Windows系統(tǒng)管理與維護(hù)項(xiàng)目四-本地安全課件

項(xiàng)目四本地安全策略與組策略的應(yīng)用【項(xiàng)目導(dǎo)入】

在WindowsServer2003中關(guān)于系統(tǒng)的設(shè)置可分為安全策略和組策略兩種。

安全策略是一個(gè)事先定義好的一系列應(yīng)用計(jì)算機(jī)的行為準(zhǔn)則，應(yīng)用這些安全策略可以保證用戶有一致的工作方式。項(xiàng)目四本地安全策略與組策略的應(yīng)用【項(xiàng)目導(dǎo)入】

防止用戶破壞計(jì)算機(jī)上的各種重要的配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。

組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具，通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。 防止用戶破壞計(jì)算機(jī)上的各種重要的配置，保護(hù)網(wǎng)絡(luò)上的敏【學(xué)習(xí)目標(biāo)】掌握賬戶策略的使用，能根據(jù)實(shí)際需求設(shè)置用戶的密碼使用規(guī)則。掌握本地策略的使用，能針對(duì)用戶設(shè)置其在系統(tǒng)中的各種操作權(quán)限，并能審核所有用戶對(duì)指定文件的訪問情況。

【學(xué)習(xí)目標(biāo)】掌握賬戶策略的使用，能根據(jù)實(shí)際需求設(shè)置用戶的密能通過組策略掌握簡(jiǎn)單的控制用戶和計(jì)算機(jī)的程序、網(wǎng)絡(luò)資源等的使用規(guī)則。能通過組策略掌握簡(jiǎn)單的控制用戶和計(jì)算機(jī)的程序、網(wǎng)絡(luò)資源等的使任務(wù)1設(shè)置賬戶策略【任務(wù)描述】【預(yù)備知識(shí)】1．安全策略任務(wù)1設(shè)置賬戶策略【任務(wù)描述】【預(yù)備知識(shí)】

安全策略集中管理了計(jì)算機(jī)中的安全設(shè)置原則，用以提高系統(tǒng)的安全性?！绢A(yù)備知識(shí)】 安全策略集中管理了計(jì)算機(jī)中的安全設(shè)置原

安全策略主要包含“賬戶策略”和“本地策略”，賬戶策略主要管理用戶的密碼安全，本地策略主要管理計(jì)算機(jī)中各項(xiàng)任務(wù)的使用權(quán)限。 安全策略主要包含“賬戶策略”和“本地策略”，賬戶策圖4-1安全策略圖4-1安全策略2．安全策略的類型和應(yīng)用規(guī)則

安全策略根據(jù)管理對(duì)象的不同科分為3種：本地安全策略。域安全策略。域控制器策略。2．安全策略的類型和應(yīng)用規(guī)則 安全策略根據(jù)管理對(duì)象

（1）本地安全策略。

（2）域安全策略。

（3）域控制器安全策略。 （1）本地安全策略。圖4-2本地安全策略圖4-2本地安全策略圖4-3域安全策略圖4-3域安全策略圖4-4域控制器安全策略圖4-4域控制器安全策略

以上3者會(huì)按照“本地安全策略”→“域安全策略”→“域控制器安全策略”的順序?qū)⒉呗砸来螒?yīng)用到計(jì)算機(jī)中，當(dāng)設(shè)置沖突的情況下，后者的設(shè)置會(huì)覆蓋前者的設(shè)置。 以上3者會(huì)按照“本地安全策略”→“域安全策略”→3．賬戶策略

賬戶策略主要對(duì)用戶的密碼安全進(jìn)行管理，它主要有兩個(gè)子文件夾“密碼策略”和“賬戶鎖定策略”。3．賬戶策略 賬戶策略主要對(duì)用戶的密碼安全進(jìn)行管理，

常用設(shè)置如下：

（1）密碼策略

①密碼必須符合復(fù)雜性要求：密碼必須由數(shù)字、英文、符號(hào)3種字符組成。

②密碼長(zhǎng)度小值：設(shè)置密碼的小長(zhǎng)度值。 常用設(shè)置如下：

③密碼長(zhǎng)使用期限：密碼使用多少時(shí)間后必須修改。

④強(qiáng)制密碼歷史：系統(tǒng)記憶后數(shù)次使用過的密碼，在修改密碼時(shí)不允許重復(fù)使用。 ③密碼長(zhǎng)使用期限：密碼使用多少時(shí)間后必須修改。圖4-5密碼策略圖4-5密碼策略

（2）賬戶鎖定策略

①賬戶鎖定閾值：允許用戶輸錯(cuò)密碼的次數(shù)，超過次數(shù)時(shí)賬戶會(huì)被鎖定。

（2）賬戶鎖定策略

②賬戶鎖定時(shí)間：因輸錯(cuò)密碼導(dǎo)致賬戶鎖定的鎖定時(shí)間。

③復(fù)位賬戶鎖定計(jì)數(shù)器：用戶輸錯(cuò)密碼次數(shù)復(fù)位回0的時(shí)間。 ②賬戶鎖定時(shí)間：因輸錯(cuò)密碼導(dǎo)致賬戶鎖定的鎖定時(shí)間。圖4-6賬戶鎖定策略圖4-6賬戶鎖定策略【準(zhǔn)備工作】

準(zhǔn)備2個(gè)虛擬機(jī)鏡像，一個(gè)作為域控制器用于設(shè)置賬戶策略，另一個(gè)作為域成員用于測(cè)試設(shè)置的效果?！緶?zhǔn)備工作】 準(zhǔn)備2個(gè)虛擬機(jī)鏡像，一個(gè)作為域控【任務(wù)實(shí)施】

