第9章 Windows Server 2003网络安全应用.ppt

第9章 Windows Server 2003网络安全应用 第9章 Windows Server 2003网络安全应用 Windows Server 2003是目前最为成熟的网络服务器平台。本章从组策略、用户登录限制、外部连接的限制、VPN、IPSec、身份验证等基本配置出发，介绍如何来配置一个基于Windows Server 2003的相对安全的网络。 9.1 利用组策略加强系统的安全性 组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单地说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略工具对当前注册表进行直接修改。组策略工具还可以打开网络上的计算机并对其进行配置，甚至可以打开某个Active Directory 对象（站点、域或组织单位）并对它进行设置。 9.1.1 打开组策略控制台 9.1.2 使用组策略 组策略有3种状态，分别是未配置、已启用、已禁用。通过启用或禁用不同的策略设置计算机环境，未配置表示该策略没起作用。 9.1.2 使用组策略 9.2 限制用户登录 9.2.1限制用户登录时间 Windows Server 2003的默认设置允许网络中的用户在任何时间都可登录到网络中。在重要的工作环境中，下班后将不允许用户访问网络中的资源。因此，限制用户在休息时间不能访问网络资源也是保护网络安全的重要举措，可以有效地防止在工作时间之外的密码破解或者暴力攻击。 9.2.1 限制用户登录时间 1．成员服务器或独立服务器 本地计算机中的用户在任何时间都允许登录，运行Windows Server 2003操作系统的独立服务器不具备限制用户登录时间的功能。 2．Active Directory域用户 在Active Directory中可以限制用户的登录时间。例如，限制为只能在某个时间段登录，其他时间不允许登录，从而避免可能在非工作时间产生的恶意攻击。 9.2.1 限制用户登录时间 设置mmx的登录时间为“星期一至星期五7：00~18：00” 9.2.2 限制用户登录工作站 Windows Server 2003的默认设置允许网络中的域用户可以登录网络中的任何一台计算机，从而在该计算机中留下用户个人的相关记录。因此，限制用户只能在网络中唯一的一台计算机中登录，是保证计算机安全的重要措施。 1.成员服务器或独立服务器 本地计算机中的用户只能在当前的计算机中登录，不能登录到其他的计算机。 2.Active Directory域用户 通过以下操作，可以在Active Directory控制器上限制域用户登录工作站。 9.2.2 限制用户登录工作站 9.2.3 禁用用户账户 用户如果暂时不接触计算机，或者调离当前的岗位，建议立即将该用户的账户禁用，而不是删除。删除用户账户是彻底删除用户的所有信息，而禁用用户账户只是暂时禁止用户的登录权限，该用户的其他信息均还保存在系统中。 1．成员服务器或独立服务器 本地计算机用户的禁用在“计算机管理”窗口中进行。打开用户账户的属性对话框，在“常规”选项卡中选择“账户已禁用”复选框。单击“确定”按钮，即可禁用该账户。 2．Active Directory控制器 域用户的禁用在“Active Directory用户和计算机”控制台窗口中进行。 9.2.3 禁用用户账户 9.3 限制外部连接 对于基于Windows Server 2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配范围，只要不是必要的就不给予此权限。 9.3 限制外部连接 9.4 验证通信协议 9.4.1 配置RRAS的PPP属性 9.4.2 配置RRAS的身份验证 9.5 基于IPSec的网络安全 IPSec是网际协议安全（Internet protocol security）的简称，可用来实现两个IP结点上的IP数据报可信的传输，并可以在IP级上对所有的数据报进行加密与认证的筛选工作，从而为IPv4以及IPv6提供安全保障。 IPSec是一个开放式的网络安全标准，它在TCP/IP协议栈的IP层实现，可为上层协议无缝地提供安全保障，各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计自己的安全机制。 9.5.1 在Windows Server 2003启用IPSec 9.5.1 在Windows Server 2003启用IPSec 这3个预定义的策略，基本上已可以满足3种网络计算机的安全通信。 （1）服务器（请