安全策略的管理

第5章內(nèi)容回顧NTFS文件系統(tǒng)的特點(diǎn)如何獲得NTFS移動(dòng)和復(fù)制操作對(duì)權(quán)限的影響AGDLP規(guī)則含義是什么安全策略第6章本章目標(biāo)本章應(yīng)用域的安全策略，加強(qiáng)了域環(huán)境安全性

理解本地安全策略 理解域控制器安全策略 理解域安全策略 掌握密碼策略 掌握賬戶鎖定策略 掌握審核策略密碼策略帳戶鎖定策略概念應(yīng)用舉例本章結(jié)構(gòu)安全策略三種安全策略的關(guān)系域帳戶策略應(yīng)用審核文件及文件夾本地安全策略帳戶策略本地策略域控制器安全策略域安全策略審核策略用戶權(quán)限分配安全選項(xiàng)本地安全策略本地安全策略影響本計(jì)算機(jī)的安全設(shè)置本地安全策略主要包含帳戶策略本地策略賬戶策略2-1密碼策略

密碼必須符合復(fù)雜性要求密碼長(zhǎng)度最小值

密碼最長(zhǎng)使用期限

密碼最短使用期限

強(qiáng)制密碼歷史

用可還原的加密來(lái)存儲(chǔ)密碼

賬戶鎖定策略

賬戶鎖定閾值

賬戶鎖定時(shí)間

復(fù)位賬戶鎖定計(jì)數(shù)器

賬戶策略2-2帳戶策略舉例

在獨(dú)立的計(jì)算機(jī)上要讓賬戶的密碼長(zhǎng)度最小為8，賬戶如果連續(xù)3次輸錯(cuò)密碼就會(huì)被鎖定步驟1）單擊【開始】|【程序】|【管理工具】|【本地安全策略】，展開【賬戶策略】|【密碼策略】2）雙擊“密碼長(zhǎng)度最小值”，輸入“8”3）在【賬戶鎖定策略】中，雙擊“賬戶鎖定閾值”，輸入“3”4）在【開始】|【運(yùn)行】中，輸入“gpupdate”刷新本計(jì)算機(jī)的本地安全策略（或者重啟計(jì)算機(jī)）5）更改管理員賬戶administrator密碼，檢驗(yàn)?zāi)芊駥⒚艽a修改成小于8位長(zhǎng)度的密碼6）退出系統(tǒng)，使用普通賬戶登錄，故意輸錯(cuò)密碼3次，該賬戶就會(huì)被鎖定本地策略3-1審核策略是否在安全日志中記錄登錄用戶的操作事件用戶權(quán)限分配如關(guān)閉系統(tǒng)更該系統(tǒng)時(shí)間拒絕本地登錄允許在本地登錄

