本地安全策略論述

1、第第5章內(nèi)容回顧章內(nèi)容回顧vNTFS文件系統(tǒng)的特點(diǎn)文件系統(tǒng)的特點(diǎn)v如何獲得如何獲得NTFSv移動和復(fù)制操作對權(quán)限的影響移動和復(fù)制操作對權(quán)限的影響vAGDLP規(guī)則含義是什么規(guī)則含義是什么Chapter1/30安全策略安全策略第第6章章本章目標(biāo)本章目標(biāo)v本章應(yīng)用域的安全策略，加強(qiáng)了域環(huán)境安全性本章應(yīng)用域的安全策略，加強(qiáng)了域環(huán)境安全性 理解本地安全策略理解本地安全策略 理解域控制器安全策略理解域控制器安全策略 理解域安全策略理解域安全策略 掌握密碼策略掌握密碼策略 掌握賬戶鎖定策略掌握賬戶鎖定策略 掌握審核策略掌握審核策略Chapter3/30密碼策略密碼策略帳戶鎖定策略帳戶鎖定策略 概念概念應(yīng)用舉

2、例應(yīng)用舉例 本章結(jié)構(gòu)本章結(jié)構(gòu)安全策安全策略略三種安全策略的關(guān)系三種安全策略的關(guān)系域帳戶策略應(yīng)用域帳戶策略應(yīng)用審核文件及文件夾審核文件及文件夾本地安全策略本地安全策略帳戶策略帳戶策略本地策略本地策略 域控制器安全策略域控制器安全策略域安全策域安全策略略審核策略審核策略用戶權(quán)限分配用戶權(quán)限分配安全選項(xiàng)安全選項(xiàng)Chapter4/30本地安全策略本地安全策略 v 本地安全策略影響本計(jì)算機(jī)的安全設(shè)置本地安全策略影響本計(jì)算機(jī)的安全設(shè)置v 本地安全策略主要包含本地安全策略主要包含 帳戶策略帳戶策略 本地策略本地策略Chapter5/30賬戶策略賬戶策略2-1 v 密碼策略密碼策略 密碼必須符合復(fù)雜性要求密碼

3、必須符合復(fù)雜性要求 密碼長度最小值密碼長度最小值 密碼最長使用期限密碼最長使用期限 密碼最短使用期限密碼最短使用期限 強(qiáng)制密碼歷史強(qiáng)制密碼歷史 用可還原的加密來存儲密碼用可還原的加密來存儲密碼 v 賬戶鎖定策略賬戶鎖定策略 賬戶鎖定閾值賬戶鎖定閾值 賬戶鎖定時(shí)間賬戶鎖定時(shí)間 復(fù)位賬戶鎖定計(jì)數(shù)器復(fù)位賬戶鎖定計(jì)數(shù)器 Chapter6/30賬戶策略賬戶策略2-2 v 帳戶策略舉例帳戶策略舉例 在獨(dú)立的計(jì)算機(jī)上要讓賬戶的密碼長度最小為在獨(dú)立的計(jì)算機(jī)上要讓賬戶的密碼長度最小為8，賬戶如果連續(xù)，賬戶如果連續(xù)3次輸次輸錯(cuò)密碼就會被鎖定錯(cuò)密碼就會被鎖定 v 步驟步驟 1）單擊）單擊【開始開始】|【程序程序】|

4、【管理工具管理工具】|【本地安全策略本地安全策略】，展開，展開【賬戶策略賬戶策略】|【密碼策略密碼策略】 2）雙擊）雙擊“密碼長度最小值密碼長度最小值”，輸入，輸入“8” 3）在）在【賬戶鎖定策略賬戶鎖定策略】中，雙擊中，雙擊“賬戶鎖定閾值賬戶鎖定閾值”，輸入，輸入“3” 4）在）在【開始開始】|【運(yùn)行運(yùn)行】中，輸入中，輸入“gpupdate”刷新本計(jì)算機(jī)的本地安刷新本計(jì)算機(jī)的本地安全策略（或者重啟計(jì)算機(jī)）全策略（或者重啟計(jì)算機(jī)） 5）更改管理員賬戶）更改管理員賬戶administrator密碼，檢驗(yàn)?zāi)芊駥⒚艽a修改成小于密碼，檢驗(yàn)?zāi)芊駥⒚艽a修改成小于8位長度的密碼位長度的密碼 6）退出系統(tǒng)，使

