安全策略的管理

第5章内容回顾NTFS文件系统的特点如何获得NTFS移动和复制操作对权限的影响AGDLP规则含义是什么安全策略第6章本章目标本章应用域的安全策略，加强了域环境安全性

理解本地安全策略 理解域控制器安全策略 理解域安全策略 掌握密码策略 掌握账户锁定策略 掌握审核策略密码策略帐户锁定策略概念应用举例本章结构安全策略三种安全策略的关系域帐户策略应用审核文件及文件夹本地安全策略帐户策略本地策略域控制器安全策略域安全策略审核策略用户权限分配安全选项本地安全策略本地安全策略影响本计算机的安全设置本地安全策略主要包含帐户策略本地策略账户策略2-1密码策略

密码必须符合复杂性要求密码长度最小值

密码最长使用期限

密码最短使用期限

强制密码历史

用可还原的加密来存储密码

账户锁定策略

账户锁定阈值

账户锁定时间

复位账户锁定计数器

账户策略2-2帐户策略举例

在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错密码就会被锁定步骤1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【账户策略】|【密码策略】2）双击“密码长度最小值”，输入“8”3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3”4）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）5）更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码6）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁定本地策略3-1审核策略是否在安全日志中记录登录用户的操作事件用户权限分配如关闭系统更该系统时间拒绝本地登录允许在本地登录