步驟1：在域控制器中依次單擊“開始”→“程序”→“管理工具”→“域安全策略”，

打開“域安全策略”對(duì)域成員和計(jì)算機(jī)進(jìn)行統(tǒng)

一的設(shè)置。再依次單擊“安全設(shè)置”→“賬戶策略”?！救蝿?wù)實(shí)施】 步驟1：在域控制器中依次單擊“開始圖4-7打開賬戶策略設(shè)置界面圖4-7打開賬戶策略設(shè)置界面

步驟2：?jiǎn)螕簟百~戶策略”下的“密碼策略”，在窗口右側(cè)雙擊打開“密碼長(zhǎng)度小值”的設(shè)置，輸入密碼長(zhǎng)度小值“6”。 步驟2：?jiǎn)螕簟百~戶策略”下的“密碼策略”，在窗口圖4-8設(shè)置密碼長(zhǎng)度最小值圖4-8設(shè)置密碼長(zhǎng)度最小值

步驟3：其余的選項(xiàng)，如“密碼必須符合復(fù)雜性要求”可根據(jù)情況設(shè)為啟用或禁用。 步驟3：其余的選項(xiàng)，如“密碼必須符合復(fù)雜性要求”圖4-9設(shè)置密碼復(fù)雜性圖4-9設(shè)置密碼復(fù)雜性

步驟4：?jiǎn)螕簟百~戶策略”下的“賬戶鎖定策略”，雙擊右側(cè)窗口中的“賬戶鎖定閾值”，設(shè)置用戶密碼輸入錯(cuò)誤多少次后賬戶被鎖定。鎖定的時(shí)間和計(jì)數(shù)器復(fù)位時(shí)間可根據(jù)情況設(shè)定。 步驟4：?jiǎn)螕簟百~戶策略”下的“賬戶鎖定策略”，雙圖4-10設(shè)置賬戶鎖定閾值圖4-10設(shè)置賬戶鎖定閾值

步驟5：完成設(shè)置后重啟計(jì)算機(jī)或在“運(yùn)行”對(duì)話框中輸入“gpupdate”，使安全策略的設(shè)置生效。 步驟5：完成設(shè)置后重啟計(jì)算機(jī)或在“運(yùn)行”對(duì)話框中輸圖4-11使設(shè)置生效的命令圖4-11使設(shè)置生效的命令任務(wù)2設(shè)置本地策略【任務(wù)描述】【預(yù)備知識(shí)】任務(wù)2設(shè)置本地策略【任務(wù)描述】1．本地策略

賬號(hào)策略用于控制登錄過程，要控制用戶登錄之后的操作，需要使用本地策略。

利用本地策略可以實(shí)現(xiàn)審核，指定用戶權(quán)利和設(shè)置安全選項(xiàng)。

1．本地策略 賬號(hào)策略用于控制登錄過程，要控制用戶

本地策略有3個(gè)子文件夾：審核策略，用戶權(quán)限分配，安全選項(xiàng)，主要作用和常用設(shè)置如下：

（1）用戶權(quán)限分配。 本地策略有3個(gè)子文件夾：審核策略，用戶權(quán)限分配，

①更改系統(tǒng)時(shí)間：允許指定的用戶修改系統(tǒng)時(shí)間。

②關(guān)閉系統(tǒng)：允許指定的用戶具有關(guān)閉系統(tǒng)的操作權(quán)限。 ①更改系統(tǒng)時(shí)間：允許指定的用戶修改系統(tǒng)時(shí)間。

③拒絕本地登錄：拒絕指定的用戶以本地方式登錄計(jì)算機(jī)。

④從網(wǎng)絡(luò)訪問此計(jì)算機(jī)：允許指定的用戶通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。 ③拒絕本地登錄：拒絕指定的用戶以本地方式登錄計(jì)算機(jī)。

⑤拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)：拒絕指定的用戶通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。 ⑤拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)：拒絕指定的用戶通過網(wǎng)絡(luò)訪問計(jì)圖4-12用戶權(quán)限分配圖4-12用戶權(quán)限分配

用戶權(quán)限設(shè)置的方法是雙擊打開指定的策略，在窗口中添加具有該權(quán)限的用戶或組，該項(xiàng)中沒有設(shè)置的用戶將沒有對(duì)應(yīng)的操作權(quán)限。

而在域安全策略中沒有定義的策略將采用本地安全策略中的設(shè)置。 用戶權(quán)限設(shè)置的方法是雙擊打開指定的策略，在窗口中添加圖4-13用戶權(quán)限設(shè)置的方法圖4-13用戶權(quán)限設(shè)置的方法

（2）安全選項(xiàng)：

①賬戶：管理員賬戶狀態(tài)：決定Administrator賬號(hào)是否被啟用或禁用。

②賬戶：來賓賬戶狀態(tài)：決定Guest賬號(hào)是否被啟用或禁用。 （2）安全選項(xiàng)：

③賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄：如果啟用，使用空白密碼的用戶不允許通過網(wǎng)絡(luò)登錄計(jì)算機(jī)。 ③賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄：如果

④交互式登錄：無(wú)須按Ctrl+Alt+Del：在登錄界面中不需要按組合鍵Ctrl+Alt+Del。 ⑤交互式登錄：不顯示后的用戶名：登錄系統(tǒng)時(shí)不顯示上一次登錄用戶的名稱。 ④交互式登錄：無(wú)須按Ctrl+Alt+Del：在登錄界圖4-14安全選項(xiàng)圖4-14安全選項(xiàng)

