《规划、配置实现和部署安全客户端计算机基线2823a_08》由会员分享,可在线阅读,更多相关《规划、配置实现和部署安全客户端计算机基线2823a_08(45页珍藏版)》请在金锄头文库上搜索。
1、第8章 规规划、配置、实现实现 和部署 安全客户户端计计算机基线线l第1章 规规划和配置授权权和身份验证验证 策略l第2章 安装、配置和管理证书颁发证书颁发 机构l第3章 配置、部署和管理证书证书l第4章智能卡证书证书 的规规划、实现实现 和故障诊诊断l第5章 加密文件系统统的规规划、实现实现 和故障排除l第6章 规规划、配置和部署安全的成员员服务务器基线线l第7章 为为服务务器角色规规划、配置和部署安全基线线l第8章 规规划、配置、实现实现 和部署安全客户户端计计算机基线线l第9章 规规划和实现软实现软 件更新服务务l第10章 数据传输传输 安全性的规规划、部署和故障排除l第11章 部署配置
2、和管理SSLl第12章 规规划和实实施无线线网络络的安全措施l第13章 保护远护远 程访问访问 安全网络络安全的实现实现 和管理 以Windows Server 2003和ISA Server 2004为为例 网络络安全的实现实现 和管理 以Windows Server 2003和ISA Server 2004为为例 l第14章 Microsoft ISA Server 概述l第15章 安装和维护维护 ISA Serverl第16章 允许对许对 Internet 资资源的访问访问l第17章 配置 ISA Server 作为为防火墙墙l第18章 配置对对内部资资源的访问访问l第19章 集成 IS
3、A Server 2004和Microsoft Exchange Serverl第20章 高级应级应 用程序和Web筛选筛选l第21章 为远为远 程客户户端和网络络配置虚拟专拟专 用网络访问络访问l第22章 实现缓实现缓 存l第23章 监视监视 ISA Server2004第 8 章 规规划、配置和部署安全的客户户端计计 算机基线线l规规划和实现实现 安全客户户端计计算机基线线l配置和部署客户户端计计算机基线线l规规划和实现软实现软 件限制策略l为为移动动客户户端实现实现 安全规规划和实现实现 安全客户户端计计算机基线线l客户户端计计算机基线线 l为为保护护客户户端安全预预定义义的安全模板lM
4、icrosoft Windows XP 安全指南模板l管理模板l管理模板和安全模板的区别别l添加和删删除管理模板lMicrosoft Office 模板l规规划客户户端计计算机基线线的指导导方针针8.1 规规划和实现实现 安全客户户端计计算机基线线客户户端计计算机基线线l所有客户户端计计算机都应该应该 有自己的基线线安全策 略l其他安全设设置(管理模板等) 添加 .adm 模板以便进进一步保护计护计 算机避免受 到来自用户户的威胁胁 使用 SYSKEY 调调整事件日志文件的大小 保护计护计 算机抵御未授权权的或未知代码码的访问访问 保护护便携式计计算机防止偷偷窃 重命名 Guest 和 Adm
5、inistrator 账户账户 8.1.1 客户户端计计算机基线线为为保护护客户户端安全预预定义义的安全模板模板描述兼容(Compatw s.inf)会更改授予 Users 组的缺省文 件和注册表权限新的权限与不属于 Windows Logo Program for Software 的 大多数应用程序的要求一致 安全 (Securews.i nf) 高安全 (hisecws.inf )定义了对应用程序兼容性的影 响可能最小的增强安全设置(仅 发出NTLMV2响应、拒绝LM)例如,安全模板定义了强度更 高的密码、锁定和审核设置高安全:启用smb、LDAP签 名等8.1.2 为为保护护客户户端安
6、全预预定义义的安全模板Microsoft Windows XP 安全指南模板模板描述企业客户端 企业客户端 Desktop.inf 企业客户端 Laptop.inf高安全性高安全性 Desktop.inf 高安全性 Laptop.inf独立环境遗留的企业 Account.inf 遗留的企业客户端 Desktop.inf 遗留的企业客户端 Laptop.inf 遗留的高安全性 Account.inf 遗留的高安全性 Desktop.inf 遗留的高安全性 Laptop.inf8.1.3 Microsoft Windows XP 安全指南模板管理模板l使用管理模板(.adm)文件来配置 Windo
7、ws XP 注册表中的设设置 lWindows XP Service Pack 1 管理模板: System.adm:定义义用户环户环 境的系统设统设 置 Inetres.adm:定义义IE设设置 Conf.adm:定义义NetMeeting设设置 Wmplayer.adm:定义义Media Player设设置 Wuau.adm:定义义Windows Update设设置8.1.4 管理模板管理模板和安全模板的区别别安全模板管理模板 只能用于计算机的安 全配置 计算机与用户两者均可 用,主要是针对特定的 应用程序的配置 可以使用“安全模板” 管理单元简单的编 辑不存在特殊的编辑工具 ,因此可以用
8、文本编辑 器编辑这 些模板 只包含某些特定安全 设置,不能增加或删 除配置选项。默认情况下包含一定的 注册表设置,但是可以 被修改为允许通过 GPO 的任何注册表配 置设置 每个模板都是单独的 文件,通常与在配置 的安全性级别相关 可以从 GPO 中添加或 删除多个模板。每个模 板都控制一定的注册表 区域 应用它们之前应该 将它们存储在安全的 位置 在 GPO 中添加或配置 模板时,会自动将模板 复制到 Sysvol,并复制 到所有域控制器 8.1.5 管理模板和安全模板的区别别安全模板默认认位置:%windir%securitytemplates管理模板默认认位置:%windir%inf添加
