第六章-配置本地安全策略

1、第六章第六章 配置本地安全策略配置本地安全策略 理論部分理論部分課程回顧課程回顧哪些用戶有權(quán)限創(chuàng)建共享文件夾？哪些用戶有權(quán)限創(chuàng)建共享文件夾？通過哪些方式可以訪問共享文件夾？通過哪些方式可以訪問共享文件夾？共享權(quán)限為讀取，共享權(quán)限為讀取，NTFS權(quán)限為寫入，通過網(wǎng)絡(luò)權(quán)限為寫入，通過網(wǎng)絡(luò)訪問時的有效權(quán)限是什么？訪問時的有效權(quán)限是什么？打印設(shè)備和打印機的區(qū)別和聯(lián)系？打印設(shè)備和打印機的區(qū)別和聯(lián)系？什么時候需要使用打印機優(yōu)先級？什么時候需要使用打印機優(yōu)先級？常用的打印權(quán)限有哪些？常用的打印權(quán)限有哪些？技能展示技能展示理解本地安全策略理解本地安全策略會配置賬戶策略會配置賬戶策略會配置本地策略會配置本地策略

2、會配置高級安全防火墻規(guī)則會配置高級安全防火墻規(guī)則本章結(jié)構(gòu)本章結(jié)構(gòu)配置本地配置本地安全策略安全策略賬戶策略賬戶策略高級安全高級安全Windows防火墻防火墻密碼策略密碼策略賬戶鎖定策略賬戶鎖定策略入站規(guī)則入站規(guī)則出站規(guī)則出站規(guī)則本地策略本地策略審核策略審核策略用戶權(quán)限分配用戶權(quán)限分配安全選項安全選項本地安全策略本地安全策略本地安全策略影響本計算機的安全設(shè)置本地安全策略影響本計算機的安全設(shè)置 本地安全策略主要包含本地安全策略主要包含賬戶策略賬戶策略本地策略本地策略高級安全高級安全Windows防火墻防火墻賬戶策略密碼策略賬戶策略密碼策略密碼必須符合復雜性要求密碼必須符合復雜性要求密碼長度最小值密碼

3、長度最小值 密碼最長使用期限密碼最長使用期限 密碼最短使用期限密碼最短使用期限 強制密碼歷史強制密碼歷史 用可還原的加密來用可還原的加密來 儲存密碼儲存密碼賬戶策略賬戶鎖定策略賬戶策略賬戶鎖定策略賬戶鎖定閾值賬戶鎖定閾值 賬戶鎖定時間賬戶鎖定時間 復位賬戶鎖定計數(shù)器復位賬戶鎖定計數(shù)器案例：賬戶鎖定策略應用案例：賬戶鎖定策略應用案例需求：案例需求：有一臺系統(tǒng)為有一臺系統(tǒng)為Windows Server 2008的服務器，為了的服務器，為了提高系統(tǒng)的安全性，如果用戶在一天之內(nèi)提高系統(tǒng)的安全性，如果用戶在一天之內(nèi)3次輸錯密碼，次輸錯密碼，就鎖定相應的用戶賬戶就鎖定相應的用戶賬戶實現(xiàn)思路：實現(xiàn)思路：賬戶

4、鎖定閾值：賬戶鎖定閾值：3賬戶鎖定時間：賬戶鎖定時間：0復位賬戶鎖定計數(shù)器：復位賬戶鎖定計數(shù)器：1440管理員解鎖管理員解鎖小結(jié)小結(jié)請思考：請思考：密碼復雜性的要求是什么？密碼復雜性的要求是什么？賬戶被鎖定后，如何能使其正常登錄？賬戶被鎖定后，如何能使其正常登錄？本地策略審核策略本地策略審核策略是否在安全日志中記錄登錄用戶的操作事件是否在安全日志中記錄登錄用戶的操作事件審核策略說明審核策略更改 確定是否對用戶權(quán)限分配策略、審核策略或信任策略的更改進行審核 審核登錄事件 確定是否審核此策略應用到的系統(tǒng)中發(fā)生的登錄和注銷事件 審核對象訪問 確定是否審核用戶訪問某個對象（如文件、文件夾、注冊表項、打

