42實例——Windows系統(tǒng)安全配置

1、4.2 實例Windows系統(tǒng)安全配置Windows操作系統(tǒng)安全配置包括：賬號安全管理、網(wǎng)絡(luò)安全管理、IE瀏覽器安全配置、注冊表安全、Windows組策略、Windows權(quán)限管理和Windows安全審計等方面。 賬號安全管理1重命名和禁用默認的賬戶安裝好Windows XP Professional后，系統(tǒng)會自動建立兩個賬戶：Administrator和Guest。在Windows XP Professional中，右鍵單擊桌面上“我的電腦”圖標(biāo)，選擇“管理”菜單項，打開“計算機管理”窗口，如圖4.1所示。在左邊列表中找到并展開“本地用戶和組”，單擊“用戶”，可以看到系統(tǒng)中的賬戶。1. 圖4.

2、1 “計算機管理”窗口（1）Administrator賬戶。Administrator（管理員）賬戶擁有計算機的最高管理權(quán)限，每一臺計算機至少需要一個擁有管理員權(quán)限賬戶，但不一定必須使用Administrator這個名稱。黑客入侵計算機系統(tǒng)的常用手段之一就是試圖獲得管理員賬戶的密碼。如果系統(tǒng)的管理員賬戶的名稱沒有修改，那么黑客將輕易得知管理員賬戶的名稱，接下來就是尋找密碼了。比較安全的做法是對系統(tǒng)的管理員賬戶的名稱進行修改，這樣，如果黑客要得到計算機系統(tǒng)的管理員權(quán)限，需要同時猜測賬戶的名稱和密碼，增加了黑客入侵的難度。（2）Guest賬戶。在Windows XP Professional中，G

3、uest賬戶即所謂的來賓賬戶，只有基本的權(quán)限并且默認是禁用的。如果不需要Guest賬戶，一定禁用它，因為Guest也為黑客入侵提供了方便。禁用Guest賬戶的方法是，在圖4.1右邊窗口中，雙擊Guest賬戶，在彈出的“Guest屬性”對話框中選中“賬戶已停用”。注意：在Windows XP Home中，不允許停用Guest賬戶，那么一定要為Guest賬戶設(shè)置復(fù)雜的密碼。不要忘記為所有賬戶設(shè)置足夠復(fù)雜的密碼。2可靠的密碼（1）密碼策略。盡管絕對安全的密碼是不存在的，但是相對安全的密碼還是可以實現(xiàn)的。在開始菜單中打開“運行”對話框，輸入“secpol.msc”打開“本地安全設(shè)置”窗口，如圖4.2所

4、示，展開“賬戶策略”，單擊“密碼策略”，右側(cè)有6項關(guān)于密碼的設(shè)置策略，通過這些策略的配置，就可以建立完備密碼策略，這樣密碼就可以得到最大限度的保護。關(guān)于這6個策略的說明見表4.2。2. 圖4.2 “本地安全設(shè)置”窗口（2）操作系統(tǒng)的登錄密碼。Windows XP的登錄密碼存放在系統(tǒng)的C:WINDOWSsystem32config下的sam文件中，sam文件就是存放賬號和密碼的數(shù)據(jù)庫文件。當(dāng)?shù)卿浵到y(tǒng)時，系統(tǒng)會自動和sam進行比較，如果發(fā)現(xiàn)此賬號和密碼與sam文件中的加密數(shù)據(jù)符合，用戶就會順利登錄，如果錯誤則無法登錄。注意：為了保障密碼安全性，用戶應(yīng)該過一段時間就要更改自己的密碼。（3）給賬戶雙重

5、加密。雖然為賬戶設(shè)置了復(fù)雜的密碼，但密碼總有被破解的可能。此時可以為賬戶設(shè)置雙重加密。在開始菜單中打開“運行”對話框，輸入“syskey”打開“保證Windows XP賬戶數(shù)據(jù)庫的安全”對話框，如圖4.3所示，選中“啟用加密”，單擊“確定”按鈕，這樣程序就對賬戶完成了雙重加密，不過這個加密過程對用戶來說是透明的。注意：該項操作是不可逆，一旦啟用加密則不可以禁用。如果想更進一步體驗這種雙重加密功能，那么可以在圖4.3中單擊“更新”按鈕，打開“啟動密碼”對話框，如圖4.4所示，這里有“密碼啟動”和“系統(tǒng)產(chǎn)生的密碼”兩個選項。 3. 圖4.3 保證Windows XP賬戶數(shù)據(jù)庫的安全 圖4.4 啟動

6、密碼如果選擇“密碼啟動”，那么需要自己設(shè)置一個密碼，這樣在登錄Windows XP之前需要先輸入這個密碼，然后才能選擇登錄的賬戶。如果選擇“系統(tǒng)產(chǎn)生的密碼”，那么又有兩個選項，系統(tǒng)的默認選項是“在本機上保存啟動密碼”，如果選擇該選項，那么程序僅在后臺完成加密過程，在用戶登錄時不要求輸入任何密碼，因為密碼就保存在計算機的內(nèi)部。如果對安全要求很高，那么可以選擇“在軟盤上保存啟動密碼”，單擊“確定”按鈕之后會提示在軟驅(qū)里放入一張軟盤，創(chuàng)建完畢后會在軟盤上生成一個StartKey.Key文件，以后每次啟動系統(tǒng)時必須放入該軟盤才能登錄，此時相當(dāng)于系統(tǒng)有了一張可以隨身攜帶的鑰匙盤。注意：如果選擇“在軟盤上

7、保存啟動密碼”，則建議創(chuàng)建一張備用盤。3最小特權(quán)原則最小特權(quán)原則是系統(tǒng)安全中最基本的原則之一。最小特權(quán)：指的是在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體（用戶或進程）必不可少的特權(quán)。最小特權(quán)原則：是指應(yīng)限定網(wǎng)絡(luò)中每個主體所必需的最小特權(quán)，確?？赡艿氖鹿?、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小。最小特權(quán)原則一方面給予主體“必不可少”的特權(quán)，這就保證了所有的主體都能在所賦予的特權(quán)之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體“必不可少”的特權(quán)，這就限制了每個主體所能進行的操作。最小特權(quán)原則有效地限制、分割了用戶對數(shù)據(jù)資料進行訪問時的權(quán)限，降低了非法用戶或非法操作可能給系統(tǒng)及數(shù)據(jù)帶來的損失，對于

