是只读域控制器，简述其在企业网络中的主要应用。 2. 什么是组作用域，不同作用域的组的功能有哪些区别？ 3. 如何在不重新启动计算机的情况下，重新启动Windows Server 2008系统的活动目录服务？ 4. 如何为NTFS分区上的文件和文件夹配置NTFS访问权限？ 5. 配置NTFS访问权限时应遵循哪些原则？ 实验：委派管理权限 实验目的 掌握权限委派在域控制器管理中的应用。 实验内容 将向域中添加计算机的权利委派给指定的域用户账户。 实验步骤 1. 以管理员账户登录域控制器。 2. 创建用于权限委派的用户账户。 3. 启