(推荐)Windows网络操作系统配置与管理单元四任务4：使用组策略配置安全性

1、(推荐)windows网络操作系统配置与管理单元四任务4：使用组策略配置安全性windows 网络操作系统的配置与管理单元一：安装windows操作系统单元二：安装与配置活动目录域服务单元三：管理用户和组单元四：配置和管理组策略单元五：配置与管理分布式文件系统单元六：配置与管理存储系统单元七：配置与管理打印服务器单元八：ip地址与配置方法单元九：配置与管理dhcp服务器单元十：配置与管理dns服务器单元十一：配置与管理web服务器 单元十二：配置与管理adcs单元十三：配置路由与远程访问单元十四：配置网络策略服务和网络访问保护 单元四 配置和管理组策略任务1 配置本地计算机策略任务2 创建和配

2、置gpo任务3 使用组策略配置用户环境任务4 使用组策略配置安全性任务任务4 4 使用组策略配置安全性使用组策略配置安全性一、课程导入二、知识原理2.1 安全策略2.2 账户策略2.3 网络安全策略2.4 高级安全 windows 防火墙2.5 细粒度密码策略2.6 受限制组成员身份 2.7 软件限制策略2.8 安全模板2.9 安全配置向导三、演习 使用组策略配置安全性四、小结一、课程导入 保证公司网络的数据存储和数据通讯的安全是非常重要的，如何利用组策略配置和管理服务器和数据的通讯安全？二、知识原理2.1 安全策略2.2 账户策略2.3 网络安全策略2.4 高级安全 windows 防火墙2

3、.5 细粒度密码策略2.6 受限制组成员身份 2.7 软件限制策略2.8 安全模板2.9 安全配置向导2.1 安全策略 安全策略是保护计算机上和网络上的资源的规则，它包括用户安全配置和计算机安全配置：windows server操作系统支持的计算机安全性领域操作系统支持的计算机安全性领域 安全性领域描述账户策略密码策略、账户锁定策略。kerberos策略本地策略审核策略、用户权限分配策略、安全选项事件日志应用程序、系统和安全事件日志设置受限制的组安全组的成员身份系统服务系统服务的启动和权限注册表对注册表项的权限文件系统对文件夹和文件的权限无线网络策略针对无线连接的ieee802.3策略公钥策略

4、公钥管理和分发软件限制策略控制对软件的访问internet协议安全性（ipsec）策略将ipsec策略分配给计算机windows server 2008支持的新增加计算机安全性领域支持的新增加计算机安全性领域安全性领域描述高级安全windows 防火墙配置windows防火墙设置网络列表管理器策略控制客户端网络位置有线网络（ieee802.3）策略针对局域网lan接口的ieee802.3策略网络访问保护控制计算机的网络访问保护设置windows server 操作系统支持的用户安全性领域操作系统支持的用户安全性领域安全性领域描述公钥策略配置企业信任、受信任的人软件限制策略证书规则，哈希规则，区

5、域规则，路径规则2.2 账户策略 描述 密码 账户锁定 kerberos 策略 强制密码历史：24 个密码最长密码期限：42 天最短密码期限：1 天最短密码长度：7 个字符复杂密码：启用 使用可逆加密存储密码：禁用 锁定时间：未定义 锁定阈值：0 次无效登录尝试复位账户锁定失败：未定义 账户策略的组成：只能应用在域级 账户策略可减少暴力破解账户密码的威胁，从而保护公司的账户和数据。2.3 网络安全策略 分离 windows xp 和 windows vista 的无线策略 windows vista 策略包含更多针对无线网络的选项 windows vista 无线策略可拒绝对无线网络的访问 可

6、以通过组策略配置 802.1x 身份验证 只有 windows vista 和更高版本可接收有线网络策略 定义 windows vista 和 windows xp 客户端无线连接的可用网络和身份验证方法，以及windows vista 和 windows server 2008 客户端的 lan 身份验证。windows xpwindows vista无线有线仅无线windows xpwindows vista仅无线gpo2.4 高级安全 windows 防火墙 支持筛选传入流量和外发流量 用于高级设置配置 提供集成的防火墙筛选和 ipsec 保护设置 允许针对各种条件（如用户、组以及 tc

7、p 和 udp 端口）的规则配置 提供网络位置感知的配置文件 可导入或导出策略 基于主机的有状态防火墙，根据其配置允许或阻止网络流量。 windows server 2008 internetlan防火墙防火墙规则控制入站和出站流量 2.5 细粒度密码策略管理员组经理组最终用户组密码更改：7 天 密码更改：14 天 密码更改：30 天 细粒度密码策略允许同一个域中不同的用户和组拥有不同的密码策略。 实施细粒度密码策略的方式实施实施 pso 时的注意事项：时的注意事项：pso 有以下可用的设置：有以下可用的设置： “密码设置容器”和“密码设置对象”是新的架构对象类 pso 只能应用于用户或全局组

