




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
第二章Windows操作系統(tǒng)安全配置2.1認(rèn)識Windows操作系統(tǒng)2.1.1什么是Windows操作系統(tǒng)Windows是美國微軟公司以圖形用戶界面(GUI)為基礎(chǔ)研發(fā)的操作系統(tǒng),主要運(yùn)用于計算機(jī)、智能手機(jī)等設(shè)備,共有普通版本、服務(wù)器版本(WindowsServer)、手機(jī)版本(WindowsPhone等)、嵌入式版本(WindowsCE等)等子系列,是全球應(yīng)用最廣泛的操作系統(tǒng)之一。2.1.2WindowsServer2016概述
WindowsServer2016是微軟公司專門為服務(wù)器提供的一款圖形化操作系統(tǒng),可以幫助信息部門的IT人員來搭建網(wǎng)站、應(yīng)用程序服務(wù)及虛擬化云服務(wù)等。WindowsServer2016具有強(qiáng)大的管理功能和安全措施來簡化網(wǎng)站的部署與服務(wù)器的管理,能夠改善資源可用性、降低成本、保護(hù)企業(yè)應(yīng)用程序和數(shù)據(jù)的安全,使運(yùn)維人員更加輕松地管理服務(wù)器和維護(hù)應(yīng)用程序。2.1.3WindowsServer2016版本W(wǎng)indowsServer2016分為3個版本:1.DatacenterEdition(數(shù)據(jù)中心版)2.StandardEdition(標(biāo)準(zhǔn)版)3.EssentialsEdition(基本版)2.2用戶和組的安全管理用戶是具有登錄系統(tǒng)和訪問資源權(quán)限的個人賬戶。在WindowsServer2016中,每個用戶都有一個唯一的用戶名和密碼,這些信息用于登錄系統(tǒng)。用戶可以被授權(quán)訪問特定的文件、文件夾、共享資源、應(yīng)用程序、設(shè)備等。管理員可以通過設(shè)置訪問權(quán)限來對用戶進(jìn)行管理。2.2.1用戶安全管理1.修改Administrator賬戶名稱WindowsServer2016內(nèi)置了兩個可供使用的用戶賬戶。Administrator(系統(tǒng)管理員):Administrator賬戶擁有最高的權(quán)限,用戶可以使用此賬戶來管理計算機(jī)。Guest(來賓):它是供沒有賬戶的用戶臨時使用的,只有很少的權(quán)限,可以更改名稱,但是無法被刪除。此賬戶默認(rèn)是被禁用的,如果沒有禁用,則可以手動禁用此賬戶。左鍵“開始”圖標(biāo),在彈出的快捷菜單中選擇“運(yùn)行”命令,打開“運(yùn)行”窗口,輸“gpedit.msc”,單擊“確定”按鈕。打開“本地組策略編輯器”窗口,依次選擇“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”選項。在右側(cè)找到“賬戶:重命名系統(tǒng)管理員賬戶”選項并右擊,在彈出的快捷菜單中選擇“屬性”命令,彈出“賬戶:重命名系統(tǒng)管理員賬戶屬性”對話框。輸入新的賬戶名稱,單擊“確定”按鈕。2.禁用Guest賬戶左鍵“開始”圖標(biāo),在彈出的快捷菜單中選擇“計算機(jī)管理”命令,打開“計算機(jī)管理”窗口。選擇“計算機(jī)管理(本地)”→“本地用戶和組”→“用戶”→“Guest”選項,右擊,在彈出的快捷菜單中選擇“屬性”命令。彈出“Guest屬性”對話框,勾選“賬戶已禁用”復(fù)選框。3.設(shè)置用戶賬戶密碼右擊“開始”圖標(biāo),在彈出的快捷菜單中選擇“計算機(jī)管理”命令,打開“計算機(jī)管理”窗口。選擇“計算機(jī)管理(本地)”→“本地用戶和組”→“用戶”→“User”選項(以User賬戶為例),右擊,在彈出的快捷菜單中選擇“設(shè)置密碼”命令。彈出“為User設(shè)置密碼”對話框,輸入新密碼,單擊“確定”按鈕。4.創(chuàng)建密碼盤密碼盤的工作原理如下。(1)硬件層面:密碼盤需要支持硬件虛擬化和安全啟動功能。(2)安全啟動:當(dāng)服務(wù)器啟動時,密碼盤會啟動安全啟動功能,驗證操作系統(tǒng)和啟動文件的完整性,并確保它們沒有被篡改。