16设置安全策略案例

1、设置安全策略案例案例背景bebet公司所有员工的初始密码为benet2!码。管理员担心公司员工更改的密码过于简单, 容易被扫描软件扫描扫到，同时管理员担心用户长久不更改密码影响安全性。对于公司域控 制器，管理员需要验证都有谁在什么时候登录。有人反应公司的文件服务器上的资料有丢失 现象，管理员需要查找是否有人有意的删除文件。由于域用户帐号一旦登录域内成员主机成功，访问文件服务器不在需要做身份验证，为了放 置有人恶意尝试用户密码，公司要求所有员工有三次输入密码机会，三次输入错误自动锁定 帐号。试行一段时间后很多人帐号经常锁定，不得不频繁找管理员，管理员需设定用户帐号 的30分钟自动解锁。公司有人反

2、应访问加入域后，用域用户帐号登录后不能口动关机，公司要求所有员工下班必 须关机离开，管理员解决这个问题。有部分输入domain users组的员工需要登录域控制器，可这些员工反应他们无法登录域控制 器，管理员解决这个问题文件服务器公司要求所有员工可以网络访问，但不可以对文件服务器本地登录，公司要求管 理员完成，并对文件服务器做登录审核。对于文件服务器，公司要求本地登录成功后需要提示：标题：重要警告，内容：服务器重 地，请不要做任何删除和剪切。实验目标1所有域用户帐号在设置密码时，必须符合复制密码要求，密码长度至少7位，密码必须每 60天更新一次2设置三次密码锁定，设置锁定复位时i'可3

3、0分钟。3为域控制器启动帐号的登录审核，对文件服务器启动对象审核4把域用户帐号加入关闭系统，保证可以下班关机5把域用户帐号加入本地登录安全策略6文件服务器上把所有的用户帐号加入拒绝网络访问，对文件服务器启动审核7对文件服务器设置登录提示实验环境1 3人一组2准备2台windows server 2003虚拟机（1台域控制器，1台成员主机）3实验网络为192.168.8.0/24ip地 hh 192.168.8.3255.255.255.0dxs: 192.168.8.1ip 地 m:i92.i6s.s.i了阿掩 w:2$255.255.odns: 192.168.8.1实验步骤:1在域控制器上

4、完成以域管理员登录域控制器,设置域安全策略文件(e)操作査看0z)帮助(tl)5* ©ffi > cff 0 (§_lwbctows 设畳a脚本（启动/关机） 曰j安全设jew字帐户策略 s 9宪码第略 抄低户锁定第略s厚kerberos第略s回本地策略第略 /囲密码必须符合复杂性要求 崗密小值斶凶也血生l址 渤密码量短使用期限脚强制铠码历史囲用可还原的加密未備存密码策略设畳 己启用 7个字符24个记住的密码 己禁用gpupdate更新域女全策略c:docunents and settingsxadninistrator>gpupdate丰在刷新策略用亡策略刷耕

5、完成。卄律机策略幕噺完成。雯址查在策略处理中的错误，请查阅事件日志。创建用户帐号testxj创建在：b«net. com. cn/us«rs密码qt):确认密码(c):7用戶下次登录时须更改巒码龜) 厂用尸不能更改密码(£)厂密玛永不过期世)厂帐尸己葉用(q)<上一步©)|j下一步)>1取消|重启成员主机，用test帐号登录输入简单密码123更改空码童码至少需要7个字符,不能重复使用前24个密码 > 必須使用， 1天 > 必狈包含大気字母、数字或标点符号 > 且不能包含您的秋 全名.谙键入瓦他密玛.诸在两个文本框内输入符合这

6、些要求片用输入止确密码确定删疋wf3<j°© 00 x 囹o windows 设置策略/策略设査12在域控制器上以域管理员登录30分钟之后30呑钟0 /安全设置 日寻帐户策略s3导密码第略闕复位帐户锁定计数器 阀帐户锁定时间匚ttt3次无效登e#帐户锁定策略更新域测试c：docunents and settingsxrtdninistrator>gpupdate正在刷新策略涉二策略刷ff完成。飪章机策略副新完成。要检查在策略处理中的错误，请查阅事件日志。重新启动成员主机，故意输入密码3次错误输入正确密码，帐号已经被锁定用尸名qd：密码e):思考：lesi帐号即使

