(推薦)Windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元四任務(wù)4：使用組策略配置安全性

1、(推薦)windows網(wǎng)絡(luò)操作系統(tǒng)配置與管理單元四任務(wù)4：使用組策略配置安全性windows 網(wǎng)絡(luò)操作系統(tǒng)的配置與管理單元一：安裝windows操作系統(tǒng)單元二：安裝與配置活動目錄域服務(wù)單元三：管理用戶和組單元四：配置和管理組策略單元五：配置與管理分布式文件系統(tǒng)單元六：配置與管理存儲系統(tǒng)單元七：配置與管理打印服務(wù)器單元八：ip地址與配置方法單元九：配置與管理dhcp服務(wù)器單元十：配置與管理dns服務(wù)器單元十一：配置與管理web服務(wù)器 單元十二：配置與管理adcs單元十三：配置路由與遠(yuǎn)程訪問單元十四：配置網(wǎng)絡(luò)策略服務(wù)和網(wǎng)絡(luò)訪問保護(hù) 單元四 配置和管理組策略任務(wù)1 配置本地計算機策略任務(wù)2 創(chuàng)建和配

2、置gpo任務(wù)3 使用組策略配置用戶環(huán)境任務(wù)4 使用組策略配置安全性任務(wù)任務(wù)4 4 使用組策略配置安全性使用組策略配置安全性一、課程導(dǎo)入二、知識原理2.1 安全策略2.2 賬戶策略2.3 網(wǎng)絡(luò)安全策略2.4 高級安全 windows 防火墻2.5 細(xì)粒度密碼策略2.6 受限制組成員身份 2.7 軟件限制策略2.8 安全模板2.9 安全配置向?qū)⒀萘?xí) 使用組策略配置安全性四、小結(jié)一、課程導(dǎo)入 保證公司網(wǎng)絡(luò)的數(shù)據(jù)存儲和數(shù)據(jù)通訊的安全是非常重要的，如何利用組策略配置和管理服務(wù)器和數(shù)據(jù)的通訊安全？二、知識原理2.1 安全策略2.2 賬戶策略2.3 網(wǎng)絡(luò)安全策略2.4 高級安全 windows 防火墻2

3、.5 細(xì)粒度密碼策略2.6 受限制組成員身份 2.7 軟件限制策略2.8 安全模板2.9 安全配置向?qū)?.1 安全策略 安全策略是保護(hù)計算機上和網(wǎng)絡(luò)上的資源的規(guī)則，它包括用戶安全配置和計算機安全配置：windows server操作系統(tǒng)支持的計算機安全性領(lǐng)域操作系統(tǒng)支持的計算機安全性領(lǐng)域 安全性領(lǐng)域描述賬戶策略密碼策略、賬戶鎖定策略。kerberos策略本地策略審核策略、用戶權(quán)限分配策略、安全選項事件日志應(yīng)用程序、系統(tǒng)和安全事件日志設(shè)置受限制的組安全組的成員身份系統(tǒng)服務(wù)系統(tǒng)服務(wù)的啟動和權(quán)限注冊表對注冊表項的權(quán)限文件系統(tǒng)對文件夾和文件的權(quán)限無線網(wǎng)絡(luò)策略針對無線連接的ieee802.3策略公鑰策略

4、公鑰管理和分發(fā)軟件限制策略控制對軟件的訪問internet協(xié)議安全性（ipsec）策略將ipsec策略分配給計算機windows server 2008支持的新增加計算機安全性領(lǐng)域支持的新增加計算機安全性領(lǐng)域安全性領(lǐng)域描述高級安全windows 防火墻配置windows防火墻設(shè)置網(wǎng)絡(luò)列表管理器策略控制客戶端網(wǎng)絡(luò)位置有線網(wǎng)絡(luò)（ieee802.3）策略針對局域網(wǎng)lan接口的ieee802.3策略網(wǎng)絡(luò)訪問保護(hù)控制計算機的網(wǎng)絡(luò)訪問保護(hù)設(shè)置windows server 操作系統(tǒng)支持的用戶安全性領(lǐng)域操作系統(tǒng)支持的用戶安全性領(lǐng)域安全性領(lǐng)域描述公鑰策略配置企業(yè)信任、受信任的人軟件限制策略證書規(guī)則，哈希規(guī)則，區(qū)

