- 1、本文档共30页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第 7 章 使用组策略实施安全性
章节概述
第 1 节:配置安全策略
第 2 节:实施细粒度密码策略
第 3 节:限制组成员身份以及对软件的访问
第 4 节:使用安全模板管理安全性
第 1 节:配置安全策略
安全策略
默认域安全策略
帐户策略
本地策略
网络安全策略
高级安全 Windows 防火墙
演示:附加安全设置的概述
演示:默认域控制器安全策略
安全策略
默认域安全策略
为域提供帐户策略;默认情况下,其他设置都未配置
用于提供将影响整个域的安全设置
作为最佳做法,使用域策略提供安全设置。使用单独的 GPO 提供其他类型的设置
默认域安全策略
帐户和安全设置
帐户策略
帐户策略可减少暴力破解帐户密码的威胁。
本地策略
运行 Windows 2000 及更高版本的每台计算机都有作为本地组策略一部分的安全策略
ü
当域策略和本地策略冲突时,域策略将覆盖本地策略
ü
在工作组中,必须配置本地安全策略来提供安全性
ü
可以通过本地组策略分配本地权限
ü
安全选项控制计算机安全性的很多不同方面
ü
本地策略决定用户或服务帐户的安全选项。
网络安全策略
分离 Windows XP 和 Windows Vista 的无线策略
ü
Windows Vista 策略包含更多针对无线网络的选项
ü
Windows Vista 无线策略可拒绝对无线网络的访问
ü
可以通过组策略配置 802.1x 身份验证
ü
只有 Windows Vista 和更高版本可接收有线网络策略
ü
定义 Windows Vista 和 Windows XP 客户端无线连接的可用网络和身份验证方法,以及
Windows Vista 和 Windows Server 2008 客户端的 LAN 身份验证。
高级安全 Windows 防火墙
支持筛选传入流量和外发流量
ü
用于高级设置配置
ü
提供集成的防火墙筛选和 IPSec 保护设置
ü
允许针对各种条件(如用户、组以及 TCP 和 UDP 端口)的规则配置
ü
提供网络位置感知的配置文件
ü
可导入或导出策略
ü
基于主机的有状态防火墙,根据其配置允许或阻止网络流量。
Windows Server 2008
Internet
LAN
防火墙
防火墙规则控制入站和出站流量
演示:附加安全设置的概述
在本演示中,你将看到如何配置附加安全设置。
演示:默认域控制器安全策略
在本演示中,你将看到默认域控制器策略设置。
为域控制器提供一层额外的安全性
ü
允许配置很多用户权利
ü
提供启用的审核
ü
第 2 节:实施细粒度密码策略
细粒度密码策略
实施细粒度密码策略的方式
实施细粒度密码策略的步骤
演示:实施细粒度密码策略
细粒度密码策略
管理员组
经理组
最终用户组
密码更改:7 天
密码更改:14 天
密码更改:30 天
细粒度密码策略允许同一个域中存在多个密码策略。
实施细粒度密码策略的方式
实施 PSO 时的注意事项:
“密码设置容器”和“密码设置对象”是新的架构对象类
ü
PSO 只能应用于用户或全局组
ü
可通过 ADSI Edit 或 LDIFDE 创建 PSO
ü
PSO 有以下可用的设置:
密码策略
帐户锁定策略
PSO 链接
优先顺序
实施细粒度密码策略的步骤
影子组可用于将 PSO 应用于尚无相同的全局组成员身份的所有用户
用户或组可以有多个与之链接的 PSO
优先顺序属性用于解决冲突
优先顺序值越低,优先级越高
直接链接到用户对象的 PSO 覆盖链接到用户全局组的 PSO
如果没有 PSO,那么常规域帐户策略生效
演示:实施细粒度密码策略
在本演示中,你将看到如何创建和应用 PSO。
第 3 节:限制组成员身份以及对软件的访问
受限制组成员身份
演示:配置受限制的组成员的身份
软件限制策略
配置软件限制策略的选项
演示:配置软件限制策略
受限制组成员身份
组策略可按如下方法控制组成员身份:
对于本地计算机上的任何组,将 GPO 应用于包含该计算机帐户的 OU
对于 AD DS 中的任何组,将 GPO 应用于域控制器
演示:配置受限制的组成员的身份
在本演示中,你将看到如何配置受限制的组成员的身份。
软件限制策略
标识并控制客户端计算机上的软件的策略驱动机制
限制软件安装和病毒的机制
由两部分组成的组件:
有三个选项的默认规则:不受限、基本和不允许
默认规则的例外
配置软件限制策略的选项
证书规则
检查应用程序的数字签名
在需要限制 Win32 应用程序和 ActiveX 内容时使用
Intern
文档评论(0)