與用戶權(quán)限分配不同，用戶權(quán)限應(yīng)用于用戶或組，而安全選項(xiàng)應(yīng)用于計(jì)算機(jī)。

設(shè)置方法主要為啟用或禁用該策略。 與用戶權(quán)限分配不同，用戶權(quán)限應(yīng)用于用戶或組，而安全選圖4-15安全選項(xiàng)設(shè)置的方法圖4-15安全選項(xiàng)設(shè)置的方法

（3）審核策略：

①審核登錄事件：記錄用戶何時(shí)登錄，注銷和本地系統(tǒng)賬戶的遠(yuǎn)程登錄。

②審核對(duì)象訪問：記錄用戶對(duì)指定對(duì)象的訪問（例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等）。 （3）審核策略：

③審核系統(tǒng)事件：記錄重新啟動(dòng)、啟動(dòng)或關(guān)機(jī)等系統(tǒng)事件，或影響系統(tǒng)安全或安全日志的事件。

④審核賬戶登錄事件：記錄用戶賬戶的登錄或退出。 ③審核系統(tǒng)事件：記錄重新啟動(dòng)、啟動(dòng)或關(guān)機(jī)等系統(tǒng)事件，或影圖4-16審核策略圖4-16審核策略

審核策略主要設(shè)置審核對(duì)象的成功操作或失敗操作，可審核每一個(gè)事件，但不推薦開啟所有審核，這樣會(huì)使服務(wù)器超載。 審核策略主要設(shè)置審核對(duì)象的成功操作或失敗操作，可審核

也不建議完全關(guān)閉審核，應(yīng)該有選擇的審核關(guān)鍵的用戶、關(guān)鍵的文件、關(guān)機(jī)的事件。 也不建議完全關(guān)閉審核，應(yīng)該有選擇的審核關(guān)鍵的用戶、圖4-17審核策略的設(shè)置方法圖4-17審核策略的設(shè)置方法2．安全記錄

依次單擊“開始”→“程序”→“管理工具”→“事件查看器”，可打開事件查看器。

在“安全性”中記錄了審核的記錄，包括審核的類型、日期時(shí)間、來源分類、用戶、計(jì)算機(jī)等信息，2．安全記錄 依次單擊“開始”→“程序”→“管理工具圖4-18事件查看器圖4-18事件查看器

如果記錄太多，可單擊菜單“查看”→“篩選”，搜索出指定的審核記錄。 如果記錄太多，可單擊菜單“查看”→圖4-19事件查看器的篩選功能圖4-19事件查看器的篩選功能【任務(wù)實(shí)施】

步驟1：為了記錄所有用戶對(duì)文件夾data的訪問情況，需要將該文件夾設(shè)置為審核策略審核的對(duì)象，打開該文件夾的“屬性”，再依次單擊“安全”→“高級(jí)”按鈕?！救蝿?wù)實(shí)施】 步驟1：為了記錄所有用戶對(duì)文件夾d圖4-20將文件夾設(shè)置為審核對(duì)象圖4-20將文件夾設(shè)置為審核對(duì)象

步驟2：在彈出的對(duì)話框中單擊“審核”

選項(xiàng)卡，再單擊“添加”按鈕，添加需要記錄

訪問情況的用戶名。由于需要記錄所有用戶，

可直接輸入“everyone”代表所有用戶。 步驟2：在彈出的對(duì)話框中單擊“審核”圖4-21添加審核對(duì)象圖4-21添加審核對(duì)象

步驟3：之后選擇需要審核的內(nèi)容，記錄用戶的所有操作則將“完全控制”選項(xiàng)勾選上。 步驟3：之后選擇需要審核的內(nèi)容，記錄用戶的所有操圖4-22設(shè)置審核的內(nèi)容圖4-22設(shè)置審核的內(nèi)容

步驟4：確定后打開該計(jì)算機(jī)的“本地安全策略”，或在域控制器中打開“域安全策略”，再依次單擊“安全設(shè)置”→“本地策略”→“審核策略”。 步驟4：確定后打開該計(jì)算機(jī)的“本地安全策略”，或圖4-23審核策略圖4-23審核策略

步驟5：雙擊打開右側(cè)的“審核對(duì)象訪問”，將“成功”和“失敗”選項(xiàng)勾選上，完成設(shè)置。 步驟5：雙擊打開右側(cè)的“審核對(duì)象訪問”，將“成功圖4-24設(shè)置審核對(duì)象訪問圖4-24設(shè)置審核對(duì)象訪問

步驟6：以后可打開“開始”→“程序”→“管理工具”→“事件查看器”，在“安

全性”中查詢?cè)撐募A的訪問情況。 步驟6：以后可打開“開始”→“程序”→“管理工具圖4-25查詢文件夾的訪問情況圖4-25查詢文件夾的訪問情況任務(wù)3組策略的簡(jiǎn)單應(yīng)用【任務(wù)描述】【預(yù)備知識(shí)】任務(wù)3組策略的簡(jiǎn)單應(yīng)用【任務(wù)描述】1．組策略

組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。1．組策略 組策略是管理員為用戶和計(jì)算機(jī)定義并控制程

