《win2012版-项目13使用安全策略和防火墙构筑访问安全》由会员分享,可在线阅读,更多相关《win2012版-项目13使用安全策略和防火墙构筑访问安全(32页珍藏版)》请在金锄头文库上搜索。
1、虽Windows Server 2012 R2网络组建项目化教程虽资源下载地址乂http:#wwwdutpbookcom/classificationasp?sid=126主编:夏笠芹大连理工犬学出版社DAL2N UNIVERSITY OF TECHNOLOG* 项目13使用安全策略和防火墙实现访问安全 0项目背景为了减少网络攻击行为的威胁,保障服务器的安全, 迅达公司网络管理员小刘,采取了以下措施来加固 服务器:;e对Windows Server 2012 R2本身安装了最新的补 丁程序修复系统漏洞;e设置帐户策略以防止密码被盗;添加审核策略来跟 踪资源访问者;启用并配SWindows Se
2、rver 2012 R2自带的防火 墙对进、出服务器的数据包进行筛选。 项目13使用安全策略和防火墙实现访问安全 0教学目标知识目标 了解:安全策略的含义;熟悉蛊安全策略掌握:常见安全策略的配置,高级安全Windows防火墙的配置能力目标会进行账户策略、审核策略的安全设置 会进行用户权限分配、安全选项的安全设置 会进行Windows防火墙入站和出站规则的配置2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页013.2项目知识准备13.2.1安全策略及类型安全策略(security policy)规定了用户在使用计算机、运 行应用程序和访问网络等方面的
3、行为约束规则。合理运用和 设定安全策略,可以使计算机受到的安全威胁大大降低。根据影响范围的不同,Windows Server 2012 R2支持以下 4种类型的安全策略:A本地安全策略:实现本地计算机的安全。包括帐户策略、 本地策略、公钥策略、软件限制策略和IP安全策略。A域控制器安全策略:实现域控制器的安全。域安全策略:实现整个域的安全。A组策略:实现整个网络的安全。13.2.2认识高级安全Windows防火墙高级安全Windows防火墙(简称WFAS)OWFAS的优势有:;支持双向保护,可以对出站、入站通信进行过滤。实现了更高级的出站和入站规则(防火墙规则)的创 建与配置。它将防火墙和In
4、ternet协议安全(IPSec)功能实现了集成。用户可以设置连接安全规则请求或要求计算机在通信之前互相进行身份验证,还可以配置通信时的 密钥交换、数据保护(完整性和加密)。2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页任务13T帐户策略的设置任务131帐户策略的设置1 密码策略设置步骤如下:步骤1步骤7电本地安全策略丨丨口丨X I文件旧撓作(A)查看M稻助(H去妄全设BTl策略*瓯密码必须符合复杂性要求0|直密码策略|甌密码长度最小直A 3刖锁定策略甌密码最短僮期限0天尽本地策貉甌密码最长便用期限42天 Q高级養全Windows &甌券制密码历
5、史0丹住的擁网络列表爸理器策聒氏用可还原的力密来储荐密岀已禁朋l _J公钥策昭t 钦件限制策礦V|p2帐户锁定策略的设置账户锁定是指在某些情况下(如账户受到釆用密码词典或暴力破解方式 等),为保护该账户的安全而将此账户进行锁定,使其在一定时间内不能再次使用孩从而使破解失败。设置账户锁定策略的步骤如下步骤1丨丨口次1|丨X I文件(F)操作(A)童看(V)罄助(H)肯園XB| E 9本地安全策略邑安全设SM帐户策路策略瓯帐户锁定时闾 甌刖雌阈值 畐重冒帐户锁定曲器不餌;0分神hp hpIei卩:沪就舉酩A j本iS策略1高级安全Windows防网络列表管理器策略 E3公钥策略 软件限制策路A 盍
6、用程序控制策略風IP安全策晤,在本地计 一高级亭核策路配置“ 皿 丨丨12018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页任务13-2审核策略的设置审核就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。e配置审核策略就是确定把哪些事件写入计算机的安全日志中。审核策略说明审核策略更改是否对用户权限分配策略、审核策略或信任策略的更改进行审核审核登录事件是否审核此策略应用到的系统中发生的登录和注销事件审核对象访问是否审核用户访问某个对象(如文件、文件夹、注册表项、打印 机)的事件审核帐户登录事件是否审核在这台计算机用于验证帐户时,用
7、户登录到其他计算机或 者从其他计算机注销的每个实例审核系统事件是否审核用户重新启动、关闭计算机以及对系统安全或安全日志 有影响的事件审核策略设置步骤:步骤1步骤6本地安全策略曰| XA【 鼻事核策略圭体禁用魅承(D便用可则对无审核 防策賂4马本地策路)高级权限甌审核目录服务访问 瓯审核待B测 瓯审核談蒔件 瓯审脚沪登录事件 瓯毎核帐户营理无宰核无奉核策略甌审核策晤更改 陶肓核登录言件文件(F)援作(AWM藉助(H)有妇他信息,请双 审核项目: . * 添加動/名称;E:j2达公宅所有者;AdministrJ权限rY已用户权限分配 3妄全选項删除【:一高级宝全Windows I 网络列表管理器策
