《Windows配置本地安全策略》由会员分享,可在线阅读,更多相关《Windows配置本地安全策略(24页珍藏版)》请在金锄头文库上搜索。
1、Windows 2008系统管理系统管理 第六章 配置本地安全策略 课程回顾 ?哪些用户有权限创建共享文件夹? ?通过哪些方式可以访问共享文件夹? ?网络访问时的有效权限是什么?共享权限为读取,NTFS权限为写入,通过 ?打印设备和打印机的区别和联系? ?什么时候需要使用打印机优先级? ?常用的打印权限有哪些? 章节目标 ?理解本地安全策略 ?会配置账户策略 ?会配置本地策略 ?会配置高级安全防火墙规则 本地安全策略 ?本地安全策略影响本计算机的安全设置 ?本地安全策略主要包含 ?账户策略 ?本地策略 ?高级安全Windows防火墙 账户策略密码策略 ? 密码必须符合复杂性要求 ? 密码长度最
2、小值 ? 密码最长使用期限 ? 密码最短使用期限 ? 强制密码历史 ? 用可还原的加密来 储存密码 账户策略账户锁定策略 账户锁定阈值 账户锁定时间 复位账户锁定计数器 案例:账户锁定策略应用 ?案例需求: ?有一台系统为Windows Server 2008 的服务器,为了提高系统的安全性,如果用户在一天之内3次输错密码,就锁定相应的用户账户 ?实现思路: ?账户锁定阈值:3 ?账户锁定时间:0 ?复位账户锁定计数器: 1440 ?管理员解锁 小结 ?请思考: ?密码复杂性的要求是什么? ?账户被锁定后,如何能使其正常登录? 本地策略审核策略 是否在安全日志中记录登录用户的操作事件 审核策略
3、 审核策略更改 审核登录事件 审核对象访问 审核账户登录事件 审核系统事件 说明 确定是否对用户权限分配策略、审核策略或信任策略的更改进行审核 确定是否审核此策略应用到的系统中发生的登录和注销事件 确定是否审核用户访问某个对象(如文件、文件夹、注册表项、打印机)的事件 确定是否审核在这台计算机用于验证账户时,用户登录到其他计算机或者从其他计算机注销的每个实例 确定是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件 审核策略的配置 审核策略设置的安全设置选项包括: 成功 失败 无审核 事件查看器 ?作用: ?浏览和管理事件日志 安全日志: 审核成功审核失败案例:审核文件和文件夹
4、 ?案例需求: ?服务器filesvr上有一个文件夹“公司文件”,其中存放着公司的日常工作规范等文档,管理员希望将来能够查看员工对该文件夹的成功访问和失败访问的情况 ?实现思路: ?启用“审核对象访问”策略 ?设置文件夹的审核项目 ?访问文件夹“公司文件” ?查看成功审核和失败审核的事件 本地策略用户权限分配 关闭系统 更改系统时间 拒绝本地登录 允许在本地登录 案例:用户权限分配应用 ?案例需求: ?普通用户UserA在登录Windows Server 2008系统后发现自己没有关闭系统的权限,如何让UserA能正常关机 ?实现思路: ?配置本地安全策略 ?在“关闭系统”策略中添加UserA
5、 本地策略安全选项 控制一些和操作系统安全相关的设置 案例:安全选项应用 ?案例需求: ?为了提高Windows Server 2008 系统的安全性,希望使用空白密码的本地账户只能进行控制台登录,如何实现 ?实现思路: ?配置本地安全策略 ?启用“账户:使用空白密码的本地账户只允许进行控制台登录”策略 高级安全Windows防火墙 ?高级安全Windows防火墙 ?使用配置规则来响应传入和传出流量 ?包括: ?入站规则 ?出站规则 ?连接安全规则 案例:入站规则配置 ?案例需求: ?在一台服务器(192.168.1.25)上安装并启用FTP服务后,防火墙中将添加一条允许所有FTP入站连接的入
6、站规则。如何配置防火墙规则阻止客户端192.168.1.10通过FTP连接到服务器,而其它客户端都能够通过 FTP连接到服务器 ?实现思路: ?新建入站规则 ?指定协议、端口和操作 ?配置入站规则属性 案例:出站规则配置 ?案例需求: ?有一台Web服务器的IP地址为192.168.1.10,本地计算机的默认出站连接设置为允许,如何通过出站规则阻止本地计算机通过 IE访问Web服务器 ?实现思路: ?新建出站规则 ?指定程序路径和操作 ?验证出站规则配置结果 实验案例1:账户策略的应用 ?需求描述: ?有一台Windows Server 2008 服务器位于工作组中,为了加强该服务器的安全性,
7、需要配置密码策略和账户锁定策略,账户被锁定后,通过管理员账户为锁定的账户解锁 实验案例1:账户策略的应用 ?实现思路: ?启用密码复杂性策略 ?配置密码最短长度要求 ?配置账户锁定阈值为3 ?为锁定的账户解锁 ?学员练习: ?在本地安全策略中配置各策略 ?验证所配置的策略 40分钟完成 实验案例2:审核策略的应用 ?需求描述: ?在工作组中有一台Windows Server 2008 文件服务器,服务器上有一个文件夹 D:data,为了加强数据的安全性,管理员需要审核所有用户账户对该文件夹的访问情况 实验案例2:审核策略的应用 ?实现思路: ?启用本地策略的审核对象访问 ?访问数据 ?查看审核记录 ?文件夹必须位于NTFS分区中 实验案例2:审核策略的应用 学员练习: ?创建文件夹D:/data ?启用本地安全策略中的“审核对象访问”?添加文件夹的审核 ?访问文件夹 ?查看审核结果 40分钟完成 ?