組策略中分為“計(jì)算機(jī)配置”和“用戶配置”兩部分，“計(jì)算機(jī)配置”是以計(jì)算機(jī)為對(duì)象的設(shè)置，“用戶配置”是以用戶為對(duì)象的設(shè)置。 組策略中分為“計(jì)算機(jī)配置”和“用戶配置”兩部分，“計(jì)圖4-26組策略圖4-26組策略2．組策略的類型

組策略根據(jù)管理對(duì)象的不同主要可分為本地組策略、域組策略、OU組策略。2．組策略的類型 組策略根據(jù)管理對(duì)象的不同主要可分

（1）本地組策略。

（2）域組策略。

（3）OU組策略。 （1）本地組策略。圖4-27域組策略圖4-27域組策略圖4-28OU組策略圖4-28OU組策略3．組策略的應(yīng)用規(guī)則

組策略的應(yīng)用規(guī)則與安全策略類似，規(guī)則總結(jié)為以下幾點(diǎn)。3．組策略的應(yīng)用規(guī)則 組策略的應(yīng)用規(guī)則與安全策略類

（1）組策略按“本地組策略”→“域組策略”→“OU組策略”的順序?qū)⒉呗砸来螒?yīng)用到計(jì)算機(jī)或用戶中。在多個(gè)組策略設(shè)置不沖突的情況下，前者的組策略設(shè)置會(huì)被后者繼承。（1）組策略按“本地組策略”→“域組策略”→“OU組策略

（2）當(dāng)多個(gè)組策略設(shè)置沖突的情況下，后者的組策略設(shè)置會(huì)覆蓋前者的設(shè)置。 （2）當(dāng)多個(gè)組策略設(shè)置沖突的情況下，后者的組策略設(shè)置會(huì)覆蓋

（3）通過設(shè)置可阻止繼承前者的組策略，完全使用自己的策略設(shè)置。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，將下方的“阻止策略繼承”勾選上，如圖4-29所示，域控制器的組策略將不會(huì)繼承域組策略的所有設(shè)置。 （3）通過設(shè)置可阻止繼承前者的組策略，完全使用自己的策略設(shè)圖4-29阻止策略繼承圖4-29阻止策略繼承

（4）不需要的組策略可以被刪除或禁用。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，選擇需要操作的組策略對(duì)象，單擊“刪除”或單擊“選項(xiàng)”銨鈕禁用組策略對(duì)象。（4）不需要的組策略可以被刪除或禁用。設(shè)置方法是在當(dāng)前的組圖4-30禁用組策略圖4-30禁用組策略

（5）使用篩選可以阻止一個(gè)組策略對(duì)象應(yīng)用于容器內(nèi)的特定計(jì)算機(jī)和用戶。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，選擇需要操作的組策略對(duì)象。（5）使用篩選可以阻止一個(gè)組策略對(duì)象應(yīng)用于容器內(nèi)的特定計(jì)算

打開它的“屬性”對(duì)話框，單擊“安全”選項(xiàng)卡，添加需要禁止應(yīng)用組策略的用戶或組，后將下方權(quán)限“應(yīng)用組策略”的禁止勾選上。 打開它的“屬性”對(duì)話框，單擊“安全”選項(xiàng)卡，添加圖4-31對(duì)特定計(jì)算機(jī)和用戶的組策略設(shè)置圖4-31對(duì)特定計(jì)算機(jī)和用戶的組策略設(shè)置【任務(wù)實(shí)施】

步驟1：通過在人事部OU中設(shè)置OU組策略，可一次性對(duì)整個(gè)部門完成設(shè)置。在“ActiveDirectory用戶和計(jì)算機(jī)”中打開人事部OU的屬性，單擊“組策略”選項(xiàng)卡?！救蝿?wù)實(shí)施】 步驟1：通過在人事部OU中設(shè)置圖4-32設(shè)置OU組策略圖4-32設(shè)置OU組策略

步驟2：?jiǎn)螕簟靶陆ā卑粹o，添加新的組策略對(duì)象，雙擊打開進(jìn)行設(shè)置。 步驟2：?jiǎn)螕簟靶陆ā卑粹o，添加新的組策略對(duì)象，雙圖4-33添加新的組策略對(duì)象圖4-33添加新的組策略對(duì)象

步驟3：依次展開左側(cè)的“用戶配置”→“管理模板”→“系統(tǒng)”，在右側(cè)找到“不要運(yùn)行指定的Windows應(yīng)用程序”并雙擊打開其屬性對(duì)話框。 步驟3：依次展開左側(cè)的“用戶配置”→“管理模板”→圖4-34設(shè)置禁止運(yùn)行的程序圖4-34設(shè)置禁止運(yùn)行的程序

步驟4：在對(duì)話框中選擇“已啟用”選項(xiàng)，再單擊“顯示”按鈕，添加禁止運(yùn)行的IE程序名“IEXPLORE.EXE”，確定后完成設(shè)置。 步驟4：在對(duì)話框中選擇“已啟用”選項(xiàng)，再單擊“顯圖4-35設(shè)置禁止運(yùn)行的程序圖4-35設(shè)置禁止運(yùn)行的程序

步驟5：用部門成員的身份登錄計(jì)算機(jī)，嘗試打開IE瀏覽器，如果出現(xiàn)圖4-36所示提示，代表設(shè)置成功。 步驟5：用部門成員的身份登錄計(jì)算機(jī)，嘗試打開I圖4-36測(cè)試效果圖4-36測(cè)試效果

