Windows Server 2003 安全管理-北大青鳥BENET網(wǎng)絡(luò)工程教材_WIN2003

1、1/Slide numbersVersion 1.0Windows Server 2003 安全管理安全管理第六章第六章2/Slide numbers內(nèi)容回顧內(nèi)容回顧nNTFS權(quán)限權(quán)限u文件夾及文件的權(quán)限文件夾及文件的權(quán)限u特殊權(quán)限特殊權(quán)限u權(quán)限的組合、繼承和拒絕權(quán)限的組合、繼承和拒絕u移動和復(fù)制對權(quán)限的影響移動和復(fù)制對權(quán)限的影響n文件夾及文件的加密文件夾及文件的加密n文件夾及文件的壓縮文件夾及文件的壓縮3/Slide numbers本章目標(biāo)本章目標(biāo)n了解了解Windows Server 2003的安全特征的安全特征n了解本地策略和域安全策略了解本地策略和域安全策略n掌握配置掌握配置組策略的方

2、法組策略的方法n掌握關(guān)于審核和日志的操作方法掌握關(guān)于審核和日志的操作方法4/Slide numbersWindows Server 2003 安全概述安全概述 nWindows Server 2003的安全性相對比的安全性相對比Windows 2000有很大的提高。有很大的提高。n增加了和安全相關(guān)的組件，如防火墻增加了和安全相關(guān)的組件，如防火墻n對某些可能引起安全的服務(wù)或程序，默認(rèn)都是對某些可能引起安全的服務(wù)或程序，默認(rèn)都是被禁用的被禁用的n重寫了某些服務(wù)，例如重寫了某些服務(wù)，例如IIS6.0n改變了某些默認(rèn)設(shè)置改變了某些默認(rèn)設(shè)置5/Slide numbers什么是安全什么是安全 n安全就是保

3、護(hù)計算機(jī)系統(tǒng)中的硬件和軟件資安全就是保護(hù)計算機(jī)系統(tǒng)中的硬件和軟件資源不被未經(jīng)授權(quán)的非法用戶盜取和利用。源不被未經(jīng)授權(quán)的非法用戶盜取和利用。u設(shè)備安全設(shè)備安全u系統(tǒng)安全系統(tǒng)安全u服務(wù)安全服務(wù)安全u數(shù)據(jù)安全數(shù)據(jù)安全u通訊安全通訊安全6/Slide numbersWindows Server 2003 安全特性安全特性 n內(nèi)置安全防火墻。內(nèi)置安全防火墻。n默認(rèn)情況下禁用所有不必要的服務(wù)。默認(rèn)情況下禁用所有不必要的服務(wù)。n增強(qiáng)安全策略。增強(qiáng)安全策略。n重寫重寫IIS6.0。n更嚴(yán)格的對象控制權(quán)限。更嚴(yán)格的對象控制權(quán)限。n自動更新服務(wù)自動更新服務(wù) 7/Slide numbers本地安全策略本地安全策略

4、n哪些用戶具有訪問此臺哪些用戶具有訪問此臺計算機(jī)的權(quán)限，包括本計算機(jī)的權(quán)限，包括本地交互式登錄用戶和網(wǎng)地交互式登錄用戶和網(wǎng)絡(luò)訪問用戶。絡(luò)訪問用戶。n授權(quán)登錄用戶在本地計授權(quán)登錄用戶在本地計算機(jī)上的可以訪問的資算機(jī)上的可以訪問的資源和一些特殊的權(quán)限。源和一些特殊的權(quán)限。n是否在安全日志中記錄是否在安全日志中記錄登錄用戶的操作事件。登錄用戶的操作事件。n控制用戶使用的密碼策控制用戶使用的密碼策略和賬戶鎖定策略略和賬戶鎖定策略 8/Slide numbers賬戶策略賬戶策略 n密碼策略密碼策略 u密碼必須符合復(fù)雜性要求密碼必須符合復(fù)雜性要求u密碼長度最小值密碼長度最小值 u密碼最長使用期限密碼最長使

5、用期限 u密碼最短使用期限密碼最短使用期限 u強(qiáng)制密碼歷史強(qiáng)制密碼歷史 u用可還原的加密來存儲密碼用可還原的加密來存儲密碼 n賬戶鎖定策略賬戶鎖定策略 u賬戶鎖定閥值賬戶鎖定閥值 u賬戶鎖定時間賬戶鎖定時間 u復(fù)位賬戶鎖定計數(shù)器復(fù)位賬戶鎖定計數(shù)器 9/Slide numbers本地策略本地策略 n審核策略審核策略 n用戶權(quán)限分配用戶權(quán)限分配 n安全選項(xiàng)安全選項(xiàng) 10/Slide numbers域安全策略域安全策略 n影響整個域中所有的對影響整個域中所有的對象，包括用戶和計算機(jī)。象，包括用戶和計算機(jī)。u計算機(jī)重啟動計算機(jī)重啟動u用戶登錄用戶登錄u策略刷新策略刷新11/Slide numbers域

