使用安全模板配置安全策略—操作步骤.docxVIP

　实验四 使用安全模板配置安全策略—操作步骤 1．设置工具 （1）首先打开一个空的MMC控制台。点击“开始”→“运行”，输入“mmc”，按Enter键打开一个空白的MMC控制台。 （2）在该控制台中，点击“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框，点击“添加”打开“添加独立管理单元”对话框，在管理单元清单中选择“安全模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。 如图： 2．创建模板 （1）下面从头开始构建一个模板。右击模板的路径（选择具体保存路径，如C:security），然后选择菜单“新加模板”，输入模板的名称，假设是simple。新的模板将在左边窗格中作为一个节点列出，位于预制的模板之下。 右键“新加模板” 3．配置模板 账户策略： （1）选择“账户策略”---“密码策略”，实现1.密码使用必须符合复杂性要求2. 密码长度最小值为6位3. 密码最长使用时间为42天4. 强制密码历史为2个。如图所示。 （2）选择“账户策略”---“账户锁定策略”，实现5. 尝试3次无效登录后锁定帐户6. 锁定账户时间为10分钟7.账户锁定阈值为30分钟。如下图所示。 本地策略： （1）选择“本地策略”---“审核策略”，实现：1.审核策略更改 配置：成功和失败2.审核登录事件 配置：成功 3.审核账户登录事件 配置成功和失败 。如下图所示。 （2）选择“本地策略”---“用户权限分配”，实现：4.更改系统时间于Administrators和Users组 5.关闭系统应用于Administrators和Users组。如下图所示。 （3）选择“本地策略”---“安全选项”，实现：6.不需要按 Ctrl+Alt+Del 启用 7.登录时屏幕上不要显示上次登录帐户 8.禁用来宾帐户状态。如下图所示。（将蓝色阴影部分改为已启用） 事件日志： （1）选择“事件日志”，实现：1.安全日志保留天数：7天 2.安全日志的保留方法：按需要覆盖事件 3.安全日志最大值：20480 KB 4.系统日志保留天数：14天。如下图所示。 受限制的组： （1）选择“受限制的组”，实现：1.设置一下Administrator组。只允许本地的Administrator帐户加入Administrators组。 （a）右键“添加组” （b）添加Administrator组，并将Administrator帐户加入Administrators组。 系统服务： 选择“系统服务”，实现：1.禁用Indexing Service服务 2.禁用Telnet服务 3.禁用Wireless Configuration服务。如下图所示。 文件系统： 选择“文件系统”，实现：1. 设置C:新建文件夹的 ACL(access control list) 访问控制表，只允许Administrator帐户有权限访问。 右键“添加文件” 以上完成了所以设置。 4．保存安全模板 选择“simple”右键---“另存为”---保存到C:\security 5．应用安全模板 1.以“Administrator”成员的身份登录。 2.单击开始，单击运行，在打开 框中键入 mmc，然后单击确定。 3.在文件 菜单上，单击“添加/删除管理单元”。 4.单击添加、“安全配置和分析”、添加，单击关闭，然后单击确定。 5.在控制台树中，右键单击“安全配置和分析”，然后单击打开数据库。输入新的数据库名，如“simple” 单击“打开”，选择要导入的安全模板C:\security\simple.inf 点击“打开”，如图 6.分析计算机安全设置。右击安全配置和分析，在弹出的快捷菜单中选择“立即分析计算机”命令 7.在屏幕上出现的执行分析 对话框中，接受“错误日志文件路径”框中显示的默认日志文件路径，或指定所需的位置，然后单击确定。 点击“确定”按钮 8. 将对该模板安全设置与现有的计算机设置进行比较。 备注：此时，不会对计算机进行任何更改。此过程的结果表明模板中的安全设置与实际系统设置有何区别。 可以查看安全性分析结果，在“安全配置和分析”管理控制台中，展开“安全配置和分析”，单击要查看安全(例如密码策略)。在右侧窗口中，“策略”列表中显示了分析结果;“数据库设置”列表显示模板中的安全值;“计算机设置”列表显示系统中的当前安全策略。 　　分析状态标记如下。 　　红色的“X”表明与基本配置有差异。 　　绿色的“复选标记”表明与基本配置一致。 　　没有图标表明模板中不包含安全属性，因此不分析。 　　例如，“密码必须符合复杂性要求”策略，在安全数据库中的策略为“启用”，而在本地的系统设置为“停用”，分析状态标记为红色的“X”，表示