Windows Server 2003安全管理 Windows Server 2003网络操作系统 设置本地安全策略 基于域的安全设置 审核 学习要点 审核 安全记录 安全模板
16.1 设置本地安全策略 第16章 Windows Server 2003安全管理 16.1 设置本地安全策略 Windows Server 2003在“管理工具”菜单提供了“本地安全设置”控制台,可以集中管理本地计算机的安全设置原则,使用管理员账户登录到本地计算机,即可打开“本地安全设置”控制台。 1.密码安全设置 (1)密码必须符合复杂性要求。 (2)密码长度最小值。 (3)密码使用期限。 (4)强制密码历史。
16.1 设置本地安全策略 2.账户锁定策略密码安全 为了保证系统的安全,最好设置账户锁定策略,包括如下设置:账户锁定阈值、账户锁定时间和重设账户锁定计算机的时间间隔。。 3.用户权限分配 (1)从网络访问此计算机。 (2)允许本地登录。 (3)关闭系统。
16.2 基于域的安全设置 第16章 Windows Server 2003安全管理 16.2 基于域的安全设置 16.2.1 认识组策略 组策略通常是系统管理员为加强整个域或网络共同的策略而设置并进行管理的。 组策略是配置的集合,可以把它应用到AD中的一个或多个对象上,这些设置包含在组策略对象GPO内。GPO在两个位置存储Group Policy信息:组策略容器GPC和组策略模板GPT。 2003组策略(GP)应用程序层次通常首先是站点,其次是域,再次是OU。
16.1 基于域的安全设置 16.2.2 创建组策略对象 (1)选择“开始→程序→管理工具→ Active Directory用户和计算机”,弹出控制台窗口,右击要建立组策略对象的域控制器,从弹出的快捷菜单中选择“属性”命令,将弹出“域控制器属性”对话框。 (2)打开“域控制器属性”对话框并选择“组策略”选项卡,单击“新建”按钮,输入要创建的组策略对象名称。 (3)单击“添加”,打开“添加组策略对象链接”对话框,将已经创建但还没有指定链接的组策略链接到任何的AD逻辑结构单元中。 (4)返回到“组策略”选项卡,指定要管理的组策略进行编辑,弹出“组策略编辑器”,可以对其进行具体的组策略应用。
组策略对象设置不合理或者不再需要时,可以将其删除。 16.1 基于域的安全设置 16.2.3 删除组策略对象 组策略对象设置不合理或者不再需要时,可以将其删除。 选择要删除的对象,单击“删除”按钮,然后选择删除的方式: (1)如果选择“从列表中移除链接”,组策略对象会继续存在,以后需要的时候还可以链接到Actire Directory逻辑单元中。 (2)如果选择移除链接并将组策略永久删除,将删除它的所有相关信息,不能重新添加链接。
16.1 基于域的安全设置 (1)组策略的继承。 (2)组策略的禁用。 (3)组策略的优先顺序调整。 (4)组策略的属性。 16.1 基于域的安全设置 16.2.4 设置组策略对象选项 (1)组策略的继承。 (2)组策略的禁用。 (3)组策略的优先顺序调整。 (4)组策略的属性。 在“组策略”选项卡中选中某一组策略对象,单击“属性”按钮,可以查看和设置这个组策略对象的属性,包括“常规”、“链接”、“安全”、“WMI筛选器”等4个选项。
16.3 审核 第16章 Windows Server 2003安全管理 16.3 审核 审核提供了一种在Windows Server 2003中跟踪所有事件从而监视系统访问和保证系统安全的方法。它是一个保证系统安全的重要工具。 Windows Server 2003允许设置的审核策略,包括如下几项: (1)审核策略更改 (2)审核登录事件 (3)审核对象访问 (4)审核过程跟踪 (5)审核目录服务访问 (6)审核特权使用 (7)审核系统事件 (8)审核账户登录事件 (9)审核账户管理
16.3 审核 域控制器审核策略配置方法: (1)选择“开始→程序→管理工具→域控制器安全策略”,依次选中“安全设置→本地策略→审核策略”,将展开具体的审核策略。 (2)在右侧的窗口中,双击某个策略显示出其设置,如双击审核登录事件,将弹出“审核登录事件属性”话框。可以审核成功登录事件,也可以跟踪失败的登录事件以便跟踪非授权使用系统的企图。 (3)选择“成功”或“失败”或两者都选,然后确定,配置完成。这样每次用户的登录或注销事件都能在事件查看器的“安全性”中看到审核的记录。
