Windows Server 2003 安全管理-北大青鸟BENET网络工程教材_WIN2003

1、1/Slide numbersVersion 1.0Windows Server 2003 安全管理安全管理第六章第六章2/Slide numbers内容回顾内容回顾nNTFS权限权限u文件夹及文件的权限文件夹及文件的权限u特殊权限特殊权限u权限的组合、继承和拒绝权限的组合、继承和拒绝u移动和复制对权限的影响移动和复制对权限的影响n文件夹及文件的加密文件夹及文件的加密n文件夹及文件的压缩文件夹及文件的压缩3/Slide numbers本章目标本章目标n了解了解Windows Server 2003的安全特征的安全特征n了解本地策略和域安全策略了解本地策略和域安全策略n掌握配置掌握配置组策略的方

2、法组策略的方法n掌握关于审核和日志的操作方法掌握关于审核和日志的操作方法4/Slide numbersWindows Server 2003 安全概述安全概述 nWindows Server 2003的安全性相对比的安全性相对比Windows 2000有很大的提高。有很大的提高。n增加了和安全相关的组件，如防火墙增加了和安全相关的组件，如防火墙n对某些可能引起安全的服务或程序，默认都是对某些可能引起安全的服务或程序，默认都是被禁用的被禁用的n重写了某些服务，例如重写了某些服务，例如IIS6.0n改变了某些默认设置改变了某些默认设置5/Slide numbers什么是安全什么是安全 n安全就是保

3、护计算机系统中的硬件和软件资安全就是保护计算机系统中的硬件和软件资源不被未经授权的非法用户盗取和利用。源不被未经授权的非法用户盗取和利用。u设备安全设备安全u系统安全系统安全u服务安全服务安全u数据安全数据安全u通讯安全通讯安全6/Slide numbersWindows Server 2003 安全特性安全特性 n内置安全防火墙。内置安全防火墙。n默认情况下禁用所有不必要的服务。默认情况下禁用所有不必要的服务。n增强安全策略。增强安全策略。n重写重写IIS6.0。n更严格的对象控制权限。更严格的对象控制权限。n自动更新服务自动更新服务 7/Slide numbers本地安全策略本地安全策略

4、n哪些用户具有访问此台哪些用户具有访问此台计算机的权限，包括本计算机的权限，包括本地交互式登录用户和网地交互式登录用户和网络访问用户。络访问用户。n授权登录用户在本地计授权登录用户在本地计算机上的可以访问的资算机上的可以访问的资源和一些特殊的权限。源和一些特殊的权限。n是否在安全日志中记录是否在安全日志中记录登录用户的操作事件。登录用户的操作事件。n控制用户使用的密码策控制用户使用的密码策略和账户锁定策略略和账户锁定策略 8/Slide numbers账户策略账户策略 n密码策略密码策略 u密码必须符合复杂性要求密码必须符合复杂性要求u密码长度最小值密码长度最小值 u密码最长使用期限密码最长使

5、用期限 u密码最短使用期限密码最短使用期限 u强制密码历史强制密码历史 u用可还原的加密来存储密码用可还原的加密来存储密码 n账户锁定策略账户锁定策略 u账户锁定阀值账户锁定阀值 u账户锁定时间账户锁定时间 u复位账户锁定计数器复位账户锁定计数器 9/Slide numbers本地策略本地策略 n审核策略审核策略 n用户权限分配用户权限分配 n安全选项安全选项 10/Slide numbers域安全策略域安全策略 n影响整个域中所有的对影响整个域中所有的对象，包括用户和计算机。象，包括用户和计算机。u计算机重启动计算机重启动u用户登录用户登录u策略刷新策略刷新11/Slide numbers域

6、安全策略（域安全策略（Cont.）n帐户策略帐户策略u密码策略密码策略u帐户锁定策略帐户锁定策略 uKerberos 策略策略 12/Slide numbers组策略组策略 n组策略又称组策略又称Group Policyn组策略可以管理计算机和用户组策略可以管理计算机和用户n组策略可以管理用户的工作环境、登录注销组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等时执行的脚本、文件夹重定向、软件安装等 13/Slide numbers计算机配置计算机配置 n软件设置软件设置nWindows 设置设置n管理模板管理模板 软件设置软件设置Windows 设置设置管理模板管理

7、模板14/Slide numbers用户配置用户配置 n软件设置软件设置nWindows 设置设置n管理模板管理模板 软件设置软件设置Windows 设置设置管理模板管理模板15/Slide numbers用户配置（用户配置（Cont.）n举例：文件夹重定向举例：文件夹重定向16/Slide numbers管理模板管理模板 n计算机配置管理模板计算机配置管理模板uWindows组件组件u系统系统u网络网络u打印机打印机n用户配置管理模板用户配置管理模板uWindows组件组件u任务栏和开始菜单任务栏和开始菜单u桌面桌面u控制面板控制面板u共享文件夹共享文件夹u网络网络u系统系统用户配置管理模板

8、用户配置管理模板计算机配置管理模板计算机配置管理模板17/Slide numbers管理模板（管理模板（Cont.）n禁用浏览器的另存为功能禁用浏览器的另存为功能18/Slide numbers管理模板（管理模板（Cont.）n禁用光驱的自动播放功能禁用光驱的自动播放功能 19/Slide numbers管理模板（管理模板（Cont.）n禁用脱机文件功能禁用脱机文件功能 20/Slide numbers管理模板（管理模板（Cont.）n禁用并删除关机指令禁用并删除关机指令 21/Slide numbers管理模板（管理模板（Cont.）n隐藏桌面上的所有图标隐藏桌面上的所有图标22/Slide

