中职-网络操作系统Windows2003-09

1、主讲：宋一兵网络操作系统Windows 2003实用教程 第9章 系统安全管理网络操作系统Windows 2003实用教程 第9章： 系统安全管理9.1节9.2节了解安全管理的基本知识。熟悉安全管理的管理策略。掌握账户策略设置和本地策略的设置。了解网络安全管理的基本工具。掌握常用网络测试命令的使用。9.1 安全管理概述9.2 网络安全管理网络操作系统Windows 2003实用教程 第9章 系统安全管理第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1 安全管理概述不应当为不包含任何计算机的组织单位配置账户策略，因为仅包含用户的组织单位总是从域接收账户策

2、略。在Active Directory中设置账户策略时，只允许一个域账户策略，即域目录树的根域应用的账户策略。在没有经过测试，确保网络和系统体系结构有正确的应用程序功能级别之前，不应将预定义的安全模板应用于产品系统。应当定义事件日志的大小和日志环绕，以满足在设计企业安全计划时决定的商业和安全需要。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1 安全管理概述如果选择将系统服务启动设置为自动，则需进行充分的测试，以验证该服务不需要用户的参与就可以启动。跟踪计算机上使用的系统服务。为了优化性能，将不必要或不使用的服务设置为只通过手动启动。在安全设置导入Ac

3、tive Directory中的组策略对象后，将影响所有应用组策略对象的计算机账户的本地安全设置。另一种情况下，如果本地策略设置替代了这些权限，则用户账户权利将不再适用。将安全模板导入组策略对象，可以确保所有应用该组策略对象的账户在“组策略”设置刷新时，将自动接收该模板的安全设置。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.1 密码策略为使密码具有强保密性且难以破解，它应该符合以下条件。至少有7位字符长。在第2到第6个位置中至少应有一个符号字符。和以前的密码有明显的不同。不能包含名字或用户名。不能是普通的单词或名称。包含下列3组字符中的每一种类型

4、。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.1 密码策略为了确保安全性，密码使用时还要遵循以下原则。不记录密码。不和别人共享密码。不将网络登录密码用作其他用途。计算机的网络登录账户和Administrator账户使用不同的密码。每60天到90天更改一次网络密码。如果认为密码已经泄露，应立即更改密码。一些登录对话框会提供保存或记住密码的选项，不要选中该选项。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.2 账户策略所有安全策略都是基于计算机的策略。账户策略在计算机上定义，还可以影响用户账户与计算机或域

5、交互作用的方式。账户策略包含两个子集。密码策略：对于域或本地用户账户，决定密码的设置，如强制性和期限。账户锁定策略：对于域或本地用户账户，决定系统锁定账户的时间，以及锁定谁的账户。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.2 账户策略【案例9-1】 设置计算机账户的密码策略。所谓密码符合复杂性要求是指设置和更改一个密码时，密码不能包含全部或部分用户名；最小长度为6位；必须包含大写字母、小写字母和数字、以及至少3个类别的特殊字符。 第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.2 账户策略【案例9-2

6、】设置账户锁定策略。所谓账户锁定策略是指对于本地用户账户，是否限制其登录失败尝试的次数。如果启用了这个策略，则当用户连续登录若干次失败后，系统就会将该账户锁定，直至管理员进行了重新设置或该账户的锁定时间过期。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.3 设置本地策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略编辑本地计算机上的账户策略和本地策略，通过它可以控制以下几方面。访问计算机的用户。授权用户使用计算机上的什么资源。是否在事件日志中记录用户或组的操作。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 20

7、03实用教程 9.1.3 设置本地策略审核策略决定记录在计算机（成功的尝试、失败的尝试或两者）的安全日志上的安全事件。 第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.3 设置本地策略用户权限分配第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.3 设置本地策略安全选项第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.1.3 设置本地策略修改系统管理员名称。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2 网络安全管理网络安全是网

8、络操作系统最重要的系统安全之一，是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。 第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器网络监视器显示下列类型的信息。向网络中发送数据帧的计算机的源地址。 接收该帧的计算机的目标地址。 用来发送该帧的协议。 正在发送的数据（或消息的一部分）。 第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器数据是以帧的格式在网络中发送的。每个帧包含以下信息。源地