8、系統(tǒng)安全具有至關(guān)重要的作用。但目前大多數(shù)系統(tǒng)的管理員對于最小特權(quán)原則的認識還不夠深入。尤其是對于Windows系列操作系統(tǒng)，因為系統(tǒng)所賦予用戶的默認權(quán)限是最高的權(quán)限，例如Windows下的目錄和文件的默認權(quán)限是Everyone均具有完全的權(quán)限，而Administrator則有對整個系統(tǒng)的完全控制。如果系統(tǒng)的管理員不對此進行修改，則系統(tǒng)的安全性將非常薄弱。當(dāng)然，最小特權(quán)原則只是系統(tǒng)安全的原則之一，如縱深防御原則、特權(quán)分離原則、強制存取控制等。如果要使系統(tǒng)達到相當(dāng)高的安全性，還需要其他原則的配合使用。4.2.2 網(wǎng)絡(luò)安全管理隨著計算機網(wǎng)絡(luò)的應(yīng)用向縱深普及，網(wǎng)絡(luò)的安全問題也日益突出，網(wǎng)絡(luò)入侵事件頻繁

9、發(fā)生，由于計算機網(wǎng)絡(luò)系統(tǒng)的開放性，因此網(wǎng)絡(luò)入侵具有以下特點。（1）沒有時間地域的限制，跨越國界攻擊就如同在現(xiàn)場進行攻擊一樣方便。（2）通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之中，隱蔽性強，并且入侵手段越來越復(fù)雜。下面將介紹通過對系統(tǒng)的配置來增強網(wǎng)絡(luò)方面的安全性。1先關(guān)閉不需要的端口第1步：在桌面右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡(luò)連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，然后在“常規(guī)”選項卡里雙擊“Internet協(xié)議（TCP/IP）”，彈出“Internet協(xié)議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設(shè)置

10、”對話框，選擇“選項”選項卡，如圖4.5所示。再單擊“屬性”按鈕，彈出“TCP/IP篩選”對話框，如圖4.6所示。第2步：在圖4.6中，選中“只允許”單選框，分別添加TCP、UDP和IP等網(wǎng)絡(luò)協(xié)議允許的端口，如果沒有提供其他網(wǎng)絡(luò)服務(wù)，那么可以屏蔽掉所有的端口，這樣大大增強了系統(tǒng)的安全性。注意：設(shè)置完端口后需要重新啟動計算機。 4. 圖4.5 “高級TCP/IP設(shè)置”對話框 圖4.6 “TCP/IP篩選”對話框2關(guān)閉不需要的服務(wù)相關(guān)服務(wù)及其功能見表4.3。把不必要的服務(wù)都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全原則和標(biāo)準來說，多余的東西就沒必要開啟，減少一份隱患。3禁止NetBIO

11、S默認情況下，為了建立網(wǎng)絡(luò)連接，Windows會安裝很多協(xié)議和運行很多服務(wù)，其中一些協(xié)議和服務(wù)都不是必需的，例如NetBIOS、文件和打印機共享等，而“最小的服務(wù)最小的權(quán)限最大的安全”這個等式是永遠成立的，因此我們有必要關(guān)掉不需要的服務(wù)，卸載不需要的協(xié)議，來增強我們的系統(tǒng)安全。第1步：在桌面右鍵單擊“網(wǎng)上鄰居”，選擇“屬性”，打開“網(wǎng)絡(luò)連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，如果不需要共享文件和打印機，那么在“常規(guī)”選項卡里將“Microsoft Windows網(wǎng)絡(luò)的文件和打印機共享”卸載。第2步：雙擊“Internet協(xié)議（TCP/IP）”，彈出“In

12、ternet協(xié)議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設(shè)置”對話框，選擇“WINS”選項卡，如圖4.7所示，取消“啟用LMHOSTS查詢（L）”，然后選擇“禁用TCP/IP上的NetBIOS”。第3步：在開始菜單中打開“運行”對話框，輸入“services.msc”打開“服務(wù)”窗口，找到TCP/IP NetBIOS Helper這個服務(wù)，停止這個服務(wù)，并設(shè)置啟動類型為手動或禁止。第4步：重新啟動計算機。4禁止遠程協(xié)助Windows XP上的“遠程協(xié)助”功能允許用戶在使用計算機發(fā)生困難時，向MSN上的好友發(fā)出遠程協(xié)助邀請，來幫助自己解決問題。而這個“遠程協(xié)助

13、”功能正是“沖擊波”病毒所要攻擊的RPC（Remote Procedure Call，遠程過程調(diào)用）服務(wù)在Windows XP上的表現(xiàn)形式。建議用戶禁用該功能。禁止“遠程協(xié)助”功能的方法是：在桌面右鍵單擊“我的電腦”，選擇“屬性”，打開“系統(tǒng)屬性”對話框，如圖4.8所示，在“遠程”選項卡里取消“允許從這臺計算機發(fā)送遠程協(xié)助邀請”。 5. 圖4.7 “高級TCP/IP設(shè)置”對話框 圖4.8 “系統(tǒng)屬性”對話框5終端服務(wù)用戶利用“終端服務(wù)”可以對遠程計算機系統(tǒng)實現(xiàn)遠程控制。在Windows XP系統(tǒng)下，“終端服務(wù)”默認是被打開的，即如果有人知道該計算機上的一個賬號以及計算機的IP地址，那么他就有可

14、能控制該計算機。有兩種辦法解決“終端服務(wù)”的安全問題。（1）禁用“終端服務(wù)”。在圖4.8中，在“遠程”選項卡里取消“允許用戶遠程連接到此計算機（C）”。（2）更改“終端服務(wù)”監(jiān)聽端口，如圖4.9所示，在注冊表編輯器中，按照HKEY_ LOCAL_MACHINESYSTEMCurrent ControlSetControlTerminalServerWinStations RDP-Tcp路徑找到“PortNumber”=dword:00002683，將端口值更改為5858（讀者可以任意指定，最好是1024以上的不常用端口），重新啟動計算機后更改生效。6. 圖4.9 更改“終端服務(wù)”監(jiān)聽端口注意：

