第6章 计算机操作系统的安全与配置
本章要点：
WindowsXP的安全性
Windows 2003的安全基础
Windows 2008的安全基础 Unix系统的安全性 Linux系统的安全性
1
6.1 WindowsXP操作系统的安全性
6.1.1 WindowsXP的登录机制 1．交互式登录 （1）本地用户账号
10
6.1.4 利用注册表提高Windows XP系统的安全
3．通过修改WindowsXP注册表提高系统的安全性 （1）修改注册表的访问权限 （2）让文件彻底隐藏 （3）禁止使用控制面板
11
6.2 Windows 2003的安全基础
操作系统的安全问题是整个网络安全的一个核心问题，
Windows2003在其安全性上远远超过Windows2000操作系统，微 软在设计的初期就把网络身份验证、基于对象的授权、安全策略
13
6.2.1 Windows2003的安全基础概念
２．组 使用组可以简化对用户和计算机访问网络资源的管理。组是可以 包括其它账号的特殊账号。组中不仅可以包含用户账号，还可以 包含计算机账号、打印机账号等对象。给组分配了资源访问权限 后，其成员自动继承组的权限。一个用户可以成为多个组的成员。 有两种类型的组：安全组和通讯组。 通讯组只有在电子邮件应用程序（如 Exchange）中，才能使用 通讯组将电子邮件发送给一组用户。 安全组用于将用户、计算机和其他组收集到可管理的单位中。安 全组除包含了分布组的功能之外，还有安全功能。通过指派权限 或权力给安全组而非个别用户可以简化管理员的工作。
HKEY_CURRENT_USER
包含当前登录用户的配置信息的根目录。用户文件夹、屏幕颜色 和“控制面板”设置存储在此处。该信息被称为用户配置文件。
在用户登录Windows XP时，其信息从HKEY_USERS中相应的项
拷贝到HKEY_CURRENT_USER中。
9
6.1.4 利用注册表提高Windows XP系统的安全
（2）域用户账号
2．网络登录 3．服务登录
4．批处理登录
2
6.1.2 Windows XP的屏幕保护机制
3
6.1.3 Windows XP的文件保护机制
1．WFP 的工作原理 WFP 把某些文件认为是非常重要的系统文件。在Windows XP刚 装好后，系统会自动备份这些文件到一个专门的叫做 dllcache 的 文件夹，这个dllcache 文件夹的位置默认保存在 %SYSTEMROOT%\system32\dllcache目录下。
于注册表的复杂性，用户在改动过程中难免出错，如果简单地将 其它计算机上的注册表复制过来，可能会造成非常严重的后果。
7
6.1.4 利用注册表提高Windows XP系统的安全
2．WindowsXP系统注册表的结构
8
6.1.4 利用注册表提高Windows XP系统的安全
2．WindowsXP系统注册表的结构 Windows XP注册表共有5个根键。 HKEY_CLASSES_ROOT 此处存储的信息可以确保当使用Windows资源管理器打开文件时， 将使用正确的应用程序打开对应的文件类型。
及数据加密和审核等作为Windows2003系统的核心功能之一，因
此可以说Windows2003系统是建立在一套完整的安全机制之上的。
12

6.2.1 Windows2003的安全基础概念
１．用户账号 用户账号就是在网络中用来表示使用者的一个标识。它能够让用 户以授权的身份登录到计算机或域中并访问其资源。有些账号是 在安装Windows2003时提供的，它是由系统自动建立的，称为内 置用户账号。内置用户账号已经被系统赋予一些权力和权限，不 能删除但可以改名。用户也可以创建新的用户账号，这些新的用 户账号称为用户自定义的用户账号，可以删除并可以改名。 Administrator为系统管理员账号，拥有最高的权限，用户可以利 用它来管理Windows2003的资源。 Guest为来宾账号，是为那些临时访问网络而又没有用户账号的 使用者准备的系统内置账号。
2．WindowsXP系统注册表的结构 Windows XP注册表共有5个根键。 HKEY_LOCAL_MACHINE 包含针对该计算机（对于任何用户）的配置信息。 HKEY_USERS 包含计算机上所有用户的配置文件的根目录。 HKEY_CURRENT_CONFIG 管理当前用户的系统配置。在这个根键中保存着定义当前用户桌 面配置(如显示器等等)的数据,该用户使用过的文档列表（MRU）， 应用程序配置和其他有关当用户的Windows XP中文版的安装的 信息。
6
6.1.4 利用注册表提高Windows XP系统的安全
1．注册表受到损坏的主要原因 （4）当用户经常安装和删除字体时，可能会产生字体错误。可能 造成文件内容根本无法显示。 （5）硬件设备改变或者硬件失败。如计算机受到病毒侵害、自身 有问题或用电故障等。
（6）用户手动改变注册表导致注册表受损也是一个重要原因。由
在编录文件中查找文件签名，以确定新文件的版本是否正确。
WFP 功能提供的第二种保护机制是系统文件检查器 (Sfc.exe) 工 具。图形界面模式安装结束时，系统文件检查器工具对所有受保
护的文件进行扫描，确保使用无人参与安装过程安装的程序没有
对它们进行修改。
5
6.1.4 利用注册表提高Windows XP系统的安全
1．注册表受到损坏的主要原因 （1）用户反复添加或更新驱动程序时，多次操作造成失误，或添 加的程序本身存在问题，安装应用程序的过程中注册表中添加了 不正确的项。 （2）驱动程序不兼容。计算机外设的多样性使得一些不熟悉设备 性能的用户将不配套的设备安装在一起，尤其是一些用户在更新 驱动时一味追求最新、最高端，却忽略了设备的兼容性。当操作 系统中安装了不能兼容的驱动程序时，就会出现问题。 （3）通过“控制面板”的“添加/删除程序”添加程序时，由于 应用程序自身的反安装特性，或采用第三方软件卸载自己无法卸 载的系统自带程序时，都可能会对注册表造成损坏。另外，删除 程序、辅助文件、数据文件和反安装程序也可能会误删注册表中 的参数项。
4
6.1.3 Windows XP的文件保护机制
2．WFP (Windows File Protection)功能的工作方式 WFP 功能使用两种机制为系统文件提供保护。 第一种机制在后台运行。在 WFP 收到受保护目录中的文件的目 录更改通知后，就会触发这种保护机制。WFP 收到这一通知后， 就会确定更改了哪个文件。如果此文件是受保护的文件，WFP 将