网络系统管理——Windows Server 2003实训篇 第2版 “十一五”国家规划 作者 尚晓航 第10单元-Windows Server 2003安全管理.pptVIP

第10单元 Windows Server 2003安全管理 单元目标： 了解：Windows 2003的安全特性 了解：网络操作系统Windows 2003的安全 结构 掌握：本地和域中的身份识别系统的管理技术 掌握：安全审核系统与日志的管理技术 掌握：资源访问控制统的管理技术 10.1 任务1 操作系统安全管理 基础知识 10.1.1 任务描述 微软把目标定位于一个具有各种内在 安全功能的强大而坚实的网络操作系统。 10.1.2 任务目标 网络管理员应当了解网络操作系统Windows Server 2003中的安全结构和安全特点。 10.1.3 网络操作系统的基础安 全知识 1. 计算机网络的安全技术 主机安全技术、身份认证技术、访问 控制技术、密码技术、防火墙技术、安全 审计技术和安全管理技术。 2. C2安全等级的重要标准特征 1983年美国国防部率先提出了一套 《可信计算机评估标准》，它将计算机系 统的安全等级划分为A、B、C、D四大类7 个小类，包括了从最简单的系统安全特性 到最高级的计算机安全模型技术。 目前，这套评估标准常为广大的网络管理人员所引用。 3. Windows Server 2003增强的安 全特性 ①内置防火墙：应当注意在接入 Internet之前启用内置的防火墙。 ②默认启用必要服务：在默认情况下禁用了所有的不必要的服务，只启用了基本和必要的服务。 ③更严格的对象控制权限：针对对象采取了更严格的控制权限。 ④更加安全的IIS：对以前的隐患和问题进行了脱胎换骨的改造，大大地提高了安全性能。 ⑤自动更新服务自动更新功能，减弱了管理员下载、安装更新的繁琐工作强度。 4. 安全结构与安全策略环节类型 ①身份认证：是指对登录过程进行必 要的身份识别与控制。 ②目录和文件的存取控制：是指中应对网络中的资源，采取存取标识与存取控制技术。 ③审计和跟踪：使得系统能够自动针对各种对象进行访问的跟踪，并将跟踪的结果记录在日志中。 5. 身份认证与识别系统 (1)登录机制 对于符合安全等级的系统，应当为每 一个用户设置为强制性的登录过程。强制 登录是指任何一个用户，在登录时都必须 使用【Ctrl+Alt+Del】三个健的组合进行 登录。 (2)登录的类型 ①交互登录：是指登录使用本地的安 全账户管理（SAM，Security Reference Monitor）信息库进行身份认证。通过本地 的身份验证后，可以登录到计算机本机， 并进行本地的资源访问，参见图10-1。 ②远程登录：登录到“域”时，就会发生远程登录，此时用户的身份认证会传递到“域控制器”中去完成。域管理员可以选择“交互”或“远程”方式登录。 (3)账户安全策略环节类型 域控制器的用于身份认证的“账户策略” 环节有3个，即“密码策略”、“账户的锁定 策略”和“Kerberos 策略”。而“本地策略” 是由“审核策略”、“用户权利分配”和“安全 选项”等几个环节组成的。 6. 安全审核策略 ①审计谁：是指确定审计的对象。 ②审什么：是指确定审计系统发生的 何种事件或行为。 ③谁审计：是指确定实施审计行为的用户。 ④何时审：是指确定审计行为发生的时间和日期。 ⑤审计结果的保存：是指确定何时清除审计结果。 7. 资源访问权限控制 10.2 任务2 本地安全策略 10.2.1 任务描述 本地安全策略是非常重要的一个安全 环节。本地的身份认证（识别）系统是网 络安全的第一保护层。登录验证之后，才 是资源的访问与控制。 10.2.2 任务目标 掌握网络系统中的本地安全策略中身份认证相关的基本知识，以及操作技能。 10.2.3 本地登录认证 ①在域控制器中，依次单击择【开始】 →【管理工具】→【域控制器安全策略】 命令。 ②在图10-2窗口中，依次选择【安全设 置】→【本地策略