15、“終端服務(wù)”和“遠程協(xié)助”是有區(qū)別的，雖然都是實現(xiàn)遠程控制，但是“終端服務(wù)”更注重用戶的登錄管理權(quán)限，它的每次連接都需要當(dāng)前系統(tǒng)的一個具體賬號，獨立于當(dāng)前計算機用戶的邀請，可以獨立、自由登錄遠程計算機。6防范IPC默認共享Windows XP在默認安裝后允許任何用戶通過空用戶連接（IPC$）得到系統(tǒng)所有賬號和共享列表，這本來是為局域網(wǎng)用戶共享資源和文件提供方便，但是任何一個遠程用戶也可以利用這個空連接得到用戶列表。黑客利用該功能，得到系統(tǒng)的用戶列表，然后使用一些字典攻擊工具，對系統(tǒng)進行攻擊，這就是網(wǎng)上比較流行的IPC攻擊。要防范IPC攻擊，可以通過修改注冊表禁止空用戶連接。第1步：將HKEY_

16、LOCAL_MACHINESYSTEMCurrentControlSetControlLSA的RestrictAnonymous項設(shè)置為1，如圖4.10所示。7. 圖4.10 禁止空用戶連接第2步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanman Server Parameters的AutoShareServer項設(shè)置為0，如圖4.11所示。8. 圖4.11 設(shè)置AutoShareServer和AutoShareWks第3步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLan

17、man Server Parameters的AutoShareWks項設(shè)置為0，如圖4.11所示。另外，也可永久關(guān)閉IPC$和默認共享所依賴的服務(wù)：lanmanserver（server）。在開始菜單中打開“運行”對話框，輸入“services.msc”打開“服務(wù)”窗口，找到server這個服務(wù)，停止這個服務(wù)，并且設(shè)置啟動類型為手動或禁止。7IP安全策略利用操作系統(tǒng)的策略功能，通過新建IP安全策略來關(guān)閉計算機中的危險端口，據(jù)此可以防范病毒和木馬的入侵與蔓延，新建IP安全策略的步驟如下。第1步：依次選擇“開始”“設(shè)置”“控制面板”“性能和維護”“管理工具”菜單命令，雙擊“本地安全策略”圖標(biāo)，打開

18、“本地安全設(shè)置”窗口，如圖4.12所示，選中“IP安全策略，在本地計算機”，然后在右邊窗格的空白處右鍵單擊鼠標(biāo)，再右鍵菜單選擇“創(chuàng)建IP安全策略”，彈出“IP安全策略向?qū)А睂υ捒?，如圖4.13所示，單擊“下一步”按鈕，如圖4.14所示。 9. 圖4.12 本地安全設(shè)置 圖4.13 “IP安全策略向?qū)А睂υ捒虻?步：在圖4.14中，為新的安全策略命名，單擊“下一步”按鈕，如圖4.15所示。顯示“安全通信請求”對話框，取消“激活默認響應(yīng)規(guī)則”，單擊“下一步”按鈕，如圖4.16所示。第3步：在圖4.16中，選中“編輯屬性”復(fù)選框，單擊“完成”按鈕，如圖4.17所示，顯示“example屬性”對話框，

19、將“使用添加向?qū)А弊筮叺膶︺^去掉，然后單擊“添加”按鈕，顯示“新規(guī)則屬性”對話框，如圖4.18所示。第4步：在圖4.18中，單擊“添加”按鈕，彈出“IP篩選器列表”對話框，如圖4.19所示，將“使用添加向?qū)А弊筮叺膶︺^去掉，然后單擊“添加”按鈕，彈出“篩選器屬性”對話框，如圖4.20所示。 10. 圖4.14 IP安全策略命名 圖4.15 安全通信請求 11. 圖4.16 完成IP安全策略向?qū)?圖4.17 “example屬性”對話框 12. 圖4.18 “新規(guī)則屬性”對話框 圖4.19 “IP篩選器列表”對話框第5步：在圖4.20中，源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”。第6

20、步：如圖4.21所示，選擇“協(xié)議”選項卡，在“選擇協(xié)議類型”下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，單擊“確定”按鈕，這樣就添加了一個屏蔽TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連接本臺計算機。隨后單擊“確定”按鈕返回到“篩選器列表”對話框，如圖4.22所示，可以看到已經(jīng)添加了一條策略。 13. 圖4.20 “篩選器 屬性”對話框?qū)ぶ?圖4.21 “篩選器 屬性”對話框協(xié)議14. 圖4.22 “篩選器列表”對話框第7步：重復(fù)以上步驟繼續(xù)添加TCP 137、139、445端口和UDP 135、139、445端口，為它們建立相應(yīng)的篩選器。重

21、復(fù)以上步驟添加TCP 1025、2745、3127、6129、3389等危險端口的屏蔽策略，建立好上述端口的篩選器，最后在圖4.22中單擊“確定”按鈕，返回“新規(guī)則屬性”對話框，如圖4.23所示（區(qū)別于圖4.18）。第8步：在圖4.23中，選擇“新IP篩選器列表”，然后單擊左邊圓圈，激活新IP篩選器，然后選擇“篩選器操作”選項卡，如圖4.24所示。第9步：在圖4.24中，將“使用添加向?qū)А弊筮叺膶︺^去掉，然后單擊“添加”按鈕，彈出“新篩選器操作屬性”對話框，如圖4.25所示，在“安全措施”選項卡中，選擇“阻止”單選按鈕，然后單擊“確定”按鈕，返回到“新規(guī)則 屬性”對話框，如圖4.26所示。 1

22、5. 圖4.23 “新規(guī)則 屬性”對話框 圖4.24 “篩選器 操作”選項卡 16. 圖4.25 “新篩選器操作 屬性”對話框 圖4.26 “新規(guī)則 屬性”對話框第10步：在圖4.26中，單擊“新篩選器操作”左邊圓圈，激活新篩選器操作，單擊“關(guān)閉”按鈕，返回“example屬性”對話框，如圖4.27所示。第11步：在圖4.27中，在“新IP篩選器列表”左邊打?qū)︺^，然后單擊“關(guān)閉”按鈕，返回到“本地安全設(shè)置”窗口，如圖4.28所示。第12步：在圖4.28中，右鍵單擊新添加的IP安全策略“example”，然后選擇“指派”。完成上述端口設(shè)置，重新啟動電腦后，上述網(wǎng)絡(luò)端口就被關(guān)閉了，從而增強了計算機

