网络终端计算机安全管理培训.pptVIP

* * 系统－登录 * Windows XP 安全指南包括三种类型的模板： 域模板。 这些模板包含应用到域中所有用户和计算机的安全设置。 桌面计算机模板。 这些模板包含可应用到直接连接至网络的桌面计算机的设置。 膝上型计算机模板。 这些模板包含为了满足膝上型计算机的便携性所引起的安全挑战而设计的设置。 每个模板都附带了企业版和高安全性版： 企业客户端计算机通常存在于 Windows 2000 或 Windows Server 2003 Active Directory 域中。 这些客户端是通过将组策略应用到容器、站点、域和组织单元来加以管理的。 高安全性客户端计算机是指那些需要增强的安全设置的计算机。 在这种情况下，用户功能被限制为只有完成必要的任务才需要的特定功能。 访问被限制为只能访问经批准的应用程序、服务和基础结构环境。 如果这些模板包含的设置适用于您的网络环境，则无需编辑即可使用这些模板。 可以使用安全模板管理单元来修改模板，以满足您组织的需求。 适当地配置了模板后，可以将其导入至应用到域或域中特定 OU 的 GPO 中。 可以使用组策略管理控制台编辑 GPO 以及将安全模板导入到 GPO 中。 * 通过使用组策略实施安全设置。 一些设置（如密码策略）只能在域级别进行设置。 其他设置可以在域、站点或 OU 级别进行设置。 安全设置是每个组策略对象的一部分。 设置包括： 帐户密码策略 - 定期更改的复杂密码降低了成功进行密码攻击的可能性。 帐户锁定策略 - 如果在指定的期间内登录尝试达到一定的失败次数，帐户锁定策略会锁定用户帐户。 审核策略 - 审核策略确定将哪些安全事件记录在安全日志中。 事件日志 - 事件日志设置用于记录系统事件。 安全日志包含审核事件。 组策略的事件日志容器用于定义各个属性，如最大日志大小、各日志的访问权限和保留期设置和方法。 文件系统 - 设置有关文件和文件夹的访问控制列表。 IPSec 策略 - IPSec 策略使您可以为计算机上的所有 TCP/IP 通信指定 IPSec 筛选器、筛选器操作和筛选器规则。 注册表设置 - 注册表设置使您可以在所有受此策略影响的计算机上配置特定的注册表设置，以及阻止这些设置被更改。 受限制的组 - 受限制的组设置使您可以在 Windows 2000、Windows XP Professional 和 Windows Server 2003 中阻止将用户添加到指定的安全组。 安全选项 - 安全选项设置用于启用或禁用某些选项，例如数据的数字签名、管理员和来宾帐户名称、控制身份验证方法、驱动程序安装行为和登录提示。 软件限制 – 软件限制策略使您能够通过使用各种规则（包括散列规则、路径规则、区域规则和证书规则）指定在客户端计算机上可以和不可以运行哪个软件。 系统服务 – 系统服务设置服务的默认启动状态和安全配置。 用户权利指派设置 – 用户权利指派设置确定用户可以执行的系统操作。 重要：请记住，任何服务或应用程序都有可能成为攻击点。 因此，应从您的环境中禁用或删除任何不需要的服务或可执行文件。 * 要通过使用组策略为客户端应用安全和管理模板： 在组策略管理控制台中，打开您想在其中应用安全或管理模板的域或 OU 的组策略对象。 要导入安全模板，浏览到“计算机设置/Windows 设置”，右键单击“安全设置”节点并选择“导入策略”，然后浏览到包含适当的安全模板的位置（例如，“高安全性 - 膝上机”）。 要导入管理模板，浏览到“计算机设置/管理模板”节点或“用户设置/管理模板”节点，右键单击“管理模板”，单击“添加/删除模板”，然后浏览到包含想导入的管理模板的位置。 配置其他安全和管理设置，以满足您组织的需求，然后关闭组策略对象编辑器。 可以在 Active Directory 层次结构中的许多个级别上应用安全模板和管理模板，这些级别包括： 域 - 对于应用到 Active Directory 域中的所有用户和计算机的安全设置，在域级别上应用设置或将安全模板导入到 GPO 中。 部门 OU - 因为组织中的安全需求经常变化，所以在您的环境中创建部门 OU 可能很有意义。 可以借助 GPO 将部门安全设置应用到计算机和用户各自的部门 OU 中的计算机和用户。 受保护的 XP 用户 OU - 此 OU 包含参与到企业客户端和高安全性环境中的用户的帐户。 应用到此 OU 的设置将在 Windows XP 安全指南中作更详细的讨论。 Windows XP OU - 此 OU 包含您的环境中各种类型的 Windows XP 客户端的子 OU。 本课程中包含了适用于桌面和膝上型计算机客户端的指南。 （有关更多详细信息，请参阅 Windows XP