网络基础-2017 系统安全加固 配置安全策略任务指导书.docxVIP

[文档标题] 配置安全策略 PAGE PAGE 2 配置安全策略 一、实训目的 掌握设置本地安全策略 掌握管理组策略； 掌握配置域安全策略。 二、项目背景 根据图5_4_1配置安全策略。 图5_4_1 三、实训任务 任务1 设置本地安全策略 任务2 管理组策略 任务3 配置域安全策略 四、实训要求 任务1 设置本地安全策略 参考步骤如下： 密码安全设置 密码必须符合复杂性要求。单击“开始”→“程序”→“本地安全策略”，如5_4_1所示。展开“账户策略”，单击“密码策略”，双击右边的“密码必须符合复杂性要求”，选择“已启用”即可，如图5_4_1所示。 5_4_1 图5_4_2 密码长度最小值。为了系统的安全，最好设置最小密码长度为6或更长的字符。在图5_4_1中的“本地安全控制台”中选择“账户策略”下的“密码策略”，双击右边的“密码长度最小值”，在弹出的对话框中输入密码最小长度“6”即可，如图5_4_3所示。 图5_4_3 密码使用期限。与前面类似可以修改默认密码的最长有效期和最短有效期 强制密码历史。在本地安全策略双击“强制密码历史”，修改保留密码历史个数，如图5_4_4所示。 图5_4_4 账户锁定策略密码安全 在本地安全设置控制台中展开“账户锁定策略”，双击右边“账户锁定阈值”，根据需要修改数值，如图5_4_5所示 图5_4_5 用户权限分配 从网络访问此计算机。在本地安全控制台中单击“本地策略”，展开“用户权限分配”，双击右边“从网络访问计算机”，如图5_4_6所示。从安全角度考虑，建议将Everyone组删除。 图5_4_6 拒绝从网络访问这台计算机。该设置与“从网络访问此计算机”相反。 允许本地登录。双击“允许在本地登录”，如图5_4_7，单击“添加用户或组”按钮，根据需要修改。 图5_4_7 关闭系统。操作与上述步骤相同，故不赘述。 任务2 管理组策略 参考步骤如下： 创建组策略对象 选择“开始→程序→管理工具→ Active Directory用户和计算机”，弹出如图5_4_8所示控制台窗口，鼠标右击要建立组策略对象的域控制器，从弹出的快捷菜单中选择“属性”命令，将弹出“域控制器属性”对话框。 图5_4_8 打开“域控制器属性”对话框并选择“组策略”选项卡，如图11-8所示，单击“新建”按钮，输入要创建的组策略对象名称，如“GPO_ONE”。 在该选项卡中单击“添加”按钮，则可打开“添加组策略对象链接”对话框，将已经创建但还没有指定链接的组策略链接到任何的Active Directory逻辑结构单元中。其中有“域/OUs”、“站点”和“全部”3个选项卡。切换到“全部”选项卡，然后选择对应的项目如GPO_ONE，就可以将其链接到这个单元，如图5_4_9所示。 图5_4_8 图5_4_9 完成新建组策略对象之后，返回到“组策略”选项卡，指定要管理的组策略进行编辑，弹出“组策略编辑器”，如图5_4_10所示，然后就可以对其进行具体的组策略应用。 图5_4_10 删除组策略对象 在图5_4_8的“组策略”选项卡中，选择要删除的对象，单击“删除”按钮，然后选择删除的方式。 如果选择“从列表中移除链接”，组策略对象会继续存在，以后需要的时候还可以链接到Actire Directory逻辑单元中。如果选择移除链接并将组策略永久删除，将删除它的所有相关信息，不能重新添加链接 设置组策略对象选项 组策略的继承。如果希望下层单位要保留自己的组策略，勾选图5_4_8中的“阻止策略继承”，如图5_4_11所示。 组策略的禁用。单击图5_4_8的“组策略”选项卡中的“选项”按钮，弹出选项对话框，设置禁用组策略，如图5_4_12所示。 图5_4_11 图5_4_12 组策略的优先顺序调整。通过图5_4_8的“组策略”选项卡的“向上”、“向下”进行调节。 组策略的属性。在图5_4_8的“组策略”选项卡中选中某一组策略对象，单击“属性”按钮，可以查看和设置这个组策略对象的属性，包括“常规”、“链接”、“安全”、“WMI筛选器”等4个选项。 任务3 配置域安全策略 参考步骤如下： 选择“开始→程序→管理工具→域控制器安全策略”，弹出如图5_4_9所示界面，依次选中“安全设置→本地策略→审核策略”，将展开具体的审核策略。 图5_4_9 在图5_4_9的右侧的窗口中，双击某个策略显示出其设置，如双击审核登录事件，将弹出“审核登录事件属性”话框。可以审核成功登录事件，也可以跟踪失败的