項目7系統(tǒng)與數(shù)據(jù)的安全管理

作為網(wǎng)絡(luò)管理員，必須熟悉網(wǎng)絡(luò)安全保護的各種策略環(huán)節(jié)以及可以采取的安全措施。這樣才能合理地進(jìn)行安全管理，使得網(wǎng)絡(luò)和計算機處于安全保護的狀態(tài)。項目背景項目7系統(tǒng)與數(shù)據(jù)的安全管理項目7系統(tǒng)與數(shù)據(jù)的安全管理知識目標(biāo)了解：網(wǎng)絡(luò)安全、安全策略的含義；WindowsServer2003的安全管理機制熟悉：安全策略、安全模板、安全模式的應(yīng)用掌握：常見安全策略的配置，安全模板的創(chuàng)建與導(dǎo)入，備份和還原數(shù)據(jù)的方法步驟名，Windows防火墻的配置能力目標(biāo)會進(jìn)行賬戶策略、審核策略的安全設(shè)置會進(jìn)行用戶權(quán)限分配、安全選項的安全設(shè)置能基于域和OU使用安全模板批量進(jìn)行安全設(shè)置會對磁盤數(shù)據(jù)和系統(tǒng)狀態(tài)等重要信息進(jìn)行備份和還原能運用制定備份任務(wù)計劃，實現(xiàn)重要數(shù)據(jù)的自動備份會使用“安全模式”修復(fù)系統(tǒng)會進(jìn)行Windows防火墻的配置教學(xué)目標(biāo)7.2

項目知識準(zhǔn)備網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。WindowsServer2003的安全性貫穿于許多系統(tǒng)服務(wù)功能中，涉及網(wǎng)絡(luò)、密碼學(xué)、認(rèn)證、CA中心、文件加密等多方面。

7.2.1網(wǎng)絡(luò)安全的含義與特征7.2

項目知識準(zhǔn)備7.2.2

WindowsServer2003安全管理機制身份驗證——它用于確認(rèn)嘗試登錄訪問網(wǎng)絡(luò)資源的用戶的身份，即控制哪些用戶能夠登錄到服務(wù)器。訪問控制——規(guī)定了訪問發(fā)起者(如用戶、進(jìn)程、服務(wù)等)對訪問對象(需要保護的資源)的訪問權(quán)限。安全策略——規(guī)定了用戶在使用計算機、運行應(yīng)用程序和訪問網(wǎng)絡(luò)等方面的行為約束規(guī)則本地安全策略:實現(xiàn)本地計算機的安全。包括帳戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略。域控制器安全策略:實現(xiàn)域控制器的安全。域安全策略:實現(xiàn)整個域的安全。組策略:實現(xiàn)整個網(wǎng)絡(luò)的安全。7.2

項目知識準(zhǔn)備7.2.2

WindowsServer2003安全管理機制審核——就是把發(fā)生的事件按照預(yù)先設(shè)定的方式記錄下來以供檢查和分析。數(shù)據(jù)保護——數(shù)據(jù)存儲：加密文件系統(tǒng)(EFS)；數(shù)據(jù)恢復(fù)：RAID、ntbackup、安全模式、故障恢復(fù)控制臺；數(shù)據(jù)傳輸：IAS、IPSec和FIPS加密、SSL和IAS/RADIUS認(rèn)證；數(shù)據(jù)使用：數(shù)字簽名技術(shù)、憑證管理器、ICF軟件防火墻公鑰結(jié)構(gòu)——通過使用公鑰加密技術(shù)，對電子交易中涉及每一方的合法性進(jìn)行驗證和身份驗證