5、域規(guī)則，路徑規(guī)則2.2 賬戶策略 描述 密碼 賬戶鎖定 kerberos 策略 強制密碼歷史：24 個密碼最長密碼期限：42 天最短密碼期限：1 天最短密碼長度：7 個字符復(fù)雜密碼：啟用 使用可逆加密存儲密碼：禁用 鎖定時間：未定義 鎖定閾值：0 次無效登錄嘗試復(fù)位賬戶鎖定失?。何炊x 賬戶策略的組成：只能應(yīng)用在域級 賬戶策略可減少暴力破解賬戶密碼的威脅，從而保護(hù)公司的賬戶和數(shù)據(jù)。2.3 網(wǎng)絡(luò)安全策略 分離 windows xp 和 windows vista 的無線策略 windows vista 策略包含更多針對無線網(wǎng)絡(luò)的選項 windows vista 無線策略可拒絕對無線網(wǎng)絡(luò)的訪問 可

6、以通過組策略配置 802.1x 身份驗證 只有 windows vista 和更高版本可接收有線網(wǎng)絡(luò)策略 定義 windows vista 和 windows xp 客戶端無線連接的可用網(wǎng)絡(luò)和身份驗證方法，以及windows vista 和 windows server 2008 客戶端的 lan 身份驗證。windows xpwindows vista無線有線僅無線windows xpwindows vista僅無線gpo2.4 高級安全 windows 防火墻 支持篩選傳入流量和外發(fā)流量 用于高級設(shè)置配置 提供集成的防火墻篩選和 ipsec 保護(hù)設(shè)置 允許針對各種條件（如用戶、組以及 tc

7、p 和 udp 端口）的規(guī)則配置 提供網(wǎng)絡(luò)位置感知的配置文件 可導(dǎo)入或?qū)С霾呗?基于主機的有狀態(tài)防火墻，根據(jù)其配置允許或阻止網(wǎng)絡(luò)流量。 windows server 2008 internetlan防火墻防火墻規(guī)則控制入站和出站流量 2.5 細(xì)粒度密碼策略管理員組經(jīng)理組最終用戶組密碼更改：7 天 密碼更改：14 天 密碼更改：30 天 細(xì)粒度密碼策略允許同一個域中不同的用戶和組擁有不同的密碼策略。 實施細(xì)粒度密碼策略的方式實施實施 pso 時的注意事項：時的注意事項：pso 有以下可用的設(shè)置：有以下可用的設(shè)置： “密碼設(shè)置容器”和“密碼設(shè)置對象”是新的架構(gòu)對象類 pso 只能應(yīng)用于用戶或全局組

8、 可通過 adsi edit 或 ldifde 創(chuàng)建 pso 密碼策略 賬戶鎖定策略 pso 鏈接 優(yōu)先順序 實施細(xì)粒度密碼策略的步驟 注意事項：注意事項：影子組可用于將 pso 應(yīng)用于尚無相同的全局組成員身份的所有用戶 用戶或組可以有多個與之鏈接的 pso優(yōu)先順序?qū)傩杂糜诮鉀Q沖突 優(yōu)先順序值越低，優(yōu)先級越高直接鏈接到用戶對象的 pso 覆蓋鏈接到用戶全局組的 pso1.如果沒有 pso，那么常規(guī)域賬戶策略生效 步驟：步驟：創(chuàng)建必要的組，然后添加行業(yè)的用戶到組針對所有已定義的密碼策略創(chuàng)建pso1.將pso應(yīng)用于相應(yīng)的用戶或全局組2.6 受限制組成員身份 組策略可按如下方法控制組成員身份：組策略

9、可按如下方法控制組成員身份： 對于本地計算機上的任何組，將 gpo 應(yīng)用于包含該計算機賬戶的 ou 對于 ad ds 中的任何組，將 gpo 應(yīng)用于域控制器受限制的組：受限制的組：該策略用來控制組的成員身份。使用該策略將成員放入一個組。如果定義了“受限制的組”策略，并刷新組策略，那么不屬于“受限制組”策略成員列表中的成員將被刪除。2.7 軟件限制策略軟件限制策略：軟件限制策略：該策略防止用戶運行某些應(yīng)用程序或某些類型的應(yīng)用程序。軟件限制策略為管理員提供了策略驅(qū)動的機制，用戶標(biāo)識軟件以及控制軟件能否在客戶端計算機上運行。注意事項：注意事項：為某臺計算機分配組策略來限制訪問軟件時：，那么將限制登錄