(3)安全運(yùn)行環(huán)境:密碼盤創(chuàng)建一個安全的虛擬化環(huán)境,用于存儲用戶憑據(jù)和加密密鑰。這個環(huán)境是隔離的,不受主操作系統(tǒng)的影響。(4)認(rèn)證和加密:當(dāng)用戶登錄時,密碼盤將用戶憑據(jù)傳遞給安全運(yùn)行環(huán)境中的身份驗證服務(wù)。如果憑據(jù)正確,則密碼盤返回一個加密密鑰,用于保護(hù)用戶憑據(jù)。(5)訪問控制:密碼盤會根據(jù)用戶的訪問權(quán)限,限制用戶對虛擬化環(huán)境中憑據(jù)的訪問我們可以使用可移動磁盤(以U盤為例)來制作密碼重置盤。在計算機(jī)上插入已經(jīng)格式化的U盤,登錄賬戶之后,左鍵“開始”圖標(biāo),在彈出的快捷菜單中選擇“控制面板”命令。打開“控制面板”窗口,選擇“用戶賬戶”→“創(chuàng)建密碼重置盤”選項,打開“忘記密碼向?qū)А贝翱凇螕簟跋乱徊健卑粹o,選擇密碼密鑰盤。單擊“下一步”按鈕,輸入新密碼。2.2.2組安全管理組是一組用戶的集合,每個用戶可以屬于一個或多個組。在WindowsServer2016中,有一些內(nèi)置的組,如Administrators、Users、Guests。在WindowsServer2016中對組進(jìn)行安全管理的操作如下。單擊“開始”圖標(biāo)→“服務(wù)器管理器”→“服務(wù)器管理器”→“儀表板”→“工具”→“計算機(jī)管理”→“本地組策略編輯器”→“本地用戶和組”→“組”→“新建組”。在儀表板選項卡中選擇“工具”→“本地安全策略”→“本地安全策略”→“本地策略”→“用戶權(quán)限分配”→“關(guān)閉系統(tǒng)”雙擊→“關(guān)閉系統(tǒng)屬性”對話框。選擇“本地安全設(shè)置”→“本地安全設(shè)置”→選擇相應(yīng)的用戶或組→“添加用戶或組”,這樣被添加的組就自動擁有了該項策略的權(quán)限了。2.3文件系統(tǒng)安全配置2.3.1設(shè)置文件權(quán)限右擊需要設(shè)置權(quán)限的文件→“屬性”→“安全”→打開“安全”選項卡。單擊“高級”按鈕→“高級安全設(shè)置”→“添加”→“選擇主體”文字鏈接→“選擇用戶或組”→輸入要選擇的對象名稱→“檢查名稱”→“確定”→彈出權(quán)限項目對話框→選擇分配給用戶的權(quán)限。2.3.2設(shè)置文件夾權(quán)限用戶可以對文件夾進(jìn)行的操作,包括列出文件夾內(nèi)的文件名、在文件夾內(nèi)創(chuàng)建文件等。NTFS為每個文件夾提供了一個訪問控制列表。選中需要設(shè)置權(quán)限的文件夾并右擊→選擇“屬性”命令→打開文件夾屬性對話框→單擊“安全”→“編輯”。如果需要編輯系統(tǒng)權(quán)限,則可以單擊屬性對話框中“安全”選項卡的“高級”按鈕。2.3.3文件加密文件加密可以保護(hù)敏感數(shù)據(jù),防止未經(jīng)授權(quán)的用戶訪問和查看文件內(nèi)容。右擊需要加密的文件或文件夾→選擇“屬性”命令→單擊“常規(guī)”選項卡→“高級”按鈕→彈出“高級屬性”對話框→勾選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框→單擊“確定”按鈕。2.4服務(wù)安全配置和加固2.4.1服務(wù)安全配置1.開啟系統(tǒng)自動更新功能使用Win+R組合鍵打開“運(yùn)行”窗口→輸入“gpedit.msc”→“確定”→“本地組策略編輯器”→“計算機(jī)配置”→“管理模板”→“Windows組件”→“Windows更新”→“設(shè)置”→雙擊“配置自動更新”。打開“配置自動更新”窗口→“已啟用”→“選項”列表框中可以配置其他屬性→右擊“開始”→“以管理員身份運(yùn)行”→打開“管理員:WindowsPowerShell”→執(zhí)行“gpupdate/force”命令,使設(shè)置生效。2.開啟系統(tǒng)防火墻WindowsServer2016內(nèi)置了一個名為Windows防火墻的功能,它可以幫助管理員保護(hù)服務(wù)器不受來自網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問和攻擊。