《教委教材样本~53.docVIP

规划、配置和部署安全的成员服务器基线 习题答案 BC C AB C AC 记录计算机上所有运行的程序和服务；将操作系统、应用程序和服务的需要的安全设置总结文档；给每一台计算机配置安全；建立一个审核机制检查基准的变化 Windows NT客户端不能支持活动目录组策略功能，必须由管理员在本地设置安全策略，如果可能，也可以安装和使用系统管理服务器 SMS 2.0/2003来管理和配置网络。 微软网站上的Windows 2003 Security Guide，包含了域控制器（含DNS）、架构服务器（WINS, DHCP）、文件服务器、打印服务器、IIS, IAS, 证书服务器、堡垒主机等等。 此外，还可以在CIAC (/ciac), SANS (), NSA ()找到附加的安全模版 9. 一共有三个权限要配置 拒绝从网络访问这台计算机：Bulid-in Administrator, Support_xxxxx, Guest, 其他非操作系统服务帐号 拒绝作为批处理作业登录：Bulid-in Administrator, Support_xxxxx, Guest, 其他非操作系统服务帐号 通过终端服务拒绝登录：Bulid-in Administrator, Support_xxxxx, Guest, 其他非操作系统服务帐号 10. 共有三种 通过组策略：可以在域中通过组策略给每台计算机分发，最方便，但是需要活动目录支持 安全配置和分析MMC：管理员手工操作，通常用于单台计算机的配置 脚本：通过编写Sececit.exe的执行脚本，用命名行添加，可用于一台或多台计算机，相对方便 实验答案 名称 实验6-1：规划安全的成员服务器基线 任务清单 在本次练习中，你将确定可确保域中的新旧操作系统之间兼容性的最佳方式。 场景 你是组织的安全管理员。你的 Active Directory 域中包含了运行 Windows Server?2003 的域控制器和成员服务器，以及运行 Windows?XP Professional 和 Windows?95 的客户端计算机。 你的域环境被视为高安全性环境，并且你将来自 Windows Server?2003 Security Resource Kit 中的高安全模板实现为域控制器和成员服务器的基线模板。 在会计部，有一个较早期的会计应用程序仍然运行于两台 Windows 95 计算机上。在将高安全模板作为域控制器和成员服务器基线模板应用之后，这些 Windows 95 计算机无法登录到域或者和成员服务器通信。 说明 你需要修改“High Security – Domain Controller”和“High Security – Member Server Baseline”模板，以确保 Windows 95 计算机在升级之前仍能进行通信。 你确定“High Security – Member Server Baseline”中的“域成员：对安全通道数据进行数字加密或签名（总是）”GPO 设置阻止了这些客户端与成员服务器共享进行通信。 你确定“High Security – Domain Controller”和“High Security – Member Server Baseline”模板中的“网络安全：LAN Manager 身份验证级别”GPO 设置阻止了这些客户端向域控制器和成员服务器进行身份验证。 为了确保在维持最高安全性级别的同时使这些客户端仍可进行通信，你应该做些什么？ 修改成员服务器基线安全模板以禁用“域成员：对安全通道数据进行数字加密或签名（总是）”。 在 Windows 95 计算机上安装目录服务客户端，并启用该设置。 将 High Security – Member Server Baseline 和 High Security – Domain Controller 模板的“网络安全：LAN Manager 身份验证级别”GPO 设置改为“发送 LM 和 NTLM － 若协商使用 NTLMv2 会话安全”。 在运行 Windows 95 的计算机上保持此设置不变，并安装目录服务客户端。 名称 实验6-2：配置时间服务 任务清单 本次练习将在域中配置时间服务。 你是组织的安全管理员。你的 Active Directory 域中包含了运行 Windows Server?2003 的域控制器和成员服务器，以及运行 Windows?XP Professional 的客户端计算机。 你的域环境被视为高安全性环境，并且你将来自 Windows Server?2003 Security Resource Kit 中的高安全模板实现为域控制器和成员服务器的基线模板。 为了确保