网络维护实战第六章Windows2008安全管理

《网络维护实战第六章Windows2008安全管理》由会员分享，可在线阅读，更多相关《网络维护实战第六章Windows2008安全管理（39页珍藏版）》请在金锄头文库上搜索。

1、BENET3.0第一学期课程,第六章 Windows 2008安全管理实战,2,内容回顾,如何监视Web服务器性能？ 如何优化Web服务器性能？ 如何加强Web服务器安全性？ 如何实现站点到站点VPN？,3,技能展示,掌握安全策略的配置 掌握加密和数据保护的应用 掌握部署NAP服务 掌握PKI高级应用 掌握RODC的配置,4,本章结构,5,Windows 2008安全设置,Windows 2008安全配置向导 为了简化安全配置过程，Windows 2008提供了安全配置向导,6,案例1：加强Windows 2008系统安全性,BENET公司有一台计算机中保存了许多重要文件。管理员发现经常有人试

2、图访问这些文件。为了保证该计算机的安全，管理员打算对这台计算机进行安全设置,7,案例1：加强Windows 2008系统安全性,运行“scw”命令，启动安全配置向导 新建安全策略，进行安全配置,8,案例1：加强Windows 2008安全性,学员练习： 运行“scw”命令，启动安全配置向导 新建安全策略，进行安全配置,10分钟内完成,9,数据加密和数据保护,EFS简介 EFS全称为加密文件系统，可以为系统中的文件提供加密保护 EFS的加密过程是完全透明的，加密后不会影响用户访问文件,10,案例2：保证文件服务器数据安全,BENET公司的网络中有一台文件服务器，该服务器的E:Data文件夹中保存

3、了大量机密文档，为了防止这些文件外泄，公司要求禁止无关人员取读、复制和修改这些文件,11,案例2：保证文件服务器数据安全,加密E:Data文件夹，使用不同用户访问该文件夹 备份密钥（导出密钥） 恢复密钥（导入密钥）,12,案例2：保证文件服务器数据安全,学员练习： 加密E:Data文件夹，使用不同用户访问该文件夹 备份密钥（导出密钥） 恢复密钥（导入密钥）,10分钟内完成,13,部署NAP服务,NAP服务简介 为了保证企业网安全，企业通常要在局域网中推行一定的安全策略，这可以通过NAP技术实现 NAP不是防范网络攻击的技术，而是用于维护计算机健康，在网络中推行安全策略的一种手段,14,案例3：

4、通过NAP加强企业网安全,BENET公司的网络是一个Windows域，域名为。域中所有客户机通过一台DHCP服务器动态获得IP地址。为了加强安全性，管理员希望只有启用了Windows防火墙的计算机能访问网络，否则不能访问,15,案例3：通过NAP加强企业网安全,环境要求： 域控制器 Windows 2008网络策略服务器 DHCP服务器 DNS服务器 Windows Vista客户机,16,案例3：通过NAP加强企业网安全,实验准备： 使用三台计算机完成本实验： 计算机DC01，IP地址为192.168.100.1，充当域控制器和DNS服务器 计算机NPS01，IP地址为192.168.100

5、.2，充当DHCP服务器和NPS服务器 计算机Client01,充当客户机，自动获得IP地址,17,案例3：通过NAP加强企业网安全,配置活动目录域： 在计算机DC01中安装活动目录域服务和DNS服务，并将该计算机配置为域控制器，域名为 将计算机NPS01加入域，成为成员服务器 为计算机Client01配置静态IP，加入域,18,案例3：通过NAP加强企业网安全,安装网络策略服务器： 在NPS01计算机上安装网络策略服务器,19,案例3：通过NAP加强企业网安全,配置网络策略服务器: 在NPS01计算机上配置网络策略服务器,20,案例3：通过NAP加强企业网安全,安装和配置DHCP服务器: 在

