《安全策略》PPT课件.ppt

网络安全,主讲人 刘晓辉,第5章 安全策略,本章要点 用户账户安全策略 配置审核策略 配置IPSec安全策略,5.1.1 密码策略 5.1.2 账户锁定策略 5.1.3 推荐的账户策略设置,企业用户账户的保护主要使用密码的保护机制，为了避免用户身份因密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接和防范网络嗅探等措施。,5.1.1 密码策略,密码必须符合复杂性要求。 密码长度最小值。 密码最长使用期限。 密码最短使用期限。 强制密码历史。 用可还原的加密来存储密码。,密码策略包含以下6个策略：,5.1.2 账户锁定策略,复位账户锁定计数器。 账户锁定时间。 账户锁定阈值。,账户锁定策略包含以下3个策略：,5.1.3 推荐的账户策略设置,“密码必须符合复杂性要求”-已启用，必须启用。 “密码长度最小值”：8个字符或者更高。,“账户锁定阀值”：3次。 “账户锁定时间”：30分钟。 “复位账户锁定计数器”：30分钟。,推荐的账户锁定策略如下：,推荐的密码策略如下：,5.2 审核策略,5.2.1 审核策略设置 5.2.2 推荐的审核策略设置 5.2.3 调整日志审核文件的大小,系统审核机制可以对系统中的各类事件进行跟踪并写入日志文件，供管理员进行分析、查找系统和应用程序故障，以及分析各类安全事件。审核是Windows Server 2003中安全策略的一部分，它是一个维护系统安全性的工具。,5.2.1 审核策略设置,1. 审核账户登录事件 2. 审核账户管理 3. 审核目录服务访问 4. 审核登录事件 5. 审核对象访问 6. 审核策略更改 7. 审核特权使用 8. 审核过程跟踪 9. 审核系统事件,5.2.2 推荐的审核策略设置,“审核策略更改”，成功+失败。 “审核登录事件”，成功+失败。 “审核访问对象”，失败。 “审核目录服务访问”，失败。 “审核特权使用”，失败。 “审核系统事件”，成功+失败。 “审核账户登录事件”，成功+失败。 “审核账户管理”，成功+失败。,3项日志:应用程序日志、安全日志和系统日志。 将“最大日志文件大小”，设为512 000KB。 将“当达到最大的日志尺寸时” 设为“不改写事件” 。,推荐的审核策略如下:,推荐的日志属性设置如下:,5.2.3 调整日志审核文件的大小,应用程序日志，51 200KB，即50MB。 安全性日志，1 024 000KB，即1 000MB。 系统日志，102 400KB，即100MB。,推荐的日志空间大小如下：,5.3 限制用户登录,5.3.1 用户权力 5.3.2 限制登录,在Windows Server 2003网络中，管理员可以使用“Active Directory用户和计算机”限制用户的登录行为，也可以使用组策略提供的登录权利功能，限制用户的登录及访问。,5.3.1 用户权力,1. 用户权利 2. 特权 3. 登录权利 4. 设置用户权力,管理员可以指派特定权利组账户或单个用户账户。这些权利批准用户执行特定的操作，如交互式登录系统或备份文件和目录。,5.3.2 限制登录,限制用户的登录行为，可以设置允许该用户登录的时间和登录到的计算机。,5.4 安全配置和分析,5.4.1 预定义的安全模板 5.4.2 安全等级 5.4.3 实施安全配置和分析,“安全配置和分析”工具允许快速复查安全分析结果。推荐当前系统设置、图标或注释用于突出显示当前设置与建议的安全级别不匹配的任何设置。,5.4.1 预定义的安全模板,默认工作站，basicwk.inf。 默认服务器，basicsv.inf。 默认域控制器，basicdc.inf。 兼容工作站或服务器，compatws.inf。 安全工作站或服务器，securews.inf。 高度安全工作站或服务器，hisecws.inf。 专用域控制器，dedicadc.inf。 安全域控制器，securedc.inf。 高度安全域控制器，hisecdc.inf。,Windows 2000/2003操作系统提供了许多增量安全模板。默认情况下，这些模板存放在SystemrootSecurityTemplates目录中，可根据需要导入。,5.4.2 安全等级,1. 基本（basic*.inf）等级 2. 兼容（compat*.inf）等级 3. 安全（secure*.inf）等级 4. 高度安全（hisec*.inf）等级 5. 专用域控制器（dedica*.inf）等级,预定义的安全模板含有5个公用安全等级：,5.4.3 实施安全配置和分析,1. 添加“安全配置和分析”管理单元 2. 设置安全数据库 3. 导入/导出安全模板 4. 分析系统的安全性 5. 检查安全性分析结果 6. 配置系统安全模板,1. 添加“安全配置和分析”管理单元,2. 设置安全数据库,3. 导入/导出安全模板,4. 分析系统的安全性,5. 检查安全性分析结果,6. 配置系统安全模板,系统安全模板 安全模板应用,5.5 IPSec安全策略,5.5.1 IPSec服务 5.5.2 IPSec策略创建防火墙,IPSEC策略是Windows Server 2003自带的IP安全策略设置组件，可以针对网络数据的源IP地址，目的IP地址以及使用的协议，端口等信息进行详细设置，可以管理进出计算机的网络数据包。,5.5.1 IPSec服务,5.5.2 IPSec策略创建防火墙,1. 创建IP筛选器 2. 创建IP筛选器操作 3. 创建IP安全策略 4. 设置IP安全规则 5. 指派IP安全策略 6. 策略测试,在域控制器上使用IPSec建立防火墙的步骤如下：,1. 创建IP筛选器,“IP筛选器向导”对话