WindowsXPProfessional与WindowsXPHomeEdition新增安全特性Word文档格式.docx
- 文档编号:3085336
- 上传时间:2023-05-01
- 格式:DOCX
- 页数:41
- 大小:338.77KB
WindowsXPProfessional与WindowsXPHomeEdition新增安全特性Word文档格式.docx
《WindowsXPProfessional与WindowsXPHomeEdition新增安全特性Word文档格式.docx》由会员分享,可在线阅读,更多相关《WindowsXPProfessional与WindowsXPHomeEdition新增安全特性Word文档格式.docx(41页珍藏版)》请在冰点文库上搜索。
如果你配备WindowsXPHomeEdition的计算机是一个网络的一部分,那么你能够使用的安全性选项要取决于网络管理员为你分配的权限。
个性化登录
如果使用WindowsXP,所有的家庭成员都可以在使用自己的口令进行登录后,享受自己特有的个性化用户界面。
系统新增的安全性级别确保了任何人都不会访问(或者偶然删除)你的重要文档。
如果你有孩子,你可以利用不同的安全性配置文件对他们能够访问的Internet站点进行限制和过滤,以避免他们访问到与他们年龄不相应的信息。
针对同一台计算机上的多个用户的快速用户切换
快速用户切换(FastUserSwitching)功能针对家庭的实际使用需要而设计,它允许所有家庭成员共享同一台计算机,就如同这台计算机是他们每个人自己的一样。
你无需注销当前登录的用户和决定是否保存其它用户的文件。
WindowsXP可以终端服务技术单独运行每一个用户会话,这使得每个用户的数据都是相互完全分离的。
在用户使用密码进行登录的情况下,这些会话彼此之间都是安全的。
如果你在一台独立计算机或者工作组计算机上使用WindowsXPHomeEdition或WindowsXPProfessional,在默认情况下,快速用户切换功能处于启用状态。
如果你使用WindowsXPProfessional计算机并且加入了一个域,那么你将不能使用快速用户切换功能。
快速用户切换使所有家庭成员共享同一台计算机的过程变得更加容易了。
例如,如果母亲正在使用计算机运行一个家庭财务软件,但是需要离开计算机一会儿,儿子便可以切换到他自己的账户开始玩游戏。
该财务软件会仍然运行在母亲的账户中。
而所有这一切都不需要当前登录用户进行注销操作。
因为新的“欢迎”屏幕可以通过每位用户的照片进行轻松定制,所以用户切换的过程非常容易,如图1所示。
图1:
“个性化登录”和“快速用户切换”欢迎屏幕
个人隐私
通过对W3C(WorldWideWebConsortium,万维网联盟)的P3P(PlatformforPrivacyPreferences)标准提供支持,MicrosoftInternetExplorerversion6.0能够在你访问Web站点时保护你的个人信息不被泄漏。
Microsoft帮助开发了一个Web站点的隐私标准,所以你可以自己决定为站点提供哪些类型的信息以及提供多少这样的信息。
InternetExplorer6.0会判定你正在访问的站点是否符合W3C的标准,然后在你向站点提供私人信息之前向你告知有关情况。
当你在InternetExplorer6.0中针对个人信息的暴露定义了相关隐私参数之后,浏览器会判定你正在访问的站点是否符合P3P标准。
对于符合P3P标准的站点,浏览器会将你的隐私参数同针对该站点定义的隐私策略进行对比。
InternetExplorer使用HTTP交换隐私信息。
浏览器会根据你的隐私参数设定决定是否向Web站点提交你的个人信息。
Cookie管理
P3P标准还支持InternetExplorer6.0中的cookie管理特性。
Cookie是Web站点存储在你的计算机中的一个小文件,以实现站点的定制化功能。
例如,当你对MSN?