6、NPS01计算机安装和配置DHCP服务器,21,案例3：通过NAP加强企业网安全,配置组策略: 通过AD组策略配置Client01客户机,22,案例3：通过NAP加强企业网安全,测试实验效果: 在Client01计算机中启用防火墙，该计算机能够从DHCP服务器获得IP地址 在Client01计算机中关闭防火墙，再次检查网络配置（子网掩码为255.255.255.255，说明网络不正常）,23,案例3：通过NAP加强企业网安全,学员练习： 实验环境准备 配置活动目录域 安装网络策略服务器 配置网络策略服务器 安装和配置DHCP服务器 配置组策略 测试实验效果,40分钟内完成,24,PKI高级应用

7、,加密恢复代理简介 使用EFS加密文件后，默认情况下，只有加密者本人能打开加密文件 通过设置加密恢复代理，可以让指定用户打开别人加密的文件,25,案例4：设置加密恢复代理,为了保证公司财务数据的保密性，BENET公司财务部要求每个员工对自己所涉及的数据加密 为了防止员工离职后加密数据无法打开，公司希望财务部主管可以打开别人加密的文件,26,案例4：设置加密恢复代理,准备实验环境： 建立Windows域，域名为。在活动目录中建立财务部组织单位，名称为Finance_OU。在OU中分别为财部主管、财务部员工B、财务部员工C建立帐户UserA、UserB、UserC。并将这三个账户加入Domain

8、Admins组 在域控制器中安装“Active Directory证书服务” 以UserB登录域控制器，建立一个空文件夹，在文件夹中建立一个文本文件。将建立的文件夹及文件加密 以UserA和UserC登录域，访问UserB建立的文件，系统提示“拒绝访问”,27,案例4：设置加密恢复代理,申请证书： 以财务主管的帐户UserA登录域 建立MMC管理控制台，添加“证书”工具，申请证书,28,案例4：设置加密恢复代理,导出刚刚申请的证书：,29,案例4：设置加密恢复代理,在域控制器上设置组策略：,30,案例4：设置加密恢复代理,数据解密： 以UserB登录域控制器，在前面建立的加密文件夹中再建立一个

9、文件002.txt。可以看到，该文件自动被加密 以UserA登录域控制器，打开UserB加密的文件，可以打开，而且还可以取消加密状态，说明UserA是加密恢复代理 以UserC登录域控制器，打开UserB加密的文件，仍然提示“拒绝访问”,31,案例4：设置加密恢复代理,学员练习： 准备实验环境 申请证书 导出刚刚申请的证书 在域控制器上设置组策略 数据解密,30分钟内完成,32,配置RODC,RODC简介 RODC全称为只读域控制器，其中保存只读的Active Directory数据库，无论普通用户还是管理员都不能修改活动目录的内容 RODC使分支机构在域的管理和安全方面有了新的选择,33,案

10、例5：配置RODC,BENET公司的网络是一个Windows域，域名为。该域中有一台Windows 2008域控制器 公司新成立一个部门，并为该部门组建了单独的局域网。公司打算在不增加管理负担的基础上，专门为该部门安装一台域控制器，但是不允许该部门的人修改域控制器的配置,34,案例5：配置RODC,RODC安装准备： 以Administrator登录现有域控制器 将林功能级别提升为Windows Server 2003或更高版本 执行“adprep /rodcprep” 命令 安装RODC： 将要安装为RODC的计算机加入域 在RODC计算机中安装“Active Directory域服务” 运

11、行“dcpromo”命令，选择“使用高级模式安装”，安装RODC,35,案例5：配置RODC,验证安装结果： 以域管理员Administrator登录域 打开“Active Directory用户和计算机”，展开“Domain Controllers”容器，可以看到RODC计算机,36,案例5：配置RODC,验证安装结果： RODC上不能修改活动目录配置（无“新建”选项）,37,案例5：配置RODC,学员练习： 将林功能级别提升为Windows Server 2003或更高版本 执行“adprep /rodcprep” 命令 将要安装为RODC的计算机加入域 在RODC计算机中安装“Active Directory域服务” 运行“dcpromo”命令，选择“使用高级模式安装”，安装RODC 验证安装结果,25分钟内完成,38,总结,39,