第3章_网络服务安全.pptVIP

计算机网络安全 第3章 网络服务安全 3.1 网络服务安全规划 3.1.1 案例情景 网络中运行的网络服务主要包括活动目录服务、文件服务、IIS服务等。 3.1.2 项目需求 需要在分支网络中部署RODC。 为不同用户账户分配不同的访问权限。 对部分Web站点启用SSL加密传输。 3.1.3 解决方案 活动目录安全 （RODC、重定向目录数据库、权限委派、安全组） 文件服务安全。（NTFS访问权限 、磁盘配额 、文件屏蔽 ） IIS服务安全。（身份验证 、SSL ） 3.2 活动目录安全 3.2.1 只读域控制器 3.2.2 重启AD DS 3.2.3 SYSVOL安全 3.2.4 管理员授权 3.2.5 用户账户管理 3.2.6 用户组管理 3.2.1 只读域控制器 查看缓存账户 查看安装RODC过程中，自动创建的缓存账户。 添加缓存账户 在源域控制器上，可以设置允许在RODC上缓存的用户分支机构。 预设密码 预设密码是用户或计算机账户的密码缓存到RODC中，确保登录时可以通过RODC完成身份验证。 1. 查看缓存账户 2. 添加缓存账户 3. 预设密码 3.2.2 重启AD DS 3.2.3 SYSVOL安全 SYSVOL重定向 方法1：使用Active Directory向导移动SYSVOL 方法2：手动重定向SYSVOL文件夹 （以此为例） 更改SYSVOL存储空间 SYSVOL存储空间的默认大小为10MB，最大675MB。 1. SYSVOL重定向 执行net share 命令 SYSVOL重定向 执行dcdiag /test:replications 命令 SYSVOL重定向 执行dcdiag /test:netlogons 命令 SYSVOL重定向 执行net stop ntfrs 命令 建立新的SYSVOL存储新位置 SYSVOL重定向 修改注册表，更改默认SYSVOL存储位置 SYSVOL重定向 使用ADSI edit修改AD数据库中的SYSVOL存储位置信息。 SYSVOL重定向 执行Mklink /J d:\”new sysvol” 命令 设置FRS服务为不可信 SYSVOL重定向 执行net start ntfrs 命令 执行net share命令 2. 更改SYSVOL存储空间 3.2.4 管理员授权 权限委派 在Windows Server 2008系统的Active Directory用户和计算机中，可以通过高级功能模式和控制委派向导两种方式委派权限。 指派组管理权限 组是域网络管理中必不可少的，通过将组的管理权限指派给某个用户账户，可以大大减轻管理员的工作负担。 1. 权限委派 权限委派 2. 指派组管理权限 3.2.5 用户账户管理 设置用户账户密码 禁用或删除用户账户 限制用户可以登录的时间 限制用户可以登录的作站 恢复误删除的域用户 1. 设置用户账户密码 2. 禁用或删除用户账户 3. 限制用户可以登录的时间 4. 限制用户可以登录的作站 5. 恢复误删除的域用户 执行adrestore /r 命令 键入“Y”并执行 恢复误删除的域用户 找回被删除的用户 3.2.6 用户组管理 知识链接 1. 只读域控制器 2. 基于服务的AD DS 3. 目录数据库 4. 权限委派 5. 域用户组 1. 只读域控制器 RODC的优点 （1）只读AD数据库 （2）单向复制 （3）密码缓存 （4）只读DNS （5）RODC管理 （6）GC支持 RODC部署要求 AD数据库复制 林功能级别 2. 基于服务的AD DS 管理员可以使用MMC或命令行来停止和重新启动AD DS。需要注意的是，如果停止了ADDS，则DNS、KDC以及站间消息传递服务也会停止。 SYSVOL必须存储在NTFS卷中 ，其中容纳了组策略文件和脚本。客户端访问SYSVOL，必须运行Dfsclient服务。 4. 权限委派 委派是将用于将某一功能的处理和管理的责任，分配给用户、组或组织单位。通常可以向以下Active Directory容器委派管理权限： 组织单位 域 站点 5. 域用户组 组类型 安全组 （可以显示在随机访问控制列表中的组 ） 通讯组 （仅用于分发电子邮件并且没有启用安全性的组。） 组作用域 本地域 全局 通用 3.3 文件服务安全 3.3.1 NTFS权限安全配置 3.3.2 磁盘配额 3.3.3 文件屏蔽 3.3.1 NTFS权限安全配置 1. 设置NTFS文件夹和文件权限 2. 取消“Eve