5、印機）的事件 審核賬戶登錄事件確定是否審核在這臺計算機用于驗證賬戶時，用戶登錄到其他計算機或者從其他計算機注銷的每個實例審核系統(tǒng)事件 確定是否審核用戶重新啟動、關(guān)閉計算機以及對系統(tǒng)安全或安全日志有影響的事件 審核策略的配置審核策略的配置審核策略設(shè)置的安全設(shè)置選項包括：審核策略設(shè)置的安全設(shè)置選項包括：成功成功失敗失敗無審核無審核事件查看器事件查看器作用：作用：瀏覽和管理事件日志瀏覽和管理事件日志 安全日志：安全日志：審核成功審核成功審核失敗審核失敗案例：審核文件和文件夾案例：審核文件和文件夾案例需求：案例需求：服務器服務器filesvr上有一個文件夾上有一個文件夾“公司文件公司文件”，其中存，其

6、中存放著公司的日常工作規(guī)范等文檔，管理員希望將來能放著公司的日常工作規(guī)范等文檔，管理員希望將來能夠查看員工對該文件夾的成功訪問和失敗訪問的情況夠查看員工對該文件夾的成功訪問和失敗訪問的情況實現(xiàn)思路：實現(xiàn)思路：啟用啟用“審核對象訪問審核對象訪問”策略策略 設(shè)置文件夾的審核項目設(shè)置文件夾的審核項目訪問文件夾訪問文件夾“公司文件公司文件”查看成功審核和失敗審核的事件查看成功審核和失敗審核的事件本地策略用戶權(quán)限分配本地策略用戶權(quán)限分配關(guān)閉系統(tǒng)關(guān)閉系統(tǒng)更改系統(tǒng)時間更改系統(tǒng)時間拒絕本地登錄拒絕本地登錄允許在本地登錄允許在本地登錄案例：用戶權(quán)限分配應用案例：用戶權(quán)限分配應用案例需求：案例需求：普通用戶普通用

7、戶UserA在登錄在登錄Windows Server 2008系統(tǒng)后系統(tǒng)后發(fā)現(xiàn)自己沒有關(guān)閉系統(tǒng)的權(quán)限，如何讓發(fā)現(xiàn)自己沒有關(guān)閉系統(tǒng)的權(quán)限，如何讓UserA能正常能正常關(guān)機關(guān)機實現(xiàn)思路：實現(xiàn)思路：配置本地安全策略配置本地安全策略在在“關(guān)閉系統(tǒng)關(guān)閉系統(tǒng)”策略中添加策略中添加UserA本地策略安全選項本地策略安全選項控制一些和操作系統(tǒng)安全相關(guān)的設(shè)置控制一些和操作系統(tǒng)安全相關(guān)的設(shè)置案例：安全選項應用案例：安全選項應用案例需求：案例需求：為了提高為了提高Windows Server 2008系統(tǒng)的安全性，希望系統(tǒng)的安全性，希望使用空白密碼的本地賬戶只能進行控制臺登錄，如何使用空白密碼的本地賬戶只能進行控制

8、臺登錄，如何實現(xiàn)實現(xiàn)實現(xiàn)思路：實現(xiàn)思路：配置本地安全策略配置本地安全策略啟用啟用“賬戶：使用空白密碼的本地賬戶只允許進行控賬戶：使用空白密碼的本地賬戶只允許進行控制臺登錄制臺登錄”策略策略高級安全高級安全Windows防火墻防火墻高級安全高級安全Windows防火墻防火墻 使用配置規(guī)則來響應傳入和傳出流量使用配置規(guī)則來響應傳入和傳出流量包括：包括：入站規(guī)則入站規(guī)則出站規(guī)則出站規(guī)則連接安全規(guī)則連接安全規(guī)則案例：入站規(guī)則配置案例：入站規(guī)則配置案例需求：案例需求：在一臺服務器（在一臺服務器（5）上安裝并啟用）上安裝并啟用FTP服務服務后，防火墻中將添加一條允許所有后，防火墻中將