5、用普通賬戶登錄，故意輸錯(cuò)密碼）退出系統(tǒng)，使用普通賬戶登錄，故意輸錯(cuò)密碼3次，該賬戶就會被次，該賬戶就會被鎖定鎖定Chapter7/30本地策略本地策略3-1 v 審核策略審核策略 是否在安全日志中是否在安全日志中記錄登錄用戶的操記錄登錄用戶的操作事件作事件 v 用戶權(quán)限分配用戶權(quán)限分配 如關(guān)閉系統(tǒng)如關(guān)閉系統(tǒng) 更該系統(tǒng)時(shí)間更該系統(tǒng)時(shí)間 拒絕本地登錄拒絕本地登錄 允許在本地登錄允許在本地登錄 v 安全選項(xiàng)安全選項(xiàng) 控制一些和操作系控制一些和操作系統(tǒng)安全相關(guān)的設(shè)置統(tǒng)安全相關(guān)的設(shè)置 Chapter8/30本地策略本地策略3-2 v 用戶權(quán)限分配用戶權(quán)限分配舉例舉例 作為服務(wù)器的計(jì)算機(jī)不能讓普通用戶交互

6、式登錄（在本地登錄）作為服務(wù)器的計(jì)算機(jī)不能讓普通用戶交互式登錄（在本地登錄） v 步驟步驟: 1）單擊）單擊【開始開始】|【程序程序】|【管理工具管理工具】|【本地安全策略本地安全策略】，展開展開【本地策略本地策略】|【用戶權(quán)限分配用戶權(quán)限分配】 2）雙擊）雙擊“允許在本地登錄允許在本地登錄”，刪除，刪除“Power Users”和和“Users” 3）在）在【開始開始】|【運(yùn)行運(yùn)行】中，輸入中，輸入“gpupdate”刷新本計(jì)算機(jī)的刷新本計(jì)算機(jī)的本地安全策略（或者重啟計(jì)算機(jī)）本地安全策略（或者重啟計(jì)算機(jī)） 4）退出系統(tǒng)，使用普通賬戶登錄，檢驗(yàn)?zāi)芊竦卿洠┩顺鱿到y(tǒng)，使用普通賬戶登錄，檢驗(yàn)?zāi)芊竦卿?/p>

7、Chapter9/30本地策略本地策略3-3 v 安全選項(xiàng)安全選項(xiàng)舉例舉例 在獨(dú)立的計(jì)算機(jī)上要讓用戶在登錄前在獨(dú)立的計(jì)算機(jī)上要讓用戶在登錄前(Ctrl+Alt+Delete后后)，必須，必須閱讀公司使用計(jì)算機(jī)的注意事項(xiàng)閱讀公司使用計(jì)算機(jī)的注意事項(xiàng)v 步驟步驟: 1）展開展開【本地策略本地策略】|【安全選項(xiàng)安全選項(xiàng)】 2）在以下選項(xiàng)中輸入提示信息）在以下選項(xiàng)中輸入提示信息 交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題 交互式登錄：用戶試圖登錄時(shí)消息文字交互式登錄：用戶試圖登錄時(shí)消息文字 3）刷新本地安全策略）刷新本地安全策略 4）驗(yàn)證）驗(yàn)證 Chapter10/30階段總

8、結(jié)階段總結(jié)本地安全策略主要包含賬戶策略和本地策略本地安全策略主要包含賬戶策略和本地策略 密碼策略包含哪些選項(xiàng)密碼策略包含哪些選項(xiàng)賬戶鎖定策略哪些選項(xiàng)賬戶鎖定策略哪些選項(xiàng)本地策略有哪幾部分本地策略有哪幾部分Chapter11/30域控制器安全策略域控制器安全策略2-1 v 域控制器安全策略與本域控制器安全策略與本地安全策略的區(qū)別地安全策略的區(qū)別 影響的計(jì)算機(jī)影響的計(jì)算機(jī) 前者影響前者影響DC 后者影響非后者影響非DC 打開方式打開方式 【域控制器域控制器安全策略安全策略】 【本地安全策略本地安全策略】 帳戶策略中有何異同帳戶策略中有何異同 前者有前者有Kerberos策略策略 與域用戶賬戶的登錄