步驟6：為了避免特殊的用戶，如部門經(jīng)理的賬戶也被禁止使用IE，可使用篩選排除指定的用戶應(yīng)用組策略的設(shè)置。打開組策略對(duì)象的“屬性”對(duì)話框，單擊“安全”選項(xiàng)卡。 步驟6：為了避免特殊的用戶，如部門經(jīng)理的賬戶也被圖4-37使用篩選排除指定的用戶的設(shè)置圖4-37使用篩選排除指定的用戶的設(shè)置

步驟7：添加需要禁止應(yīng)用組策略的指定用戶，后將下方權(quán)限“應(yīng)用組策略”的禁止勾選上。 步驟7：添加需要禁止應(yīng)用組策略的指定用戶，后將下圖4-38使用篩選排除指定的用戶的設(shè)置圖4-38使用篩選排除指定的用戶的設(shè)置

步驟8：同樣使用OU組策略設(shè)置員工計(jì)算機(jī)的壁紙，先制作好一張寫有部門規(guī)章制度的桌面壁紙，并將其放入到共享文件夾中，以后每次計(jì)算機(jī)在啟動(dòng)后都會(huì)讀取該文件作為桌面壁紙。 步驟8：同樣使用OU組策略設(shè)置員工計(jì)算機(jī)的壁圖4-39將壁紙放入共享文件夾中圖4-39將壁紙放入共享文件夾中

步驟9：依次展開OU組策略左側(cè)的“用戶配置”→“管理模板”→“桌面”→“ActiveDesktop”，在右側(cè)窗口找到“Active Desktop墻紙”并雙擊打開其屬性對(duì)話框。 步驟9：依次展開OU組策略左側(cè)的圖4-40設(shè)置成員的固定壁紙圖4-40設(shè)置成員的固定壁紙

步驟10：在對(duì)話框中選擇“已啟動(dòng)”選項(xiàng)，在“墻紙名稱”中輸入墻紙圖片中局域網(wǎng)中的共享路徑。

步驟10：在對(duì)話框中選擇“已啟動(dòng)”選項(xiàng)，在“墻紙名圖4-41設(shè)置壁紙的路徑圖4-41設(shè)置壁紙的路徑

步驟11：同樣用部門成員的身份登錄計(jì)算機(jī)檢查結(jié)果。 步驟11：同樣用部門成員的身份登錄計(jì)算機(jī)檢查結(jié)果。圖4-42測(cè)試效果圖4-42測(cè)試效果項(xiàng)目四本地安全策略與組策略的應(yīng)用【項(xiàng)目導(dǎo)入】

在WindowsServer2003中關(guān)于系統(tǒng)的設(shè)置可分為安全策略和組策略兩種。

安全策略是一個(gè)事先定義好的一系列應(yīng)用計(jì)算機(jī)的行為準(zhǔn)則，應(yīng)用這些安全策略可以保證用戶有一致的工作方式。項(xiàng)目四本地安全策略與組策略的應(yīng)用【項(xiàng)目導(dǎo)入】

防止用戶破壞計(jì)算機(jī)上的各種重要的配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。

組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具，通過使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略。 防止用戶破壞計(jì)算機(jī)上的各種重要的配置，保護(hù)網(wǎng)絡(luò)上的敏【學(xué)習(xí)目標(biāo)】掌握賬戶策略的使用，能根據(jù)實(shí)際需求設(shè)置用戶的密碼使用規(guī)則。掌握本地策略的使用，能針對(duì)用戶設(shè)置其在系統(tǒng)中的各種操作權(quán)限，并能審核所有用戶對(duì)指定文件的訪問情況。

【學(xué)習(xí)目標(biāo)】掌握賬戶策略的使用，能根據(jù)實(shí)際需求設(shè)置用戶的密能通過組策略掌握簡(jiǎn)單的控制用戶和計(jì)算機(jī)的程序、網(wǎng)絡(luò)資源等的使用規(guī)則。能通過組策略掌握簡(jiǎn)單的控制用戶和計(jì)算機(jī)的程序、網(wǎng)絡(luò)資源等的使任務(wù)1設(shè)置賬戶策略【任務(wù)描述】【預(yù)備知識(shí)】1．安全策略任務(wù)1設(shè)置賬戶策略【任務(wù)描述】【預(yù)備知識(shí)】

安全策略集中管理了計(jì)算機(jī)中的安全設(shè)置原則，用以提高系統(tǒng)的安全性?！绢A(yù)備知識(shí)】 安全策略集中管理了計(jì)算機(jī)中的安全設(shè)置原

安全策略主要包含“賬戶策略”和“本地策略”，賬戶策略主要管理用戶的密碼安全，本地策略主要管理計(jì)算機(jī)中各項(xiàng)任務(wù)的使用權(quán)限。 安全策略主要包含“賬戶策略”和“本地策略”，賬戶策圖4-1安全策略圖4-1安全策略2．安全策略的類型和應(yīng)用規(guī)則

安全策略根據(jù)管理對(duì)象的不同科分為3種：本地安全策略。域安全策略。域控制器策略。2．安全策略的類型和應(yīng)用規(guī)則 安全策略根據(jù)管理對(duì)象

（1）本地安全策略。

（2）域安全策略。

（3）域控制器安全策略。 （1）本地安全策略。圖4-2本地安全策略圖4-2本地安全策略圖4-3域安全策略圖4-3域安全策略圖4-4域控制器安全策略圖4-4域控制器安全策略

以上3者會(huì)按照“本地安全策略”→“域安全策略”→“域控制器安全策略”的順序?qū)⒉呗砸来螒?yīng)用到計(jì)算機(jī)中，當(dāng)設(shè)置沖突的情況下，后者的設(shè)置會(huì)覆蓋前者的設(shè)置。 以上3者會(huì)按照“本地安全策略”→“域安全策略”→3．賬戶策略