8、 可通过 adsi edit 或 ldifde 创建 pso 密码策略 账户锁定策略 pso 链接 优先顺序 实施细粒度密码策略的步骤 注意事项：注意事项：影子组可用于将 pso 应用于尚无相同的全局组成员身份的所有用户 用户或组可以有多个与之链接的 pso优先顺序属性用于解决冲突 优先顺序值越低，优先级越高直接链接到用户对象的 pso 覆盖链接到用户全局组的 pso1.如果没有 pso，那么常规域账户策略生效 步骤：步骤：创建必要的组，然后添加行业的用户到组针对所有已定义的密码策略创建pso1.将pso应用于相应的用户或全局组2.6 受限制组成员身份 组策略可按如下方法控制组成员身份：组策略

9、可按如下方法控制组成员身份： 对于本地计算机上的任何组，将 gpo 应用于包含该计算机账户的 ou 对于 ad ds 中的任何组，将 gpo 应用于域控制器受限制的组：受限制的组：该策略用来控制组的成员身份。使用该策略将成员放入一个组。如果定义了“受限制的组”策略，并刷新组策略，那么不属于“受限制组”策略成员列表中的成员将被删除。2.7 软件限制策略软件限制策略：软件限制策略：该策略防止用户运行某些应用程序或某些类型的应用程序。软件限制策略为管理员提供了策略驱动的机制，用户标识软件以及控制软件能否在客户端计算机上运行。注意事项：注意事项：为某台计算机分配组策略来限制访问软件时：，那么将限制登录

10、到该计算机的任何用户为某个用户分配组策略设置来限制访问软件时：不管此用户登录到哪台计算机，该策略会影响该用户。软件限制策略的组件：软件限制策略的组件：安全级别安全级别规则规则设置设置配置软件限制策略的安全级别安全级别安全级别描述描述不受限此安全级别允许所有软件根据用户正常权限运行。基本用户此安全级别允许程序以没有管理员访问权限的用户执行，但是仍能访问正常用户可访问的资源不允许除了专门标识为该规则的例外的软件之外，此安全级别不允许任何软件在客户端计算机上运行。配置软件限制策略的规则证书规则检查应用程序的数字签名在需要限制 win32 应用程序和 activex 内容时使用internet 区域规

11、则控制如何访问 internet 区域在高安全性环境中用于控制对 web 应用程序的访问哈希规则用于采用文件的 md5 或 sha1 哈希来确认真实性用于允许或禁止某些文件版本运行路径规则在限制文件路径时使用当存在同一个应用程序的多个文件时使用当 srp 较严格时至关重要2.8 安全模板安全模板：安全模板：是已配置的安全设置的集合。可以使用预定义的安全模板作为基础来创建可自定义的安全策略，以符合需求；也可以创建新的模板。使用“安全模板”来配置单台或多台计算机上的安全性。安全模板包含所有安全性方面的安全设置。 允许管理员将统一的安全设置应用于多台计算机 可通过组策略进行应用 可根据服务器角色设计

12、 2.9 安全配置向导scw 通过以下方式提供了有向导的受攻击面缩小步骤：禁用不需要的端口和服务配置windows防火墙配置ipsec筛选器配置ldap设置配置服务器消息模块设置配置ntlm协议设置配置预定义审核设置配置iis、microsoft exchange server以及大多数microsoft服务器端应用程序产品的各个设置合并scw未处理的现有安全模板设置应用或回滚安全策略三、演示 使用组策略配置安全性工作场景：工作场景： 你是时讯公司的网络管理员，时讯公司it企业管理员规划公司的网络安全策略，在实施之前，需要你在虚拟系统下模拟测试。实验环境：实验环境： sh-dc1sh-cli1

13、sh-svr2任务创建域账户策略：强制密码历史：24 个密码最长密码期限：30 天最短密码期限：19 天最短密码长度：8个字符复杂密码：启用 锁定时间：启用 锁定阈值：5 次无效登录尝试复位账户锁定失败：30分钟 为非管理员创建本地账户策略：从开始菜单删除“运行”菜单创建windows vista客户端的无线网络gpo：vireless配置在所有域控制器上禁止remote registry服务对itadmins组实施细粒度密码策略对administrators组配置受限制组策略禁止internet explorer和vbs脚本在域控制器上运行的软件限制策略创建用于文件和打印服务器的安全模板：fpadmin利用scw为svr2计算机配置安全设置，并导入fpadmin模板验证安全配置 演示 使用组策略配置安全性目的：创建域账户策略创建无线网络gpo 实施细粒度密码策略 配置受限制组策