进行定制的时候,相关信息便存储在你计算机的Cookie文件之中。
在你每次访问该站点的时候,MSN都会读取Cookie文件的内容,然后为你显示经过定制的个性化内容。
作为隐私策略的一部分,符合P3P标准的Web站点可以为它们的Cookie提供策略信息。
当你对隐私参数进行设置的时候,你可以要求InternetExplorer以如下方式对Cookies进行处理:
∙不允许在你的计算机上存储Cookies。
∙拒绝第三方的Cookies(即Cookies的来源地与所访问的Web站点不处在同一个域中,因此没有包括在Web站点的隐私策略中),但是允许所有其它的Cookies存储在你的计算机中。
∙允许所有Cookies不经确认就存储在你的计算机上。
请参看下面的图2和图3了解更多Cookies管理选项。
图2:
Cookie管理:
根据不同站点执行相应隐私操作
图3:
高级隐私设置
有关P3P的更多信息,请访问W3CWeb站点。
Internet连接共享
Internet连接共享(ICS)可以将多台计算机通过一条Internet连接连接到Internet上。
借助于ICS,用户可以安全地在多台计算机间共享一条DSL、线缆调制解调器或者电话线连接访问Internet。
ICS的工作方式
被称作ICS主机的一台计算机直接连接到Internet,网络中的其它计算机则共享ICS主机上的连接访问Internet。
客户计算机需要依靠ICS主机计算机访问Internet。
在通过ICS访问Internet的时候,系统具有更高的安全性,因为此时只有ICS主机暴露在Internet之上。
客户计算机上的任何Internet通信都需要通过ICS主机来完成,ICS主机上的一个转换过程保证了客户计算机不会被Internet所看到。
因为客户计算机不能被网络外部所看到,所以它们的安全也得到了保护。
只有运行ICS的计算机暴露在Internet之上。
此外,ICS主机还对网络的地址分配进行管理。
ICS主机自身拥有一个永久性的静态IP地址,并且向网络中的ICS客户机提供动态主机配置协议(DHCP)服务。
通过为每台ICS主机分配一个唯一的IP地址,ICS主机为网络中各台计算机之间的通信提供了一条途径。
WindowsXP提供的ICS功能使你可以在家庭或者小型办公环境中的多台计算机间共享同一条连接访问Internet。
该功能首次出现于Windows2000Professional和Windows98SecondEdition操作系统,并且在WindowsXP中得到了改善。
使用网络协议
在WindowsXP中,ICS为家庭网络提供了网络地址转换(NAT)、DHCP和域名服务(DNS),从而消除了对客户端计算机进行配置的需要。
WindowsXP的DNS功能已经得到改进,它现在包括了一个本地的DNS解读程序(DNSResolver),以便向家庭网络中的所有客户计算机提供名称解读服务。
通过这个DNS解读程序,那些没有使用Windows技术的网络设备也能够为网络客户端进行名称解读。
但是Internet域名的解读工作仍然需要转发到Internet服务提供商的DNS服务器上进行。
远程发现和控制功能
此外,ICS还包括了远程发现和控制功能。
在使用通用即插即用的情况下,网络客户端可以检测到ICS主机的存在,然后客户端将查询ICS主机,以确定Internet连接的当前状态。
当你想在家中的另一台个人计算机上浏览Internet的时候,WindowsXP计算机会自动通过ICS主机连接到Internet--如果当前没有连接到Internet。
或者,家庭中的其它用户也可以了解到Interet连接现在是否处于活动状态,如果需要,他们还可以断开Internet连接,以便使用电话进行正常的语音通信。
如果你使用拨号网络,并且按照使用时间向ISP付费,这个功能就显得十分有用处,或者,你也可以在没有网络活动的时候关闭Internet连接。
请参见图4了解ICS的设置选项。
图4:
设置ICS
Internet连接防火墙
Windows?