8、晤 公钥策路t 钦件限制策賂X无审核 无审核 无审核 无审核 无审核 无毎核nl 应用传就制策略2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页0任务13-3用户权限分配的设置用户权限是允许用户在计算机系统或域中轨行的任务有两种类型的用户权限:A登录权限控制为谁授予登录计算机的权限以 及他们的登录方式,比如拒绝本地登录、允 许本地登录等;特权控制对计算机上系统范围的资源的访问, 比加关闭系统、更改系统时间等。表132常用的用户权限分配说明用户权限名称从网络访问此计 算机拒绝从网络访问 这台计算机允许在本地登录拒绝本地登录关闭系统默认情况下任何用户均
9、可从网络访问计算机,根据实际需 要可以撤销某组账户从网络访问的权限。有些用户只在本地使用,不允许通过网络访问此计算机, 就可以将此用户加入到该策略中。III此登录权限确定了可交互式登录到该计算机的用户,通过 在连接的键盘上按Ctrl+Alt+Del组合键启动登录,该操作 需要用户拥有此登录权限。另外,一些能使用户进行登录 的服务或管理应用程序可能也需要此登录权限。 此安全设置确定阻止哪些用户登录到该计算机。如果一个 账户同时受上述策略的制约,则此策略设置将取代允许本 地登录策略。让普通用户具有关闭计算机的权限。用户权限分配的设置步骤如下:进入【本地安全策略】窗口-在 左窗格中展开【本地策略】-
10、单击【用户权限分配】-在右窗格中双击 【从网络访问此计算机】策略,打开【从网络访问此计算机属性】对话 框,从此可以看出Everyone组也允许通过网络连接到此计算机,即网络中 的所有用户都可以访问到这台计算机,基于安全的考虑,可以把Everyone 组删除。单击【添加用户和组】/【删除】按钮,可以添加或删除具有从 网络访问此计算机的用户和组本地安全策略2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页0任务13-3用户权限分配的设置2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页0任务13-3用户权限分配
11、的设置文件(F)援作(A)莹看(V)群助(H)xss| a从网络访问此计算机雇性l L1帐户策聒 丄直本地策略 Z1审核策賂 C1用户权限分配 3姿学项 高级安全Windows防火览 网络列表莒理器策略1 公钥策略i 软件限制策貉i 逹用程序控制策略t風IP枣全策Bg r在本地计算机高级审核黃BB配冒瓯从远程M统睜制关机甌更改时区更改豕统时间甌关闭至统瓯琶理审核和安全日志 瓯还原文件和目录rnin从网络访问此计算机UsersEveryoneAdministratorsBackup Operators策賂瓯创建一牌对象 陶创建Y厌面文件 瓯创建永久共享对象貳險瞬H!禺JSte本ta安全设置w明删
12、陰迟)修改此设冒可能影咀与客户焦服务和应用程序的兼容性。 有关详细信息适参阅从网络访问此计算札(Q823659)确走取消应用色)2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页任务13-4安全选项的设置O2018年7月10日星期二Windows Server 2012 R2网络组建项目化教程第#页任务13-4安全选项的设置O关机:允许系统在未登录前 关机账户:使用空白密码的本地 账户只允许进行控制台登录交互式登录:用户试图登录 时消息文字网络访问:不允许SAM账户和 共享的匿名枚举账户:来宾账户状态在“安全选项”中的安全策略,是一些和操作系统 安全
13、有关的设置。下表列出了几个常用的安全选项:说明安全选项名称正常情况下,只有登录系统后具有权限的用 户才能关机,如果有时需要在未登录前关机, 可将此策略启用 密码为空的用户不能通过网络访问此计算机, 此策略禁用后,密码为空的用户将不会受到 限制。该安全设置指定用户登录时显示的文本消息O 使用该文本通常作用是用于警告。例如警告 用户登录后哪些操作不被允许等。禁止通过共享会话猜测管理员系统口令禁用来宾账户安全选项的设置步骤如下:步骤1步骤4本地安全策略文件(F)擾作(A)查看M 帮助H)4用户权限分配2宝全选项玉宝全设置(鸟帐户策路 丿3本地策略 3审核策路甌恢輕制台:允许吕詢肯理登录 甌交互式登录:不显示最后的用户名 甌交匪:登录:计算机不活动限制 樹交式登灵计算机刖钳走阈值交互式登录:试圍登录的用户的消息标题妄全SB -1 已禁用浸有钗浸有却一高级安全Windows防火堆网络列表管理器策賂公钥策路软件限制策路应用桂序控制策晤團IP荽全策賂在本地计算机 高级隼洛賂配置樹交互式登录:试图登录的用户的消息文本 瓯交互式登录;钳走会话时显示用户信息 圖交生e登录;提示s户在过期之前更改密码 樹交互式登录;无须按Ctrl+Alt
