Win2003TPCHAP6安全管理.pptVIP

Windows Server 2003 安全管理 第六章 内容回顾 NTFS权限 文件夹及文件的权限 特殊权限 权限的组合、继承和拒绝 移动和复制对权限的影响 文件夹及文件的加密 文件夹及文件的压缩 本章目标 了解Windows Server 2003的安全特征 了解本地策略和域安全策略 掌握配置组策略的方法 掌握关于审核和日志的操作方法 Windows Server 2003 安全概述 Windows Server 2003的安全性相对比Windows 2000有很大的提高。 增加了和安全相关的组件，如防火墙 对某些可能引起安全的服务或程序，默认都是被禁用的 重写了某些服务，例如IIS6.0 改变了某些默认设置 什么是安全 安全就是保护计算机系统中的硬件和软件资源不被未经授权的非法用户盗取和利用。 设备安全 系统安全 服务安全 数据安全 通讯安全 Windows Server 2003 安全特性 内置安全防火墙。 默认情况下禁用所有不必要的服务。 增强安全策略。 重写IIS6.0。 更严格的对象控制权限。 自动更新服务 本地安全策略 哪些用户具有访问此台计算机的权限，包括本地交互式登录用户和网络访问用户。 授权登录用户在本地计算机上的可以访问的资源和一些特殊的权限。 是否在安全日志中记录登录用户的操作事件。 控制用户使用的密码策略和账户锁定策略 账户策略 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 账户锁定策略 账户锁定阀值 账户锁定时间 复位账户锁定计数器 本地策略 审核策略 用户权限分配 安全选项 域安全策略 影响整个域中所有的对象，包括用户和计算机。 计算机重启动 用户登录 策略刷新 域安全策略（Cont.） 帐户策略 密码策略 帐户锁定策略 Kerberos 策略 组策略 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 计算机配置 软件设置 Windows 设置 管理模板 用户配置 用户配置（Cont.） 举例：文件夹重定向 管理模板 计算机配置管理模板 Windows组件 系统 网络 打印机 用户配置管理模板 Windows组件 任务栏和开始菜单 桌面 控制面板 共享文件夹 网络 系统 管理模板（Cont.） 禁用浏览器的另存为功能 管理模板（Cont.） 禁用光驱的自动播放功能 管理模板（Cont.） 管理模板（Cont.） 禁用并删除关机指令 管理模板（Cont.） 管理模板（Cont.） 删除控制面板中的添加/删除程序图标 组策略应用规则 组策略的继承 策略的累加 阻止策略继承 强制继承生效 将组策略应用于本地计算机 在本地计算机利用MMC控制台添加组策略编辑器 在这里设置的策略将影响本地计算机中的用户和当前系统 Gpedit.msc 审核与日志 审核主要用来记录计算机的活动情况 用户的登录信息 用户对文件夹的访问信息 特权使用 用户管理 成功、失败 安全日志 应用审核策略 选择需要审核的策略 选择审核的操作 成功 失败 审核文件及文件夹 事件查看器 应用程序日志 安全日志。 系统日志。 目录服务日志。 文件复制服务日志。 DNS 服务器日志。 事件查看器(Cont.) 事件类型 错误。黄色 警告。 红色 信息。白色 成功审核。钥匙 失败审核。 锁 保存日志 本章总结 Windows Server 2003的安全特性和Windows 2000相比有很多增强 内置防火墙、严格的权限控制、空密码帐户访问限制、自动更新服务等。 本地安全策略是对当前计算机中的策略设置，主要包括帐户策略和本地策略 建立安全的密码应该满足复杂性、长度、定期更换等条件 帐户锁定策略可以防止非法用户使用穷举的方法破解密码 本章总结(cont.) 用户权利指派可以为一些用户分配一些特殊的权限，然后可以执行一些特殊的操作，如关机、更改系统时间等。 安全选项可以设定和操作系统安全相关的设置，如不显示上次登录的用户名 域安全策略对整个域中的计算机和用户都有效，默认域策略中的密码策略非常严格。 组策略分为计算机配置和用户配置，计算机针对容器中的计算机有效，用户配置针对容器中的域用户帐户有效 本章总结(Cont.) 组策略必须应用在组织单位、域或站点上 组策略有继承的特性，即子容器中的对象会继承上一级容器的策略。 通过审核可以记录计算机的日常活动，比如用户登录、特权使用、对象访问等等。 利用事件查看器可以查看系统中产生的日志。 实验目标 应用本地安全策略管理用户环境 应用域安全策