第2章网络操作系统安全_安全模板.pptVIP

第2章 网络操作系统安全 2 2017年3月30日星期四 实验 1. 密码重设盘 2. 实验三 word讲解 3.在软件限制策略中实现下列要求： 配置路径 C：\Windows\System32\calc的安全级别为“不允许” 4.在软件限制策略中实现下列要求： 配置路径 C：\Windows的安全级别为“不允许” ????? 第 1 章 3 2017年3月30日星期四 2.3.3 安全模板 系统安全策略众多， Windows系统下，大部分的安全设置默认处于打开状态，需要关闭某些可能引起安全隐患的设置。普通用户无法制定出安全的策略，为此微软提供了安全模板进行安全配置。 1. 为什么引入安全模板？ 安全模板是一种快速配置安全选项的办法，它能够根据要求自动批量设定所有与安全有关的配置。 第 1 章 4 2017年3月30日星期四 2.3.3 安全模板 Microsoft Windows Server 2003 包括几个预定义的安全模板，可供您用来提高网络上的安全级别。可以通过使用 Microsoft 管理控制台 (MMC) 中的“安全模板”来修改安全模板以满足您的要求。 2. 预定义的安全模板 存储在如下目录： ”%systemroot%”\Security\Templates 第 1 章 5 2017年3月30日星期四 2.3.3 安全模板 6 2017年3月30日星期四 2.3.3 安全模板 打开方法： “开始”—“运行”---mmc 7 2017年3月30日星期四 2.3.3 安全模板 8 2017年3月30日星期四 2.3.3 安全模板 9 2017年3月30日星期四 2.3.3 安全模板 10 2017年3月30日星期四 Setup security.inf 模板是在安装过程中创建的，它与特定的计算机有关。根据安装是全新安装还是升级安装，不同计算机的 Setup security.inf 模板也各不相同。Setup security.inf 表示在安装操作系统的过程中应用的默认安全设置，包括对系统驱动器的根的文件权限。它可以用于服务器和客户机，但不能应用到域控制器。也可以将此模板的某些部分用于灾难恢复。 （1）默认安全 (Setup security.inf) 2. 预定义的安全模板 11 2017年3月30日星期四 此模板是在服务器提升为域控制器时创建的。它反映了文件、注册表和系统服务的默认安全设置。如果您重新应用此模板，这些设置将设置为默认值。但是，该模板可能会覆盖由其他程序创建的新文件、注册表项和系统服务的权限。 （2）域控制器默认安全 (DC security.inf) 2. 预定义的安全模板 12 2017年3月30日星期四 此模板依照大多数不属于 Windows Logo Program for Software（Windows 软件徽标计划）的程序的要求，更改被授予“Users”组成员的默认文件权限和注册表权限。兼容模板还删除“Power Users”组的所有成员。 注意：不要对域控制器应用兼容模板。 （3）兼容 (Compatws.inf) 2. 预定义的安全模板 13 2017年3月30日星期四 安全模板定义最不可能对程序兼容性产生影响的增强安全设置。例如，定义加强的密码、锁定和审核设置。 Windows Server 2003 中有两个预定义的安全模板：用于工作站的 Securews.inf 和用于域控制器的 Securedc.inf。 （4）安全 (Secure*.inf) 2. 预定义的安全模板 第 1 章 14 2017年3月30日星期四 高安全模板还指定了安全模板没有定义的其他限制，例如执行身份验证所需的加密级别和签名以及安全通道上的数据交换和服务器消息块 (SMB) 客户端和服务器之间的数据交换。 （5）高度安全 (hisec*.inf) 2. 预定义的安全模板 15 2017年3月30日星期四 2.3.3 安全模板 16 2017年3月30日星期四 2.3.3 安全模板 17 2017年3月30日星期四 ⑴ 帐户策略：控制密码策略、锁定策略、Kerberos 策略。 ⑵ 本地策略：控制审核策略、用户权利指派、安全 选项。 ⑶ 事件日志：控制事件日志设置和NT的事件查看器 的行为。 点击任意一个安全模板，右边的窗格显示出可以利 用该安全模板控制的安全选项类别： 2. 预定义的安全模板 18 2017年3月30日星期四 ⑷ 受限制的组：控制哪些用户能够或者不能够进入各种