XP以新的Internet连接防火墙的形式提供了Internet安全防护。
多年以来,企业网络一直通过使用防火墙保护自己免受外部攻击的侵害。
WindowsXP利用它的ICF防护特性为普通用户提供了同样的安全保护。
这意味着:
在你开始使用WindowsXP之后,你的信息、计算机和家庭数据就立即得到了保护,不会被外来入侵者所窃取和破坏。
日益增长的安全性需要
随着越来越多的家庭和企业用户采用宽带连接访问Internet,对采取某种安全措施保护个人计算机及其它设备和家庭网络数据安全的需要也日益高涨。
甚至那些通过拨号访问Internet的计算机也不能免遭外部攻击的侵害。
ICF针对家庭或小型企业办公环境而设计,可以为直接连接到Internet的WindowsXP个人计算机提供安全保护。
如果ICS主机运行了ICF,那些通过Internet连接共享连接到Internet的计算机或设备也能受到ICF的庇护。
Internet连接防火墙的工作方式
WindowsXPICF使用了主动的数据包过滤技术,这意味着防火墙上的端口只有在你需要访问相应服务的时候才被动态开放。
这种防火墙技术通常应用于更加复杂的企业防火墙之上,以防止黑客对计算机端口和资源进行扫描--包括文件和打印机共享。
这种技术显著降低了外部攻击对计算机带来的威胁。
用户可以针对每条连接启用相应的ICF。
该防火墙特性可以应用在局域网(LAN)连接、PPPoE(Point-to-PointProtocolOverEthernet)连接、VPN连接或者拨号连接上。
PPPoE是一种新的IETF标准草案。
PPPoE一般用在通过线缆调制解调器或数字用户线路(DSL)连接到Internet的宽带连接上,它使得用户通过这些设备访问Internet的过程如同使用拨号调制解调器建立连接一样容易。
WindowsXP是为PPPoE提供内置支持的第一个Windows操作系统。
当你在外部途中使用便携式计算机通过拨号连接或者其它手段访问Internet的时候,ICF特性会自动启用,以保护计算机的安全。
易于激活的防火墙保护
在你运行网络安装向导(NetworkSetupWizard)时,它会自动在找到的Internet连接上启用ICF。
为了检查某条连接是否使用了ICF,你可以:
∙打开“控制面板”。
∙点击“网络和Internet连接”。
∙点击“网络连接”。
∙右击你的Internet连接,然后点击“属性”。
∙点击“属性”对话框中的“高级”选项卡。
∙参见图5了解如何激活ICF。
图5:
激活ICF
端口映射
默认情况下,ICF不允许未经请求的网络流量进入计算机。
如果你想让其它人通过Internet访问你的计算机--例如,你在家中安装了一台Web服务器或者玩Internet联网游戏,WindowsXP可以允许你在防火墙上开一个“小洞”,允许使用特定端口的网络流量进入计算机。
这种技术被称作“端口映射”。
共享文档文件夹
共享文件夹类似于你的个人文件夹:
我的文档、我的图片和我的音乐。
共享文档、共享图片和共享音乐为您存储文件、图片和音乐提供了一个地点,计算机上的每个用户都可以看到这些文件。
例如,Billy可以将他的家庭作业放在“共享文档”中,这样Billy的妈妈就可以检查他的作业是否已经完成,而Billy的爸爸则可以将全家在休假时拍摄的数字照片放到“共享图片”文件夹中,以便所有家庭成员都可以看到这些照片。
因为家庭计算机一般处于一个可信赖的环境之中,默认情况下,WindowsXP的家庭用户可以分别存储他们自己的文件,并且可以通过一个可选的口令对文件进行保护。
这种方法使得所有家庭成员可以容易地在同一台计算机或者家庭网络中的多台计算机上共享文档、照片、音乐和视频文件。
但是,在你为自己的账户建立一个口令的时候,Windows会锁定你的“我的文档”文件夹及其子文件夹。
如果你不想让自己的文件被别人所看到,你可以设置一个口令,这样,除了这台计算机的管理员以外,其它用户就不能在看到你的保密文件了。
说明:
只有在你的硬盘分区以NTFS格式进行格式化的时候,这种方法才适用;
如果你的硬盘分区为FAT或FAT32格式,该特性将不会起任何作用。
WindowsXPProfessional操作系统是各种规模和类型企业的理想选择,它针对企业计算提供了最为可靠的安全性服务。
WindowsXPProfessional包括了企业网络建设和安全防护所需的大量安全特性。