6、安全策略（域安全策略（Cont.）n帳戶策略帳戶策略u密碼策略密碼策略u帳戶鎖定策略帳戶鎖定策略 uKerberos 策略策略 12/Slide numbers組策略組策略 n組策略又稱組策略又稱Group Policyn組策略可以管理計算機(jī)和用戶組策略可以管理計算機(jī)和用戶n組策略可以管理用戶的工作環(huán)境、登錄注銷組策略可以管理用戶的工作環(huán)境、登錄注銷時執(zhí)行的腳本、文件夾重定向、軟件安裝等時執(zhí)行的腳本、文件夾重定向、軟件安裝等 13/Slide numbers計算機(jī)配置計算機(jī)配置 n軟件設(shè)置軟件設(shè)置nWindows 設(shè)置設(shè)置n管理模板管理模板 軟件設(shè)置軟件設(shè)置Windows 設(shè)置設(shè)置管理模板管理

7、模板14/Slide numbers用戶配置用戶配置 n軟件設(shè)置軟件設(shè)置nWindows 設(shè)置設(shè)置n管理模板管理模板 軟件設(shè)置軟件設(shè)置Windows 設(shè)置設(shè)置管理模板管理模板15/Slide numbers用戶配置（用戶配置（Cont.）n舉例：文件夾重定向舉例：文件夾重定向16/Slide numbers管理模板管理模板 n計算機(jī)配置管理模板計算機(jī)配置管理模板uWindows組件組件u系統(tǒng)系統(tǒng)u網(wǎng)絡(luò)網(wǎng)絡(luò)u打印機(jī)打印機(jī)n用戶配置管理模板用戶配置管理模板uWindows組件組件u任務(wù)欄和開始菜單任務(wù)欄和開始菜單u桌面桌面u控制面板控制面板u共享文件夾共享文件夾u網(wǎng)絡(luò)網(wǎng)絡(luò)u系統(tǒng)系統(tǒng)用戶配置管理模板

8、用戶配置管理模板計算機(jī)配置管理模板計算機(jī)配置管理模板17/Slide numbers管理模板（管理模板（Cont.）n禁用瀏覽器的另存為功能禁用瀏覽器的另存為功能18/Slide numbers管理模板（管理模板（Cont.）n禁用光驅(qū)的自動播放功能禁用光驅(qū)的自動播放功能 19/Slide numbers管理模板（管理模板（Cont.）n禁用脫機(jī)文件功能禁用脫機(jī)文件功能 20/Slide numbers管理模板（管理模板（Cont.）n禁用并刪除關(guān)機(jī)指令禁用并刪除關(guān)機(jī)指令 21/Slide numbers管理模板（管理模板（Cont.）n隱藏桌面上的所有圖標(biāo)隱藏桌面上的所有圖標(biāo)22/Slide

9、 numbers管理模板（管理模板（Cont.）n刪除控制面板中的添加刪除控制面板中的添加/刪除程序圖標(biāo)刪除程序圖標(biāo) 23/Slide numbers組策略應(yīng)用規(guī)則組策略應(yīng)用規(guī)則 n組策略的繼承組策略的繼承 n策略的累加策略的累加 n阻止策略繼承阻止策略繼承n強(qiáng)制繼承生效強(qiáng)制繼承生效24/Slide numbers將組策略應(yīng)用于本地計算機(jī)將組策略應(yīng)用于本地計算機(jī) n在本地計算機(jī)利用在本地計算機(jī)利用MMC控制臺添加組策控制臺添加組策略編輯器略編輯器n在這里設(shè)置的策略將影在這里設(shè)置的策略將影響本地計算機(jī)中的用戶響本地計算機(jī)中的用戶和當(dāng)前系統(tǒng)和當(dāng)前系統(tǒng)nGpedit.msc25/Slide numb

10、ers審核與日志審核與日志 n審核主要用來記錄計算機(jī)的活動情況審核主要用來記錄計算機(jī)的活動情況u用戶的登錄信息用戶的登錄信息u用戶對文件夾的訪問信息用戶對文件夾的訪問信息u特權(quán)使用特權(quán)使用u用戶管理用戶管理n成功、失敗成功、失敗n安全日志安全日志26/Slide numbers應(yīng)用審核策略應(yīng)用審核策略 n選擇需要審核的策略選擇需要審核的策略n選擇審核的操作選擇審核的操作u成功成功u失敗失敗事件事件說明說明賬戶登錄事件記錄域用戶從當(dāng)前計算機(jī)登錄時，域控制器收到的驗(yàn)證信息。賬戶管理紀(jì)錄所有對用戶帳戶或組賬戶的操作，比如新建、修改、刪除、更改密碼等。目錄服務(wù)訪問記錄用戶訪問活動目錄對象的事件。登錄事