9、有與域用戶賬戶的登錄有關(guān)關(guān) Chapter12/30域控制器安全策略域控制器安全策略2-2 v 域控制器安全策略應(yīng)用舉例域控制器安全策略應(yīng)用舉例某個(gè)普通域賬戶需要在某個(gè)普通域賬戶需要在DC上登錄上登錄v 步驟步驟1）打開）打開【域控制器域控制器安全安全策略策略】|【安全安全 設(shè)置設(shè)置】|【本地策略本地策略】|【用戶權(quán)限分配用戶權(quán)限分配】，雙擊，雙擊【允許在本地登錄允許在本地登錄】，添加需要在，添加需要在DC上登錄的用戶帳戶上登錄的用戶帳戶2）刷新域控制器安全策略）刷新域控制器安全策略3）驗(yàn)證該普通用戶能否在）驗(yàn)證該普通用戶能否在DC上登錄上登錄 Chapter13/30域安全策略域安全策略3-

10、1 v 可以影響整個(gè)域中的計(jì)算機(jī)的安全設(shè)置可以影響整個(gè)域中的計(jì)算機(jī)的安全設(shè)置 v 打開方式打開方式 【域安全策略域安全策略】v 帳戶策略帳戶策略 密碼策略密碼策略 帳戶鎖定策略帳戶鎖定策略 Kerberos 策略策略v 本地策略本地策略Chapter14/30域安全策略域安全策略3-2v 三種安全策略的關(guān)系三種安全策略的關(guān)系 成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí)，域安全策略生效成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí)，域安全策略生效 域控制器和域的設(shè)置項(xiàng)沖突時(shí)，域控制器安全策略生效域控制器和域的設(shè)置項(xiàng)沖突時(shí)，域控制器安全策略生效 本地安全策略本地安全策略 域控制器安全策略域控制器安全策略 域安全策略域安全策略Ch

11、apter15/30域安全策略域安全策略3-3 v 舉例驗(yàn)證舉例驗(yàn)證 以本地選項(xiàng)的設(shè)置項(xiàng)為例以本地選項(xiàng)的設(shè)置項(xiàng)為例 交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題 交互式登錄：用戶試圖登錄時(shí)消息文字交互式登錄：用戶試圖登錄時(shí)消息文字成員計(jì)算機(jī)與域的對比成員計(jì)算機(jī)與域的對比域控制器與域的對比域控制器與域的對比Chapter16/30域賬戶策略應(yīng)用域賬戶策略應(yīng)用 v 帳戶策略設(shè)置需求帳戶策略設(shè)置需求 域賬戶密碼長度至少域賬戶密碼長度至少7個(gè)字符個(gè)字符 密碼符合復(fù)雜性要求密碼符合復(fù)雜性要求 密碼至少密碼至少30天修改一次天修改一次 設(shè)置密碼鎖定策略：輸入設(shè)置密碼鎖定策略：輸入5

12、次密碼不正確就鎖定該用戶帳戶次密碼不正確就鎖定該用戶帳戶v 實(shí)施步驟實(shí)施步驟 1）單擊）單擊【開始開始】|【程序程序】|【管理工具管理工具】|【域安全策略域安全策略】 2）設(shè)置）設(shè)置【賬戶策略賬戶策略】的的【密碼策略密碼策略】和和【賬戶鎖定策略賬戶鎖定策略】 3）設(shè)置完畢，刷新域安全策略）設(shè)置完畢，刷新域安全策略 4）修改某個(gè)賬戶的密碼，驗(yàn)證密碼策略是否起作用）修改某個(gè)賬戶的密碼，驗(yàn)證密碼策略是否起作用 5）使用某個(gè)域賬戶登錄，故意輸錯(cuò)密碼，看幾次后賬戶被鎖定）使用某個(gè)域賬戶登錄，故意輸錯(cuò)密碼，看幾次后賬戶被鎖定Chapter17/30階段練習(xí)階段練習(xí)J背景背景J某些員工設(shè)置密碼長度很短，而且

