项目7系统与数据的安全管理

作为网络管理员，必须熟悉网络安全保护的各种策略环节以及可以采取的安全措施。这样才能合理地进行安全管理，使得网络和计算机处于安全保护的状态。项目背景项目7系统与数据的安全管理项目7系统与数据的安全管理知识目标了解：网络安全、安全策略的含义；WindowsServer2003的安全管理机制熟悉：安全策略、安全模板、安全模式的应用掌握：常见安全策略的配置，安全模板的创建与导入，备份和还原数据的方法步骤名，Windows防火墙的配置能力目标会进行账户策略、审核策略的安全设置会进行用户权限分配、安全选项的安全设置能基于域和OU使用安全模板批量进行安全设置会对磁盘数据和系统状态等重要信息进行备份和还原能运用制定备份任务计划，实现重要数据的自动备份会使用“安全模式”修复系统会进行Windows防火墙的配置教学目标7.2

项目知识准备网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。WindowsServer2003的安全性贯穿于许多系统服务功能中，涉及网络、密码学、认证、CA中心、文件加密等多方面。

7.2.1网络安全的含义与特征7.2

项目知识准备7.2.2

WindowsServer2003安全管理机制身份验证——它用于确认尝试登录访问网络资源的用户的身份，即控制哪些用户能够登录到服务器。访问控制——规定了访问发起者(如用户、进程、服务等)对访问对象(需要保护的资源)的访问权限。安全策略——规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则本地安全策略:实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和IP安全策略。域控制器安全策略:实现域控制器的安全。域安全策略:实现整个域的安全。组策略:实现整个网络的安全。7.2

项目知识准备7.2.2

WindowsServer2003安全管理机制审核——就是把发生的事件按照预先设定的方式记录下来以供检查和分析。数据保护——数据存储：加密文件系统(EFS)；数据恢复：RAID、ntbackup、安全模式、故障恢复控制台；数据传输：IAS、IPSec和FIPS加密、SSL和IAS/RADIUS认证；数据使用：数字签名技术、凭证管理器、ICF软件防火墙公钥结构——通过使用公钥加密技术，对电子交易中涉及每一方的合法性进行验证和身份验证

域信任——允许用户对其他域上的资源进行身份验证。Windows防火墙——一种基于软件的监控状态筛选防火墙,它通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络。7.3项目实施任务7-1帐户策略的安全设置1.密码策略设置步骤如下：任务7-1帐户策略的安全设置2.帐户锁定策略的设置账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。设置账户锁定策略的步骤如下：任务7-2审核策略的安全设置

审核就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。配置审核策略就是确定把哪些事件写入计算机的安全日志中。设置步骤：任务7-3用户权限分配的安全设置用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限控制为谁授予登录计算机的权限以及他们的登录方式，比如拒绝本地登录、允许本地登录等；特权控制对计算机上系统范围的资源的访问，比如关闭系统、更改系统时间等。任务7-3用户权限分配的安全设置用户权限名称说明从网络访问此计算机默认情况下任何用户均可从网络访问计算机，根据实际需要可以撤销某组账户从网络访问的权限。拒绝从网络访问这台计算机有些用户只在本地使用，不允许通过网络访问此计算机，就可以将此用户加入到该策略中。允许在本地登录此登录权限确定了可交互式登录到该计算机的用户，通过在连接的键盘上按Ctrl+Alt+Del组合键启动登录，该操作需要用户拥有此登录权限。另外，一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。拒绝本地登录此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约，则此策略设置将取代允许本地登录策略。关闭系统让普通用户具有关闭计算机的权限。任务7-3用户权限分配的安全设置用户权限分配的设置步骤如下：任务7-4“安全选项”的安全设置在“安全选项”中的安全策略，是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项：安全选项名称说明关机：允许系统在未登录前关机正常情况下，只有登录系统后具有权限的用户才能关机，如果有时需要在未登录前关机，可将此策略启用账户：使用空白密码的本地账户只允许进行控制台登录密码为空的用户不能通过网络访问此计算机，此策略禁用后，密码为空的用户将不会受到限制。交互式登录：用户试图登录时消息文字该安全设置指定用户登录时显示的文本消息。使用该文本通常作用是用于警告。例如警告用户登录后哪些操作不被允许等。网络访问：不允许SAM账户和共享的匿名枚举禁止通过共享会话猜测管理员系统口令账户：来宾账户状态禁用来宾账户任务7-4“安全选项”的安全设置“安全选项”的设置步骤如下：：任务7-5使用安全模板批量进行安全设置1.认识WindowsServer2003的安全模板安全模板是经过配置的安全设置的集合。Win2K3提供了满足不同安全级别的预定义“安全模板”，存放在%SystemRoot%\security\templates文件夹中。9个默认安全模板，各模板包括的安全设置项目都是一样的，只是根据不同的安全级别有不同设置值。任务7-5使用安全模板批量进行安全设置2．创建自定义的安全模板任务7-5使用安全模板批量进行安全设置3．将自定义安全模板应用于计算机任务7-6备份与还原磁盘数据备份数据的目标是还原丢失的数据备份和还原数据时需要合理地设置权限数据备份