9、址：发出帧的网络适配器地址。 目标地址：接收帧的网络适配器地址。该地址也可以指定一组网络地址。 数据报头信息：用于发送帧的各个协议的专属信息。 数据：所要发送的信息（或部分信息）。 同一网段上的所有计算机都能够接收到发送给本网段的帧。而每台计算机上的网络适配器仅保留和处理发送给本适配器的帧，然后丢弃且不再处理其余的帧。不过，网络适配器会将广播（也可能是多播）帧保留下来。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器第9章： 系统安

10、全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器网络利用率：指网络当前负载与最大理论负载量的比率。局域网是以太网、共享式以太网（采用集线器）的最大网络利用率不过在30%左右，交换式以太网（采用交换机）的最大利用率则可达70%左右。如果超过这个数值，网络就饱和了，后果是冲突剧增、速度变慢。每秒帧数：指被监视的网卡每秒发出和接收的帧数量，它可以作为网络通信量的一个指标。每秒字节数：指被监视的网卡发出和接收的帧值之和，它也是网络通信量的一个指标。每秒广播

11、数：指被监视的网卡发出和接收到的广播帧的数量，正常情况下，每秒广播帧数是比较少的，它视网络上的计算机数量而定；而在发生广播风暴时，每秒广播帧数非常多。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器单播帧单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行，帧的目的MAC地址就是对方的MAC地址，网络设备（指交换机和路由器）根据帧中的目的MAC地址，将帧转发出去。多播帧多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。多播占网络中的比重并不多，主要应用于网络设备内部通信、网上视频会议、网上视频

12、点播等。广播帧广播帧可以理解为一个人对在场的所有人说话，这样做的好处是通话效率高，信息一下子就可以传递到全体。在广播帧中，帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有主机网卡的MAC地址。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.1 网络监视器同单播和多播相比，广播几乎占用了子网内网络的所有带宽。网络中不能长时间出现大量的广播帧，否则就会出现所谓的“广播风暴”（每秒的广播帧数在1000以上）。广播风暴就是网络长时间被大量的广播数据包所占用，使正常的点对点通信无法正常进行，其外在表现为网络速度奇慢无比。使用路由器

13、或三层交换机能够实现在不同子网间隔离广播风暴的作用。当路由器或三层交换机收到广播帧时并不处理它，使它无法再传递到其他子网中，从而达到隔离广播风暴的目的。因此在由几百台甚至上千台计算机构成的大中型局域网中，为了隔离广播风暴，都要进行子网划分。第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.2 常用网络测试命令网络连通测试命令pingping是一种常见的网络测试命令，可以测试端到端的连通性。 ping -t-a-n count-l length-f-i ttl-v tos-r count -s count -j computer-list|-k comp

14、uter-list -w timeoutdestination-list第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.2 常用网络测试命令路由追踪命令tracerttracert命令用于确定到目标主机所采用的路由。 tracert -d -h maximum_hops -j computer-list -w timeout target_name 第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.2 常用网络测试命令地址配置命令ipconfig用于显示所有当前的TCP/IP网络配置值。 ipconfig /

15、all | /renew adapter | /release adapter第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.2 常用网络测试命令路由跟踪命令pathpingpathping命令是一个路由跟踪工具，它将ping和tracert命令的功能和这两个工具所不能提供的其他信息结合起来。pathping命令在一段时间内将数据包发送到将到达最终目标的路径上的每个路由器，然后基于数据包的计算结果从每个跃点（路由器）返回路径信息。由于命令可以显示数据包在任何给定路由器或链接上丢失的程度，因此，可以很容易地确定可能导致网络问题的路由器或链接。pathping -n -h maximum_hops -g host-list -p period -q num_queries -w timeout -T -R target_name第9章： 系统安全管理9.1节9.2节网络操作系统Windows 2003实用教程 9.2.2 常用网络测试命令网络状态命令netstatnetstat命令用于显示当前正在活动的网络连接的详细信息 netstat -a -e