左鍵“開始”→“控制面板”→“系統(tǒng)和安全”→“檢查防火墻狀態(tài)”→“啟用或關(guān)閉Windows防火墻”→“自定義設(shè)置”→“專用網(wǎng)絡(luò)設(shè)置和公用網(wǎng)絡(luò)設(shè)置”→“啟用Windows防火墻”。專用網(wǎng)絡(luò)設(shè)置和公用網(wǎng)絡(luò)設(shè)置的區(qū)別主要在于它們適用的網(wǎng)絡(luò)環(huán)境及它們的默認(rèn)安全級別。專用網(wǎng)絡(luò)設(shè)置:專用網(wǎng)絡(luò)指的是在組織內(nèi)部使用的受信任網(wǎng)絡(luò),例如公司內(nèi)部網(wǎng)絡(luò)或內(nèi)部數(shù)據(jù)中心的網(wǎng)絡(luò)。公用網(wǎng)絡(luò)設(shè)置:公用網(wǎng)絡(luò)指的是在公共場所使用的不受信任的網(wǎng)絡(luò),例如咖啡店、機(jī)場或公共圖書館的網(wǎng)絡(luò)。3.配置防火墻規(guī)則1)入站規(guī)則2)出站規(guī)則3)程序規(guī)則4)安全組規(guī)則5)認(rèn)證規(guī)則6)邊界規(guī)則4.開啟IE增強(qiáng)安全配置啟用IE增強(qiáng)的安全配置后,服務(wù)器的IE瀏覽器將只能訪問白名單中的網(wǎng)站。單擊“開始”→“服務(wù)器管理器”→“儀表板”→“配置此本地服務(wù)器”→“IE增強(qiáng)的安全配置”→“啟用”→在彈出的“InternetExplorer增強(qiáng)的安全配置”對話框中根據(jù)需求設(shè)置管理員和用戶是否啟用InternetExplorer增強(qiáng)的安全配置。2.4.2服務(wù)安全加固RemoteRegistryService是WindowsServer2016中的一項服務(wù),它允許用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問計算機(jī)上的注冊表。主要作用有以下幾個方面。1.遠(yuǎn)程管理2.集中管理3.故障排除2.5本地安全策略2.5.1賬戶策略配置賬戶策略用于控制用戶登錄失敗的次數(shù)和時間,從而防止攻擊者暴力破解密碼。“開始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“工具”→“計算機(jī)管理”→“本地組策略編輯器”→“本地計算機(jī)策略”→“計算機(jī)配置”→“Windows設(shè)置”→
“安全設(shè)置”→“賬戶策略”→“密碼策略”→右側(cè)可以設(shè)置關(guān)于賬戶密碼的一些策略,左側(cè)“賬戶鎖定策略”選項可以設(shè)置賬戶鎖定時間等策略。2.5.2本地策略配置“開始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“工具”→“計算機(jī)管理”→“本地組策略編輯器”→“本地計算機(jī)策略”→“計算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”。“審核策略”包含“審核登錄事件”“審核對象訪問”等策略?!坝脩魴?quán)限分配”包含“備份文件和目錄”“創(chuàng)建符號鏈接”“創(chuàng)建全局對象”等策略?!鞍踩x項”包含與交互式登錄、關(guān)機(jī)等相關(guān)的策略。設(shè)置本地策略的注意事項:(1)在設(shè)置密碼策略時,需要確保密碼長度、復(fù)雜度等符合實際需求和安全要求。(2)在設(shè)置賬戶鎖定策略時,需要根據(jù)實際情況來選擇合適的鎖定閾值和鎖定時長,以確保系統(tǒng)安全和用戶體驗的平衡。(3)在檢查設(shè)置是否生效時,可以根據(jù)實際需要選擇不同的方法和工具,以確保策略生效并能及時發(fā)現(xiàn)和處理相關(guān)安全事件。2.6域和活動目錄安全管理1.安裝ActiveDirectory服務(wù)(域控制器)WindowsServer2016中的ActiveDirectory是一種目錄服務(wù),它是基于LDAP(LightweightDirectoryAccessProtocol)的一種分布式數(shù)據(jù)庫系統(tǒng)。