7、用正确密码都没有办法登录，目前用什么方法可以让lesi帐号马上登录 成功。在test帐号锁定的状态下，如果在另外一个域内的成员主机上用test登录，可以登录成功吗？3域管理员在域控制器上设置域控制器安全策略的登录审核文牛(e)操作3)査看3 帮助01)> * i ©：e0 x gff 喝(§_l windows 设3脚本(启动/关机) e少安全设蓋(8爭帐户策略a j本地第略 囹j审核策略 囹j用户权限分配 囹j安全选项 田事件日志回受限制的组0系统服务(8注册表> 91文件系统(0 y 无线网络(ieee 802.11)j(fl _j公钥策略h 软件限制策略m

8、 m ip安全第略.# active第略策略设*改件问眸e3 更事访跟刖俶鼻査管 略录彖程录权统户户 第登对过目特系帐帐 核核核核核核核核核 审审审审审审审审审 斶閔囲稠閩閥閔囲闕审核登求事件属性安全策略设*审核養录事件p定义这聲策略设置审孩这誉檢作p成功g)17 粋®)无审核11 xi利用gp叩date更新策略。c: 'docunents and sett ings pdnin istrator>gpupdate匡在刷新策略用亡策略刷暂完成。歸律机策略副新完成。要殓查在策略处理中的错误，请查阅事件日志。登录域控制器查看结果y7诸键入程序、文件夹、文档或internet

9、资源的名11麻，windows将为您打开它打开(q)：eventvwr msceventvwr.msc 取消 |浏览©).杳看登录h志思考：如果域管理员administrator登录成员主机，会冇日志结果吗。注意取消本地策略设置。 域管理员在域控制器上设置域安全策略默认域安全设置文件）操作®查看8帮助3 * | is 00 x es1 喝 |自23 windows 设置策略/策略设畫1自脚本（启动/关机）- 安全设釐n睜帐户策略觀审核策略更改斶审核登录事件没有定义 没有定义閔审核对象访问成功，失败d因本地第略1国站审核策略一 q b lt 今rtr?h 八 2風审核过程跟踪

10、蹈审核目录服务访问没有定义 没有定义 g右q书在文件服务器上对公司资料设置everyone审核工攻 abxl.sy_，l bp;t8yl:gsy 甸®昌e曲公司资料属性安全nistretors2 ev>ryon>ad»inistrators芫全控制 渎取和运行列出文件央目录it®5aoxouaaeor公司资料的髙级安全设畫权跟审核i所有看i材效权j审孩j5目（i）:r用在此显示的那些m以应用到r么 特刖权限或as级设量耐 j s进一步了廉理.公司资料的审核项目?| x对象名亦 0(): pveryont斷到w |该文件来。子文件夹及文件 访问g）:刃岀

11、文件典/读取戲18 读取關性读取扩3性 血文件/右入帧 倔文件兴励加数18 爲入關性 爲入扩展廉性 i除子文件典风文件读取权限 更改权限取得所有权成功更改©i39h二 2hb0000000000000000000000mwotocr选定存 以lesi帐号登录文件服务器，删除文件，查看结杲 思考，用test帐号本身可以查看事务日志吗4用域用户帐号test在成员主机上登录，关机结果为关 31 windowsf i windows server 2003* enterprise editioncopnht c 1w5 2003 microioh corporkw希望计算机做什么«

12、）?结束会话在完全耗电状态下运行计算机.确定域管理员在域控制器上设置域安全策略文件（e）操作森看乞）帮助（h） 匸：0国 > ：喝（§-|s| xl_j wndow$if.?7勻脚本（启动/关机） s j安全设畫眇帐户第略e j本地第略 囹臼审核第略多甌翻麵匡| j安全选项於事件日志 j9受限制的姐 込3系统jk务 込3注册衰 国文件系统 y无技网络（ieee 802第略/1策崎设般）各份文件和目录没有定义獨创建标记对象没有定义閩创建全局对掠没有定义歆）创建页面文件没有定义獨创建永久共享对捺没有定义囲从扩展坞中取出计算机没有定义囲从网络访问此计算机没有定义獨从远程茶统强制关机没

