Windows Server 2003网络安全与策略 计算机网络安全技术课件

第4章WindowsServer2003网络平安与策略计算机网络平安技术课件54.2WindowsServer2003用户平安策略4.2.1WindowsServer2003账户策略和本地策略在WindowsServer2003中，用户账户有两种，分别是本地月户和组，域用户和组。4.2.2WindowsServer2003账号密码策略对于强密码，一般都具有以下的特性：〔1〕长度至少有七个字符。〔2〕不包含用户名、真实姓名或公司名称。〔3〕不包含完整的字典词汇。〔4〕与先前的密码大不相同。强密码的组成全部包含以下四组字符类型：〔1〕大写字母。〔2〕小写字母。〔3〕数字。〔4〕键盘上的符号〔键盘上所有未定义为字母和数字的字符〕。安全密码密码重设盘设置账户密码策略平安密码64.2.3KerberosV5身份验证KerberosV5是存域中进行身份验证的丰要平安协议。KerberosV5协议同时要验证用户的身份和网络效劳，这种双重验证称为“相互身份验证〞。KerberosV5策略主要包含以下方面的内容：〔1〕根制用户登录限制〔2〕效劳票证最长寿命〔3〕用户票证最长寿命〔4〕用户票证续订最长寿命〔5〕计算机时钟同步的最大容差74.3用户权限设置4.3.1WindowsServer2003内置账户及组Administrator胀户Guest账户HelpAssistant账户〔与远程协助会话一起安装〕Administrators组BackupOperators组Guests组PowerUsers组RemoteDesktopUsers组Users组84.3.2用户权限设置执行“开始〞→“运行〞命令，在“翻开〞文本框中输入“gpedit．msc〞，单击“确定〞按钮翻开如下图的“组策略编辑器〞窗口。9双击其中的任何一个用户权限设置选项，将出现一个相应内容的对话框，要求操作者选择该权限的拥有者—用户或组，单击“添加用户或组〞按钮即可对用户或组进行增加，而选择已有的任何一个用户或组，那么可以通过单击“删除〞按钮来删隙该用户或组。管理员只需根据当前的用户权限平安策略来进行操作即可，如下图。104.4WindowsServer2003数字证书4.4.1证书及证书效劳概述1．证书通常，证书包含以下信息：主题的公钥值主题标识符信息〔如名称和电子邮件地址〕有效期〔证书的有效时间〕颁发者标识符信息颁发者的数字签名2．证书效劳在WindowsServer2003中，利用证书效劳可用于以下几个方面：使用Web或Microsofi管理控制台(MMC)管理单元从CA为用户注册证书，或者通过自动注册透明地为用户注册证书。根据CA所使用的策略，使用证书模板帮助简化在申请证书时申请者必须做出的选择。利用ActiveDirectorv曰录效劳，发布信任的根证书，发布已颁发的证书，发布CRL。使用智能卡实现登录到WindowsServer2003域的能力。114.4.2WindowsServer2003证书申请4.4.3WindowsServer2003证书信任的管理（1）使用证书申请向导申请证书。（2）使用WindowsServer2003证书服务网页申请证书。（1）自动更新受信任根颁发机构（3）管理用户选定的证书颁发机构的信任（2）管理第三方证书颁发机构的信任124.5使用审核资源4.5.1审核事件在WindowsServer2003中，可以被审核并记录在平安日志中的事件类型有：审核策略更改审核登录事件审核对象访问审核过程追踪审核目录效劳访问审核特权使用审核系统事件审核帐户登录事件审核帐户管理131．查看事件记录可以通过以下两种方法来启动“事件查看器〞：2．设置日志文件的大小3．筛选事件日志中的事件设置通过对着该日志文件名单击鼠标右键选择“属性〞→“筛选器〞，或“查看〞→“筛选〞。取消筛选通过对着该日志文件名单击鼠标右键选择“查看〞→“所有记录〞。4．存储日志文件的格式1〕右击桌面上的“我的电脑〞→“管理〞→“系统工具〞→“事件查看器〞。2〕“开始〞→“程序〞→“管理工具〞→“事件查看器〞。设置时选中该日志文件名，单击鼠标右键选择“属性〞→“常规〞。存储日志文件的格式可以是以下3种形式：4.5.2事件查看器事件日志文本〔以制表符分隔〕CSV〔逗号分隔〕144.5.3使用审核资源1．制定审核策略〔1〕确定要审核的事件类型1〕访问网络资源，如文件、文件夹或打印机等。2〕用户登录和注销。3〕关闭和重新启动运行WindowsServer2003的计算机。4〕修改用户帐户和组。〔2〕确定审核成功的事件与审核失败的事件或者两者都审核1〕帐户管理：成功、失败。2〕登录事件：成功、失败。3〕对象访问：失败。4〕策略更改：成功、失败。5〕特权使用：失败。6〕系统事件：成功、失败。7〕目录效劳访问：失败。8〕帐户登录事件：成功、失败。〔3〕确定查看平安日志的时间表1〕设置审核策略。2〕设置要审核的资源。152．审核策略的设置审核策略应用的总原那么是：应用顺序在后的审核策略会覆盖掉应用顺序在前的审核策略。例如，假设在域的审核策略与本地审核策略的设置有冲突时，那么以应用顺序在后的域审核策略内的设置为其最终设置。审核策略的设置是通过“组策略〞或“本地平安策略〞进行的。根据目前正在使用的计算机与设置的对象决定使用“组策略〞或“本地平安策略〞。16本章主要讲述了WindowsServer2003Server新增加