第六章-配置本地安全策略要素.pptVIP

* 讲解本地安全策略的作用和组成：计算机安全设置，组成如图。 注意：本地安全策略只针对于本计算机生效。 教员演示打开本地安全策略的方法： ◆ 单击“开始”→“程序”→“管理工具”→“本地安全策略” 。 ◆ 运行命令“secpol.msc” 。 说明本地安全策略中有许多项设置，不可能每一条策略都讲解到，本章只讲解比较常用的策略。 * 主要介绍密码复杂性、密码长度最小值、密码最长使用期限和强制密码历史策略。 密码必须符合复杂性要求： 必须包含以下四类字符中的三类字符： ◆ 英文大写字母（A 到 Z） ◆ 英文小写字母（a 到 z） ◆ 10 个基本数字（0 到 9） ◆ 特殊符号（例如 !、@、$、#） 为了安全考虑，“用可还原的加密来储存密码” 一般禁用，不用开启，它与存储明文版本密码在本质上是相同的。但有的应用程序需要启用此策略，如IIS中使用摘要式身份验证时要求启用此策略。 * 引入：为了提高系统安全性，防止无限次密码探测，设置账户锁定策略→当用户输入错误密码的次数达到一个设定值时，就将此账户锁定。其中包含3条策略，本页简单说明每个策略的含义，下面将通过案例演示具体设置及效果。 ◆ 账户锁定阈值：指用户输入几次错误的密码后，将用户账户锁定。注意，默认值为0，代表不锁定账户。 ◆ 账户锁定时间：指当用户账户被锁定后，多长时间后自动解锁。 ◆ 复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当该时间过后，计数器将复位为0。 注意：如果定义了账户锁定阈值，则复位账户锁定计数器必须小于或等于帐户锁定时间。 例如，设置“账户锁定阈值”为3、“账户锁定时间”为30、“复位账户锁定计时器”为15，表示若用户在15分钟内连续输错3次密码，则锁定该用户30分钟。 * 教员首先讲解案例需求，因为上一页已经简单介绍了账户锁定策略，可以提问学员如果要满足案例中的需求，需要设置哪些策略。 注意： ◆ 账户锁定时间为0说明只能等待管理员为用户解锁。 ◆ 账户锁定策略对本地管理员账户Administrator无效。 ◆ 在“开始”→“运行”中，输入“gpupdate /force”，刷新计算机的本地安全策略（或者重启计算机）。 验证：以普通用户userA登录，故意输错密码3次，查看账户是否被锁定。 * 以提问的形式检验并巩固前面的学习效果，同时可使学员集中精力。 答案要点： 1、密码中必须包含以下四类字符中的三类字符： ◆ 英文大写字母（A 到 Z） ◆ 英文小写字母（a 到 z） ◆ 10 个基本数字（0 到 9） ◆ 特殊符号（例如 !、@、$、#） 2、超过指定时间自动解除锁定或由管理员手动解除锁定。 * 各种审核策略的含义比较容易理解，关键是如何应用，说明后面我们将着重讲解审核对象访问策略的应用。 * * 说明事件查看器将在第11章中进行详细讲解，本章只讲解当前需要使用的部分。 * 在讲解了案例的需求后，要结合前面的知识引导学员思考，如： ◆ 要审核用户访问文件夹需要启用什么策略？→审核对象访问 ◆ 如何查看成功审核和失败审核的事件？→事件查看器/Windows日志/安全 演示： ◆ 启用“审核对象访问”策略的成功和失败审核 ◆ 设置审核对everyone进行审核 ◆ 为部分用户设置访问文件夹“公司文件”的权限，而其他用户没有权限，以出现访问成功和失败两种结果 ◆ 在事件查看器中查看相关的信息 注意：启用审核的文件夹必须位于NTFS分区。 * 说明我们只挑选在用户权限分配中常用的有代表性的策略来讲解与配置，如关闭系统、允许在本地登录等，本页只进行理论讲解，下一页将以“关闭系统”策略为例进行演示。教员也可以根据实际情况扩展其它策略的讲解。 注意：如果对同一用户同一权限既配置了拒绝，也配置了允许，则该用户最终会拒绝 * 教员应结合前面讲解的知识点，引导学员思考问题，即让学员来回答基本实现思路和方法，然后演示该案例的实现过程，并验证实验结果。 * 挑选常用的策略进行讲解，如“交互式登录：不显示最后的用户名”、“交互式登录：无须按Ctrl＋Alt＋Del”等。 * 教员应结合前面讲解的知识点，引导学员思考问题，即让学员来回答基本实现思路和方法，然后演示该案例的实现过程，并验证实验结果。 * 高级安全Windows防火墙与传统的Windows防火墙指的不是同一防火墙，教员可以把二者都打开，对比二者的区别，以让学员有更直观的了解。 注意：本章只讲解入站规则和出站规则，连接安全涉及的内容比较多，不宜在此展开讲解，它包括在两台计算机开始通信之前对它们进行身份验证，并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的 Windows 防火墙包含了 Internet 协议安全 (IPSec) 技术，通过使用密钥交换