安全選項(xiàng)控制一些和操作系統(tǒng)安全相關(guān)的設(shè)置

本地策略3-2用戶權(quán)限分配舉例作為服務(wù)器的計(jì)算機(jī)不能讓普通用戶交互式登錄（在本地登錄）步驟:1）單擊【開始】|【程序】|【管理工具】|【本地安全策略】，展開【本地策略】|【用戶權(quán)限分配】2）雙擊“允許在本地登錄”，刪除“PowerUsers”和“Users”3）在【開始】|【運(yùn)行】中，輸入“gpupdate”刷新本計(jì)算機(jī)的本地安全策略（或者重啟計(jì)算機(jī)）4）退出系統(tǒng)，使用普通賬戶登錄，檢驗(yàn)?zāi)芊竦卿洷镜夭呗?-3安全選項(xiàng)舉例在獨(dú)立的計(jì)算機(jī)上要讓用戶在登錄前(Ctrl+Alt+Delete后)，必須閱讀公司使用計(jì)算機(jī)的注意事項(xiàng)步驟:1）展開【本地策略】|【安全選項(xiàng)】2）在以下選項(xiàng)中輸入提示信息交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題交互式登錄：用戶試圖登錄時(shí)消息文字3）刷新本地安全策略4）驗(yàn)證階段總結(jié)本地安全策策略主要包包含賬戶策策略和本地地策略密碼策略包包含哪些選選項(xiàng)賬戶鎖定策策略哪些選選項(xiàng)本地策略有有哪幾部分分返回域控制器安安全策略2-1域控制器安安全策略與與本地安全全策略的區(qū)區(qū)別影響的計(jì)算算機(jī)前者影響DC后者影響非非DC打開開方方式式【域控控制制器器安全全策策略略】【本地地安安全全策策略略】帳戶戶策策略略中中有有何何異異同同前者者有有Kerberos策略略與域域用用戶戶賬賬戶戶的的登登錄錄有有關(guān)關(guān)域控控制制器器安安全全策策略略2-2域控控制制器器安安全全策策略略應(yīng)應(yīng)用用舉舉例例某個(gè)個(gè)普普通通域域賬賬戶戶需需要要在在DC上登登錄錄步驟驟1）打打開開【域控控制制器器安全全策略略】|【【安全全設(shè)設(shè)置置】|【【本地地策策略略】|【【用戶戶權(quán)權(quán)限限分分配配】，雙雙擊擊【允許許在在本本地地登登錄錄】，添添加加需需要要在在DC上登登錄錄的的用用戶戶帳帳戶戶2）刷刷新新域域控控制制器器安安全全策策略略3）驗(yàn)驗(yàn)證證該該普普通通用用戶戶能能否否在在DC上登登錄錄返回回域安安全全策策略略3-1可以以影影響響整整個(gè)個(gè)域域中中的的計(jì)計(jì)算算機(jī)機(jī)的的安安全全設(shè)設(shè)置置打開開方方式式【域安安全全策策略略】帳戶戶策策略略密碼碼策策略略帳戶戶鎖鎖定定策策略略Kerberos策略略本地地策策略略域安安全全策策略略3-2三種種安安全全策策略略的的關(guān)關(guān)系系成員員計(jì)計(jì)算算機(jī)機(jī)和和域域的的設(shè)設(shè)置置項(xiàng)項(xiàng)沖沖突突時(shí)時(shí)，，域域安安全全策策略略生生效效域控控制制器器和和域域的的設(shè)設(shè)置置項(xiàng)項(xiàng)沖沖突突時(shí)時(shí)，，域域控控制制器器安安全全策策略略生生效效本地地安安全全策策略略域控控制制器器安安全全策策略略域安安全全策策略略域安安全全策策略略3-3舉例例驗(yàn)驗(yàn)證證以本本地地選選項(xiàng)項(xiàng)的的設(shè)設(shè)置置項(xiàng)項(xiàng)為為例例交互互式式登登錄錄：：用用戶戶試試圖圖登登錄錄時(shí)時(shí)消消息息標(biāo)標(biāo)題題交互互式式登登錄錄：：用用戶戶試試圖圖登登錄錄時(shí)時(shí)消消息息文文字字成員員計(jì)計(jì)算算機(jī)機(jī)與與域域的的對(duì)對(duì)比比域控控制制器器與與域域的的對(duì)對(duì)比比域賬賬戶戶策策略略應(yīng)應(yīng)用用帳戶戶策策略略設(shè)設(shè)置置需需求求域賬賬戶戶密密碼碼長(zhǎng)長(zhǎng)度度至至少少7個(gè)字字符符密碼碼符符合合復(fù)復(fù)雜雜性性要要求求密碼碼至至少少30天修修改改一一次次設(shè)置置密密碼碼鎖鎖定定策策略略：：輸輸入入5次密密碼碼不不正正確確就就鎖鎖定定該該用用戶戶帳帳戶戶實(shí)施施步步驟驟1）單單擊擊【開始始】|【【程序序】|【【管理理工工具具】|【【域安安全全策策略略】2）設(shè)設(shè)置置【賬戶戶策策略略】的【密碼碼策策略略】和【賬戶戶鎖鎖定定策策略略】3）設(shè)設(shè)置置完完畢畢，，刷刷新新域域安安全全策策略略4）