23、的安全性。 17. 圖4.27 “example屬性”對話框 圖4.28 “本地安全設(shè)置”窗口4.2.3 IE瀏覽器Internet Explorer是非常流行的瀏覽器軟件，本節(jié)將以IE 7.0為準介紹如何安全使用IE瀏覽器。第1步：打開Internet Explorer，依次選擇“工具”“Internet選項”，打開“Internet選項-安全風(fēng)險”對話框，如圖4.29所示，選擇“安全”選項卡。第2步：在圖4.29中，選擇“Internet”，就可以對Internet區(qū)域的一些安全選項進行設(shè)置了。雖然有不同級別的默認設(shè)置，但是最好根據(jù)實際情況調(diào)整一下。單擊“自定義級別”按鈕，出現(xiàn)“安全設(shè)置-

24、Internet區(qū)域”對話框，如圖4.30所示，其中是所有IE的安全設(shè)置。 18. 圖4.29 “安全”選項卡 圖4.30 “安全設(shè)置-Internet區(qū)域”對話框下面介紹圖4.30中主要的安全設(shè)置。 下載已簽名的ActiveX控件。經(jīng)過第三方認證機構(gòu)簽名，證明該ActiveX控件是安全的，并且可以設(shè)置為允許下載這種控件。 下載未簽名的ActiveX控件。與經(jīng)過簽名認證的ActiveX控件相比，未經(jīng)簽名認證的ActiveX控件可能會包含潛在的安全隱患，因此這個選項最好不要設(shè)置為啟用。如果設(shè)置為詢問，可以根據(jù)正在訪問的站點的性質(zhì)由自己決定是否下載安裝未經(jīng)認證的ActiveX控件。 運行Activ

25、eX控件和插件。假設(shè)已經(jīng)禁止了所有ActiveX控件和插件的運行，那么這個選項就可以放心的設(shè)置為“管理員認可”。這個選項不建議設(shè)置為允許。 活動腳本?，F(xiàn)在腳本程序非常流行，通過腳本程序可以建立很多實用的網(wǎng)頁，如果禁用腳本程序，一些網(wǎng)頁將不能正常瀏覽。這里建議設(shè)置為禁用，至于少數(shù)重要的但是不能正常瀏覽的網(wǎng)頁，將在后面介紹解決辦法。 Java小程序腳本。Javascript是一種公開的、多平臺、面向?qū)ο蟮哪_本語言。很多網(wǎng)頁中都使用了Javascript腳本，但是安全起見最好禁用它。第3步：如果進行了IE的安全設(shè)置后，影響到少數(shù)必須要訪問的站點，但是為了安全又不想把Internet區(qū)域的安全級別設(shè)置

26、得太低，那么可以將一些信任的站點添加到“可信站點”中去。方法是：在圖4.29的Internet選項的“安全”選項卡中，單擊“可信站點”，然后單擊“站點”按鈕，出現(xiàn)如圖4.31所示的對話框，輸入希望添加的網(wǎng)址，然后單擊右側(cè)的“添加”按鈕。第4步：打開圖4.29中的“內(nèi)容”選項卡，單擊自動完成的“設(shè)置”按鈕，出現(xiàn)如圖4.32所示的“自動完成設(shè)置”對話框，所列出來的每一項，自動完成功能都會保存特定的內(nèi)容，其中有如下內(nèi)容： Web地址。會保存在IE地址欄中輸入過的內(nèi)容。 19. 圖4.31 添加可信站點 圖4.32 “自動完成設(shè)置”對話框 表單。會保存在網(wǎng)頁中填寫的資料，例如論壇上的發(fā)言（除用戶名和密

27、碼），搜索引擎中使用過的關(guān)鍵字。 表單上的用戶名和密碼。會保存登錄論壇或其他網(wǎng)頁時輸入的用戶名和密碼。 提示我保存密碼。當(dāng)?shù)卿浺粋€網(wǎng)站或者論壇時都會輸入相應(yīng)的賬號和密碼，然后會彈出“自動完成”對話框，提示：“是否讓W(xué)indows記住該密碼”，注意，出現(xiàn)這段提示時請用戶慎重選擇。雖然該功能在使用上非常方便，但是要根據(jù)具體環(huán)境進行不同的選擇，比如在使用公共計算機時，就不要讓計算機保存密碼，防止其他人利用用戶記錄在這臺計算機上登錄信息登錄用戶進入的論壇、網(wǎng)站，甚至進入用戶的個人郵箱等。有些用戶也許根本沒有注意就隨便單擊了“保存密碼”按鈕，等看清楚的時候，密碼已經(jīng)保存到瀏覽器中了，而這些密碼信息被保存

28、到本地計算機中的Cookies文件中，只要把Cookies文件刪除就可以了。自動完成可以節(jié)省很多時間，但同時也帶來了很大的安全隱患。網(wǎng)絡(luò)安全起見，可以打開Internet Explorer，依次選擇“工具”“刪除瀏覽的歷史記錄”，打開“刪除瀏覽的歷史記錄”對話框，如圖4.33所示，在此刪除瀏覽的歷史記錄。第5步：打開圖4.29中的“高級”選項卡，如圖4.34所示，下面介紹圖4.34中主要的設(shè)置。 20. 圖4.33 刪除瀏覽的歷史記錄 圖4.34 “高級”選項卡 不將加密的頁面存盤。啟用了這個選項后，對于加密頁面（主要是URL以https打頭的）將不會保存到Internet臨時文件夾中。如果多

29、人共用同一臺計算機，這個選項是很有必要的，這樣別人就無法通過Internet臨時文件窺探到你訪問過的加密網(wǎng)頁了（如某些電子商務(wù)網(wǎng)站的信用卡付費頁面）。 檢查發(fā)行商的證書是否吊銷。如果選擇了這個選項，當(dāng)訪問某些需要認證的站點時，IE會首先檢查給站點提供的證書是否依然有效。一般情況下，建議啟用該設(shè)置。 檢查服務(wù)器的證書吊銷。這個選項將會使IE檢查站點服務(wù)器的證書是否仍然有效，一般也應(yīng)該啟用這個設(shè)置。 檢查下載的程序的簽名。如果啟用了這個設(shè)置，在下載了程序后IE會通過簽名自動檢查程序是否被非法改動過。一般應(yīng)當(dāng)啟用這個設(shè)置。 將提交的POST重定向到不允許發(fā)送的區(qū)域時發(fā)出警告。啟用這個設(shè)置后，在某些論