域信任——允許用戶對其他域上的資源進(jìn)行身份驗證。Windows防火墻——一種基于軟件的監(jiān)控狀態(tài)篩選防火墻,它通過檢查傳入的數(shù)據(jù)包并將其與一組規(guī)則進(jìn)行比較,從而決定是否讓數(shù)據(jù)包進(jìn)入到服務(wù)器或網(wǎng)絡(luò)。7.3項目實施任務(wù)7-1帳戶策略的安全設(shè)置1.密碼策略設(shè)置步驟如下：任務(wù)7-1帳戶策略的安全設(shè)置2.帳戶鎖定策略的設(shè)置賬戶鎖定是指在某些情況下（如賬戶受到采用密碼詞典或暴力破解方式等），為保護該賬戶的安全而將此賬戶進(jìn)行鎖定，使其在一定時間內(nèi)不能再次使用，從而使破解失敗。設(shè)置賬戶鎖定策略的步驟如下：任務(wù)7-2審核策略的安全設(shè)置

審核就是通過在計算機的安全日志中記錄選定類型的事件來跟蹤用戶和操作系統(tǒng)的活動。配置審核策略就是確定把哪些事件寫入計算機的安全日志中。設(shè)置步驟：任務(wù)7-3用戶權(quán)限分配的安全設(shè)置用戶權(quán)限是允許用戶在計算機系統(tǒng)或域中執(zhí)行的任務(wù)。有兩種類型的用戶權(quán)限：登錄權(quán)限控制為誰授予登錄計算機的權(quán)限以及他們的登錄方式，比如拒絕本地登錄、允許本地登錄等；特權(quán)控制對計算機上系統(tǒng)范圍的資源的訪問，比如關(guān)閉系統(tǒng)、更改系統(tǒng)時間等。任務(wù)7-3用戶權(quán)限分配的安全設(shè)置用戶權(quán)限名稱說明從網(wǎng)絡(luò)訪問此計算機默認(rèn)情況下任何用戶均可從網(wǎng)絡(luò)訪問計算機，根據(jù)實際需要可以撤銷某組賬戶從網(wǎng)絡(luò)訪問的權(quán)限。拒絕從網(wǎng)絡(luò)訪問這臺計算機有些用戶只在本地使用，不允許通過網(wǎng)絡(luò)訪問此計算機，就可以將此用戶加入到該策略中。允許在本地登錄此登錄權(quán)限確定了可交互式登錄到該計算機的用戶，通過在連接的鍵盤上按Ctrl+Alt+Del組合鍵啟動登錄，該操作需要用戶擁有此登錄權(quán)限。另外，一些能使用戶進(jìn)行登錄的服務(wù)或管理應(yīng)用程序可能也需要此登錄權(quán)限。拒絕本地登錄此安全設(shè)置確定阻止哪些用戶登錄到該計算機。如果一個賬戶同時受上述策略的制約，則此策略設(shè)置將取代允許本地登錄策略。關(guān)閉系統(tǒng)讓普通用戶具有關(guān)閉計算機的權(quán)限。任務(wù)7-3用戶權(quán)限分配的安全設(shè)置用戶權(quán)限分配的設(shè)置步驟如下：任務(wù)7-4“安全選項”的安全設(shè)置在“安全選項”中的安全策略，是一些和操作系統(tǒng)安全有關(guān)的設(shè)置。下表列出了幾個常用的安全選項：安全選項名稱說明關(guān)機：允許系統(tǒng)在未登錄前關(guān)機正常情況下，只有登錄系統(tǒng)后具有權(quán)限的用戶才能關(guān)機，如果有時需要在未登錄前關(guān)機，可將此策略啟用賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺登錄密碼為空的用戶不能通過網(wǎng)絡(luò)訪問此計算機，此策略禁用后，密碼為空的用戶將不會受到限制。交互式登錄：用戶試圖登錄時消息文字該安全設(shè)置指定用戶登錄時顯示的文本消息。使用該文本通常作用是用于警告。例如警告用戶登錄后哪些操作不被允許等。網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉禁止通過共享會話猜測管理員系統(tǒng)口令賬戶：來賓賬戶狀態(tài)禁用來賓賬戶任務(wù)7-4“安全選項”的安全設(shè)置“安全選項”的設(shè)置步驟如下：：任務(wù)7-5使用安全模板批量進(jìn)行安全設(shè)置1.認(rèn)識WindowsServer2003的安全模板安全模板是經(jīng)過配置的安全設(shè)置的集合。Win2K3提供了滿足不同安全級別的預(yù)定義“安全模板”，存放在%SystemRoot%\security\templates文件夾中。9個默認(rèn)安全模板，各模板包括的安全設(shè)置項目都是一樣的，只是根據(jù)不同的安全級別有不同設(shè)置值。任務(wù)7-5使用安全模板批量進(jìn)行安全設(shè)置2．創(chuàng)建自定義的安全模板任務(wù)7-5使用安全模板批量進(jìn)行安全設(shè)置3．將自定義安全模板應(yīng)用于計算機任務(wù)7-6備份與還原磁盤數(shù)據(jù)備份數(shù)據(jù)的目標(biāo)是還原丟失的數(shù)據(jù)備份和還原數(shù)據(jù)時需要合理地設(shè)置權(quán)限數(shù)據(jù)備份