修修改改某某個(gè)個(gè)賬賬戶戶的的密密碼碼，，驗(yàn)驗(yàn)證證密密碼碼策策略略是是否否起起作作用用5）使使用用某某個(gè)個(gè)域域賬賬戶戶登登錄錄，，故故意意輸輸錯(cuò)錯(cuò)密密碼碼，，看看幾幾次次后后賬賬戶戶被被鎖鎖定定階段段練練習(xí)習(xí)背景景某些些員員工工設(shè)設(shè)置置密密碼碼長(zhǎng)長(zhǎng)度度很很短短，，而而且且不不符符合合復(fù)復(fù)雜雜性性要要求求密碼碼很很久久也也不不修修改改有時(shí)時(shí)會(huì)會(huì)發(fā)發(fā)生生非非法法用用戶戶試試探探員員工工密密碼碼目標(biāo)標(biāo)密碼碼策策略略設(shè)設(shè)置置賬戶戶鎖鎖定定策策略略設(shè)設(shè)置置密碼碼策策略略的的驗(yàn)驗(yàn)證證賬戶戶鎖鎖定定策策略略驗(yàn)驗(yàn)證證如何何給給賬賬戶戶解解鎖鎖審核核文文件件及及文文件件夾夾審核核策策略略審核核文文件件及及文文件件夾夾事件件查查看看器器審核核策策略略常用用審審核核策策略略審核事件說(shuō)明賬戶登錄事件審核域用戶從域中的計(jì)算機(jī)登錄時(shí)，域控制器收到的驗(yàn)證信息登錄事件審核所有計(jì)算機(jī)用戶的登錄和注銷事件對(duì)象訪問(wèn)審核用戶訪問(wèn)某個(gè)對(duì)象的事件，例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等賬戶管理審核計(jì)算機(jī)上的每一個(gè)帳戶管理事件，包括：創(chuàng)建、更改或刪除用戶帳戶或組；重命名、禁用或啟用用戶帳戶；設(shè)置或更改密碼目錄服務(wù)訪問(wèn)審核用戶訪問(wèn)活動(dòng)目錄對(duì)象的事件系統(tǒng)事件審核用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者對(duì)系統(tǒng)安全或安全日志有影響的事件審核核文文件件及及文文件件夾夾步驟啟用對(duì)象訪問(wèn)問(wèn)審核策略設(shè)置需要審核核的文件或文件件夾事件查看器2-1應(yīng)用程序應(yīng)用程序或系系統(tǒng)程序記錄錄的事件安全性登錄嘗試以及及記錄與資源源使用相關(guān)的的事件系統(tǒng)Windows系統(tǒng)組件記錄錄的事件安裝了其他服服務(wù)則可能會(huì)會(huì)增加日志類類型目錄服務(wù)文件復(fù)制服務(wù)務(wù)DNS服務(wù)器事件查看器2-2事件類型錯(cuò)誤:紅色警告:黃色信息:白色成功審核:鑰匙失敗審核:鎖保存日志審核文件或文文件夾的實(shí)現(xiàn)現(xiàn)步驟1）啟用域或者者本機(jī)的審核核策略中的審審核對(duì)象訪問(wèn)問(wèn)策略，并刷刷新策略2）在文件或文文件夾的【安全】屬性|【高級(jí)】|【審核】中，添加要審審核的賬戶及及詳細(xì)的審核核項(xiàng)目3）使用用戶訪訪問(wèn)該文件夾夾或者文件4）使用【事件查看器】，檢查是否有有用戶訪問(wèn)的的記錄。階段總結(jié)本地安全策略略、域控制器器安全策略和和域安全策略略之間的關(guān)系系域賬戶策略如如何加強(qiáng)域賬賬戶的安全性性審核策略包含含哪些內(nèi)容審核文件及文文件夾主要步步驟有哪些階段練習(xí)背景BENET公司需要審核核員工對(duì)服務(wù)務(wù)器上某文件件夾的訪問(wèn)情情況目標(biāo)審核策略文件夾或者文文件的【安全】|【高級(jí)】|【審核】屬性設(shè)置使用【事件查看器】本章總結(jié)密碼策略帳戶鎖定策略略概念應(yīng)用舉例安全策略三種安全策略略的關(guān)系域帳戶策略應(yīng)應(yīng)用審核文件及文文件夾本地安全策略略帳戶策略本地策略域控制器安全全策略域安全策略審核策略用戶權(quán)限分配配安全選項(xiàng)密碼必須符合合復(fù)雜性要求求密碼長(zhǎng)度最小小值密碼最長(zhǎng)使用用期限密碼最短使用用期限強(qiáng)制密碼歷史史賬戶鎖定閾值值賬戶鎖定時(shí)間間復(fù)位賬戶鎖定定計(jì)數(shù)器理解域控制器器安全策略與與本地安全策策略的區(qū)別成員計(jì)算機(jī)和和域的設(shè)置項(xiàng)項(xiàng)沖突時(shí)，域域安全策略生生效域控制器和域域的設(shè)置項(xiàng)沖沖突時(shí)，域控控制器安全策策略生效1）啟用域?qū)徍撕瞬呗灾械膶弻徍藢?duì)象訪問(wèn)問(wèn)策略，并刷刷新策略2）添加文件夾夾的審核項(xiàng)目目