30、壇或類似論壇的地方提交的一些信息如果被發(fā)送到了其他的服務(wù)器上，IE就會發(fā)出警報提醒。所以安全起見該設(shè)置也應(yīng)當(dāng)啟用。 使用SSL 2.0、SSL 3.0和TLS 1.0。它們都與在Internet上通過協(xié)議加密數(shù)據(jù)有關(guān)。例如一些網(wǎng)站的身份認證和重要數(shù)據(jù)的傳輸，在這過程中都會用到SSL加密。因此最佳建議是這3個選項全部啟用。但是如果啟用后你訪問某些加密站點時出現(xiàn)錯誤，那么可以禁用除SSL 2.0之外的其他兩個協(xié)議，因為不同版本之間可能會有沖突，而SSL 2.0是被采用的最廣泛的，一般的加密站點都會支持。 在安全和非安全模式之間轉(zhuǎn)換時發(fā)出警告。當(dāng)啟用這個設(shè)置之后，如果要從一個安全的網(wǎng)頁（可能是經(jīng)過S

31、SL加密的）進入到一個不安全的網(wǎng)頁時，IE會發(fā)出警告提醒，以避免在不知情的情況下泄露一些私人的信息。 使用被動FTP（用于防火墻和DSL調(diào)制解調(diào)器兼容）。這個設(shè)置將會允許在使用IE瀏覽FTP服務(wù)器時使用被動模式，這種模式更加安全，因為服務(wù)器方無法獲得本地IP地址，如果不能正常訪問某些FTP服務(wù)器，就可以試試啟用或者禁用這個設(shè)置。第6步：打開圖4.34中的“常規(guī)”選項卡，單擊瀏覽歷史記錄的“設(shè)置”按鈕，如圖4.35所示，依據(jù)硬盤空間大小來設(shè)定臨時文件夾的容量大小。在上網(wǎng)的過程中IE會在系統(tǒng)盤內(nèi)自動地把瀏覽過的圖片、Cookies等數(shù)據(jù)信息保留在Internet臨時文件夾內(nèi)，目的是為了便于下次訪問

32、該網(wǎng)頁時迅速調(diào)用已保存在硬盤中的網(wǎng)頁文件，從而加快上網(wǎng)的速度。但是，上網(wǎng)的時間一長，Internet臨時文件夾的容量會越來越大，這樣將導(dǎo)致磁盤碎片的產(chǎn)生，影響系統(tǒng)的正常運行。因此，可以考慮改變Internet臨時文件的路徑，這樣既可以減輕系統(tǒng)的負擔(dān)，還可以在系統(tǒng)重裝后保留臨時文件。單擊圖4.35中的“移動文件夾”按鈕，選擇Internet臨時文件夾路徑。第7步：打開圖4.36中的“隱私”選項卡，通過滑桿來設(shè)置Cookie的隱私設(shè)置，從高到低依次為：阻止所有Cookie、高、中上、中、低、接受所有Cookie6個級別，默認級別為中。另外，要選中“打開彈出窗口阻止程序”。 21. 圖4.35 In

33、ternet臨時文件和歷史記錄設(shè)置 圖4.36 “隱私”選項卡第8步：注冊表中與IE相關(guān)的設(shè)置。 IE首頁網(wǎng)址，如圖4.37所示：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page22. 圖4.37 IE首頁網(wǎng)址鍵值 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain中的鍵值。4.2.4 注冊表注冊表是Windows的重要組成部分，它存放了Windows中所有應(yīng)用程序和系統(tǒng)配置信息。在Windows功能和應(yīng)用軟件被執(zhí)行前，首先從注冊表中取出參數(shù)，根據(jù)這些

34、參數(shù)決定軟件的具體運行過程。注冊表也是黑客攻擊的主要對象之一。黑客通過對被攻擊方注冊表的的訪問獲取大量系統(tǒng)信息，甚至直接擊毀系統(tǒng)。注冊表中包含了有關(guān)計算機如何運行的信息。Windows將它的配置信息存儲在以樹狀格式組織的數(shù)據(jù)庫（注冊表）中。注冊表編輯器是用來查看和更改系統(tǒng)注冊表設(shè)置的高級工具，盡管可以用注冊表編輯器查看和修改注冊表，但通常不必這樣做，因為更改不正確可能會損壞系統(tǒng)。除非絕對必要，否則請不要編輯注冊表。由于注冊表項中值的改變會直接影響系統(tǒng)性能，不得隨意改變或刪除其他注冊表項。如果注冊表有錯誤，可能會導(dǎo)致計算機無法正常工作。能夠編輯和還原注冊表的高級用戶可以安全地使用注冊表編輯器執(zhí)行

35、以下任務(wù)：清除重復(fù)項或刪除已被卸載或刪除的程序的項。要打開注冊表編輯器，請依次單擊“開始”“運行”命令，輸入regedit，然后單擊“確定”按鈕。如圖4.38所示，文件夾表示注冊表中的項，并顯示在注冊表編輯器窗口左側(cè)的定位區(qū)域中。在右側(cè)的主題區(qū)域中，則顯示項中的值項。雙擊值項時，將打開編輯對話框。23. 圖4.38 注冊表編輯器1注冊表編輯器項與數(shù)據(jù)類型注冊表編輯器的定位區(qū)域顯示文件夾，每個文件夾表示本地計算機上的一個預(yù)定義的項。訪問遠程計算機的注冊表時，只出現(xiàn)HKEY_USERS和HKEY_LOCAL_MACHINE兩個預(yù)定義項。注冊表編輯器項的說明見表4.4。表4.5列出當(dāng)前由系統(tǒng)定義和使