ActiveDirectory用于管理網(wǎng)絡(luò)中的用戶、組、計算機(jī)和其他資源,并提供集中化的認(rèn)證和授權(quán)機(jī)制,從而實現(xiàn)對網(wǎng)絡(luò)資源的安全訪問和管理。2.6.1域和域控制器安全策略配置“開始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“添加角色和功能”→“添加角色和功能向?qū)А薄跋乱徊健薄斑x擇安裝類型”→“基于角色或基于功能的安裝”→“下一步”→“選擇目標(biāo)服務(wù)器”→“從服務(wù)器池中選擇服務(wù)器”→“下一步”→“選擇服務(wù)器角色”→勾選“ActiveDirectory域服務(wù)”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務(wù)器角色”→“下一步”→“選擇服務(wù)器角色”→勾選“ActiveDirectory域服務(wù)”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務(wù)器角色”→“下一步”→“選擇功能”、“ActiveDirectory域服務(wù)”使用默認(rèn)選項→“確認(rèn)安裝所選內(nèi)容”→“安裝”→“關(guān)閉”按鈕回到“儀表板”→“通知”→“將此服務(wù)器提升為域控制器”→“ActiveDirectory域服務(wù)配置向?qū)А薄疤砑有铝帧薄案蛎敝休斎搿啊?,→“下一步”→“域控制器選項”→鍵入目錄服務(wù)還原模式(DSRM)密碼→“下一步”→其他窗口中使用默認(rèn)選項即可→“安裝”→自動重啟。在WindowsServer2016中,ActiveDirectory主要有以下幾個特點(diǎn):1)集中化的用戶管理2)集中化的認(rèn)證和授權(quán)機(jī)制3)統(tǒng)一的命名空間4)可擴(kuò)展性和可定制性5)支持分布式管理6)安全性和穩(wěn)定性2.域安全策略配置域安全策略是一種安全性設(shè)置,用于保障域中計算機(jī)的安全。它是一組規(guī)則和設(shè)置,定義了域中所有計算機(jī)的安全策略和配置,并指定了哪些用戶和組可以訪問計算機(jī)和域資源?!伴_始”圖標(biāo)→“Windows管理工具”→“組策略管理”→“林:”→“域”→“”→“DefaultDomainPolicy”→“編輯”注意事項:(1)隸屬于域的任何一臺計算機(jī)都會受到域安全策略的影響。(2)隸屬于域的計算機(jī),如果本地安全策略的配置與域安全策略的配置有沖突,則以域安全策略的配置優(yōu)先,也就是說本地安全策略自動無效。(3)當(dāng)域安全策略的配置發(fā)生變化時,這些策略需要應(yīng)用到本地計算機(jī)后才對本地計算機(jī)有效。2.6.2活動目錄安全管理活動目錄(ActiveD
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 行政管理自考本科專業(yè)發(fā)展與試題及答案
- 行政管理的評價標(biāo)準(zhǔn)試題及答案
- 2025農(nóng)業(yè)銀行貸款合同范本
- 行政管理的社會超級結(jié)構(gòu)研究試題及答案
- 2025合作伙伴(公司)合作協(xié)議合同范本
- 2025年管理心理學(xué)考試注意事項試題及答案
- 現(xiàn)代管理學(xué)中業(yè)務(wù)流程再造試題及答案
- 行政管理學(xué)學(xué)術(shù)研究試題及答案
- 2025婚禮策劃公司員工合同樣本
- 2025家庭雇傭家政服務(wù)員合同
- 第四課:印巴戰(zhàn)爭
- 電氣設(shè)備-開篇緒論匯編
- 武漢綠地中心項目技術(shù)管理策劃書(48頁)
- 婚無遠(yuǎn)慮必有財憂法商思維營銷之婚姻篇74張幻燈片
- 紅外圖像處理技術(shù)課件
- 小學(xué)一年級人民幣學(xué)具圖片最新整理直接打印
- 投擲:原地投擲壘球
- 港口碼頭常用安全警示標(biāo)志
- 密閉式周圍靜脈輸液技術(shù)PPT課件
- 電梯快車調(diào)試方法
- 主要材料損耗率表
評論
0/150
提交評論