賬戶策略主要對(duì)用戶的密碼安全進(jìn)行管理，它主要有兩個(gè)子文件夾“密碼策略”和“賬戶鎖定策略”。3．賬戶策略 賬戶策略主要對(duì)用戶的密碼安全進(jìn)行管理，

常用設(shè)置如下：

（1）密碼策略

①密碼必須符合復(fù)雜性要求：密碼必須由數(shù)字、英文、符號(hào)3種字符組成。

②密碼長(zhǎng)度小值：設(shè)置密碼的小長(zhǎng)度值。 常用設(shè)置如下：

③密碼長(zhǎng)使用期限：密碼使用多少時(shí)間后必須修改。

④強(qiáng)制密碼歷史：系統(tǒng)記憶后數(shù)次使用過的密碼，在修改密碼時(shí)不允許重復(fù)使用。 ③密碼長(zhǎng)使用期限：密碼使用多少時(shí)間后必須修改。圖4-5密碼策略圖4-5密碼策略

（2）賬戶鎖定策略

①賬戶鎖定閾值：允許用戶輸錯(cuò)密碼的次數(shù)，超過次數(shù)時(shí)賬戶會(huì)被鎖定。

（2）賬戶鎖定策略

②賬戶鎖定時(shí)間：因輸錯(cuò)密碼導(dǎo)致賬戶鎖定的鎖定時(shí)間。

③復(fù)位賬戶鎖定計(jì)數(shù)器：用戶輸錯(cuò)密碼次數(shù)復(fù)位回0的時(shí)間。 ②賬戶鎖定時(shí)間：因輸錯(cuò)密碼導(dǎo)致賬戶鎖定的鎖定時(shí)間。圖4-6賬戶鎖定策略圖4-6賬戶鎖定策略【準(zhǔn)備工作】

準(zhǔn)備2個(gè)虛擬機(jī)鏡像，一個(gè)作為域控制器用于設(shè)置賬戶策略，另一個(gè)作為域成員用于測(cè)試設(shè)置的效果?！緶?zhǔn)備工作】 準(zhǔn)備2個(gè)虛擬機(jī)鏡像，一個(gè)作為域控【任務(wù)實(shí)施】

步驟1：在域控制器中依次單擊“開始”→“程序”→“管理工具”→“域安全策略”，

打開“域安全策略”對(duì)域成員和計(jì)算機(jī)進(jìn)行統(tǒng)

一的設(shè)置。再依次單擊“安全設(shè)置”→“賬戶策略”。【任務(wù)實(shí)施】 步驟1：在域控制器中依次單擊“開始圖4-7打開賬戶策略設(shè)置界面圖4-7打開賬戶策略設(shè)置界面

步驟2：?jiǎn)螕簟百~戶策略”下的“密碼策略”，在窗口右側(cè)雙擊打開“密碼長(zhǎng)度小值”的設(shè)置，輸入密碼長(zhǎng)度小值“6”。 步驟2：?jiǎn)螕簟百~戶策略”下的“密碼策略”，在窗口圖4-8設(shè)置密碼長(zhǎng)度最小值圖4-8設(shè)置密碼長(zhǎng)度最小值

步驟3：其余的選項(xiàng)，如“密碼必須符合復(fù)雜性要求”可根據(jù)情況設(shè)為啟用或禁用。 步驟3：其余的選項(xiàng)，如“密碼必須符合復(fù)雜性要求”圖4-9設(shè)置密碼復(fù)雜性圖4-9設(shè)置密碼復(fù)雜性

步驟4：?jiǎn)螕簟百~戶策略”下的“賬戶鎖定策略”，雙擊右側(cè)窗口中的“賬戶鎖定閾值”，設(shè)置用戶密碼輸入錯(cuò)誤多少次后賬戶被鎖定。鎖定的時(shí)間和計(jì)數(shù)器復(fù)位時(shí)間可根據(jù)情況設(shè)定。 步驟4：?jiǎn)螕簟百~戶策略”下的“賬戶鎖定策略”，雙圖4-10設(shè)置賬戶鎖定閾值圖4-10設(shè)置賬戶鎖定閾值

步驟5：完成設(shè)置后重啟計(jì)算機(jī)或在“運(yùn)行”對(duì)話框中輸入“gpupdate”，使安全策略的設(shè)置生效。 步驟5：完成設(shè)置后重啟計(jì)算機(jī)或在“運(yùn)行”對(duì)話框中輸圖4-11使設(shè)置生效的命令圖4-11使設(shè)置生效的命令任務(wù)2設(shè)置本地策略【任務(wù)描述】【預(yù)備知識(shí)】任務(wù)2設(shè)置本地策略【任務(wù)描述】1．本地策略

賬號(hào)策略用于控制登錄過程，要控制用戶登錄之后的操作，需要使用本地策略。

利用本地策略可以實(shí)現(xiàn)審核，指定用戶權(quán)利和設(shè)置安全選項(xiàng)。

1．本地策略 賬號(hào)策略用于控制登錄過程，要控制用戶

本地策略有3個(gè)子文件夾：審核策略，用戶權(quán)限分配，安全選項(xiàng)，主要作用和常用設(shè)置如下：

（1）用戶權(quán)限分配。 本地策略有3個(gè)子文件夾：審核策略，用戶權(quán)限分配，

①更改系統(tǒng)時(shí)間：允許指定的用戶修改系統(tǒng)時(shí)間。

②關(guān)閉系統(tǒng)：允許指定的用戶具有關(guān)閉系統(tǒng)的操作權(quán)限。 ①更改系統(tǒng)時(shí)間：允許指定的用戶修改系統(tǒng)時(shí)間。