11、件記錄所有計算機(jī)用戶的登錄和注銷事件。對象訪問記錄用戶對某個對象的訪問，比如打印機(jī)、文件夾等等。策略改變記錄用戶更改審核策略、用戶權(quán)利和安全選項(xiàng)的事件。特權(quán)使用記錄用戶使用其特殊權(quán)利的事件，如何更該系統(tǒng)時間。過程跟蹤該安全設(shè)置確定是否審核事件（例如程序激活、進(jìn)程退出、句柄復(fù)制和間接對象訪問等）的詳細(xì)跟蹤信息。系統(tǒng)事件記錄關(guān)于重起或關(guān)閉計算機(jī)的事件，或者是發(fā)生了和操作系統(tǒng)相關(guān)的安全事件。27/Slide numbers審核文件及文件夾審核文件及文件夾 n先啟用對象訪問審核策略先啟用對象訪問審核策略n在設(shè)置需要審核的文件或文件夾在設(shè)置需要審核的文件或文件夾28/Slide numbers事件查看器

12、事件查看器 n應(yīng)用程序日志應(yīng)用程序日志n安全日志。安全日志。n系統(tǒng)日志。系統(tǒng)日志。 n目錄服務(wù)日志。目錄服務(wù)日志。n文件復(fù)制服務(wù)日志。文件復(fù)制服務(wù)日志。nDNS 服務(wù)器日志。服務(wù)器日志。29/Slide numbers事件查看器事件查看器(Cont.)n事件類型事件類型u錯誤。黃色錯誤。黃色u警告。警告。 紅色紅色u信息。白色信息。白色u成功審核。鑰匙成功審核。鑰匙u(yù)失敗審核。失敗審核。 鎖鎖n保存日志保存日志30/Slide numbers本章總結(jié)本章總結(jié)nWindows Server 2003的安全特性和的安全特性和Windows 2000相比有很多增強(qiáng)相比有很多增強(qiáng)n內(nèi)置防火墻、嚴(yán)格的權(quán)

13、限控制、空密碼帳戶內(nèi)置防火墻、嚴(yán)格的權(quán)限控制、空密碼帳戶訪問限制、自動更新服務(wù)等。訪問限制、自動更新服務(wù)等。n本地安全策略是對當(dāng)前計算機(jī)中的策略設(shè)置，本地安全策略是對當(dāng)前計算機(jī)中的策略設(shè)置，主要包括帳戶策略和本地策略主要包括帳戶策略和本地策略n建立安全的密碼應(yīng)該滿足復(fù)雜性、長度、定建立安全的密碼應(yīng)該滿足復(fù)雜性、長度、定期更換等條件期更換等條件n帳戶鎖定策略可以防止非法用戶使用窮舉的帳戶鎖定策略可以防止非法用戶使用窮舉的方法破解密碼方法破解密碼 31/Slide numbers本章總結(jié)本章總結(jié)(cont.)n用戶權(quán)利指派可以為一些用戶分配一些特殊用戶權(quán)利指派可以為一些用戶分配一些特殊的權(quán)限，然后

14、可以執(zhí)行一些特殊的操作，如的權(quán)限，然后可以執(zhí)行一些特殊的操作，如關(guān)機(jī)、更改系統(tǒng)時間等。關(guān)機(jī)、更改系統(tǒng)時間等。n安全選項(xiàng)可以設(shè)定和操作系統(tǒng)安全相關(guān)的設(shè)安全選項(xiàng)可以設(shè)定和操作系統(tǒng)安全相關(guān)的設(shè)置，如不顯示上次登錄的用戶名置，如不顯示上次登錄的用戶名n域安全策略對整個域中的計算機(jī)和用戶都有域安全策略對整個域中的計算機(jī)和用戶都有效，默認(rèn)域策略中的密碼策略非常嚴(yán)格。效，默認(rèn)域策略中的密碼策略非常嚴(yán)格。n組策略分為計算機(jī)配置和用戶配置，計算機(jī)組策略分為計算機(jī)配置和用戶配置，計算機(jī)針對容器中的計算機(jī)有效，用戶配置針對容針對容器中的計算機(jī)有效，用戶配置針對容器中的域用戶帳戶有效器中的域用戶帳戶有效 32/Sli

15、de numbers本章總結(jié)本章總結(jié)(Cont.)(Cont.)n組策略必須應(yīng)用在組織單位、域或站點(diǎn)上組策略必須應(yīng)用在組織單位、域或站點(diǎn)上n組策略有繼承的特性，即子容器中的對象會組策略有繼承的特性，即子容器中的對象會繼承上一級容器的策略。繼承上一級容器的策略。n通過審核可以記錄計算機(jī)的日常活動，比如通過審核可以記錄計算機(jī)的日?；顒?，比如用戶登錄、特權(quán)使用、對象訪問等等。用戶登錄、特權(quán)使用、對象訪問等等。n利用事件查看器可以查看系統(tǒng)中產(chǎn)生的日志。利用事件查看器可以查看系統(tǒng)中產(chǎn)生的日志。33/Slide numbers實(shí)驗(yàn)?zāi)繕?biāo)實(shí)驗(yàn)?zāi)繕?biāo)n應(yīng)用本地安全策略管理用戶環(huán)境應(yīng)用本地安全策略管理用戶環(huán)境n應(yīng)用域