网络维护实战CHA06Windows安全管理实战

1、BENET3.0第一学期课程第六章 Windows 2008安全管理实战内容回顾如何监视Web服务器性能？如何优化Web服务器性能？如何加强Web服务器安全性？如何实现站点到站点VPN？2技能展示掌握安全策略的配置掌握加密和数据保护的应用掌握部署NAP服务掌握PKI高级应用掌握RODC的配置3本章结构Windows 2008安全管理实战2008安全设置数据加密和数据保护部署NAP服务PKI高级应用配置RODCNAP简介部署NAP服务RODC简介配置RODC4Windows 2008安全设置Windows 2008安全配置向导为了简化安全配置过程，Windows 2008提供了安全配置向导5案例

2、1：加强Windows 2008系统安全性BENET公司有一台计算机中保存了许多重要文件。管理员发现经常有人试图访问这些文件。为了保证该计算机的安全，管理员打算对这台计算机进行安全设置6案例1：加强Windows 2008系统安全性运行“scw”命令，启动安全配置向导新建安全策略，进行安全配置教员演示操作过程7案例1：加强Windows 2008安全性学员练习：运行“scw”命令，启动安全配置向导新建安全策略，进行安全配置10分钟内完成8数据加密和数据保护EFS简介EFS全称为加密文件系统，可以为系统中的文件提供加密保护EFS的加密过程是完全透明的，加密后不会影响用户访问文件9案例2：保证文件

3、服务器数据安全BENET公司的网络中有一台文件服务器，该服务器的E:Data文件夹中保存了大量机密文档，为了防止这些文件外泄，公司要求禁止无关人员取读、复制和修改这些文件10案例2：保证文件服务器数据安全加密E:Data文件夹，使用不同用户访问该文件夹备份密钥（导出密钥）恢复密钥（导入密钥）教员演示操作过程11案例2：保证文件服务器数据安全学员练习：加密E:Data文件夹，使用不同用户访问该文件夹备份密钥（导出密钥）恢复密钥（导入密钥）10分钟内完成12部署NAP服务NAP服务简介为了保证企业网安全，企业通常要在局域网中推行一定的安全策略，这可以通过NAP技术实现 NAP不是防范网络攻击的技术

4、，而是用于维护计算机健康，在网络中推行安全策略的一种手段13案例3：通过NAP加强企业网安全BENET公司的网络是一个Windows域，域名为。域中所有客户机通过一台DHCP服务器动态获得IP地址。为了加强安全性，管理员希望只有启用了Windows防火墙的计算机能访问网络，否则不能访问14案例3：通过NAP加强企业网安全环境要求：域控制器Windows 2008网络策略服务器DHCP服务器DNS服务器Windows Vista客户机15案例3：通过NAP加强企业网安全实验准备：使用三台计算机完成本实验：计算机DC01，IP地址为，充当域控制器和DNS服务器计算机NPS01，IP地址为，充当DH

5、CP服务器和NPS服务器计算机Client01,充当客户机，自动获得IP地址16案例3：通过NAP加强企业网安全配置活动目录域：在计算机DC01中安装活动目录域服务和DNS服务，并将该计算机配置为域控制器，域名为将计算机NPS01加入域，成为成员服务器为计算机Client01配置静态IP，加入域教员演示操作过程17案例3：通过NAP加强企业网安全安装网络策略服务器：在NPS01计算机上安装网络策略服务器教员演示操作过程18案例3：通过NAP加强企业网安全配置网络策略服务器:在NPS01计算机上配置网络策略服务器 教员演示操作过程19案例3：通过NAP加强企业网安全安装和配置DHCP服务器:在N

6、PS01计算机安装和配置DHCP服务器 教员演示操作过程20案例3：通过NAP加强企业网安全配置组策略:通过AD组策略配置Client01客户机教员演示操作过程21案例3：通过NAP加强企业网安全测试实验效果:在Client01计算机中启用防火墙，该计算机能够从DHCP服务器获得IP地址在Client01计算机中关闭防火墙，再次检查网络配置（子网掩码为55，说明网络不正常） 22案例3：通过NAP加强企业网安全学员练习：实验环境准备配置活动目录域安装网络策略服务器配置网络策略服务器安装和配置DHCP服务器配置组策略测试实验效果40分钟内完成23PKI高级应用加密恢复代理简介使用EFS加密文件后

7、，默认情况下，只有加密者本人能打开加密文件通过设置加密恢复代理，可以让指定用户打开别人加密的文件24案例4：设置加密恢复代理 为了保证公司财务数据的保密性，BENET公司财务部要求每个员工对自己所涉及的数据加密为了防止员工离职后加密数据无法打开，公司希望财务部主管可以打开别人加密的文件25案例4：设置加密恢复代理准备实验环境：建立Windows域，域名为。在活动目录中建立财务部组织单位，名称为Finance_OU。在OU中分别为财部主管、财务部员工B、财务部员工C建立帐户UserA、UserB、UserC。并将这三个账户加入Domain Admins组在域控制器中安装“Active Direc

8、tory证书服务”以UserB登录域控制器，建立一个空文件夹，在文件夹中建立一个文本文件。将建立的文件夹及文件加密以UserA和UserC登录域，访问UserB建立的文件，系统提示“拒绝访问”教员演示操作过程26案例4：设置加密恢复代理申请证书：以财务主管的帐户UserA登录域建立MMC管理控制台，添加“证书”工具，申请证书教员演示操作过程27案例4：设置加密恢复代理导出刚刚申请的证书：教员演示操作过程28案例4：设置加密恢复代理在域控制器上设置组策略：教员演示操作过程29案例4：设置加密恢复代理数据解密：以UserB登录域控制器，在前面建立的加密文件夹中再建立一个文件002.txt。可以看到

9、，该文件自动被加密以UserA登录域控制器，打开UserB加密的文件，可以打开，而且还可以取消加密状态，说明UserA是加密恢复代理以UserC登录域控制器，打开UserB加密的文件，仍然提示“拒绝访问”教员演示操作过程30案例4：设置加密恢复代理学员练习：准备实验环境申请证书导出刚刚申请的证书在域控制器上设置组策略数据解密30分钟内完成31配置RODC RODC简介RODC全称为只读域控制器，其中保存只读的Active Directory数据库，无论普通用户还是管理员都不能修改活动目录的内容RODC使分支机构在域的管理和安全方面有了新的选择32案例5：配置RODC BENET公司的网络是一个

10、Windows域，域名为。该域中有一台Windows 2008域控制器公司新成立一个部门，并为该部门组建了单独的局域网。公司打算在不增加管理负担的基础上，专门为该部门安装一台域控制器，但是不允许该部门的人修改域控制器的配置 33案例5：配置RODCRODC安装准备：以Administrator登录现有域控制器将林功能级别提升为Windows Server 2003或更高版本 执行“adprep /rodcprep” 命令安装RODC：将要安装为RODC的计算机加入域在RODC计算机中安装“Active Directory域服务”运行“dcpromo”命令，选择“使用高级模式安装”，安装RODC 教员演示操作过程34案例5：配置RODC验证安装结果：以域管理员Administrator登录域打开“Active Directory用户和计算机”，展开“Domain Controllers”容器，可以看到RODC计算机35案例5：配置RODC验证安装结果：RODC上不能修改活动目录配置（无“新建”选项） 教员演示操作过程36案例5：配置RODC学员练习：将林功能级别提升为Windows Server 2003或更高版本 执行“adprep /rodcprep” 命令将要安装为RODC的计