齐鲁医学chap21安全管理防病毒.pptVIP

安全管理-----防病毒部署 回顾如何创建、管理域用户账户？如何创建、管理、委派OU？AGDLP规则含义是什么？2 本章目标了解安全策略的类型掌握域安全策略的配置掌握域控制器安全策略的配置了解计算机病毒的定义、种类及防范了解Symantec企业版防病毒软件的安装、部署和策略应用3 （自主练习）实练案例-安装防病毒软件 需求描述： 安装Symantec系统中心 利用Symantec系统中心远程为另一台安装防病毒服务器 利用Symantec系统中心远程为最后一台计算机安装客户端 注：自由选取一款服务器版杀毒软件，测试其使用方法。4 主要内容一、安全策略5 Windows Server 2003安全策略简介 本地安全策略强化单机系统的安全性域控制器计算机不能设置本地安全策略只对本机有效域安全策略强化整域内所有计算机的安全性域控制器策略强化域内所有域控制器计算机的安全性只能在域控制器计算机上设置6 域安全策略影响整个域中计算机的安全设置 打开方式单击“开始”→“程序”→“管理工具”→“域安全策略” 包含两个策略帐户策略本地策略7 帐户策略密码策略 密码必须符合复杂性要求密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 帐户锁定策略 帐户锁定阈值 帐户锁定时间 复位帐户锁定计数器 Kerberos策略8 帐户策略举例实现目标 域帐户密码长度最小为10，连续3次输错，帐户被锁定步骤（1）单击“开始”→“程序”→“管理工具”→“域安全策略” （2）选择“帐户策略”→“密码策略”，设置相应参数。（3）选择“帐户策略”→“帐户锁定策略”，设置相应参数。（4）设置完毕，刷新域安全策略。（5）修改某个帐户的密码，验证密码策略是否起作用。（6）使用域帐户登录测试9 本地策略 审核策略是否在安全日志中记录登录用户的操作事件 用户权限分配关闭系统更改系统时间拒绝本地登录允许在本地登录 安全选项控制一些和操作系统安全相关的设置10 本地策略应用举例 用户权限分配授予某用户向域中添加工作站的权限 步骤（1）单击“开始”→“程序”→“管理工具”→“域安全策略”，展开“本地策略”→“用户权限分配”（2）双击“域中添加工作站”，添加相应的帐户（3）在“开始”→“运行”中，输入“gpupdate”（4）测试11 主要内容一、安全策略二、审核文件夹及文件12 审核文件及文件夹 审核策略审核文件及文件夹 事件查看器13 审核策略常用审核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组； 重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件14 审核文件及文件夹步骤打开本地安全策略启用对象访问审核策略设置需要审核的文件或文件夹15 事件查看器2-1应用程序日志应用程序或系统程序记录的事件 安全性日志登录尝试以及记录与资源使用相关的事件 系统日志Windows 系统组件记录的事件 安装了其他服务则可能会增加日志类型目录服务文件复制服务DNS 服务器16 事件查看器2-2事件类型错误:红色警告:黄色信息:白色成功审核:钥匙失败审核: 锁保存日志17 审核文件或文件夹的实现步骤（1）启用域或者本机的审核策略中的审核对象访问策略，并刷新策略。（2）文件夹或者文件的“安全” →“高级”→“审核”中，添加审核账户及审核项目（3）使用用户访问该文件夹或者文件（4）使用“事件查看器”，查看“安全”日志 教师演示并讲解相关理论 18 小结 Windows Server 2003可以设置那三个安全策略？密码策略包含哪些选项？帐户锁定策略哪些选项？本地策略有哪几部分？如何实现文件及文件夹审核？19 主要内容一、安全策略二、审核文件夹及文件三、域控制器安全策略20 域控制器安全策略 域控制器安全策略与本地安全策略的区别影响的计算机前者影响DC后者影响非DC打开方式“开始”→“程序”→“管理工具”→“域控制器安全策略” 帐户策略中有何异同前者有Kerberos策略与域用户帐户的登录有关 21 域控制器安全策略应用举例目标某个普通域帐户需要在DC上登录步骤（1）打开“域控制器安全策略”→“安全设置”→“本地策略”→“用户权限分配”，（2）双击“允许在本地登录”，添加需要在DC上登录的用户帐户。（3）在“开始”→“运行”中，输入“gpupdate”（4）验证该普通用户能否在DC上登录。22 三种策略的关系 三种安全策略的关系