10、到該計算機的任何用戶為某個用戶分配組策略設(shè)置來限制訪問軟件時：不管此用戶登錄到哪臺計算機，該策略會影響該用戶。軟件限制策略的組件：軟件限制策略的組件：安全級別安全級別規(guī)則規(guī)則設(shè)置設(shè)置配置軟件限制策略的安全級別安全級別安全級別描述描述不受限此安全級別允許所有軟件根據(jù)用戶正常權(quán)限運行?；居脩舸税踩墑e允許程序以沒有管理員訪問權(quán)限的用戶執(zhí)行，但是仍能訪問正常用戶可訪問的資源不允許除了專門標(biāo)識為該規(guī)則的例外的軟件之外，此安全級別不允許任何軟件在客戶端計算機上運行。配置軟件限制策略的規(guī)則證書規(guī)則檢查應(yīng)用程序的數(shù)字簽名在需要限制 win32 應(yīng)用程序和 activex 內(nèi)容時使用internet 區(qū)域規(guī)

11、則控制如何訪問 internet 區(qū)域在高安全性環(huán)境中用于控制對 web 應(yīng)用程序的訪問哈希規(guī)則用于采用文件的 md5 或 sha1 哈希來確認(rèn)真實性用于允許或禁止某些文件版本運行路徑規(guī)則在限制文件路徑時使用當(dāng)存在同一個應(yīng)用程序的多個文件時使用當(dāng) srp 較嚴(yán)格時至關(guān)重要2.8 安全模板安全模板：安全模板：是已配置的安全設(shè)置的集合。可以使用預(yù)定義的安全模板作為基礎(chǔ)來創(chuàng)建可自定義的安全策略，以符合需求；也可以創(chuàng)建新的模板。使用“安全模板”來配置單臺或多臺計算機上的安全性。安全模板包含所有安全性方面的安全設(shè)置。 允許管理員將統(tǒng)一的安全設(shè)置應(yīng)用于多臺計算機 可通過組策略進(jìn)行應(yīng)用 可根據(jù)服務(wù)器角色設(shè)計

12、 2.9 安全配置向?qū)cw 通過以下方式提供了有向?qū)У氖芄裘婵s小步驟：禁用不需要的端口和服務(wù)配置windows防火墻配置ipsec篩選器配置ldap設(shè)置配置服務(wù)器消息模塊設(shè)置配置ntlm協(xié)議設(shè)置配置預(yù)定義審核設(shè)置配置iis、microsoft exchange server以及大多數(shù)microsoft服務(wù)器端應(yīng)用程序產(chǎn)品的各個設(shè)置合并scw未處理的現(xiàn)有安全模板設(shè)置應(yīng)用或回滾安全策略三、演示 使用組策略配置安全性工作場景：工作場景： 你是時訊公司的網(wǎng)絡(luò)管理員，時訊公司it企業(yè)管理員規(guī)劃公司的網(wǎng)絡(luò)安全策略，在實施之前，需要你在虛擬系統(tǒng)下模擬測試。實驗環(huán)境：實驗環(huán)境： sh-dc1sh-cli1

13、sh-svr2任務(wù)創(chuàng)建域賬戶策略：強制密碼歷史：24 個密碼最長密碼期限：30 天最短密碼期限：19 天最短密碼長度：8個字符復(fù)雜密碼：啟用 鎖定時間：啟用 鎖定閾值：5 次無效登錄嘗試復(fù)位賬戶鎖定失?。?0分鐘 為非管理員創(chuàng)建本地賬戶策略：從開始菜單刪除“運行”菜單創(chuàng)建windows vista客戶端的無線網(wǎng)絡(luò)gpo：vireless配置在所有域控制器上禁止remote registry服務(wù)對itadmins組實施細(xì)粒度密碼策略對administrators組配置受限制組策略禁止internet explorer和vbs腳本在域控制器上運行的軟件限制策略創(chuàng)建用于文件和打印服務(wù)器的安全模板：fpadmin利用scw為svr2計算機配置安全設(shè)置，并導(dǎo)入fpadmin模板驗證安全配置 演示 使用組策略配置安全性目的：創(chuàng)建域賬戶策略創(chuàng)建無線網(wǎng)絡(luò)gpo 實施細(xì)粒度密碼策略 配置受限制組策