36、用的數(shù)據(jù)類型。2維護注冊表安全性（1）給注冊表項指派權(quán)限。打開注冊表編輯器，右鍵單擊想要指派權(quán)限的項，選擇右鍵菜單中的“權(quán)限”，出現(xiàn)如圖4.39所示的對話框，給所選項指派訪問級別：如果要授予用戶讀取該項內(nèi)容的權(quán)限，但不保存對文件的任何更改，對“讀取”選中“允許”復(fù)選框。如果要授予用戶打開、編輯所選項和獲得其所有權(quán)的權(quán)限，對“完全控制”選中“允許”復(fù)選框。如果要授予用戶對所選項的特別權(quán)限，請單擊“高級”。出現(xiàn)如圖4.40所示的“高級安全設(shè)置”對話框。 24. 圖4.39 指派訪問級別 圖4.40 高級安全設(shè)置如果要給子項指派權(quán)限，并希望指派給父項的可繼承權(quán)限能夠應(yīng)用于子項，要選中圖4.40中“從

37、父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目（I）?！睆?fù)選框。如果在向某個父項指派權(quán)限，并且希望其子項的所有現(xiàn)有權(quán)限被父項的可繼承權(quán)限代替，則請選中“用在此顯示的可以應(yīng)用到子對象的項目替代所有子對象的權(quán)限項目”復(fù)選框。（2）給注冊表項指派特殊訪問。打開注冊表編輯器，右鍵單擊想要指派“特殊訪問權(quán)”的項，選擇右鍵菜單中的“權(quán)限”，出現(xiàn)如圖4.39所示的對話框，單擊“高級”按鈕，出現(xiàn)如圖4.40所示的“高級安全設(shè)置”對話框，再雙擊要為其指派特別訪問權(quán)的用戶或組，出現(xiàn)如圖4.41所示的“權(quán)限項目”對話框，在“權(quán)限”下，對每個要允許或拒絕的權(quán)限選中“允許”或“拒絕”復(fù)選框。（3）向

38、權(quán)限列表中添加用戶或組。打開注冊表編輯器，右鍵單擊想要更改其權(quán)限列表的項，選擇右鍵菜單中的“權(quán)限”，出現(xiàn)如圖4.39所示的對話框，單擊“添加”按鈕，出現(xiàn)如圖4.42所示的“選擇用戶或組”對話框，單擊用戶名或組名，再單擊“確定”按鈕。 25. 圖4.41 “權(quán)限項目”對話框 圖4.42 “選擇用戶或組”對話框（4）審核注冊表項的活動。打開注冊表編輯器，右鍵單擊想要審核的項，選擇右鍵菜單中的“權(quán)限”，出現(xiàn)如圖4.39所示的對話框，單擊“高級”按鈕，然后單擊“審核”選項卡，如圖4.43所示，雙擊組名或用戶名，出現(xiàn)如圖4.44所示“審核項目”對話框，在“訪問”下，選中或清除要審核或停止審核活動的“成功

39、”和“失敗”復(fù)選框，再單擊“確定”按鈕。 26. 圖4.43 “審核”選項卡 圖4.44 “審核項目”對話框注意：必須以管理員或Administrators組成員身份登錄才能完成該操作。如果計算機連接到網(wǎng)絡(luò)，網(wǎng)絡(luò)策略設(shè)置可能也會阻止你完成該操作。必須在指定要審核的事件之前首先添加用戶或組。審核操作明顯地降低計算機的速度。關(guān)于圖4.44中審核項的說明見表4.6。（5）取得注冊表項的所有權(quán)。打開注冊表編輯器，右鍵單擊想要取得其所有權(quán)的項，選擇右鍵菜單中的“權(quán)限”，出現(xiàn)如圖4.39所示的對話框，單擊“高級”按鈕，然后單擊“所有者”選項卡，然后在“將所有者更改為”下面，單擊新的所有者，再單擊“確定”按

40、鈕。3導(dǎo)入或?qū)С鲎员眄棧?）將全部或部分注冊表導(dǎo)出到文本文件中。打開注冊表編輯器，單擊“文件”菜單上的“導(dǎo)出”命令。在“文件名”中，輸入注冊表文件的名稱。在“導(dǎo)出范圍”下，如果要備份整個注冊表，則單擊“全部”。如果只備份注冊表樹的某一分支，單擊“選定的分支”，然后輸入要導(dǎo)出的分支名稱，單擊“保存”按鈕。（2）導(dǎo)入部分或全部注冊表。打開注冊表編輯器，單擊“文件”菜單上的“導(dǎo)入”命令。查找要導(dǎo)入的文件，單擊選中該文件，再單擊“打開”按鈕。注意：在資源管理器中，雙擊擴展名為.reg的文件也可以將該文件導(dǎo)入到計算機的注冊表中。4解開被鎖注冊表案例：打開IE瀏覽器后發(fā)現(xiàn)默認主頁被修改了，此時考慮到進入

41、注冊表來修改相應(yīng)鍵值，但是發(fā)現(xiàn)注冊表被鎖了，下面給出利用系統(tǒng)策略編輯器解開被鎖注冊表的方法。在開始菜單中打開“運行”對話框，輸入“gpedit.msc”打開“組策略”窗口，如圖4.45所示，然后，依次展開“用戶配置”“管理模板”“系統(tǒng)”，雙擊右側(cè)窗口中的“阻止訪問注冊表編輯工具”，在彈出的對話框中（圖4.46）選擇“已禁用”，單擊“確定”按鈕后即可為注冊表解鎖。 27. 圖4.45 “組策略”窗口 圖4.46 阻止訪問注冊表編輯工具4.2.5 Windows組策略組策略設(shè)置定義了系統(tǒng)管理員需要管理的用戶桌面環(huán)境的多種組件，例如，用戶可用的程序、用戶桌面上出現(xiàn)的程序以及“開始”菜單選項。組策略包

42、括影響用戶的“用戶配置”策略設(shè)置和影響計算機的“計算機配置”策略設(shè)置。如圖4.47所示，“計算機配置”是對整個計算機中的系統(tǒng)配置進行設(shè)置的，是對計算機中所有用戶的運行環(huán)境起作用；“用戶配置”則是對當(dāng)前用戶的系統(tǒng)配置進行設(shè)置的，它僅對當(dāng)前用戶起作用。下面介紹組策略與安全有關(guān)的一些設(shè)置。第1步：打開“組策略”窗口。在開始菜單中打開“運行”對話框，輸入“gpedit.msc”打開“組策略”窗口，如圖4.47所示。28. 圖4.47 “組策略”窗口第2步：隱藏電腦的驅(qū)動器。在圖4.47中，依次展開“用戶配置”“管理模板”“Windows組件”，然后單擊“Windows資源管理器”，雙擊右側(cè)窗口中的“隱

