计算机操作系统精品]windowsxp操作系统的安全性研究毕业设计(论文

计算机操作系统精品]windowsxp操作系统的安全性研究毕业设计(论文内容摘要：

别和认证 (GINA)：运行在 Winlogon 进程里的一个用户模式dll， Winlogon 使用 GINA 获取用户名和密 码，以及智能卡 PIN 等。 （ 8） 网络登录服务 (Netlogon)：一个 Windows 服务，负责创建到域控制器的安区通道。 （ 9） 内核安全设备驱动器 (KSecDD)：本地过程调用接口的内核模式方法库，其他组件 (如： EFS)用来和 Lsass 进行通信。 这些组件之间的关系如下图所示： 三、 Windows xp 系统安全分析 Windows xp 系统的组 策略和域基础结构 组策略 组策略是 Active Directory174。 目录服务的一个功能，它便于管理 Microsoft174。 Windows Server™ 2020 和 Microsoft Windows174。 2020 Server 域中的更改和配置。 组策略设置存储在 Active Directory 数据库的组策略对象 (GPO) 中。 GPO 链接到容器，这些容器包括 Active Directory 站点、域和组织单位 (OU)。 组策略是确保 Windows XP 安全的重要工具。 支持安全管理的 OU 设计 OU 是 Active Directory 域中的容器，可以包含用户、组、计算机和其他组织单位，它们都称为子 OU。 可以将 GPO 链接到 OU， GPO 设置将应用于该 OU 及其子 OU 中包含的用户和计算机。 为便于管理，可以向每个 OU 委派管理权限。 OU 不仅提供了一种分组用户、计算机和其他安全主体的简单方法，而且还提供了一种分割管理边界的有效方式。 由于某些设 置仅适用于用户，而其他设置仅适用于计算机， Microsoft 建议组织将用户和计 算机分配给单独的 OU。 任何环境设计 OU 结构的一个主要目标是，为应用于 Active Directory 中所有工作站的无缝组策略实施提供基础，同时确保它们符合组织的安全标准。 设计 OU 结构的另一个目标是，为组织中特定类型的用户提供适当的安全设置。 便携式计算机用户与桌面计算机用户相比，安全要求也可以略有不同。 下图是一个组策略的简单 OU 结构。 图 Windows XP 计算机的 OU 结构 部门 OU：由于组织内的安全要求经常变化，很有必要在环境中创建部门 OU。 部门安全设置可以通过 GPO 应用于各自部门 OU 中的计算机和用户。 安全的 XP 用户 OU：此 OU 同时包含 EC 和 SSLF 环境中的用户的帐户。 第 4 章 “Windows XP 管理模板 ” 的 “ 用户配置 ” 部分论述了应用于此 OU 的设置。 Windows XP OU：包含环境中每种 Windows XP 客户端计算机的子 OU。 本指南包含桌面计算机和便携式计算机的指导。 因此，已经创建了桌面计算机 OU 和便携式计算机 OU。 桌面计算机 OU： 包含始终连接到网络的桌面计算机。 第 3 章 “Windows XP 客户端安全设置 ” 和第 4 章 “Windows XP 管理模板 ” 详细论述了应用于此 OU 的设置。 便携式 OU： 包含不始终连接到网络的移动用户的便携式计算机。 支持安全管 理的 GPO 设计 使用 GPO 确保特定策略设置、用户权限和行为应用于 OU 中的所有工作站或用户。 使用组策略（而不是手动配置），可以很方便地更新大量将来需要额外更改的工作站或用户。 手动配置效率低下，它需要技术人员访问每台客户端计算机。 而且，如果基于域的 GPO 策略设置不同于本地应用的策略设置，则基于域的 GPO 策略设置将覆盖本地应用的策略设置。 图 GPO 应用顺序 此图显示对属于子 OU 成员的计算机应用 GPO 的顺序，最低顺序为 (1)，最高顺序为 (5)。 首先从每个 Windows XP 工作站的本地策略应用组策略。 应用本地策略后，依次在站点级别和域级别应用任何 GPO。 对于若干 OU 层中嵌套的 Windows XP 客户端计算机，在层次结构中按从最高 OU 级别到最低级别的顺序应用 GPO。 从包含客户端计算机的 OU 应用最后的 GPO。 