13、有定义阀调试程序没有定义囲调整进程的内存配额没有定义画关闭系统it理甲恢决女王口石 1誦怀匝立絆和曰得testfxf疋人 洱有定vgpupdate更新策略c：docunents and settingsxadninistrator>gpupdate平在刷新策略用亡策略刷ff完成。*章机策略副新完成。要養查在策略处理中的错误，请查阅事件日志。重新启动成员成员主机，用lest帐号登录，可关机卞叭windows'systa microsoft windows 版本 <c> 版权所有 1985-2003 iwinclows(-lolxl/ 1 windows server 2

14、003>.enterprise edition|c：、dociiru:nt£sett 訂§mkroeoltcorportionbenet xtestl闿jgi+n机做什么or）?c： m)ocunents and setting斛今话#关闵小如“这帧pt宅令加关毡电关田宙件序请选琛最准赃谜堆关闭计算机的標因的选攻选项q）:|基他（计划的）r计划的垃）为未知原因而畫新启动戒关机.注释c）：取消 | 粘肋qi）以lesi帐号在域控制器上登录亘录到windowsmchmottwindows server 2enterprise editionc<fyri0ht o 1

15、m5-2003 microtoft corporation用尸名q):翻(x)：澄录到q-):顷© «i亘录消直凶! 此系统的本地策略不允许您交直登录.确定j思考：此系统的本地策略不允许您交互登录和密码帐号不匹配冇什么区别。分别发生在什么 场景下域管理员在域控制器设置域控制器安全策略文件(e)操作® 查看g0帮助<wq * ©|o0 x es一i windows 设釐总脚本(启动/关机) 曰诊安全设叠步帐户策略m畐本地策略 田审核策略 s用户权限分配 s安全选项 田事件日志 受限制的组 <c3系统服务 s-ca注册表 审29文件系统 y 无线

16、网络ceee 802.11) 列口公钥策略勺d软件限制策略±團ip安全笨略，在activi 国 i策略设置adm泊istrators.backup ( benetsupport_3889« benetsupport3889-?| xi第略/ 閥还原文件和目录躅拒绝本地登录斶拒绝从网络访问这台计算机% 0 允许在本地登录属性安全策曙设置允许在本地矍录p定义这些策略设置)：account operators administratorseskup 耳3&3£print 0p«ratorsserver operators test更新策略c：xdocu

17、nents and settingsxftdninistrator>gpupdate丰在刷新策略用f策略刷if完成。行聲机策略副新完成。要檢查在策略处理中的错误，请查阅事件日志。重新启动域控制器，用（est登录验证结果6尝试网络登录文件服务器，可以成功域管理员在域控制器上设置域女全策略拒绝网络访问更新策略c： docunents and sett ingsfidninistratoi*>gpupdate 平在刷新策略 用：策略刷ff完成。片幫机策略撇新完成。要殓查在策略处理中的错误，请查阅事件日志。重新启动成员主机，验证结果c:' wizdowssystem32cmd.ex

18、erosoft windows 版本 5.2.3790 版权所有 1985-2003 microsoft corp.documents and sett ingsmtdn inis t rat or >gpupdate丽斷策号xj登录失败:未授予用户在此计算机上的请求登录类型。docunentws ip确电二icrnct adapter 本地连接：connect ion-spec if ic dnssuffix:ip address:192.168.8.1subnet mask ：255.255.255 bdefault gateway sdocuments and settinasadninistrator>7域管理员设置文件服务器的本地策略岡交互式登录:用尸试图登重要警告 闕交互式登录:用户试图登服务器重地，列）交互式鹫录：用户试图弩 重要警告 甌丈5：无盛乘俑户轻函雪二服参軽董地，二注