43、藏我的電腦中這些指定的驅(qū)動器”，在彈出的對話框中選擇“已啟用”，請從下拉列表上選擇一個驅(qū)動器或幾個驅(qū)動器。注意：這項策略刪除驅(qū)動器圖標(biāo)。用戶仍可通過使用其他方式繼續(xù)訪問驅(qū)動器的內(nèi)容，如通過在映射網(wǎng)絡(luò)驅(qū)動器對話框、運行對話框或命令窗口上輸入一個驅(qū)動器的目錄路徑。同時，此策略不會防止用戶使用程序訪問這些驅(qū)動器或其內(nèi)容，也不會防止用戶使用“磁盤管理”管理單元查看并更改驅(qū)動器特性。第3步：防止訪問驅(qū)動器。在第2步隱藏電腦的驅(qū)動器后，發(fā)現(xiàn)我的電腦里指定的磁盤驅(qū)動器不見了，但在地址欄輸入盤符后，仍然可以訪問，為了解決該問題，在圖4.47中，雙擊右側(cè)窗口中的“防止從我的電腦訪問驅(qū)動器”，在彈出的對話框中選擇

44、“已啟用”，從下拉列表中選擇一個驅(qū)動器或幾個驅(qū)動器。如果你啟用了這項設(shè)置，用戶可以瀏覽在“我的電腦”或Windows資源管理器中所選擇的目錄結(jié)構(gòu)，但是不能打開文件夾或訪問其中的內(nèi)容。同時，他們也無法使用運行對話框或映射網(wǎng)絡(luò)驅(qū)動器對話框來查看在這些驅(qū)動器上的目錄。注意：如果沒有第2步，那么這些代表指定驅(qū)動器的圖標(biāo)仍舊會出現(xiàn)在“我的電腦”中，但是如果用戶雙擊圖標(biāo)，會彈出“限制”對話框，提示本次操作受限。不過這一設(shè)置不會防止用戶使用程序訪問本地和網(wǎng)絡(luò)驅(qū)動器。并且不防止他們使用磁盤管理單元查看和更改驅(qū)動器特性。第4步：隱藏文件夾選項。平時隱藏文件夾后，別人只需在文件夾選項里顯示所有文件，就可以看見了，

45、從Windows資源管理器菜單上刪除文件選項項目并且從控制面板上刪除文件夾選項項目。這樣做用戶就不能使用文件夾選項對話框。可以在組策略里刪除這個選項。在圖4.47中，雙擊右側(cè)窗口中的“從工具菜單刪除文件夾選項菜單”，在彈出的對話框中選擇“已啟用”。第5步：關(guān)閉縮略圖緩存。有時候在文件夾中瀏覽過圖片，以后雖然刪除了，但是縮略圖緩存可能會被其他人讀取。如果啟用該設(shè)置，縮略圖視圖將不被緩存。在圖4.47中，雙擊右側(cè)窗口中的“關(guān)閉縮略圖的緩存”，在彈出的對話框中選擇“已啟用”。第6步：關(guān)閉自動播放。一旦將媒體插入驅(qū)動器，自動運行就開始從驅(qū)動器中讀取。這會造成程序的設(shè)置文件和在音頻媒體上的音樂會立即開始

46、。在默認的情況下，自動運行在軟盤驅(qū)動器和網(wǎng)絡(luò)驅(qū)動器上禁用（但不在CD-ROM驅(qū)動器上禁用）。如果啟動這項設(shè)置，還可以在CD-ROM驅(qū)動器禁用自動運行或在所有驅(qū)動器上禁用自動運行。在圖4.48中，依次展開“用戶配置”“管理模板”，然后單擊“系統(tǒng)”，雙擊右側(cè)窗口中的“關(guān)閉自動播放”，在彈出的對話框中選擇“已啟用”，請從下拉列表上選擇一個驅(qū)動器或幾個驅(qū)動器。29. 圖4.48 “組策略”窗口注意：這個設(shè)置出現(xiàn)在“計算機配置”和“用戶配置”兩個文件夾中。如果兩個設(shè)置都配置，“計算機配置”中的設(shè)置比“用戶配置”中的設(shè)置優(yōu)先。此設(shè)置不阻止自動播放音樂CD。組策略的功能非常強大，本節(jié)僅介紹了其中很少的一部分

47、功能，希望能夠起到拋磚引玉的作用。注意：為了防止其他用戶通過組策略來更改自己的設(shè)置，可以在C:WINDOWS System32下把gpedit.msc更名，比如改為groupedit.msc，以后在開始菜單中打開“運行”對話框，輸入“groupedit.msc”即可，不影響正常使用。4.2.6 Windows權(quán)限Windows NT/2000/XP/2003/Vista/2008提供了非常細致的權(quán)限控制項，能夠精確定制用戶對資源的訪問控制能力，大多數(shù)的權(quán)限從其名稱上就可以基本了解其所能實現(xiàn)的內(nèi)容。權(quán)限是針對資源而言的，設(shè)置權(quán)限只能以資源為對象，比如“設(shè)置某個文件夾有哪些用戶可以擁有相應(yīng)的權(quán)限”

48、，而不能以用戶為主，比如不能“設(shè)置某個用戶可以對哪些資源擁有權(quán)限”。這就意味著權(quán)限必須針對資源而言，脫離了資源去談權(quán)限毫無意義。利用權(quán)限可以控制資源被訪問的方式，如User組的成員對某個資源擁有“讀取”操作權(quán)限、Administrators組成員擁有“讀取寫入刪除”操作權(quán)限等。1與Windows權(quán)限密切相關(guān)的3個概念是：安全標(biāo)識符、訪問控制列表和安全主體（1）安全標(biāo)識符（Security Identifier，SID）。在Windows中，系統(tǒng)是通過SID對用戶進行識別的，而不是用戶名。SID可以應(yīng)用于系統(tǒng)內(nèi)的所有用戶、組、服務(wù)或計算機，因為SID是一個具有唯一性、絕對不會重復(fù)產(chǎn)生的數(shù)值，所以