此 GPO 处理顺序（本地策略 、站点、域、父 OU 和子 OU）非常重要，因为此过程中稍后应用的 GPO 将会替代先前应用的 GPO。 用户 GPO 的应用方式相同。 当设计组策略时请记住下列注意事项。 (1)管理员必须设置将多个 GPO 链接到一个 OU 的顺序，否则，默认情况下，将按以前链接到此 OU 的顺序应用策略。 如果在多个策略中配置了相同设置，容器的策略列表中的最高策略享有最高优先级。 (2)可以使用 “ 禁止替代 ” 选项来配置 GPO。 如果选择此选项，其他 GPO 不能替代此 GPO 中配置的设置。 注意 ：在 Windows 2020 中， “Enforced（禁止替代） ” 选项是指 “No Override （禁止替代） ” 选项。 (3)可以使用 “ 阻止策略继承 ” 选项来配置 Active Directory、站点、域或 OU。 此选项阻止来自 Active Directory 层次结构中更高的 GPO 的 GPO 设置，除非它们选择了 “ 禁止替代 ” 选项。 换句话说， “ 禁止替代 ” 选项优先于 “ 阻止策略继承 ” 选项。 (4)组策略设置根据 Active Directory 中用户或计算机对象所在的 位置应用于用户和计算机。 在某些情况下，可能需要根据计算机对象的位置（而不是用户对象的位置）对用户对象应用策略。 组策略环回功能使管理员能够根据用户登录的计算机应用用户组策略设置。 有关环回支持的详细信息，请参阅本章结尾的 “ 更多信息 ” 部分列出的组策略白皮书。 下图展开了基本 OU 结构，以显示如何对属于桌面计算机 OU 和便携式计算机 OU 的 Windows XP 客户端计算机应用 GPO。 图 展开的 OU 结构包 在上例中，便携式计算机是便携式 OU 的成员。 应用的第一个策略是便携式计算机上的本地安全策略。 由于此例中只有一个站点，所以站点级别上未应用 GPO，将域 GPO 作为下一个要应用的策略。 最后，应用便携式计算机 GPO。 注意 ：桌面策略未应用于任何便携式计算机，因为它未链接到包含便携式 OU 的层次结构中的任何 OU。 另外，安全的 XP 用户 OU 没有对应的安全模板（ .inf 文件），因为它只包括来自管理模块的设置。 为显示优先级如何起作用，假设 “ 通过终端服务允许登录 ” 的 Windows XP OU 策略设置被设置为 Administrators 组。 “ 通过终端服务允许登录 ” 的便携式计算机 GPO 设置被设置为 Power Users和 Administrators组。 在此例中，帐户位于 Power Users组中的用户可以使用终端服务登录到便携式计算机，这是因为便携式 OU 是 Windows XP OU 的子级。 如果在 Windows XP GPO 中启用了“ 禁止替代 ” 策略选项，则只允许那些帐户位于 Administrators 组中的用户使用终端服务登录到客户端计算机。 Windows xp 系统的模板及其管理 安全模板及其管理 安全模板：是包含安全设置值的文本文件。 它们是 GPO 的子组件。 安全模板包含的策略设置可以在 MMC 组策略对象编辑器管理单元中修改，它们位于“ 计 算机配置 \Windows 设置 \安全设置 ” 文件夹之下。 也可以使用 MMC 安全模板管理单元或记事本之类的文本编辑器修改这些文件。 Microsoft 建议您使用组策略对象编辑器管理单元来管理 GPO 安全模板中的策略设置，以及使用安全模板管理单元来管理独立安全模板中的策略设置。 安全模板管理： 将生产环境的安全模板存储在基础结构中的安全位置非常重要。 安全模板的访问权限只应该授予负责实施组策略的管理员。 默认情况下， Windows XP、 Windows 2020 和 Windows Server 2020 附带的安全模板存储在 %SystemRoot%\security\templates文件夹中。 当评估和优化设置以符合组织业务需求时，您可能需要将安全模板从此文件夹复制或移动到测试计算机上的 新位置。 测试完毕后，应该将安全模板的最终版本移动到集中位置，例如内置安全模板的默认位置。 %SystemRoot%\security\templates 文件夹不能跨域控制器进行复制。 因此，您需要选。