③拒絕本地登錄：拒絕指定的用戶以本地方式登錄計(jì)算機(jī)。

④從網(wǎng)絡(luò)訪問此計(jì)算機(jī)：允許指定的用戶通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。 ③拒絕本地登錄：拒絕指定的用戶以本地方式登錄計(jì)算機(jī)。

⑤拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)：拒絕指定的用戶通過網(wǎng)絡(luò)訪問計(jì)算機(jī)。 ⑤拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)：拒絕指定的用戶通過網(wǎng)絡(luò)訪問計(jì)圖4-12用戶權(quán)限分配圖4-12用戶權(quán)限分配

用戶權(quán)限設(shè)置的方法是雙擊打開指定的策略，在窗口中添加具有該權(quán)限的用戶或組，該項(xiàng)中沒有設(shè)置的用戶將沒有對(duì)應(yīng)的操作權(quán)限。

而在域安全策略中沒有定義的策略將采用本地安全策略中的設(shè)置。 用戶權(quán)限設(shè)置的方法是雙擊打開指定的策略，在窗口中添加圖4-13用戶權(quán)限設(shè)置的方法圖4-13用戶權(quán)限設(shè)置的方法

（2）安全選項(xiàng)：

①賬戶：管理員賬戶狀態(tài)：決定Administrator賬號(hào)是否被啟用或禁用。

②賬戶：來賓賬戶狀態(tài)：決定Guest賬號(hào)是否被啟用或禁用。 （2）安全選項(xiàng)：

③賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄：如果啟用，使用空白密碼的用戶不允許通過網(wǎng)絡(luò)登錄計(jì)算機(jī)。 ③賬戶：使用空白密碼的本地賬戶只允許進(jìn)行控制臺(tái)登錄：如果

④交互式登錄：無(wú)須按Ctrl+Alt+Del：在登錄界面中不需要按組合鍵Ctrl+Alt+Del。 ⑤交互式登錄：不顯示后的用戶名：登錄系統(tǒng)時(shí)不顯示上一次登錄用戶的名稱。 ④交互式登錄：無(wú)須按Ctrl+Alt+Del：在登錄界圖4-14安全選項(xiàng)圖4-14安全選項(xiàng)

與用戶權(quán)限分配不同，用戶權(quán)限應(yīng)用于用戶或組，而安全選項(xiàng)應(yīng)用于計(jì)算機(jī)。

設(shè)置方法主要為啟用或禁用該策略。 與用戶權(quán)限分配不同，用戶權(quán)限應(yīng)用于用戶或組，而安全選圖4-15安全選項(xiàng)設(shè)置的方法圖4-15安全選項(xiàng)設(shè)置的方法

（3）審核策略：

①審核登錄事件：記錄用戶何時(shí)登錄，注銷和本地系統(tǒng)賬戶的遠(yuǎn)程登錄。

②審核對(duì)象訪問：記錄用戶對(duì)指定對(duì)象的訪問（例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等）。 （3）審核策略：

③審核系統(tǒng)事件：記錄重新啟動(dòng)、啟動(dòng)或關(guān)機(jī)等系統(tǒng)事件，或影響系統(tǒng)安全或安全日志的事件。

④審核賬戶登錄事件：記錄用戶賬戶的登錄或退出。 ③審核系統(tǒng)事件：記錄重新啟動(dòng)、啟動(dòng)或關(guān)機(jī)等系統(tǒng)事件，或影圖4-16審核策略圖4-16審核策略

審核策略主要設(shè)置審核對(duì)象的成功操作或失敗操作，可審核每一個(gè)事件，但不推薦開啟所有審核，這樣會(huì)使服務(wù)器超載。 審核策略主要設(shè)置審核對(duì)象的成功操作或失敗操作，可審核

也不建議完全關(guān)閉審核，應(yīng)該有選擇的審核關(guān)鍵的用戶、關(guān)鍵的文件、關(guān)機(jī)的事件。 也不建議完全關(guān)閉審核，應(yīng)該有選擇的審核關(guān)鍵的用戶、圖4-17審核策略的設(shè)置方法圖4-17審核策略的設(shè)置方法2．安全記錄

依次單擊“開始”→“程序”→“管理工具”→“事件查看器”，可打開事件查看器。

在“安全性”中記錄了審核的記錄，包括審核的類型、日期時(shí)間、來源分類、用戶、計(jì)算機(jī)等信息，2．安全記錄 依次單擊“開始”→“程序”→“管理工具圖4-18事件查看器圖4-18事件查看器

如果記錄太多，可單擊菜單“查看”→“篩選”，搜索出指定的審核記錄。 如果記錄太多，可單擊菜單“查看”→圖4-19事件查看器的篩選功能圖4-19事件查看器的篩選功能【任務(wù)實(shí)施】

步驟1：為了記錄所有用戶對(duì)文件夾data的訪問情況，需要將該文件夾設(shè)置為審核策略審核的對(duì)象，打開該文件夾的“屬性”，再依次單擊“安全”→“高級(jí)”按鈕。【任務(wù)實(shí)施】 步驟1：為了記錄所有用戶對(duì)文件夾d圖4-20將文件夾設(shè)置為審核對(duì)象圖4-20將文件夾設(shè)置為審核對(duì)象

