第十讲(一)域的安全策略ppt课件

1、平安战略本章目的本章运用域的平安战略，加强了域环境平安性 了解本地平安战略 了解域控制器平安战略 了解域平安战略 掌握密码战略 掌握账户锁定战略 掌握审核战略密码战略帐户锁定战略 概念运用举例 本章构造平安战略三种平安战略的关系域帐户战略运用审核文件及文件夹本地平安战略帐户战略本地战略 域控制器平安战略域平安战略审核战略用户权限分配平安选项本地平安战略 本地平安战略影响本计算机的平安设置本地平安战略主要包含帐户战略本地战略账户战略2-1 密码战略 密码必需符合复杂性要求密码长度最小值 密码最长运用期限 密码最短运用期限 强迫密码历史 用可复原的加密来存储密码 账户锁定战略 账户锁定阈值 账户锁

2、定时间 复位账户锁定计数器 账户战略2-2 帐户战略举例 在独立的计算机上要让账户的密码长度最小为8，账户假设延续3次输错密码就会被锁定 步骤1单击【开场】|【程序】|【管理工具】|【本地平安战略】，展开【账户战略】|【密码战略】2双击“密码长度最小值，输入“83在【账户锁定战略】中，双击“账户锁定阈值，输入“34在【开场】|【运转】中，输入“gpupdate刷新本计算机的本地平安战略或者重启计算机5更改管理员账户administrator密码，检验能否将密码修正成小于8位长度的密码6退出系统，运用普通账户登录，故意输错密码3次，该账户就会被锁定本地战略3-1 审核战略能否在平安日志中记录登录

3、用户的操作事件 用户权限分配如封锁系统更该系统时间回绝本地登录允许在本地登录 平安选项控制一些和操作系统平安相关的设置 本地战略3-2 用户权限分配举例作为效力器的计算机不能让普通用户交互式登录在本地登录 步骤:1单击【开场】|【程序】|【管理工具】|【本地平安战略】，展开【本地战略】|【用户权限分配】2双击“允许在本地登录，删除“Power Users和“Users3在【开场】|【运转】中，输入“gpupdate刷新本计算机的本地平安战略或者重启计算机4退出系统，运用普通账户登录，检验能否登录本地战略3-3 平安选项举例在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必

4、需阅读公司运用计算机的本卷须知步骤:1展开【本地战略】|【平安选项】2在以下选项中输入提示信息交互式登录：用户试图登录时音讯标题交互式登录：用户试图登录时音讯文字3刷新本地平安战略4验证 阶段总结本地平安战略主要包含账户战略和本地战略 密码战略包含哪些选项账户锁定战略哪些选项本地战略有哪几部分域控制器平安战略2-1 域控制器平安战略与本地平安战略的区别影响的计算机前者影响DC后者影响非DC翻开方式【域控制器平安战略】【本地平安战略】帐户战略中有何异同前者有Kerberos战略与域用户账户的登录有关 域控制器平安战略2-2 域控制器平安战略运用举例某个普通域账户需求在DC上登录步骤1翻开【域控制

5、器平安战略】|【平安 设置】|【本地战略】|【用户权限分配】，双击【允许在本地登录】，添加需求在DC上登录的用户帐户2刷新域控制器平安战略3验证该普通用户能否在DC上登录 域平安战略3-1 可以影响整个域中的计算机的平安设置 翻开方式【域平安战略】帐户战略密码战略帐户锁定战略 Kerberos 战略本地战略域平安战略3-2三种平安战略的关系成员计算机和域的设置项冲突时，域平安战略生效域控制器和域的设置项冲突时，域控制器平安战略生效本地平安战略域控制器平安战略域平安战略域平安战略3-3 举例验证以本地选项的设置项为例交互式登录：用户试图登录时音讯标题 交互式登录：用户试图登录时音讯文字成员计算机

6、与域的对比域控制器与域的对比域账户战略运用 帐户战略设置需求域账户密码长度至少7个字符密码符合复杂性要求密码至少30天修正一次设置密码锁定战略：输入5次密码不正确就锁定该用户帐户实施步骤 1单击【开场】|【程序】|【管理工具】|【域平安战略】2设置【账户战略】的【密码战略】和【账户锁定战略】3设置终了，刷新域平安战略4修正某个账户的密码，验证密码战略能否起作用 5运用某个域账户登录，故意输错密码，看几次后账户被锁定阶段练习背景某些员工设置密码长度很短，而且不符合复杂性要求密码很久也不修正有时会发生非法用户试探员工密码目的密码战略设置账户锁定战略设置密码战略的验证账户锁定战略验证如何给账户解锁审

7、核文件及文件夹 审核战略审核文件及文件夹 事件查看器审核战略 常用审核战略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组； 重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核文件及文件夹 步骤启用对象访问审核战略设置需求审核 的文件或文件夹事件查看器2-1 运用程序

8、运用程序或系统程序记录的事件 平安性登录尝试以及记录与资源运用相关的事件 系统Windows 系统组件记录的事件 安装了其他效力那么能够会添加日志类型目录效力文件复制效力DNS 效力器事件查看器2-2事件类型错误:红色警告:黄色信息:白色胜利审核:钥匙失败审核: 锁保管日志审核文件或文件夹的实现步骤 1启用域或者本机的审核战略中的审核对象访问战略，并刷新战略2在文件或文件夹的【平安】属性|【高级】|【审核】中，添加要审核的账户及详细的审核工程3运用用户访问该文件夹或者文件4运用【事件查看器】，检查能否有用户访问的记录。阶段总结本地平安战略、域控制器平安战略和域平安战略之间的关系 域账户战略如何

9、加强域账户的平安性审核战略包含哪些内容审核文件及文件夹主要步骤有哪些 阶段练习背景BENET公司需求审核员工对效力器上某文件夹的访问情况目的审核战略文件夹或者文件的【平安】|【高级】|【审核】属性设置运用【事件查看器】本章总结密码战略帐户锁定战略 概念运用举例 平安战略三种平安战略的关系域帐户战略运用审核文件及文件夹本地平安战略帐户战略本地战略 域控制器平安战略域平安战略审核战略用户权限分配平安选项密码必需符合复杂性要求密码长度最小值 密码最长运用期限 密码最短运用期限 强迫密码历史 账户锁定阈值 账户锁定时间 复位账户锁定计数器 了解域控制器平安战略与本地平安战略的区别成员计算机和域的设置项冲突时，域平安战略生效域控制器和域的设置项冲突时，域控制器平安战略生效1启用域审核战略中的审核对象访问战略，并刷新战略2添加文件夹的审核工程3用户访问文件夹4运用事件查看器实验义务1 域账户战略运用 义务2 审核文件夹 义务1 域账户战略运用 背景某些员工设置密码长度很短而且不符合复杂性要求密码很久也不修正有时会发生非法用户试探员工密码完成规范设置密码战略：密码长度最小值为7、密码必需符合复杂性要求、密码运用最长期限3