9、 numbers管理模板（管理模板（Cont.）n删除控制面板中的添加删除控制面板中的添加/删除程序图标删除程序图标 23/Slide numbers组策略应用规则组策略应用规则 n组策略的继承组策略的继承 n策略的累加策略的累加 n阻止策略继承阻止策略继承n强制继承生效强制继承生效24/Slide numbers将组策略应用于本地计算机将组策略应用于本地计算机 n在本地计算机利用在本地计算机利用MMC控制台添加组策控制台添加组策略编辑器略编辑器n在这里设置的策略将影在这里设置的策略将影响本地计算机中的用户响本地计算机中的用户和当前系统和当前系统nGpedit.msc25/Slide numb

10、ers审核与日志审核与日志 n审核主要用来记录计算机的活动情况审核主要用来记录计算机的活动情况u用户的登录信息用户的登录信息u用户对文件夹的访问信息用户对文件夹的访问信息u特权使用特权使用u用户管理用户管理n成功、失败成功、失败n安全日志安全日志26/Slide numbers应用审核策略应用审核策略 n选择需要审核的策略选择需要审核的策略n选择审核的操作选择审核的操作u成功成功u失败失败事件事件说明说明账户登录事件记录域用户从当前计算机登录时，域控制器收到的验证信息。账户管理纪录所有对用户帐户或组账户的操作，比如新建、修改、删除、更改密码等。目录服务访问记录用户访问活动目录对象的事件。登录事

11、件记录所有计算机用户的登录和注销事件。对象访问记录用户对某个对象的访问，比如打印机、文件夹等等。策略改变记录用户更改审核策略、用户权利和安全选项的事件。特权使用记录用户使用其特殊权利的事件，如何更该系统时间。过程跟踪该安全设置确定是否审核事件（例如程序激活、进程退出、句柄复制和间接对象访问等）的详细跟踪信息。系统事件记录关于重起或关闭计算机的事件，或者是发生了和操作系统相关的安全事件。27/Slide numbers审核文件及文件夹审核文件及文件夹 n先启用对象访问审核策略先启用对象访问审核策略n在设置需要审核的文件或文件夹在设置需要审核的文件或文件夹28/Slide numbers事件查看器

12、事件查看器 n应用程序日志应用程序日志n安全日志。安全日志。n系统日志。系统日志。 n目录服务日志。目录服务日志。n文件复制服务日志。文件复制服务日志。nDNS 服务器日志。服务器日志。29/Slide numbers事件查看器事件查看器(Cont.)n事件类型事件类型u错误。黄色错误。黄色u警告。警告。 红色红色u信息。白色信息。白色u成功审核。钥匙成功审核。钥匙u失败审核。失败审核。 锁锁n保存日志保存日志30/Slide numbers本章总结本章总结nWindows Server 2003的安全特性和的安全特性和Windows 2000相比有很多增强相比有很多增强n内置防火墙、严格的权

13、限控制、空密码帐户内置防火墙、严格的权限控制、空密码帐户访问限制、自动更新服务等。访问限制、自动更新服务等。n本地安全策略是对当前计算机中的策略设置，本地安全策略是对当前计算机中的策略设置，主要包括帐户策略和本地策略主要包括帐户策略和本地策略n建立安全的密码应该满足复杂性、长度、定建立安全的密码应该满足复杂性、长度、定期更换等条件期更换等条件n帐户锁定策略可以防止非法用户使用穷举的帐户锁定策略可以防止非法用户使用穷举的方法破解密码方法破解密码 31/Slide numbers本章总结本章总结(cont.)n用户权利指派可以为一些用户分配一些特殊用户权利指派可以为一些用户分配一些特殊的权限，然后

14、可以执行一些特殊的操作，如的权限，然后可以执行一些特殊的操作，如关机、更改系统时间等。关机、更改系统时间等。n安全选项可以设定和操作系统安全相关的设安全选项可以设定和操作系统安全相关的设置，如不显示上次登录的用户名置，如不显示上次登录的用户名n域安全策略对整个域中的计算机和用户都有域安全策略对整个域中的计算机和用户都有效，默认域策略中的密码策略非常严格。效，默认域策略中的密码策略非常严格。n组策略分为计算机配置和用户配置，计算机组策略分为计算机配置和用户配置，计算机针对容器中的计算机有效，用户配置针对容针对容器中的计算机有效，用户配置针对容器中的域用户帐户有效器中的域用户帐户有效 32/Sli

15、de numbers本章总结本章总结(Cont.)(Cont.)n组策略必须应用在组织单位、域或站点上组策略必须应用在组织单位、域或站点上n组策略有继承的特性，即子容器中的对象会组策略有继承的特性，即子容器中的对象会继承上一级容器的策略。继承上一级容器的策略。n通过审核可以记录计算机的日常活动，比如通过审核可以记录计算机的日常活动，比如用户登录、特权使用、对象访问等等。用户登录、特权使用、对象访问等等。n利用事件查看器可以查看系统中产生的日志。利用事件查看器可以查看系统中产生的日志。33/Slide numbers实验目标实验目标n应用本地安全策略管理用户环境应用本地安全策略管理用户环境n应用域