步驟2：在彈出的對(duì)話框中單擊“審核”

選項(xiàng)卡，再單擊“添加”按鈕，添加需要記錄

訪問情況的用戶名。由于需要記錄所有用戶，

可直接輸入“everyone”代表所有用戶。 步驟2：在彈出的對(duì)話框中單擊“審核”圖4-21添加審核對(duì)象圖4-21添加審核對(duì)象

步驟3：之后選擇需要審核的內(nèi)容，記錄用戶的所有操作則將“完全控制”選項(xiàng)勾選上。 步驟3：之后選擇需要審核的內(nèi)容，記錄用戶的所有操圖4-22設(shè)置審核的內(nèi)容圖4-22設(shè)置審核的內(nèi)容

步驟4：確定后打開該計(jì)算機(jī)的“本地安全策略”，或在域控制器中打開“域安全策略”，再依次單擊“安全設(shè)置”→“本地策略”→“審核策略”。 步驟4：確定后打開該計(jì)算機(jī)的“本地安全策略”，或圖4-23審核策略圖4-23審核策略

步驟5：雙擊打開右側(cè)的“審核對(duì)象訪問”，將“成功”和“失敗”選項(xiàng)勾選上，完成設(shè)置。 步驟5：雙擊打開右側(cè)的“審核對(duì)象訪問”，將“成功圖4-24設(shè)置審核對(duì)象訪問圖4-24設(shè)置審核對(duì)象訪問

步驟6：以后可打開“開始”→“程序”→“管理工具”→“事件查看器”，在“安

全性”中查詢?cè)撐募A的訪問情況。 步驟6：以后可打開“開始”→“程序”→“管理工具圖4-25查詢文件夾的訪問情況圖4-25查詢文件夾的訪問情況任務(wù)3組策略的簡(jiǎn)單應(yīng)用【任務(wù)描述】【預(yù)備知識(shí)】任務(wù)3組策略的簡(jiǎn)單應(yīng)用【任務(wù)描述】1．組策略

組策略是管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。1．組策略 組策略是管理員為用戶和計(jì)算機(jī)定義并控制程

組策略中分為“計(jì)算機(jī)配置”和“用戶配置”兩部分，“計(jì)算機(jī)配置”是以計(jì)算機(jī)為對(duì)象的設(shè)置，“用戶配置”是以用戶為對(duì)象的設(shè)置。 組策略中分為“計(jì)算機(jī)配置”和“用戶配置”兩部分，“計(jì)圖4-26組策略圖4-26組策略2．組策略的類型

組策略根據(jù)管理對(duì)象的不同主要可分為本地組策略、域組策略、OU組策略。2．組策略的類型 組策略根據(jù)管理對(duì)象的不同主要可分

（1）本地組策略。

（2）域組策略。

（3）OU組策略。 （1）本地組策略。圖4-27域組策略圖4-27域組策略圖4-28OU組策略圖4-28OU組策略3．組策略的應(yīng)用規(guī)則

組策略的應(yīng)用規(guī)則與安全策略類似，規(guī)則總結(jié)為以下幾點(diǎn)。3．組策略的應(yīng)用規(guī)則 組策略的應(yīng)用規(guī)則與安全策略類

（1）組策略按“本地組策略”→“域組策略”→“OU組策略”的順序?qū)⒉呗砸来螒?yīng)用到計(jì)算機(jī)或用戶中。在多個(gè)組策略設(shè)置不沖突的情況下，前者的組策略設(shè)置會(huì)被后者繼承。（1）組策略按“本地組策略”→“域組策略”→“OU組策略

（2）當(dāng)多個(gè)組策略設(shè)置沖突的情況下，后者的組策略設(shè)置會(huì)覆蓋前者的設(shè)置。 （2）當(dāng)多個(gè)組策略設(shè)置沖突的情況下，后者的組策略設(shè)置會(huì)覆蓋

（3）通過設(shè)置可阻止繼承前者的組策略，完全使用自己的策略設(shè)置。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，將下方的“阻止策略繼承”勾選上，如圖4-29所示，域控制器的組策略將不會(huì)繼承域組策略的所有設(shè)置。 （3）通過設(shè)置可阻止繼承前者的組策略，完全使用自己的策略設(shè)圖4-29阻止策略繼承圖4-29阻止策略繼承

（4）不需要的組策略可以被刪除或禁用。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，選擇需要操作的組策略對(duì)象，單擊“刪除”或單擊“選項(xiàng)”銨鈕禁用組策略對(duì)象。（4）不需要的組策略可以被刪除或禁用。設(shè)置方法是在當(dāng)前的組圖4-30禁用組策略圖4-30禁用組策略

（5）使用篩選可以阻止一個(gè)組策略對(duì)象應(yīng)用于容器內(nèi)的特定計(jì)算機(jī)和用戶。設(shè)置方法是在當(dāng)前的組策略設(shè)置中，選擇需要操作的組策略對(duì)象。（5）使用篩選可以阻止一個(gè)組策略對(duì)象應(yīng)用于容器內(nèi)的特定計(jì)算

打開它的“屬性”對(duì)話框，單擊“安全”選項(xiàng)卡，添加需要禁止應(yīng)用組策略的用戶或組，后將下方權(quán)限“應(yīng)用組策略”的禁止勾選上。 打開它的“屬性”對(duì)話框，單擊“安全”選項(xiàng)卡，添加圖4-31對(duì)特定計(jì)算機(jī)和用戶的組