【正文】 用戶帳戶　　在 Active Directory 中，每個用戶帳戶都有一個用戶登錄名、一個 Windows 2022 以前版本的用戶登錄名（安全帳戶管理器的帳戶名）和一個用戶主要名稱后綴。 域和帳戶命名　　Active Directory 域名通常是該域的完整 DNS 名稱?！　∮驑浜陀蛄值慕M合為用戶提供了靈活的域命名選項。如果樹林中的多個域有連續(xù)的 DNS 域名，則該結構稱為域樹。如果用戶的網絡需要一個以上的域，則用戶可以創(chuàng)建多個域。每個域至少必須包含一個域控制器。 要創(chuàng)建域，用戶必須將一個或更多的運行 Windows 2022 Server 的計算機升級為域控制器。? 將組策略對象應用到域可加強資源和安全性管理?！　∮蛴蛱峁┝硕囗梼?yōu)點：? 組織對象。Active Directory 目錄服務使用結構化的數據存儲作為目錄信息的邏輯層次結構的基礎。 活動目錄活動目錄的概念Active Directory 是用于 Windows 2022 Server 的目錄服務。委托關系可使用戶帳號和工作組能夠在建立它們的域之外的域中使用。主從關系，委托關系是建立在信任度上的。在使用“域”的劃分時，我們應該注意到“域”是建立在一個子網范圍內，其基礎是相互之間的信任度。所以在對 NT 進行維護時應該特別小心目錄數據庫的完整性，一般來講只有管理員才具有對此的編輯權限。通過有規(guī)律的同步處理，可以保證數據庫的安全性、有效性。這里我們應該注意到在 NT 中，關于域的所用的安全機制信息或用戶帳號信息都存放在目錄數據庫中（稱為安全帳號管理器（SAM）數據庫） 。即使在物理上相隔較遠，但在邏輯上可以在一個域上，域的集中化用戶帳號數據庫和安全策略使得系統(tǒng)管理員可以用一個簡單而有效的方法維護整個網絡的安全。所謂“域”是指網絡服務器和其它計算機的邏輯分組，凡是在共享域范圍內的用戶都使用公共的安全機制和用戶帳號信息。全局工作組可以在系統(tǒng)中相互信任的域中使用。在 Windows 系統(tǒng)中有兩種類型的工作組：全局工作組和本地工作組。另外，Windows 系統(tǒng)支持工作組概念，可以方便的給一組用戶授予特權和權限，同時一個用戶同時屬于一個或多個工作組。在上述界面右邊窗口中選中某個用戶，點右鍵，在彈出的快捷菜單中選“ 屬性”，彈出“用戶屬性”窗口，在其中可對此用戶賬號進行是否允許修改密碼、是否停用賬號等項設置。系統(tǒng)會在你添加新用戶時詢問其權限的設置。用戶名列表上方有一個復選框“要使用本機，必須輸入用戶名和密碼” ，要使用用戶管理必須使之有效，即：選中它。你可在第一次啟動按 Ctrl＋Alt＋Del 后選“更改密碼”更改系統(tǒng)管理員的密碼。雙擊“我的電腦/控制面板/用戶和密碼”圖標，打開“用戶和密碼”對話框。用戶的帳號和密碼有一定的規(guī)則，包括帳號長度，密碼的有效期，登錄失敗的鎖定，登錄的歷史記錄等等，通過對這些的綜合修改可以保證用戶帳號的安全使用。組有組名和描述兩個部份，組名是標識，描述是說明。其中用戶帳號有用戶名、全名、描述三個部分。給值得信任的使用者，按其使用的要求和網絡所能給與的服務分配合適的用戶帳號，并且使用足夠安全的帳號密碼。通過管理對象的屬性，管理員可以設置權限，分配所有權以及監(jiān)視用戶訪問。安全描述符還指定了該對象需要安全審核特定事件，如特定用戶的讀，寫，執(zhí)行文件。Windows 系統(tǒng) 通過允許管理員以對象安全描述符的方式描述具體的訪問控制策略?；趯ο蟮脑L問控制：Windows 采用對象模型描述系統(tǒng)資源，管理員可以通過對特定資源配置相應的用戶訪問權限來控制用戶對系統(tǒng)資源的訪問。用戶身份驗證：Windows 安全子系統(tǒng)提供了兩種類型的身份驗證：通過控制臺交互式登錄系統(tǒng)(根據用戶的計算機的本地賬戶來確認用戶的身份)和通過網絡登錄系統(tǒng)（根據域控制器中保留的域賬戶來確認用戶的身份）從而使得用戶可以訪問網絡上遠程主機的資源。身份驗證過程通過某種技術手段確認用戶所提供的身份的真實性，并在確認用戶身份的真實性后賦予用戶相應的權利和系統(tǒng)身份標識。它們之間的相互作用和集成構成了安全模型的主要部分。在 Windows 系統(tǒng)中，安全模型由本地安全認證、安全賬號管理器和安全監(jiān)督器構成。 、Windows 系統(tǒng)使用安全帳號數據庫，存放用戶賬號以及該賬號所具有的權力等。在 Windows 系統(tǒng)中， “權力”指用戶對整個系統(tǒng)能夠做的事情，如關閉系統(tǒng)、增加設備、更改系統(tǒng)時間等等。由于訪問任何系統(tǒng)資源必須經過內核安全模塊的驗證，從而保證沒有得到正確的授權的用戶不能訪問相應資源。各操作系統(tǒng)廠商推出新版本時，亦必須重新審查內容及修正。版權聲明：未經中國移動書面許可，任何公司或個人不得以任何形式全部或部分的使用本安全策略的相關內容。全文共分為八章，第一章 綜述、第二章 Windows 主機系統(tǒng)的安全機制、第三章 Windows 主機安全配置、第四章 Unix 通用安全標準，第五章 Solaris 主機系統(tǒng)安全配置、第六章 AIX 主機系統(tǒng)安全配置，第七章 HPUnix 主機系統(tǒng)安全配置，第八章 實施效果和殘留風險，并根據各種安全風險特性進行分類描述。本主機系統(tǒng)安全策略對中國移動所廣泛使用的 Windows 系統(tǒng)、Unix 系統(tǒng)安全特性進行了深入分析，僅從安全技術角度分析了中國移動各類主機系統(tǒng)應用的安全現(xiàn)狀和安全風險，并在此基礎上闡述了針對特定系統(tǒng)、特定應用的安全策略配置。本文檔制定中國移動統(tǒng)一的主機安全策略標準，以指導中國移動各業(yè)務系統(tǒng)和網管系統(tǒng)的主機設備以及維護終端的安全配置和維護，按照“積極預防、及時發(fā)現(xiàn)、快速反應、確保恢復”的原則，立足于主機系統(tǒng)自身安全機制增強主機系統(tǒng)安全性，從而提高中國移動的主機系統(tǒng)的總體安全水平。