9、和删删除管理模板演示:添加和删删除管理模板8.1.6 添加和删删除管理模板Microsoft Office 模板l能为连为连 接到网络络的 Microsoft Office 用户户全局设设置策略 l在 Office 中的一些管理模板: Access11.adm :Access2003模板 Excel11.adm:Excell2003模板 FP11.adm:FrontPage2003模板 GAL11.adm:Clip Organizer2003模板(剪贴图贴图 管理器 ) INF11.adm:InfoPath 2003模板 PUB11.adm:Publisher 2003模板 PPT11.adm
10、: WORD11.adm: OUTLK11.adm: ONENT11.adm:OneNote2003模板 OFFICE11.ADM:Office 2003 General模板8.1.7 Microsoft Office 模板这这些模板在Office Resource kit中规规划客户户端计计算机基线线的指导导方针针规规划客户户端计计算机基线线:确定 OU 结结构(示例P181页页)确定合适的安全模板确定合适的管理模板确定其他的安全设设置(如重命名一些特殊帐帐号 等)8.1.8 规规划客户户端计计算机基线线的指导导方针针实验实验 8-1 安装 Office Resource Kit 模板安装
11、Microsoft Office Resource Kit 并加载管理模板8.1.9 实验实验 8-1 安装 Office Resource Kit 模板第 8 章 规规划、配置和部署安全的客户户端计计算机基线线l规规划和实现实现 安全客户户端计计算机基线线l配置和部署客户户端计计算机基线线l规规划和实现软实现软 件限制策略l为为移动动客户户端实现实现 安全配置和部署客户户端计计算机基线线l组组策略环环回处处理模式l启用环环回处处理的方式l重命名客户户端计计算机上的 Administrator 和 Guest 账户账户 的方式l配置和部署客户户端计计算机基线线的指导导方针针8.2 配置和部署客
12、户户端计计算机基线线组组策略环环回处处理模式l使用组组策略的环环回处处理特性来进进行计计算机对对象单单 独的位置对对他们应们应 用策略 l环环回处处理 替换环换环 回 合并环环回8.2.1 组组策略环环回处处理模式启用环环回处处理的方式演示:启用环环回处处理的方式8.2.2 启用环环回处处理的方式重命名客户户端计计算机上的 Administrator 和 Guest 账户账户 的方式演示:重命名客户户端计计算机上的 Administrator 和 Guest 账账 户户的方式8.2.3重命名客户户端计计算机上的 Administrator 和 Guest 账户账户 的方式配置和部署客户户端计计
13、算机基线线的指导导方针针配置和部署客户户端计计算机基线线:使用最佳实实践来配置 NTFS使用最佳实实践存储储模板为为配置其他安全设设置选择选择 合适的方法为为部署客户户端计计算机基线线选择选择 合适的方法(一般通过组过组 策略来实现实现 )使用最佳实实践部署安全和管理模板调调整事件日志文件的大小以捕捉足够够的数据8.2.4 配置和部署客户户端计计算机基线线的指导导方针针实验实验 8-2 为环为环 回模式配置管理模板为环回模式配置管理模板8.2.5 实验实验 8-2 为环为环 回模式配置管理模板第 8 章 规规划、配置和部署安全的客户户端计计算机基线线l规规划和实现实现 安全客户户端计计算机基线
14、线l配置和部署客户户端计计算机基线线l规规划和实现软实现软 件限制策略l为为移动动客户户端实现实现 安全规规划和实现软实现软 件限制策略l软软件限制策略的用途l标识软标识软 件的规则规则l软软件限制策略选项选项l规规划和实现软实现软 件限制策略的最佳实实践l创创建规则规则 的方法8.3 规规划和实现软实现软 件限制策略软软件限制策略的用途软软件限制策略:l控制软软件在系统统中的运行能力l允许许用户户在多用户计户计 算机上仅仅运行特定文件l决定可在计计算机中添加受信任的发发布者的用户户( 证书证书 )l控制软软件限制策略是影响到所有用户还户还 是计计算机 上的某些用户户8.3.1 软软件限制策略
15、的用途标识软标识软 件的规则规则规则描述哈希规 则 当用户尝试 打开软件程序时,程 序的哈希就会与软件限制策略的 哈希规则中的现有哈希进行比较 证书 规则 创建证书规则标识软 件,然后根 据安全级别允许或不允许软件运 行 路径规 则 可以通过使用文件路径和设置路 径规则的安全级别为 不受限制来 创建路径规则(含注册表路径) Interne t 区域 规则 标识那些来自 Internet Explorer 所指定的区域的软件 (限制这些 区域的MSI软件的安装)8.3.2 标识软标识软 件的规则规则打开证书规则证书规则软软件限制策略选项选项选项描述DLL 检 查 启用 DLL 检查能提高安全性,
16、 因为病毒的主要目标是可执行 文件和某些指定的目标 DLL 防止软件 限制策略 应用于本 地管理员允许管理员运行所有应用程序 将文件类 型指定为 可执行只应用于“指派的文件类型属性” 对话框所列的文件类型 受信任的 发布者启用了证书规则 后,软件限制 策略会检查证书 吊销列表8.3.3 软软件限制策略选项选项软软件限制策略选项选项 8.3.3 软软件限制策略选项选项规规划和实现软实现软 件限制策略的最佳实实践为软为软 件限制策略创创建一个独立的组组策略对对象如果遇到应应用的策略设设置的问题问题 ,在安全模式下 重新启动动 Windows在定义义“不被允许许”默认设认设 置时时的使用提醒为获为获 得最佳的安全性,可以连连同软软件限制策略使 用访问访问 控制列表在对对域应应用策略设设置之前在测试测试 环环境中全面测试测试 新策略设设置根据安全组组中的成员员身份