这些安全特性不仅为你赋予了新的管理能力,而且在降低IT成本的同时,允许你将更多的精力和资源集中到商业服务和解决方案的构建方面来。
如果你已经对MicrosoftWindowsNT4.0和MicrosoftWindows2000的安全特性比较熟悉,那么你会在WindowsXPProfessional中发现很多熟悉的面孔。
同时,你还会发现很多原来很熟悉的功能特性已经发生了较大的改变,而众多新增的安全特性则会极大改善你在系统安全性方面的管理能力。
只有你在工作组中或者独立计算机上使用WindowsXPProfessional,并且拥有管理员权限,你才能使用操作系统的所有安全特性。
如果你配备WindowsXPProfessional的计算机是一个网络的一部分,那么你能够使用的安全性选项要取决于网络管理员为你分配的权限。
企业安全性
WindowsXPProfessional的强大安全特性可以帮助企业保护敏感数据的安全,并且为网络用户的管理工作提供支持。
WindowsXPProfessional的一个优秀之处在于它可以使用组策略对象(GroupPolicyobjects,GPO)。
GPO允许系统管理员将一个安全性配置文件应用到多台计算机上,并且可以通过智能卡技术,利用存储在智能卡中的信息验证用户的身份。
安全性增强
企业用户可以利用WindowsXPProfessional的很多安全特性对挑选出的文件、应用程序和其它资源进行保护。
这些特性包括:
访问控制列表(ACL),安全组和组策略,此外,WindowsXPProfessional还提供了很多允许企业对这些功能特性进行配置和管理的工具。
所有这一切为企业网络提供了一个强大但是灵活的访问控制基础架构。
WindowsXP提供了数以千计的安全性相关设置,用户可以单独对这些设置进行配置。
WindowsXP操作系统还包括了一些经过预先定义的安全性模板,企业既可以不加修改地直接应用这些模板文件,也可以在现有模板文件基础之上进行定制。
企业可以在以下活动中应用这些安全性模板:
∙创建一个资源,例如文件夹或文件共享,用户可以选择接受默认的访问控制列表,或者对访问控制列表进行定制。
∙将用户添加到标准的安全组中,例如:
Users、PowerUsers和Administrators组,并且在这些安全组上应用默认的ACL设置。
∙使用操作系统提供的“基本”(Basic)、“兼容”(Compatible)、“安全”(Secure)和“高度安全”(HighlySecure)组策略模板。
WindowsXP的每一种安全特性--ACL、安全组和组策略--都具有一组默认设置,你可以对这些默认设置进行修改,以适合你所在组织的独特需要。
此外,企业还可以使用相关工具实现或者修改访问控制。
WindowsXPProfessional就提供了很多工具,例如MicrosoftManagementConsole插件。
WindowsXPProfessionalResourceKit中也包含了一些这样的工具。
受控制的网络访问
WindowsXP已经内置了安全防护机制,以避免用户的计算机和数据受到入侵者的破坏。
它之所以能够做到这一点,很大原因是它为从网络上访问你的计算机的人仅仅赋予了“Guest”(来宾)级的访问权限。
如果入侵者试图侵入你的计算机并且通过猜解口令获得XX的访问权限,他只需徒劳无获--或者只能获得一个有限的来宾级访问权限。
管理网络身份验证
基于Windows2000Professional的系统的数量正在不断增加,很多这样的系统都直接连接到Internet,而不是连接到域。
这使得正确的访问控制管理(包括复杂的口令和不同账户的权限分配)比以往任何时候都更为重要。
为了确保系统的安全性,我们必须对开放Internet环境下的相对匿名访问进行控制和限制。
所以,在默认情况下,WindowsXP要求所有用户在通过网络访问计算机时都使用“Guest”账户。
这种做法旨在防止Internet上的黑客使用没有设置口令的本地管理员账户登录和访问系统。
简单共享
默认情况下,如果WindowsXPProfessional系统没有连接到域,所有通过网络登录到计算机的访问操作都被强迫使用“Guest”账户。
除此之外,在那些使用了简单共享安全模式的计算机上,“安全性属性”对话框都会被一个经过简化的“共享文档属性”对话框所取代。
强制使用“Guest”账户
