第9章 安全的管理.pptVIP

第9章 安全的管理 主讲人:刘晓辉 本章要点: ★Windows Server 2003安全概述 ★设计活动目录安全 ★设计身份验证 ★设计文件资源安全 ★其他安全设计 ★Microsoft推荐的安全操作 9.1 Windows Server 2003安全概述 9.2 设计活动目录安全 9.2.2 设置用户和用户组 9.2.3 设置密码策略 9.2.4 账户锁定策略 9.2.5 授权委派 9.2.6 设计审核策略 9.3 设计身份验证 9.3.1 Kerberos V5 身份验证 9.3.2 NTLM身份验证 9.3.3 Passport身份验证 9.4 设计文件资源安全 9.4.1 设置共享文件夹安全 9.5 其他安全设计 9.5.2 EFS加密文件系统 9.5.3 启用IPSEC保证数据传输的安全 1. IPSEC概述 2. 启用IPSEC 3. 身份验证设置 4. 为传输数据选择加密算法 5. 模式选择 6. 恢复IPSEC的默认设置 9.5.4 设计组策略 * * Microsoft Windows Server 2003 家族安全模型的主要功能是“用户身份验证”和“访问控制”，其安全基础是Windows Server 2003的Active Directory （目录服务），通过Active Directory和Windows Server 2003中相关的服务组件以及支持Windows Server 2003 Active Directory的一些其他的服务如Exchange 2003、ISA Server等相关服务软件，可以组成功能强大而又比较安全的企业网络。 设计活动目录安全包括一系列的内容，包括设置组织单元、设置用户和用户组安全、设置密码、设计委派权限和设计审核策略等。 图9-1 新建一个组织单位 图9-3选择“新建对象→组织单位” 9.2.1 设计组织单元（OU） 为每个OU创建一个用户组 图9-6 新建用户组 2. 在每个OU中创建用户 图9-8新建用户 3. 移动现有用户到指定的OU中 图9-11 将用户添加到组 图9-12 选择用户组 图9-15安全设置界面 图9-16 账户锁定策略设定界面 在一个大的网络中，通常会根据需要设置多个不同级别的管理员，如针对某一部门来说，可以设置部门的领导为某一部门的管理员，或者选择部门的一个职工，为本部门的管理员。可以根据实际需要，将不同的权限分配给部门的管理员，如可以为部门管理员分配管理本部门用户的添加、删除或更改密码的权限。这一项就需要使用“委派”功能来实现。 图9-17 委派控制 图9-18 选择委派的权限 图9-21设计审核策略界面 身份验证是系统安全的一个基础方面。它将对尝试登录到域或访问网络资源的任何用户进行身份确认。Windows Server 2003 家族身份验证启用对所有网络资源的单一登录。单一登录允许用户使用一个密码或智能卡一次登录到域，然后向域中的任何计算机验证身份。 Kerberos V5 是在域中进行身份验证的主要安全协议。Kerberos V5 协议同时要验证用户的身份和网络服务。这种双重验证称为“相互身份验证。 图9-22 设定Kerberos V5身份验证界面 NTLM 身份验证在网络环境中，NTLM 用作身份验证协议以处理两台计算机（其中至少有一台计算机运行 Windows NT 4.0 或更早版本）之间的事务。 Passport 身份验证是由 Microsoft 提供的集中服务，可为成员网站提供单个的登录和核心配置文件服务。由于不必重新登录即可访问其他受保护的资源或网站，网站用户可从中获益。可通过使用 Passport 身份验证提供程序，使您的商务网站与 Passport 身份验证和授权兼容。 在网络的服务器上，通常都保存有公司需要的一些安装程序或者一些数据文件，怎样保护这些文件或数据的安全，是整个系统中比较重要的事情。 在设置文件资源的安全性时，需要考虑如下的三点： 1、共享文件夹权限的设置 2、NTFS文件系统权限设计 3、共同使用共享文件夹权限与NTFS权限时的影响。 在Windows 2000的网络中，默认的共享文件夹的权限是“完全控