教委教材样本~6.docVIP

实验报告 为服务器角色规划、配置和部署安全基线 名称 实验7-1：配置 DNS 更新凭据 任务清单 在本练习中，你将以 Administrator 的身份登录并在 上配置 DNS 更新凭据以防止恶意用户覆盖 DNS 记录。 你是组织的安全管理员。由于所有的 DNS 区域都是 Active Directory 集成的，所以你的首席技术官担心恶意用户可能会覆盖组织中重要计算机的 DNS 记录。要防止该类型的攻击，你必须启用一个低权限账户以更新 DNS记录。 课堂练习 配置 DNS 更新凭据 名称 实验7-2：创建组合式文件和打印服务器基线策略 任务清单 在本练习中，你将为文件和打印服务器创建一个新的基线策略。 你是组织的安全管理员。有三家分支机构包含兼作文件和打印服务器的服务器。要确保充分的安全设置，你希望创建一个基线策略以允许文件和打印这两个角色都可以在这些计算机上发挥作用。 步骤 创建组合式文件和打印服务器基线策略 名称 实验 7-3：规划、配置和实现服务器角色的安全基线 任务清单 完成本实验后，将能够： 将额外安全性应用到域控制器和 DNS 服务器 将额外安全性应用到 DHCP 和 WINS 服务器 将额外安全性应用到文件和打印服务器 注意 此实验的重点在于实践本章的概念，因此可能没有遵守 Microsoft 安全推荐做法。 在开始实验之前，你必须有以下虚拟机： 2823_Client1 2823_DC1 2823_Member1 要点 在开始实验之前关闭所有虚拟机。不保存对虚拟机的任何更改。 Coho Vineyard 将为网络上作为特定角色的服务器实现额外的安全性。你已经确定了需要保护域控制器、DNS 服务器、DHCP 服务器、WINS 服务器、文件和打印服务器、IIS 服务器和证书服务服务器的安全。你将为这些服务器角色中的每一个实现额外的安全措施。 练习 1为域控制器和 DNS 服务器配置安全性 在此练习中，你将为兼作域控制器和 DNS 服务器的计算机配置额外的安全设置和选项。 说明 确保已启动 2823_DC1 和 2823_Client1 虚拟机。 除非另有说明，否则从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名是 donh@，密码是 P@ssw0rd。Don Hall 没有任何管理权限。通过使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。在执行管理任务时，使用用户名 administrator@，密码 P@ssw0rd。 场景 Coho Vineyard 已经部署了 Active Directory 林。有几台运行 Windows Server 2003 的计算机被配置为同时运行 DNS 服务的域控制器。域控制器被存储在多个位置，但是这几个位置物理上不总是安全的。你将为域控制器和 DNS 服务器配置额外的安全性。你将把 Active Directory 数据库移动到非默认的位置。随后以模式 2 实现系统密钥，然后调整文件复制服务和目录服务事件日志。 任务 具体步骤 复查场景中的信息，并提供五种为域控制器和 DNS 服务器提供额外安全性的建议。 将 Active Directory 日志和数据库文件移动到非默认的位置。 在域控制器上实现模式 2 系统密钥。 调整目录服务、文件复制服务和 DNS 日志文件以保留更多数据。 练习 2 为 DHCP 和 WINS 服务器配置安全性 在此课堂练习中，你将为作为 DHCP 或 WINS 服务器的计算机配置额外安全设置和选项。 说明 确保已启动 2823_DC1, 2823_Member1 和 2823_Client1 虚拟机。 除非另有说明，否则从 2823_Client1 虚拟机以用户 Don Hall 执行任务。Don Hall 的用户名是 donh@，密码是 P@ssw0rd。Don Hall 没有任何管理权限。通过使用 RUNAS 命令或 secondary logon 服务执行所有管理任务。在执行管理任务时使用用户名 administrator@，密码 P@ssw0rd。 场景 Coho Vineyard 的基本架构中使用了 WINS 和 DHCP。这些服务器是通过基线服务器策略和基本架构服务器策略进行保护的，而这些策略是通过组策略对象实现的。必须为这些服务器提供额外的安全性。你将加强对 DHCP 日志文件的 NTFS 权限。将实现 DHCP 管理策略。还将为关键服务器创建 WINS 条目以阻止欺骗。 任务 具体步骤 复查场景中的信息，并提供五种为 DHCP 和 WINS 服务器提供额外的安全性的建议。 通过实现安全日志记录和管理为 D