第六章-配置本地安全策略

1、第六章第六章 配置本地安全策略配置本地安全策略 理论部分理论部分课程回顾课程回顾哪些用户有权限创建共享文件夹？哪些用户有权限创建共享文件夹？通过哪些方式可以访问共享文件夹？通过哪些方式可以访问共享文件夹？共享权限为读取，共享权限为读取，NTFS权限为写入，通过网络权限为写入，通过网络访问时的有效权限是什么？访问时的有效权限是什么？打印设备和打印机的区别和联系？打印设备和打印机的区别和联系？什么时候需要使用打印机优先级？什么时候需要使用打印机优先级？常用的打印权限有哪些？常用的打印权限有哪些？技能展示技能展示理解本地安全策略理解本地安全策略会配置账户策略会配置账户策略会配置本地策略会配置本地策略

2、会配置高级安全防火墙规则会配置高级安全防火墙规则本章结构本章结构配置本地配置本地安全策略安全策略账户策略账户策略高级安全高级安全Windows防火墙防火墙密码策略密码策略账户锁定策略账户锁定策略入站规则入站规则出站规则出站规则本地策略本地策略审核策略审核策略用户权限分配用户权限分配安全选项安全选项本地安全策略本地安全策略本地安全策略影响本计算机的安全设置本地安全策略影响本计算机的安全设置 本地安全策略主要包含本地安全策略主要包含账户策略账户策略本地策略本地策略高级安全高级安全Windows防火墙防火墙账户策略密码策略账户策略密码策略密码必须符合复杂性要求密码必须符合复杂性要求密码长度最小值密码

3、长度最小值 密码最长使用期限密码最长使用期限 密码最短使用期限密码最短使用期限 强制密码历史强制密码历史 用可还原的加密来用可还原的加密来 储存密码储存密码账户策略账户锁定策略账户策略账户锁定策略账户锁定阈值账户锁定阈值 账户锁定时间账户锁定时间 复位账户锁定计数器复位账户锁定计数器案例：账户锁定策略应用案例：账户锁定策略应用案例需求：案例需求：有一台系统为有一台系统为Windows Server 2008的服务器，为了的服务器，为了提高系统的安全性，如果用户在一天之内提高系统的安全性，如果用户在一天之内3次输错密码，次输错密码，就锁定相应的用户账户就锁定相应的用户账户实现思路：实现思路：账户

4、锁定阈值：账户锁定阈值：3账户锁定时间：账户锁定时间：0复位账户锁定计数器：复位账户锁定计数器：1440管理员解锁管理员解锁小结小结请思考：请思考：密码复杂性的要求是什么？密码复杂性的要求是什么？账户被锁定后，如何能使其正常登录？账户被锁定后，如何能使其正常登录？本地策略审核策略本地策略审核策略是否在安全日志中记录登录用户的操作事件是否在安全日志中记录登录用户的操作事件审核策略说明审核策略更改 确定是否对用户权限分配策略、审核策略或信任策略的更改进行审核 审核登录事件 确定是否审核此策略应用到的系统中发生的登录和注销事件 审核对象访问 确定是否审核用户访问某个对象（如文件、文件夹、注册表项、打

5、印机）的事件 审核账户登录事件确定是否审核在这台计算机用于验证账户时，用户登录到其他计算机或者从其他计算机注销的每个实例审核系统事件 确定是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件 审核策略的配置审核策略的配置审核策略设置的安全设置选项包括：审核策略设置的安全设置选项包括：成功成功失败失败无审核无审核事件查看器事件查看器作用：作用：浏览和管理事件日志浏览和管理事件日志 安全日志：安全日志：审核成功审核成功审核失败审核失败案例：审核文件和文件夹案例：审核文件和文件夹案例需求：案例需求：服务器服务器filesvr上有一个文件夹上有一个文件夹“公司文件公司文件”，其中存，其

6、中存放着公司的日常工作规范等文档，管理员希望将来能放着公司的日常工作规范等文档，管理员希望将来能够查看员工对该文件夹的成功访问和失败访问的情况够查看员工对该文件夹的成功访问和失败访问的情况实现思路：实现思路：启用启用“审核对象访问审核对象访问”策略策略 设置文件夹的审核项目设置文件夹的审核项目访问文件夹访问文件夹“公司文件公司文件”查看成功审核和失败审核的事件查看成功审核和失败审核的事件本地策略用户权限分配本地策略用户权限分配关闭系统关闭系统更改系统时间更改系统时间拒绝本地登录拒绝本地登录允许在本地登录允许在本地登录案例：用户权限分配应用案例：用户权限分配应用案例需求：案例需求：普通用户普通用