49、，在刪除了一個賬戶ZTG后，再次創(chuàng)建這個ZTG賬戶時，前一個ZTG與后一個ZTG賬戶的SID是不相同的。這種設(shè)計使得賬戶的權(quán)限得到了最基礎(chǔ)的保護，杜絕盜用權(quán)限的情況。（2）訪問控制列表（Access Control List，ACL）。訪問控制列表是權(quán)限的核心技術(shù)。這是一個權(quán)限列表，用于定義特定用戶對某個資源的訪問權(quán)限，實際上這就是Windows對資源進行保護時所使用的一個標(biāo)準。在訪問控制列表中，每一個用戶或用戶組都對應(yīng)一組訪問控制項（Access Control Entry，ACE），在“組或用戶名稱”列表中選擇不同的用戶或組時，通過下方的權(quán)限列表設(shè)置項是不同的這一點就可以看出來。顯然，所有

50、用戶或用戶組的權(quán)限訪問設(shè)置都將會在這里被存儲下來，并允許隨時被有權(quán)限進行修改的用戶進行調(diào)整。（3）安全主體（Security Principal）。在Windows中，可以將用戶、用戶組、計算機或服務(wù)都看成是一個安全主體，每個安全主體都擁有相對應(yīng)的賬戶名稱和SID。根據(jù)系統(tǒng)架構(gòu)的不同，賬戶的管理方式也有所不同：本地賬戶被本地的SAM管理，域的賬戶則會被活動目錄進行管理等。一般來說，權(quán)限的指派過程實際上就是為某個資源指定安全主體（即用戶、用戶組等），使其可以擁有指定操作的過程。因為用戶組包括多個用戶，所以多數(shù)情況下，建議為資源指派權(quán)限時使用用戶組來完成，這樣可以統(tǒng)一管理。2權(quán)限管理的4項基本原則

51、在Windows中，針對權(quán)限的管理有4項基本原則，即拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這4項基本原則對于權(quán)限的設(shè)置來說，將會起到非常重要的作用，下面介紹權(quán)限管理的4項基本原則。（1）拒絕優(yōu)于允許原則。該原則是一條非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限沖突。例如：用戶ztg既屬于ztgs用戶組，也屬于guangs用戶組，當(dāng)對guangs組中某個資源進行“寫入”權(quán)限的集中分配時，該組中ztg用戶將自動擁有“寫入”權(quán)限。但是ztg用戶在實際操作中卻無法執(zhí)行寫入操作。原來，在ztgs組中同樣也對ztg用戶進行了針對這個資源的權(quán)限設(shè)置，

52、設(shè)置的權(quán)限是“拒絕寫入”?；凇熬芙^優(yōu)于允許”的原則，ztg在ztgs組中被“拒絕寫入”的權(quán)限將優(yōu)先guangs組中被賦予的允許“寫入”權(quán)限。因此，在實際操作中，ztg用戶無法對這個資源進行寫入操作。（2）權(quán)限最小化原則。保持用戶最小的權(quán)限是非常有必要的。這條原則可以確保資源得到最大的安全保障。例如：系統(tǒng)中新建的受限用戶ztg在默認狀態(tài)下對DIRECT目錄沒有任何權(quán)限的，現(xiàn)在需要為ztg用戶賦予對DIRECT目錄有讀取的權(quán)限，那么就必須在DIRECT目錄的權(quán)限列表中為ztg用戶添加讀取權(quán)限。（3）權(quán)限繼承性原則。權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個DIRECT目錄，在這

53、個目錄中有DIRECT1、DIRECT2、DIRECT3等子目錄，現(xiàn)在需要對DIRECT目錄及其下的子目錄均設(shè)置ztg用戶有寫入權(quán)限。因為有繼承性原則，所以只需對DIRECT目錄設(shè)置ztg用戶有寫入權(quán)限，其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。（4）累加原則。這個原則比較好理解，假設(shè)現(xiàn)在ztg用戶既屬于ztgs用戶組，也屬于guangs用戶組，它在ztgs用戶組對DIRECT目錄的權(quán)限是讀取，在guangs用戶組中對DIRECT目錄的權(quán)限是寫入，那么根據(jù)累加原則，ztg用戶對DIRECT目錄的實際權(quán)限將會是讀取寫入?？傊芙^優(yōu)于允許原則是用于解決權(quán)限設(shè)置上沖突問題的；權(quán)限最小化原則是用于保

54、障資源安全的；權(quán)限繼承性原則是用于權(quán)限設(shè)置的自動化的；累加原則是讓權(quán)限的設(shè)置更加靈活多變。注意：Administrators組的全部成員都可以從其他用戶手中奪取其身份的權(quán)力。3文件與文件夾權(quán)限文件與文件夾依據(jù)是否被共享到網(wǎng)絡(luò)上，其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種，這兩種權(quán)限既可以單獨使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補充。（1）NTFS權(quán)限。只要是在NTFS分區(qū)上的文件夾或文件，無論是否被共享，都具有此權(quán)限。此權(quán)限對于使用FAT16/FAT32分區(qū)上的文件與文件夾無效。NTFS權(quán)限有兩大要素：一是標(biāo)準訪問權(quán)限；二是特別訪問權(quán)限。標(biāo)準訪問權(quán)限將一些常用的系統(tǒng)權(quán)限選項比

55、較籠統(tǒng)地組成7組權(quán)限，分別是：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、特別的權(quán)限。在大多數(shù)情況下，標(biāo)準訪問權(quán)限是可以滿足管理需要的，但對于權(quán)限管理要求嚴格的環(huán)境，往往就不能滿足要求了，比如只想賦予某用戶有建立文件夾的權(quán)限，而不賦予該用戶建立文件的權(quán)限；又比如只想賦予某用戶只能刪除當(dāng)前目錄中的文件，卻不能刪除當(dāng)前目錄中的子目錄的權(quán)限等，此時，就可以使用特別訪問權(quán)限了，特別訪問權(quán)限不再使用簡單的權(quán)限分組，可以實現(xiàn)更具體、全面、精確的權(quán)限設(shè)置。 設(shè)置標(biāo)準訪問權(quán)限。以Windows 2003系統(tǒng)的NTFS分區(qū)中名為Inetpub的文件夾為例，可以按照如下方法進行操作。第1步：右鍵單擊Inetpub文件夾，在右鍵菜單中選擇“共享與安全”，顯示“Inetpub屬性”對話框，如圖4.49所示。第2步：在圖4.49中，選擇“安