安全选项控制一些和操作系统安全相关的设置

本地策略3-2用户权限分配举例作为服务器的计算机不能让普通用户交互式登录（在本地登录）步骤:1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【本地策略】|【用户权限分配】2）双击“允许在本地登录”，删除“PowerUsers”和“Users”3）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）4）退出系统，使用普通账户登录，检验能否登录本地策略3-3安全选项举例在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的注意事项步骤:1）展开【本地策略】|【安全选项】2）在以下选项中输入提示信息交互式登录：用户试图登录时消息标题交互式登录：用户试图登录时消息文字3）刷新本地安全策略4）验证阶段总结本地安全策策略主要包包含账户策策略和本地地策略密码策略包包含哪些选选项账户锁定策策略哪些选选项本地策略有有哪几部分分返回域控制器安安全策略2-1域控制器安安全策略与与本地安全全策略的区区别影响的计算算机前者影响DC后者影响非非DC打开开方方式式【域控控制制器器安全全策策略略】【本地地安安全全策策略略】帐户户策策略略中中有有何何异异同同前者者有有Kerberos策略略与域域用用户户账账户户的的登登录录有有关关域控控制制器器安安全全策策略略2-2域控控制制器器安安全全策策略略应应用用举举例例某个个普普通通域域账账户户需需要要在在DC上登登录录步骤骤1）打打开开【域控控制制器器安全全策略略】|【【安全全设设置置】|【【本地地策策略略】|【【用户户权权限限分分配配】，双双击击【允许许在在本本地地登登录录】，添添加加需需要要在在DC上登登录录的的用用户户帐帐户户2）刷刷新新域域控控制制器器安安全全策策略略3）验验证证该该普普通通用用户户能能否否在在DC上登登录录返回回域安安全全策策略略3-1可以以影影响响整整个个域域中中的的计计算算机机的的安安全全设设置置打开开方方式式【域安安全全策策略略】帐户户策策略略密码码策策略略帐户户锁锁定定策策略略Kerberos策略略本地地策策略略域安安全全策策略略3-2三种种安安全全策策略略的的关关系系成员员计计算算机机和和域域的的设设置置项项冲冲突突时时，，域域安安全全策策略略生生效效域控控制制器器和和域域的的设设置置项项冲冲突突时时，，域域控控制制器器安安全全策策略略生生效效本地地安安全全策策略略域控控制制器器安安全全策策略略域安安全全策策略略域安安全全策策略略3-3举例例验验证证以本本地地选选项项的的设设置置项项为为例例交互互式式登登录录：：用用户户试试图图登登录录时时消消息息标标题题交互互式式登登录录：：用用户户试试图图登登录录时时消消息息文文字字成员员计计算算机机与与域域的的对对比比域控控制制器器与与域域的的对对比比域账账户户策策略略应应用用帐户户策策略略设设置置需需求求域账账户户密密码码长长度度至至少少7个字字符符密码码符符合合复复杂杂性性要要求求密码码至至少少30天修修改改一一次次设置置密密码码锁锁定定策策略略：：输输入入5次密密码码不不正正确确就就锁锁定定该该用用户户帐帐户户实施施步步骤骤1）单单击击【开始始】|【【程序序】|【【管理理工工具具】|【【域安安全全策策略略】2）设设置置【账户户策策略略】的【密码码策策略略】和【账户户锁锁定定策策略略】3）设设置置完完毕毕，，刷刷新新域域安安全全策策略略4）修修改改某某个个账账户户的的密密码码，，验验证证密密码码策策略略是是否否起起作作用用5）使使用用某某个个域域账账户户登登录录，，故故意意输输错错密密码码，，看看几几次次后后账账户户被被锁锁定定阶段段练练习习背景景某些些员员工工设设置置密密码码长长度度很很短短，，而而且且不不符符合合复复杂杂性性要要求求密码码很很久久也也不不修修改改有时时会会发发生生非非法法用用户户试试探探员员工工密密码码目标标密码码策策略略设设置置账户户锁锁定定策策略略设设置置密码码策策略略的的验验证证账户户锁锁定定策策略略验验证证如何何给给账账户户解解锁锁审核核文文件件及及文文件件夹夹审核核策策略略审核核文文件件及及文文件件夹夹事件件查查看看器器审核核策策略略常用用审审核核策策略略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组；重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核核文文件件及及文文件件夹夹步骤启用对象访问问审核策略设置需要审核核的文件或文件件夹事件查看器2-1应用程序应用程序或系系统程序记录录的事件安全性登录尝试以及及记录与资源源使用相关的的事件系统Windows系统组件记录录的事件安装了其他服服务则可能会会增加日志类类型目录服务文件复制服务务DNS服务器事件查看器2-2事件类型错误:红色警告:黄色信息:白色成功审核:钥匙失败审核:锁保存日志审核文件或文文件夹的实现现步骤1）启用域或者者本机的审核核策略中的审审核对象访问问策略，并刷刷新策略2）在文件或文文件夹的【安全】属性|【高级】|【审核】中，添加要审审核的账户及及详细的审核核项目3）使用用户访访问该文件夹夹或者文件4）使用【事件查看器】，检查是否有有用户访问的的记录。阶段总结本地安全策略略、域控制器器安全策略和和域安全策略略之间的关系系域账户策略如如何加强域账账户的安全性性审核策略包含含哪些内容审核文件及文文件夹主要步步骤有哪些阶段练习背景BENET公司需要审核核员工对服务务器上某文件件夹的访问情情况目标审核策略文件夹或者文文件的【安全】|【高级】|【审核】属性设置使用【事件查看器】本章总结密码策略帐户锁定策略略概念应用举例安全策略三种安全策略略的关系域帐户策略应应用审核文件及文文件夹本地安全策略略帐户策略本地策略域控制器安全全策略域安全策略审核策略用户权限分配配安全选项密码必须符合合复杂性要求求密码长度最小小值密码最长使用用期限密码最短使用用期限强制密码历史史账户锁定阈值值账户锁定时间间复位账户锁定定计数器理解域控制器器安全策略与与本地安全策策略的区别成员计算机和和域的设置项项冲突时，域域安全策略生生效域控制器和域域的设置项冲冲突时，域控控制器安全策策略生效1）启用域审核核策略中的审审核对象访问问策略，并刷刷新策略2）添加文件夹夹的审核项目目3）用户访问文文件夹4）使用事件查查看器实验任务1域账账户策略应用用任务2审核核文件夹任务1域账账户策略应用用背景某些员员工设设置密密码长长度很很短而且不不符合合复杂杂性要要求密码很很久也也不修修改有时会会发生生非法法用户户试探探员工工密码码完成标标准设置密密码策策略：：密码码长度度最小小值为为7、密码码必须须符合合复杂杂性要要求、、密码码使用用最长长期限限30天设置帐帐户锁锁定策策略：：用户户锁定定阈值值为5次用户StuY被锁定定后管管理员员解锁锁，让让用户户正常常登录录任务2审审核文文件夹夹的访访问背景BENET公司的的一台台服务务器上上的一一个共共享文文件夹夹中存存放着着公司司的日日常工工作规规范等等文档档需要审核员工工对该文件夹夹的访问情况况完成标准使用【事件查看器】，可以看到服服务器上的【安全】日志中的有用用户访问文件件夹记录9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Saturday,December24,202210、雨中黄叶叶树，灯下下白头人。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、以我独独沈久，，愧君相相见频。。。12月-2200:19:1900:19Dec-2224-Dec-2212、故人江海别别，几度隔山山川。。00:19:1900:19:1900:19Saturday,December24,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2200:19:1900:19:19December24,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。24十十二二月月202212:19:19上上午午00:19:1912月月-2215、比不了了得就不不比，得得不到的的就不要要。。。。十二月2212:19上上午12月-2200:19December24,202216、行动出出成果，，工作出出财富。。。2022/12/240:19:1900:19:1924December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。12:19:19上上午午12:19上上午00:19:1912月月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Saturday,December24,202210、很多事情情努力了未未必有结果果，但是不不努力却什什么改变也也没有。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月-2200:19:1900:19Dec-2224-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。00:19:1900:19:1900:19Saturday,December24,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2200:19:1900:19:19December24,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。24十十二月202212:19:19上上午00:19:1912月-2215、楚塞三湘湘接，荆门门九派通。。。。十二月2212:19上午12月-2200:19December24,202216、少年十五五二十时，，步行夺得得胡马骑。。。2022/12/240:19:1900:19:1924December202217、空山新雨雨后，天气气晚来秋。。。12:19:19上上午12:19上午00:19:1912月-229、杨柳散和和风，青山山澹吾虑。。。12月-2212月-22Saturday,December24,202210、阅读一切好好书如同和过过去最杰出的的人谈话。00:19:1900:19:1900:1912/24/202212:19:19AM