13、不符合復(fù)雜性要求某些員工設(shè)置密碼長度很短，而且不符合復(fù)雜性要求J密碼很久也不修改密碼很久也不修改J有時(shí)會發(fā)生非法用戶試探員工密碼有時(shí)會發(fā)生非法用戶試探員工密碼J目標(biāo)目標(biāo)J密碼策略設(shè)置密碼策略設(shè)置J賬戶鎖定策略設(shè)置賬戶鎖定策略設(shè)置J密碼策略的驗(yàn)證密碼策略的驗(yàn)證J賬戶鎖定策略驗(yàn)證賬戶鎖定策略驗(yàn)證J如何給賬戶解鎖如何給賬戶解鎖Chapter18/30審核文件及文件夾審核文件及文件夾 v審核策略審核策略v審核文件及文件夾審核文件及文件夾 v事件查看器事件查看器Chapter19/30審核策略審核策略 v 常用審核策略常用審核策略審核事件審核事件說明說明賬戶登錄事件賬戶登錄事件審核域用戶從域中的計(jì)算機(jī)登

14、錄時(shí)，域控制器收到的驗(yàn)證信息審核域用戶從域中的計(jì)算機(jī)登錄時(shí)，域控制器收到的驗(yàn)證信息登錄事件登錄事件審核所有計(jì)算機(jī)用戶的登錄和注銷事件審核所有計(jì)算機(jī)用戶的登錄和注銷事件對象訪問對象訪問審核用戶訪問某個(gè)對象的事件，例如文件、文件夾、注冊表項(xiàng)、審核用戶訪問某個(gè)對象的事件，例如文件、文件夾、注冊表項(xiàng)、打印機(jī)等打印機(jī)等賬戶管理賬戶管理審核計(jì)算機(jī)上的每一個(gè)帳戶管理事件，包括：創(chuàng)建、更改或刪除審核計(jì)算機(jī)上的每一個(gè)帳戶管理事件，包括：創(chuàng)建、更改或刪除用戶帳戶或組；用戶帳戶或組； 重命名、禁用或啟用用戶帳戶；設(shè)置或更改密碼重命名、禁用或啟用用戶帳戶；設(shè)置或更改密碼目錄服務(wù)訪問目錄服務(wù)訪問審核用戶訪問活動目錄對象

15、的事件審核用戶訪問活動目錄對象的事件系統(tǒng)事件系統(tǒng)事件審核用戶重新啟動或關(guān)閉計(jì)算機(jī)時(shí)或者對系統(tǒng)安全或安全日志有審核用戶重新啟動或關(guān)閉計(jì)算機(jī)時(shí)或者對系統(tǒng)安全或安全日志有影響的事件影響的事件Chapter20/30審核文件及文件夾審核文件及文件夾 v步驟步驟 啟用對象訪問審核策略啟用對象訪問審核策略 設(shè)置需要審核設(shè)置需要審核 的文件或文件夾的文件或文件夾Chapter21/30事件查看器事件查看器2-1 v 應(yīng)用程序應(yīng)用程序 應(yīng)用程序或系統(tǒng)程序記應(yīng)用程序或系統(tǒng)程序記錄的事件錄的事件 v 安全性安全性 登錄嘗試以及記錄與資登錄嘗試以及記錄與資源使用相關(guān)的事件源使用相關(guān)的事件 v 系統(tǒng)系統(tǒng) Window