3）用戶訪問(wèn)文文件夾4）使用事件查查看器實(shí)驗(yàn)任務(wù)1域賬賬戶策略應(yīng)用用任務(wù)2審核核文件夾任務(wù)1域賬賬戶策略應(yīng)用用背景某些員員工設(shè)設(shè)置密密碼長(zhǎng)長(zhǎng)度很很短而且不不符合合復(fù)雜雜性要要求密碼很很久也也不修修改有時(shí)會(huì)會(huì)發(fā)生生非法法用戶戶試探探員工工密碼碼完成標(biāo)標(biāo)準(zhǔn)設(shè)置密密碼策策略：：密碼碼長(zhǎng)度度最小小值為為7、密碼碼必須須符合合復(fù)雜雜性要要求、、密碼碼使用用最長(zhǎng)長(zhǎng)期限限30天設(shè)置帳帳戶鎖鎖定策策略：：用戶戶鎖定定閾值值為5次用戶StuY被鎖定定后管管理員員解鎖鎖，讓讓用戶戶正常常登錄錄任務(wù)2審審核文文件夾夾的訪訪問(wèn)背景BENET公司的的一臺(tái)臺(tái)服務(wù)務(wù)器上上的一一個(gè)共共享文文件夾夾中存存放著著公司司的日日常工工作規(guī)規(guī)范等等文檔檔需要審核員工工對(duì)該文件夾夾的訪問(wèn)情況況完成標(biāo)準(zhǔn)使用【事件查看器】，可以看到服服務(wù)器上的【安全】日志中的有用用戶訪問(wèn)文件件夾記錄9、靜夜四無(wú)無(wú)鄰，荒居居舊業(yè)貧。。。12月-2212月-22Saturday,December24,202210、雨中黃葉葉樹，燈下下白頭人。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2200:19:1900:19Dec-2224-Dec-2212、故人江海別別，幾度隔山山川。。00:19:1900:19:1900:19Saturday,December24,202213、乍見翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2200:19:1900:19:19December24,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國(guó)國(guó)見見青青山山。。。。24十十二二月月202212:19:19上上午午00:19:1912月月-2215、比不了了得就不不比，得得不到的的就不要要。。。。十二月2212:19上上午12月-2200:19December24,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/240:19:1900:19:1924December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。12:19:19上上午午12:19上上午00:19:1912月月-229、沒(méi)有有失敗敗，只只有暫暫時(shí)停停止成成功?。?。12月月-2212月月-22Saturday,December24,202210、很多事情情努力了未未必有結(jié)果果，但是不不努力卻什什么改變也也沒(méi)有。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月-2200:19:1900:19Dec-2224-Dec-2212、世間成事，，不求其絕對(duì)對(duì)圓滿，留一一份不足，可可得無(wú)限完美美。。00:19:1900:19:1900:19Saturday,December24,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2200:19:1900:19:19December24,202214、意志堅(jiān)堅(jiān)強(qiáng)的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。24十十二月202212:19:19上上午00:19:1912月-2215、楚塞三湘湘接，荊門門九派通。。。。十二月2212:19上午12月-2200:19December24,202216、少年十五五二十時(shí)，，步行奪得得胡馬騎。。。2022/12/240:19:1900:19:1924December202217、空山新雨雨后，天氣氣晚來(lái)秋。。。12:19:19上上午12:19上午00:19:1912月-229、楊柳散和和風(fēng)，青山山澹吾慮。。。12月-2212月-22Saturday,December24,202210、閱讀一切好好書如同和過(guò)過(guò)去最杰出的的人談話。00:19:1900:19:1900:1912/24/202212:19:19AM