第七章 系统安全管理.pptVIP

Windows服务器维护与管理 * 情境10 系统安全管理 典型项目 项目阅览室 情境实训 总结与提高 10.1 典型项目 10.1.1 概述 本情境中主要介绍了Windows Server 2003的安全性策略，以及有关本地和网络安全的一些常见设置。此外，还介绍了怎样利用MMC进行Windows安全模板的配置和分析。 10.1.2 目标要求 （1）创建安全模板。 （2）用安全模板来分析和配置计算机的安全配置。 （3）导入系统模板。 10.2项目阅览室 10.2.1用安全策略来保护桌面和系统服务 10.2.2审核对系统资源的访问 实施安全策略 修改安全设置 使用安全模板 创建自定义安全模板 分析安全性 10.2.1 用安全策略来保护桌面和系统服务 Internet 服务管理器 配置本地系统策略来实施安全策略 事件查看器 授权 性能 路由和远程访问 Server Extensions 管理器 服务 Telnet 服务器管理 域控制器安全策略 附件 启动 Internet Explorer Outlook Express 管理工具 组策略 配置组策略来实施安全策略 1 实施安全策略 重点： 如何配置本地安全策略； 注意： 对于域控制器，本地安全策略不起作用； 安全设置定义了系统的安全相关操作。通过对 Active Directory 中组策略对象的使用，系统管理员可以集中应用保护企业系统所要求的安全级别； 确定包括多台计算机的组策略对象的设置时，必须考虑给定站点、域或单位的组织和功能特征。例如，销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。 账户策略 本地策略 公钥策略 IP 安全策略 事件日志 配置密码和账户策略 配置审核，用户权限以及安全选项 配置加密数据恢复代理和受信任的证书颁发公司等 在网络上配置 Internet 协议安全 配置应用程序日志及系统日志和安全日志的大小、访问和保留参数 受限制的组 设置组作为安全策略中的一部分进行跟踪和管理 系统服务 对于计算机上正在运行的服务配置安全和启动设置 注册表 通过修改注册表键值来配置安全性 文件系统 对特定文件路径配置安全性 2 修改安全设置 重点： 安全配置配置选项都有哪些； 注意： 计划和实现计算环境的安全性之前，应该熟悉一些基本的 Windows 2003 安全性概念 ； 参考： 网际协议安全 (IPSec) 是： 安全组网的长期指导； 对专用网络和 Internet 攻击的主动保护，同时保持易用性； 一套基于加密术的保护服务以及安全协议； 端对端的安全性。惟一必须了解 IPSec 保护的计算机就是通讯的发送方和接收方； 保护工作组、局域网计算机、域客户和服务器、距离很远的分公司、Extranet、漫游客户以及远程管理计算机之间通讯的能力。 3 使用安全模板 定义了 Windows?2003 的默认安全级别 为操作系统中权限没有覆盖到的区域提供了增强的安全性 降低了缺省安全设置，使得用户不必成为 Power Users 组成员就可运行没经过 Windows 2003 认证的应用程序 高度安全的安全模板是提供给基于 Windows 2003 计算机的，并且该计算机所在的网络中的所有计算机都基于 Windows 2003 兼容 基本 安全 高度安全 创建自定义安全模板 将“安全模板” 管理单元添加到 Microsoft 管理控制台 (MMC) 选择模板开始自定义 配置新策略设置 保存新设置 4 创建自定义安全模板 重点： 如何创建自定义安全模板； 参考： 安全模板概述 Windows 2003 提供了使用“安全模板”管理单元方式定义安全性的集中式方法； 它是单个点的项，在此处可以查看、调整所有范围的系统安全性，并将它应用到本地计算机或导入到“组策略”对象中； 安全模板不引入新的安全参数，它简单地将所有现有的安全属性组织到一个位置以简化安全性管理； 当对安全配置和分析管理单元使用时，安全模板也可以用作安全分析的基本配置； 5 分析安全性 当前的 计算机设置 模板 （.inf 文件） 分析数据库 （.sdb 文件） 重点： 掌握安全分析功能； 注意： 注意不同颜色的图标； 图中有效设置在以后的日常使用中至关重要； 参考： 计算机安全性分析： 计算机上的操作系统和应用程序的状态是动态的。例如，可能要求暂时更改安全等级以允许立即解决管理或网络问题；此更改常常不被恢复。这意味着计算机不能再满足企业安全性的要求； 常规分析作为企业风险管理程序的一部分，允许管理员跟踪并确保在每台