16、s 系統(tǒng)組件記系統(tǒng)組件記錄的事件錄的事件 v 安裝了其他服務(wù)則可能安裝了其他服務(wù)則可能會增加日志類型會增加日志類型 目錄服務(wù)目錄服務(wù) 文件復(fù)制服務(wù)文件復(fù)制服務(wù) DNS 服務(wù)器服務(wù)器Chapter22/30事件查看器事件查看器2-2v 事件類型事件類型 錯(cuò)誤錯(cuò)誤:紅色紅色 警告警告:黃色黃色 信息信息:白色白色 成功審核成功審核:鑰匙鑰匙 失敗審核失敗審核: 鎖鎖v 保存日志保存日志Chapter23/30審核文件或文件夾的實(shí)現(xiàn)步驟審核文件或文件夾的實(shí)現(xiàn)步驟 1）啟用域或者本機(jī)的審核策略中的審核對象訪問策略，）啟用域或者本機(jī)的審核策略中的審核對象訪問策略，并刷新策略并刷新策略2）在文件或文件夾的

17、）在文件或文件夾的【安全安全】屬性屬性|【高級高級】|【審核審核】中，添加要審核的賬戶及詳細(xì)的審核項(xiàng)目中，添加要審核的賬戶及詳細(xì)的審核項(xiàng)目3）使用用戶訪問該文件夾或者文件）使用用戶訪問該文件夾或者文件4）使用）使用【事件查看器事件查看器】，檢查是否有用戶訪問的記錄。，檢查是否有用戶訪問的記錄。Chapter24/30階段總結(jié)階段總結(jié)本地安全策略、域控制器安全策略和域安全策略本地安全策略、域控制器安全策略和域安全策略之間的關(guān)系之間的關(guān)系 域賬戶策略如何加強(qiáng)域賬戶的安全性域賬戶策略如何加強(qiáng)域賬戶的安全性審核策略包含哪些內(nèi)容審核策略包含哪些內(nèi)容審核文件及文件夾主要步驟有哪些審核文件及文件夾主要步驟有

18、哪些 Chapter25/30階段練習(xí)階段練習(xí)J背景背景JBENET公司需要審核員工對服務(wù)器上某文件夾的訪公司需要審核員工對服務(wù)器上某文件夾的訪問情況問情況J目標(biāo)目標(biāo)J審核策略審核策略J文件夾或者文件的文件夾或者文件的【安全安全】|【高級高級】|【審核審核】屬性屬性設(shè)置設(shè)置J使用使用【事件查看器事件查看器】Chapter26/30本章總結(jié)本章總結(jié)密碼策略密碼策略帳戶鎖定策略帳戶鎖定策略 概念概念應(yīng)用舉例應(yīng)用舉例 安全策安全策略略三種安全策略的關(guān)系三種安全策略的關(guān)系域帳戶策略應(yīng)用域帳戶策略應(yīng)用審核文件及文件夾審核文件及文件夾本地安全策略本地安全策略帳戶策略帳戶策略本地策略本地策略 域控制器安全策

19、略域控制器安全策略域安全策域安全策略略審核策略審核策略用戶權(quán)限分配用戶權(quán)限分配安全選項(xiàng)安全選項(xiàng)密碼必須符合復(fù)雜密碼必須符合復(fù)雜性要求性要求密碼長度最小值密碼長度最小值 密碼最長使用期限密碼最長使用期限 密碼最短使用期限密碼最短使用期限 強(qiáng)制密碼歷史強(qiáng)制密碼歷史 賬戶鎖定閾值賬戶鎖定閾值 賬戶鎖定時(shí)間賬戶鎖定時(shí)間 復(fù)位賬戶鎖定計(jì)數(shù)復(fù)位賬戶鎖定計(jì)數(shù)器器 理解域控制器安全理解域控制器安全策略與本地安全策策略與本地安全策略的區(qū)別略的區(qū)別成員計(jì)算機(jī)和域的設(shè)置成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí)，域安全策略項(xiàng)沖突時(shí)，域安全策略生效生效域控制器和域的設(shè)置項(xiàng)域控制器和域的設(shè)置項(xiàng)沖突時(shí)，域控制器安全沖突時(shí)，域控制器安全策略生效策略生效1）啟用域?qū)徍瞬呗灾校﹩⒂糜驅(qū)徍瞬呗灾械膶徍藢ο笤L問策略，的審核對象訪問策略，并刷新策略并刷新策略2）添加文件夾的審