针对本地账户的共享和安全性模式允许你在“仅来宾”(Guest-only)安全模式或者“典型”(Classic)模式之间做出选择。
在“仅来宾”模式之中,通过网络登录到本地计算机的所有登录尝试都被强制使用来宾账户。
在“典型”安全模式中,通过网络登录到本地计算机的所有尝试都使用用户本身的账户进行身份验证。
该策略不适用于那些已经加入到一个域中的计算机。
另外,“仅来宾”模式在默认情况下处于启用状态。
如果启用了来宾账户,并且该账户的口令为空,那么使用该账户登录到计算机中的用户便可以访问“来宾”账户有权访问的任何资源。
如果启用了“强制所有使用本地账户的网络登录使用来宾身份进行身份验证”这条策略,本地账户必须以来宾身份进行身份验证。
该策略决定了是否对直接连接到网络计算机上的本地账户用来宾身份进行身份验证。
你可以使用该策略限制试图访问目标计算机系统资源的本地账户的访问权限。
如果你启用了这条策略,所有尝试进行直接的本地账户都被限制为“来宾”权限,而“来宾”账户的权限一般都极其有限。
空口令限制
为了保护那些没有为账户设置口令的用户,没有口令的WindowsXPProfessional账户只能用来登录到物理计算机上。
默认情况下,具有空口令的账户不能通过网络远程登录到其它计算机上,也不能进行其它的登录活动,除非是在主物理控制台登录屏幕中。
例如,如果某个本地用户没有为他的账户设置口令,那么你便不能使用该用户的账户运行备用登录服务(RunAs)。
为本地账户分配一个口令可以解除不能通过网络登录这个限制。
此外,通过为账户分配一个口令,用户还可以访问该账户有权访问的任何资源,即便是那些只有通过网络连接才能访问的网络资源。
请注意,如果你的计算机并没有放在一个安全的物理位置,我们建议你为所有本地用户账户都分配一个口令。
如果您没有这样做,所有能够接近该台计算机的人员都可以使用没有口令的账户访问这台计算机上的资源。
对于便携式计算机,这一点显得特别重要,所以你应该为所有本地用户都使用复杂、难于破解的口令。
本限制并不适用于域账户。
另外,本限制不适用于本地计算机上的来宾账户。
如果启用了来宾账户并且没有为其分配口令,其它用户仍然可以通过来宾账户登录到计算机上并访问权限所允许的各种资源。
如果你想禁用该限制,以便没有口令的用户也可以登录到网络上,你可以通过修改本地安全策略实现这一目的。
加密文件系统
加密文件系统(EncryptingFileSystem,EFS)功能的日益增强已经显著提升了WindowsXPProfessional的能量,企业用户可以使用经过加密的数据文件灵活地部署他们的安全解决方案。
EFS架构
EFS基于标准的公共密钥加密技术,并且利用了WindowsXP中的CryptoAPI架构。
EFS的默认配置无需进行任何管理操作--你可以立刻开始对文件进行加密。
EFS会自动生成一对加密密钥,如果用户没有证书,EFS还会为用户生成一个证书。
EFS既可以使用扩展数据加密标准(expandedDataEncryptionStandard,DESX),也可以使用3DES加密算法。
标准的RSA软件和增强型RSA软件(即WindowsXP包括的加密服务提供者,CSP)可以用来生成EFS证书,也可以用于对称加密密钥的制作。
如果你对一个文件夹进行了加密,在加密之时该文件夹中的所有文件和子文件夹以及以后新建的文件和文件夹都会自动进行加密处理。
我们建议您在文件夹级别进行加密,以避免文件转换期间在硬盘上生成纯文本格式的临时文件。
EFS和NTFS
如果用户使用NTFS文件系统保存敏感文件和数据,EncryptingFileSystem(EFS)就可以有效保护这些文件的安全。
EFS是加密和解密存储在NTFS卷中的文件所需使用的核心技术。
只有对文件进行加密的用户才能打开和修改这些文件。
这一特性对于移动计算机的用户来说特别有用,因为即使其它人偷窃或拣到了你丢失的笔记本电脑,他(她)也无法访问磁盘上的文件。
对于WindowsXP,EFS现在还可以对脱机文件和文件夹进行加密。
EFS允许你加密单个文件或文件夹。
即使攻击者通过安装新的操作系统绕开了系统的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WindowsXPProfessional WindowsXPHomeEdition 新增 安全 特性
链接地址:https://www.bingdoc.com/p-3085336.html