1 / 259密 級：文檔編號：項目代號：中國移動操作系統(tǒng)安全配置手冊Version 中國移動通信有限公司二零零四年十一月2 / 259擬 制:審 核:批 準:會 簽:標準化:3 / 259版本控制版本號 日期 參與人員 更新說明分發(fā)控制編號 讀者 文檔權限 與文檔的主要關系1 創(chuàng)建、修改、讀取 負責編制、修改、審核2 批準 負責本文檔的批準程序3 標準化審核 作為本項目的標準化負責人，負責對本文檔進行標準化審核4 讀取5 讀取4 / 259目 錄第一章 綜述 ..................................................................................................................9 適用范圍 .......................................................................................................................................10 更新要求 .......................................................................................................................................10第二章 WINDOWS 系統(tǒng)通用安全標準 ...................................................................11 WINDOWS 系統(tǒng)安全模型 ...............................................................................................................11 用戶名和密碼 ...............................................................................................................................12 域和委托 .......................................................................................................................................13 活動目錄 .......................................................................................................................................14 登錄 ...............................................................................................................................................19 存儲控制 .......................................................................................................................................21 管理安全模板 ...............................................................................................................................24 WINDOWS 審計子系統(tǒng) ...................................................................................................................28 注冊表 ...........................................................................................................................................31 文件系統(tǒng) .....................................................................................................................................33第三章 WINDOWS 主機安全配置 ...........................................................................35 用戶、用戶組及其權限管理 .......................................................................................................35 對系統(tǒng)管理員賬號進行限制 ................................................................................................35 密碼策略 ...............................................................................................................................36 賬戶鎖定策略 .......................................................................................................................37 遠程訪問主機系統(tǒng) .......................................................................................................................37 對可以遠程使用 tel 服務的用戶進行限定 ....................................................................37 Pcanywhere 遠程接入 ...........................................................................................................38 系統(tǒng)補丁 .......................................................................................................................................39 安裝 Windows 補丁 ...............................................................................................................39 文件系統(tǒng)增強 ..........................