组策略管理安全介绍.pptx

第 7 章 使用组策略实施安全性 章节概述 第 1 节：配置安全策略 第 2 节：实施细粒度密码策略 第 3 节：限制组成员身份以及对软件的访问 第 4 节：使用安全模板管理安全性 第 1 节：配置安全策略 安全策略 默认域安全策略 帐户策略 本地策略 网络安全策略 高级安全 Windows 防火墙 演示：附加安全设置的概述 演示：默认域控制器安全策略 安全策略 默认域安全策略 为域提供帐户策略；默认情况下，其他设置都未配置 用于提供将影响整个域的安全设置 作为最佳做法，使用域策略提供安全设置。使用单独的 GPO 提供其他类型的设置 默认域安全策略 帐户和安全设置 帐户策略 帐户策略可减少暴力破解帐户密码的威胁。 本地策略 运行 Windows 2000 及更高版本的每台计算机都有作为本地组策略一部分的安全策略 ü 当域策略和本地策略冲突时，域策略将覆盖本地策略 ü 在工作组中，必须配置本地安全策略来提供安全性 ü 可以通过本地组策略分配本地权限 ü 安全选项控制计算机安全性的很多不同方面 ü 本地策略决定用户或服务帐户的安全选项。 网络安全策略 分离 Windows XP 和 Windows Vista 的无线策略 ü Windows Vista 策略包含更多针对无线网络的选项 ü Windows Vista 无线策略可拒绝对无线网络的访问 ü 可以通过组策略配置 802.1x 身份验证 ü 只有 Windows Vista 和更高版本可接收有线网络策略 ü 定义 Windows Vista 和 Windows XP 客户端无线连接的可用网络和身份验证方法，以及 Windows Vista 和 Windows Server 2008 客户端的 LAN 身份验证。 高级安全 Windows 防火墙 支持筛选传入流量和外发流量 ü 用于高级设置配置 ü 提供集成的防火墙筛选和 IPSec 保护设置 ü 允许针对各种条件（如用户、组以及 TCP 和 UDP 端口）的规则配置 ü 提供网络位置感知的配置文件 ü 可导入或导出策略 ü 基于主机的有状态防火墙，根据其配置允许或阻止网络流量。 Windows Server 2008 Internet LAN 防火墙 防火墙规则控制入站和出站流量 演示：附加安全设置的概述 在本演示中，你将看到如何配置附加安全设置。 演示：默认域控制器安全策略 在本演示中，你将看到默认域控制器策略设置。 为域控制器提供一层额外的安全性 ü 允许配置很多用户权利 ü 提供启用的审核 ü 第 2 节：实施细粒度密码策略 细粒度密码策略 实施细粒度密码策略的方式 实施细粒度密码策略的步骤 演示：实施细粒度密码策略 细粒度密码策略 管理员组 经理组 最终用户组 密码更改：7 天 密码更改：14 天 密码更改：30 天 细粒度密码策略允许同一个域中存在多个密码策略。 实施细粒度密码策略的方式 实施 PSO 时的注意事项： “密码设置容器”和“密码设置对象”是新的架构对象类  ü PSO 只能应用于用户或全局组 ü 可通过 ADSI Edit 或 LDIFDE 创建 PSO ü PSO 有以下可用的设置： 密码策略 帐户锁定策略 PSO 链接 优先顺序 实施细粒度密码策略的步骤 影子组可用于将 PSO 应用于尚无相同的全局组成员身份的所有用户 用户或组可以有多个与之链接的 PSO 优先顺序属性用于解决冲突 优先顺序值越低，优先级越高 直接链接到用户对象的 PSO 覆盖链接到用户全局组的 PSO 如果没有 PSO，那么常规域帐户策略生效 演示：实施细粒度密码策略 在本演示中，你将看到如何创建和应用 PSO。 第 3 节：限制组成员身份以及对软件的访问 受限制组成员身份 演示：配置受限制的组成员的身份 软件限制策略 配置软件限制策略的选项 演示：配置软件限制策略 受限制组成员身份 组策略可按如下方法控制组成员身份： 对于本地计算机上的任何组，将 GPO 应用于包含该计算机帐户的 OU 对于 AD DS 中的任何组，将 GPO 应用于域控制器 演示：配置受限制的组成员的身份 在本演示中，你将看到如何配置受限制的组成员的身份。 软件限制策略 标识并控制客户端计算机上的软件的策略驱动机制 限制软件安装和病毒的机制 由两部分组成的组件： 有三个选项的默认规则：不受限、基本和不允许 默认规则的例外 配置软件限制策略的选项 证书规则 检查应用程序的数字签名 在需要限制 Win32 应用程序和 ActiveX 内容时使用 Intern