9、添加一條允許所有FTP入站連接的入入站連接的入站規(guī)則。如何配置防火墻規(guī)則阻止客戶端站規(guī)則。如何配置防火墻規(guī)則阻止客戶端0通過通過FTP連接到服務器，而其它客戶端都能夠通過連接到服務器，而其它客戶端都能夠通過FTP連接到服務器連接到服務器實現(xiàn)思路：實現(xiàn)思路：新建入站規(guī)則新建入站規(guī)則指定協(xié)議、端口和操作指定協(xié)議、端口和操作配置入站規(guī)則屬性配置入站規(guī)則屬性案例：出站規(guī)則配置案例：出站規(guī)則配置案例需求：案例需求：有一臺有一臺Web服務器的服務器的IP地址為地址為0，本地計算，本地計算機的默認出站連接設(shè)置為允許，如何通過出站規(guī)則阻機的默認出站連接設(shè)置為允許，如

10、何通過出站規(guī)則阻止本地計算機通過止本地計算機通過IE訪問訪問Web服務器服務器實現(xiàn)思路：實現(xiàn)思路：新建出站規(guī)則新建出站規(guī)則指定程序路徑和操作指定程序路徑和操作驗證出站規(guī)則配置結(jié)果驗證出站規(guī)則配置結(jié)果本章總結(jié)本章總結(jié)配置本地配置本地安全策略安全策略賬戶策略賬戶策略高級安全高級安全Windows防火墻防火墻密碼策略密碼策略賬戶鎖定策略賬戶鎖定策略入站規(guī)則入站規(guī)則出站規(guī)則出站規(guī)則本地策略本地策略審核策略審核策略用戶權(quán)限分配用戶權(quán)限分配安全選項安全選項第六章第六章 配置本地安全策略配置本地安全策略 上機部分上機部分實驗案例實驗案例1：賬戶策略的應用：賬戶策略的應用需求描述：需求描述：有一臺有一臺Win

11、dows Server 2008服務器位于工作組中，服務器位于工作組中，為了加強該服務器的安全性，需要配置密碼策略和賬為了加強該服務器的安全性，需要配置密碼策略和賬戶鎖定策略，賬戶被鎖定后，通過管理員賬戶為鎖定戶鎖定策略，賬戶被鎖定后，通過管理員賬戶為鎖定的賬戶解鎖的賬戶解鎖實驗案例實驗案例1：賬戶策略的應用：賬戶策略的應用實現(xiàn)思路：實現(xiàn)思路：啟用密碼復雜性策略啟用密碼復雜性策略配置密碼最短長度要求配置密碼最短長度要求配置賬戶鎖定閾值為配置賬戶鎖定閾值為3為鎖定的賬戶解鎖為鎖定的賬戶解鎖學員練習：學員練習：在本地安全策略中配置各策略在本地安全策略中配置各策略驗證所配置的策略驗證所配置的策略4040分鐘完成分鐘完成實驗案例實驗案例2：審核策略的應用：審核策略的應用需求描述需求描述：在工作組中有一臺在工作組中有一臺Windows Server 2008文件服務器，文件服務器，服務器上有一個文件夾服務器上有一個文件夾D:data，為了加強數(shù)據(jù)的安全，為了加強數(shù)據(jù)的安全性，管理員需要審核所有用戶賬戶對該文件夾的訪問性，管理員需要審核所有用戶賬戶對該文件夾的訪問情況情況實驗案例實驗案例2：審核策略的應用：審核策略的應用實現(xiàn)思路實現(xiàn)思路：啟用本地策略的審核對象訪問啟用本地策略