16.3 审核 设置审核对给定文件夹或文件对象的访问: (1)定位文件夹或文件,用右键选择“属性”,弹出其属性界面。 16.3 审核 设置审核对给定文件夹或文件对象的访问: (1)定位文件夹或文件,用右键选择“属性”,弹出其属性界面。 (2)“安全”->“高级”,打开“高级安全设置”对话框。 (3)选中“审核”选项卡显示审核属性,单击“添加”按钮。 (4)选择所要审核的用户、计算机或组,输入要选择的对象名称,单击“确定”按钮。 (5)系统弹出审核项目的对话框,列出了被选中对象的可审核的事件。 (6)定义完对象的审核策略后,关闭对象的属性窗口,审核将立即开始生效。
16.4 安全记录 第16章 Windows Server 2003安全管理 16.4 安全记录 16.4.1 认识Windows Server 2003安全记录 安全事件是记录关于审核的结果,打开计算机的审核功能后,计算机或用户的行为会触发系统安全记录事件。例如,管理员删除域中的用户账户,会触发系统写入目录服务访问策略事件记录;修改一个文件内容,会触发系统写入对象访问策略事件记录。
选择“开始→程序→管理工具→事件查看器”或者在命令行中输入eventvwr.msc命令,便可打开“事件查看器”控制台查看安全记录。 16.4 安全记录 16.4.2 查看安全记录 选择“开始→程序→管理工具→事件查看器”或者在命令行中输入eventvwr.msc命令,便可打开“事件查看器”控制台查看安全记录。 安全记录的内容包括: ●类型 ●日期 ●时间 ●来源 ●分类 ●事件 ●用户 ●计算机
16.5 安全模板 第16章 Windows Server 2003安全管理 16.5 安全模板 16.5.1 认识安全模板 安全模板是一种表示安全配置的文件。安全模板可被应用于本地计算机,导入到组策略对象中或用于安全性分析。预先定义的安全模板有: (1)默认安全(setup security.inf) (2)域控制器默认安全(DC security.inf) (3)兼容(compatws.inf) (4)安全(secure*.inf) (5)高度安全(hisec*.inf) (6)系统根目录安全(rootsec.inf) (7)IE浏览器安全(iesacls.inf)
(2)回到控制台,可以看到添加的“安全配置和分析”,右键单击“打开数据库”可以创建新数据库来保存分析的结果。 16.5 安全模板 16.5.2 安全设置分析 (1)在命令行运行“MMC”,打开控制台后,单击“文件→添加/删除管理单元”,新增一个“安全配置和分析”的管理单元,选中要添加的项目“安全配置和分析”,单击“添加”之后关闭。 (2)回到控制台,可以看到添加的“安全配置和分析”,右键单击“打开数据库”可以创建新数据库来保存分析的结果。 (3)选择已存在的数据库,或输入新数据库的名称,创建一个新的数据库 (4)接着弹出“导入模板”对话框,选择一个安全模板
(5)在控制台中的“安全配置和分析”右击,执行“立即分析计算机”命令分析目前的计算机。 16.5 安全模板 16.5.2 安全设置分析 (5)在控制台中的“安全配置和分析”右击,执行“立即分析计算机”命令分析目前的计算机。 (6)在“进行分析”对话框中,输入错误日志文件的路径,记录产生的错误 (7)分析系统安全的过程,包括了分析用户权限分配、受限制的组、注册表、文件系统、AD对象、系统服务、安全策略等
16.5 安全模板 将安全模板应用到域中的实现方法: 16.5 安全模板 16.5.3 管理安全模板 将安全模板应用到域中的实现方法: (1)选择“管理工具→AD用户和计算机”,弹出控制台窗口,鼠标右键单击要编辑的域控制器,在弹出的快捷菜单中选择“属性”命令,将弹出“域控制器属性”对话框,可以看到组策略选项。 (2)选择“组策略选项卡”,编辑组策略对象“Default Domain Policy”,将弹出组策略编辑器,在组策略编辑器中展开“计算机配置→安全设置”,右键选择“导入策略”。 (3)在“策略导入来源”对话框中,选择需要的安全模板并打开,便可导入并应用到域中。
16.6 强化Windows Server 2003安全的方法 Windows Server 2003的安全性相对于Windows以前的任何版本都有很大的提高,但要保证系统的安全,需要对Windows Server 2003做正确的配置及安全强化。主要措施有以下三点: (1)启用密码复杂性要求。 (2)启用账户锁定策略。 (3)删除共享。
16.6 强化Windows Server 2003安全的方法 关闭系统的默认共享的操作: 1.打开“计算机管理”,打开“共享文件夹”下面的子项,点中“共享”,在右边的默认共享窗口中右击鼠标,选中“停止共享”。 2.对于其他的默认共享,可以使用同样的操作,将系统提供的默认共享全部删除。 3.防范网络嗅探。 4.禁用不必要的服务,提高安全性和系统效率。 5.启用系统审核和日志监视机制。 6.监视开放的端口和连接。
本章小结 设置本地安全策略 设置基于域的安全策略 审核 安全记录 安全模板