數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)

數(shù)據(jù)被毀壞還原

數(shù)據(jù)

數(shù)據(jù)任務(wù)7-6備份與還原磁盤數(shù)據(jù)1．備份數(shù)據(jù)任務(wù)7-6備份與還原磁盤數(shù)據(jù)備份數(shù)據(jù)的類型：【正常】：正常備份用于復(fù)制所有選定的文件，并且在備份后標(biāo)記每個文件（即清除存檔屬性）。使用正常備份，只需備份文件或磁帶的最新副本就可以還原所有文件。通常，在首次創(chuàng)建備份集時執(zhí)行一次正常備份?！靖北尽浚焊北緜浞菘梢詮?fù)制所有選定的文件，但不將這些文件標(biāo)記為已經(jīng)備份（不清除存檔屬性）。如果要在正常和增量備份之間備份文件，復(fù)制是很有用的，因為它不影響其他備份操作?！驹隽俊浚涸隽總浞輧H備份自上次正常或增量備份以來創(chuàng)建或更改的文件。它將文件標(biāo)記為已經(jīng)備份（即清除存檔屬性）。如果將正常和增量備份結(jié)合使用，需要具有上次的正常備份集和所有增量備份集才能還原數(shù)據(jù)?！静町悺浚翰町悅浞萦糜趶?fù)制自上次正?；蛟隽總浞菀詠硭鶆?chuàng)建或更改的文件。它不將文件標(biāo)記為已經(jīng)備份（不清除存檔屬性）。如果要執(zhí)行正常備份和差異備份的組合，則還原數(shù)據(jù)將需要上次已執(zhí)行過正常備份和差異備份?！久咳铡浚好咳諅浞萦糜趶?fù)制執(zhí)行每日備份的當(dāng)天修改過的所有選定文件。備份的文件將不會標(biāo)記為已經(jīng)備份（不清除存檔屬性）。任務(wù)7-6備份與還原磁盤數(shù)據(jù)2.還原數(shù)據(jù)任務(wù)7-7備份與還原系統(tǒng)狀態(tài)當(dāng)選擇備份某個域控制器的系統(tǒng)狀態(tài)時，主要包含以下幾項：ActiveDirectory（非域控制器時無該項）啟動文件COM+類注冊數(shù)據(jù)庫注冊表系統(tǒng)卷(SYSVOL)（非域控制器時無該項）任務(wù)7-7備份與還原系統(tǒng)狀態(tài)在域控制器上備份系統(tǒng)狀態(tài)的過程如下：任務(wù)7-8制定備份任務(wù)計劃利用備份任務(wù)計劃，可以實現(xiàn)按期自動備份工作。例如，公司服務(wù)器上的各業(yè)務(wù)部門的日常工作文檔，需要定期做正常備份和差異備份。每星期日00：30做正常備份，星期二到星期五22：00做差異備份。任務(wù)7-8制定備份任務(wù)計劃過程如下：任務(wù)7-9使用“安全模式”修復(fù)系統(tǒng)進(jìn)入安全模式:在啟動計算機自動自檢完成后進(jìn)入圖形界面之前，按F8鍵，會出現(xiàn)Windows高級選項菜單。任務(wù)7-9使用“安全模式”修復(fù)系統(tǒng)【安全模式】：只啟動最基本的服務(wù)和驅(qū)動程序。不加載網(wǎng)絡(luò)驅(qū)動程序，依賴網(wǎng)絡(luò)的服務(wù)則被設(shè)置為手工啟動，常用于修復(fù)由于出現(xiàn)了與網(wǎng)絡(luò)服務(wù)有關(guān)的故障而使計算機無法啟動的情況?！