新计算机网络操作系统（第二版）——Windows Server 2003管理与配置 张浩军 电子教案 15.pptVIP

学习目标 Windows Server 2003安全策略 Windows Server 2003安全性措施 前 言 网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。 访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和访问。 信息加密策略保证数据传输中的安全，可用于保证数据的完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。 目 录 15.1 Windows Server 2003安全策略 15.2 Windows Server 2003安全性措施 15.1 Windows Server 2003安全策略 安全策略是事先定义的一系列应用计算机的行为准则，应用这些安全策略保证用户具有一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。 Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免用户对网络安全性有意或无意的破坏。 在Windows Server 2003中安全策略分为本地安全设置和组策略两种。 本地安全设置实现基于单个计算机的安全性，较小的企业或组织，或未使用活动目录的网络，通常使用本地安全设置。 而组策略可以应用于站点、OU（组织单元）或域的范围，通常应用于较大规模并且实施活动目录的网络中。 15.1 Windows Server 2003安全策略 1. Windows Server 2003安全配置 15.1 Windows Server 2003安全策略 2. 管理安全性模板 基本（Basic）：默认安全级别，可以用作基础配置。模板文件setup security.inf，代表了在安装操作系统期间所应用的默认安全设置，可以用在服务器或客户机上，但不能应用于域控制器。 兼容（Compatible）：提供比基本模板更高的安全级别，仍然兼容标准的商用应用程序的所有功能，模板文件是compatws.inf。 安全（Secure）：提供多种安全性，可能会影响一些商用应用程序某些功能的运行。包括安全的工作站或服务器模板securews.inf和安全的DC（域控制器）模板securedc.inf。 高度安全（High）：提供预定义下的最高安全性，该级别模板不会考虑应用程序是否会受到这些设定的影响，因此要慎用。模板包括高安全的工作站或服务器模板文件hisecdc.inf和高安全的DC模板文件hisecws.inf。 目 录 15.1 Windows Server 2003安全策略 15.2 Windows Server 2003安全性措施 15.2 Windows Server 2003安全性措施 1．组件的定制 安全原则：最少的服务+最小的权限=最大的安全只安装确实需要的服务。 15.2 Windows Server 2003安全性措施 2．正确安装Windows Server 2003 分区和逻辑盘的分配。建议最少建立两个分区，一个系统分区，一个应用程序分区。 安装顺序的选择与系统补丁。在完全安装、打补丁并配置好Windows Server 2003之前，不要把主机接入网络。 15.2 Windows Server 2003安全性措施 3．安全配置Windows Server 2003 端口。端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，为了降低遭受黑客攻击的危险，应该关闭不必要的服务和服务端口。 IIS服务。IIS是微软漏洞最多一个组件，所以应该细致地配置IIS。谨慎建立所需目录，安全设置目录访问权限。 应用程序配置。 删除不需要的服务。 15.2 Windows Server 2003安全性措施 4．账号安全 系统默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表。 限制匿名访问。运行“本地安全设置”管理控制台，选择“本地策略”/“安全选项”。启用“不允许SAM账户的匿名枚举”，启用“限制匿名访问命名管道和共享”，以及设置“可匿名访问的命名管道”。 15.2 Windows Server 2003安全性措施 4．账号安全 15.2 Windows Server 2003安全性措施 5．安全日志 “本地安全设置”管理控制台中选择“本地策略”/“审核策略”，设置相应的审核。 15.2 Windows Server 2003安全性措施 推荐的常用审核 15.2 Windows Server 2003安全性措施 6．目录和文件权限 权限累计特性。如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。 拒绝的权限比允许的权限级别高（拒绝