数据数据数据

数据被毁坏还原

数据

数据任务7-6备份与还原磁盘数据1．备份数据任务7-6备份与还原磁盘数据备份数据的类型：【正常】：正常备份用于复制所有选定的文件，并且在备份后标记每个文件（即清除存档属性）。使用正常备份，只需备份文件或磁带的最新副本就可以还原所有文件。通常，在首次创建备份集时执行一次正常备份。【副本】：副本备份可以复制所有选定的文件，但不将这些文件标记为已经备份（不清除存档属性）。如果要在正常和增量备份之间备份文件，复制是很有用的，因为它不影响其他备份操作。【增量】：增量备份仅备份自上次正常或增量备份以来创建或更改的文件。它将文件标记为已经备份（即清除存档属性）。如果将正常和增量备份结合使用，需要具有上次的正常备份集和所有增量备份集才能还原数据。【差异】：差异备份用于复制自上次正常或增量备份以来所创建或更改的文件。它不将文件标记为已经备份（不清除存档属性）。如果要执行正常备份和差异备份的组合，则还原数据将需要上次已执行过正常备份和差异备份。【每日】：每日备份用于复制执行每日备份的当天修改过的所有选定文件。备份的文件将不会标记为已经备份（不清除存档属性）。任务7-6备份与还原磁盘数据2.还原数据任务7-7备份与还原系统状态当选择备份某个域控制器的系统状态时，主要包含以下几项：ActiveDirectory（非域控制器时无该项）启动文件COM+类注册数据库注册表系统卷(SYSVOL)（非域控制器时无该项）任务7-7备份与还原系统状态在域控制器上备份系统状态的过程如下：任务7-8制定备份任务计划利用备份任务计划，可以实现按期自动备份工作。例如，公司服务器上的各业务部门的日常工作文档，需要定期做正常备份和差异备份。每星期日00：30做正常备份，星期二到星期五22：00做差异备份。任务7-8制定备份任务计划过程如下：任务7-9使用“安全模式”修复系统进入安全模式:在启动计算机自动自检完成后进入图形界面之前，按F8键，会出现Windows高级选项菜单。任务7-9使用“安全模式”修复系统【安全模式】：只启动最基本的服务和驱动程序。不加载网络驱动程序，依赖网络的服务则被设置为手工启动，常用于修复由于出现了与网络服务有关的故障而使计算机无法启动的情况。【带网络连接的安全模式】：启动最基本的服务和驱动程序，增加了网络连接功能。当需要网络支持，并且可以肯定网络驱动程序没有引起故障的时候。【带命令行提示的安全模式】：启动最基本的服务和驱动程序，禁用了网络连接。启动后，屏幕出现命令行提示符，用cmd.exe代替了通常使用的explorer.exe。使用此模式，可以对因为explorer出现故障而造成操作系统无法启动进行调试。【启用启动日志】：同时将由系统加载或没有加载成功的所有驱动程序和服务记录到ntbtlog.txt文件中，该文件对于确定系统启动问题的准确原因很有用。【启用VGA模式】：当安装了使Windows不能正常启动的显示卡驱动程序时，可选该模式进行修复。【最后一次的正确配置】：使用最后一次可以正常进入操作系统的配置来启动系统.只在配置不正确时使用,但该选项不能解决驱动程序或文件损坏所导致的问题。【目录服务还原模式】：适用于还原域控制器上的SYSVOL目录和ActiveDirectory目录服务。【调试模式】：启动系统后，同时将调试信息通过串行电缆发送到其他计算机。任务7-10Windows防火墙的配置防火墙是通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络的功能组件。Windows防火墙工作在服务器的与外界连接的网络适配器、DSL适配器或者拨号调制解调器等接口上。防火墙将哪些数据包拒之门外,又允许哪些数据包通过,则取决于防火墙的配置。任务7-10Windows防火墙的配置1．启动/停止Windows防火墙任务7-10Windows防火墙的配置2．防火墙服务的设置1)添加“例外”程序或服务任务7-10Windows防火墙的配置2．防火墙服务的设置2)标准服务的设置任务7-10Windows防火墙的配置2．防火墙服务的设置3)非标准服务的设置任务7-10Windows防火墙的配置3．防火墙安全日志设置任务7-10Windows防火墙的配置3.ICMP设置项目7系统与数据的安全管理项目知识准备网络安全的含义与特征WindowsServer2003安全管理机制项目实施帐户策略的安全设置密码策略的设置账