7、户UserA在登录在登录Windows Server 2008系统后系统后发现自己没有关闭系统的权限，如何让发现自己没有关闭系统的权限，如何让UserA能正常能正常关机关机实现思路：实现思路：配置本地安全策略配置本地安全策略在在“关闭系统关闭系统”策略中添加策略中添加UserA本地策略安全选项本地策略安全选项控制一些和操作系统安全相关的设置控制一些和操作系统安全相关的设置案例：安全选项应用案例：安全选项应用案例需求：案例需求：为了提高为了提高Windows Server 2008系统的安全性，希望系统的安全性，希望使用空白密码的本地账户只能进行控制台登录，如何使用空白密码的本地账户只能进行控制

8、台登录，如何实现实现实现思路：实现思路：配置本地安全策略配置本地安全策略启用启用“账户：使用空白密码的本地账户只允许进行控账户：使用空白密码的本地账户只允许进行控制台登录制台登录”策略策略高级安全高级安全Windows防火墙防火墙高级安全高级安全Windows防火墙防火墙 使用配置规则来响应传入和传出流量使用配置规则来响应传入和传出流量包括：包括：入站规则入站规则出站规则出站规则连接安全规则连接安全规则案例：入站规则配置案例：入站规则配置案例需求：案例需求：在一台服务器（在一台服务器（5）上安装并启用）上安装并启用FTP服务服务后，防火墙中将添加一条允许所有后，防火墙中将

9、添加一条允许所有FTP入站连接的入入站连接的入站规则。如何配置防火墙规则阻止客户端站规则。如何配置防火墙规则阻止客户端0通过通过FTP连接到服务器，而其它客户端都能够通过连接到服务器，而其它客户端都能够通过FTP连接到服务器连接到服务器实现思路：实现思路：新建入站规则新建入站规则指定协议、端口和操作指定协议、端口和操作配置入站规则属性配置入站规则属性案例：出站规则配置案例：出站规则配置案例需求：案例需求：有一台有一台Web服务器的服务器的IP地址为地址为0，本地计算，本地计算机的默认出站连接设置为允许，如何通过出站规则阻机的默认出站连接设置为允许，如

10、何通过出站规则阻止本地计算机通过止本地计算机通过IE访问访问Web服务器服务器实现思路：实现思路：新建出站规则新建出站规则指定程序路径和操作指定程序路径和操作验证出站规则配置结果验证出站规则配置结果本章总结本章总结配置本地配置本地安全策略安全策略账户策略账户策略高级安全高级安全Windows防火墙防火墙密码策略密码策略账户锁定策略账户锁定策略入站规则入站规则出站规则出站规则本地策略本地策略审核策略审核策略用户权限分配用户权限分配安全选项安全选项第六章第六章 配置本地安全策略配置本地安全策略 上机部分上机部分实验案例实验案例1：账户策略的应用：账户策略的应用需求描述：需求描述：有一台有一台Win

11、dows Server 2008服务器位于工作组中，服务器位于工作组中，为了加强该服务器的安全性，需要配置密码策略和账为了加强该服务器的安全性，需要配置密码策略和账户锁定策略，账户被锁定后，通过管理员账户为锁定户锁定策略，账户被锁定后，通过管理员账户为锁定的账户解锁的账户解锁实验案例实验案例1：账户策略的应用：账户策略的应用实现思路：实现思路：启用密码复杂性策略启用密码复杂性策略配置密码最短长度要求配置密码最短长度要求配置账户锁定阈值为配置账户锁定阈值为3为锁定的账户解锁为锁定的账户解锁学员练习：学员练习：在本地安全策略中配置各策略在本地安全策略中配置各策略验证所配置的策略验证所配置的策略4040分钟完成分钟完成实验案例实验案例2：审核策略的应用：审核策略的应用需求描述需求描述：在工作组中有一台在工作组中有一台Windows Server 2008文件服务器，文件服务器，服务器上有一个文件夹服务器上有一个文件夹D:data，为了加强数据的安全，为了加强数据的安全性，管理员需要审核所有用户账户对该文件夹的访问性，管理员需要审核所有用户账户对该文件夹的访问情况情况实验案例实验案例2：审核策略的应用：审核策略的应用实现思路实现思路：启用本地策略的审核对象访问启用本地策略