編ЬW(wǎng)絡(luò)連接的安全模式】：啟動最基本的服務(wù)和驅(qū)動程序，增加了網(wǎng)絡(luò)連接功能。當(dāng)需要網(wǎng)絡(luò)支持，并且可以肯定網(wǎng)絡(luò)驅(qū)動程序沒有引起故障的時候?！編钚刑崾镜陌踩Ｊ健浚簡幼罨镜姆?wù)和驅(qū)動程序，禁用了網(wǎng)絡(luò)連接。啟動后，屏幕出現(xiàn)命令行提示符，用cmd.exe代替了通常使用的explorer.exe。使用此模式，可以對因為explorer出現(xiàn)故障而造成操作系統(tǒng)無法啟動進(jìn)行調(diào)試?！締⒂脝尤罩尽浚和瑫r將由系統(tǒng)加載或沒有加載成功的所有驅(qū)動程序和服務(wù)記錄到ntbtlog.txt文件中，該文件對于確定系統(tǒng)啟動問題的準(zhǔn)確原因很有用?！締⒂肰GA模式】：當(dāng)安裝了使Windows不能正常啟動的顯示卡驅(qū)動程序時，可選該模式進(jìn)行修復(fù)。【最后一次的正確配置】：使用最后一次可以正常進(jìn)入操作系統(tǒng)的配置來啟動系統(tǒng).只在配置不正確時使用,但該選項不能解決驅(qū)動程序或文件損壞所導(dǎo)致的問題。【目錄服務(wù)還原模式】：適用于還原域控制器上的SYSVOL目錄和ActiveDirectory目錄服務(wù)?！菊{(diào)試模式】：啟動系統(tǒng)后，同時將調(diào)試信息通過串行電纜發(fā)送到其他計算機。任務(wù)7-10Windows防火墻的配置防火墻是通過檢查傳入的數(shù)據(jù)包并將其與一組規(guī)則進(jìn)行比較,從而決定是否讓數(shù)據(jù)包進(jìn)入到服務(wù)器或網(wǎng)絡(luò)的功能組件。Windows防火墻工作在服務(wù)器的與外界連接的網(wǎng)絡(luò)適配器、DSL適配器或者撥號調(diào)制解調(diào)器等接口上。防火墻將哪些數(shù)據(jù)包拒之門外,又允許哪些數(shù)據(jù)包通過,則取決于防火墻的配置。任務(wù)7-10Windows防火墻的配置1．啟動/停止Windows防火墻任務(wù)7-10Windows防火墻的配置2．防火墻服務(wù)的設(shè)置1)添加“例外”程序或服務(wù)任務(wù)7-10Windows防火墻的配置2．防火墻服務(wù)的設(shè)置2)標(biāo)準(zhǔn)服務(wù)的設(shè)置任務(wù)7-10Windows防火墻的配置2．防火墻服務(wù)的設(shè)置3)非標(biāo)準(zhǔn)服務(wù)的設(shè)置任務(wù)7-10Windows防火墻的配置3．防火墻安全日志設(shè)置任務(wù)7-10Windows防火墻的配置3.ICMP設(shè)置項目7系統(tǒng)與數(shù)據(jù)的安全管理項目知識準(zhǔn)備網(wǎng)絡(luò)安全的含義與特征WindowsServer2003安全管理機制項目實施帳戶策略的安全設(shè)置密碼策略的設(shè)置賬