安全策略的管理

Page1/30第5章内容回顾NTFS文件系统的特点如何获得NTFS移动和复制操作对权限的影响AGDLP规则含义是什么Version2.0安全策略第6章Page3/30本章目标本章应用域的安全策略，加强了域环境安全性理解本地安全策略理解域控制器安全策略理解域安全策略掌握密码策略掌握账户锁定策略掌握审核策略Page4/30密码策略帐户锁定策略概念应用举例本章结构安全策略三种安全策略的关系域帐户策略应用审核文件及文件夹本地安全策略帐户策略本地策略域控制器安全策略域安全策略审核策略用户权限分配安全选项Page5/30本地安全策略本地安全策略影响本计算机的安全设置本地安全策略主要包含帐户策略本地策略Page6/30账户策略2-1密码策略密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来存储密码账户锁定策略账户锁定阈值账户锁定时间复位账户锁定计数器Page7/30账户策略2-2帐户策略举例在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错密码就会被锁定步骤1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【账户策略】|【密码策略】2）双击“密码长度最小值”，输入“8”3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3”4）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）5）更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码6）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁定Page8/30本地策略3-1审核策略是否在安全日志中记录登录用户的操作事件用户权限分配如关闭系统更该系统时间拒绝本地登录允许在本地登录安全选项控制一些和操作系统安全相关的设置Page9/30本地策略3-2用户权限分配举例作为服务器的计算机不能让普通用户交互式登录（在本地登录）步骤:1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【本地策略】|【用户权限分配】2）双击“允许在本地登录”，删除“PowerUsers”和“Users”3）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）4）退出系统，使用普通账户登录，检验能否登录Page10/30本地策略3-3安全选项举例在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的注意事项步骤:1）展开【本地策略】|【安全选项】2）在以下选项中输入提示信息•交互式登录：用户试图登录时消息标题•交互式登录：用户试图登录时消息文字3）刷新本地安全策略4）验证Page11/30阶段总结本地安全策略主要包含账户策略和本地策略密码策略包含哪些选项账户锁定策略哪些选项本地策略有哪几部分返回Page12/30域控制器安全策略2-1域控制器安全策略与本地安全策略的区别影响的计算机•前者影响DC•后者影响非DC打开方式•【域控制器安全策略】•【本地安全策略】帐户策略中有何异同•前者有Kerberos策略•与域用户账户的登录有关Page13/30域控制器安全策略2-2域控制器安全策略应用举例某个普通域账户需要在DC上登录步骤1）打开【域控制器安全策略】|【安全设置】|【本地策略】|【用户权限分配】，双击【允许在本地登录】，添加需要在DC上登录的用户帐户2）刷新域控制器安全策略3）验证该普通用户能否在DC上登录返回Page14/30域安全策略3-1可以影响整个域中的计算机的安全设置打开方式【域安全策略】帐户策略密码策略帐户锁定策略Kerberos策略本地策略Page15/30域安全策略3-2三种安全策略的关系成员计算机和域的设置项冲突时，域安全策略生效域控制器和域的设置项冲突时，域控制器安全策略生效•本地安全策略•域控制器安全策略•域安全策略域benet.com.cnComputersFILESVR1FILESVR2DomainControllersDC1DC2Page16/30域安全策略3-3举例验证以本地选项的设置项为例•交互式登录：用户试图登录时消息标题•交互式登录：用户试图登录时消息文字演示演示成员计算机与域的对比域控制器与域的对比Page17/30域账户策略应用帐户策略设置需求域账户密码长度至少7个字符密码符合复杂性要求密码至少30天修改一次设置密码锁定策略：输入5次密码不正确就锁定该用户帐户实施步骤1）单击【开始】|【程序】|【管理工具】|【域安全策略】2）设置【账户策略】的【密码策略】和【账户锁定策略】3）设置完毕，刷新域安全策略4）修改某个账户的密码，验证密码策略是否起作用5）使用某个域账户登录，故意输错密码，看几次后账户被锁定Page18/30阶段练习背景某些员工设置密码长度很短，而且不符合复杂性要求密码很久也不修改有时会发生非法用户试探员工密码目标密码策略设置账户锁定策略设置密码策略的验证账户锁定策略验证如何给账户解锁Page19/30审核文件及文件夹审核策略审核文件及文件夹事件查看器Page20/30审核策略常用审核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组；重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件Page21/30审核文件及文件夹步骤启用对象访问审核策略设置需要审核的文件或文件夹Page22/30事件查看器2-1应用程序应用程序或系统程序记录的事件安全性登录尝试以及记录与资源使用相关的事件系统Windows系统组件记录的事件安装了其他服务则可能会增加日志类型目录服务文件复制服务DNS服务器Page23/30事件查看器2-2事件类型错误:红色警告:黄色信息:白色成功审核:钥匙失败审核:锁保存日志Page24/30审核文件或文件夹的实现步骤1）启用域或者本机的审核策略中的审核对象访问策略，并刷新策略2）在文件或文件夹的【安全】属性|【高级】|【审核】中，添加要审核的账户及详细的审核项目3）使用用户访问该文件夹或者文件4）使用【事件查看器】，检查是否有用户访问的记录。Page25/30阶段总结本地安全策略、域控制器安全策略和域安全策略之间的关系域账户策略如何加强域账户的安全性审核策略包含哪些内容审核文件及文件夹主要步骤有哪些Page26/30阶段练习背景BENET公司需要审核员工对服务器上某文件夹的访问情况目标审核策略文件夹或者文件的【安全】|【高级】|【审核】属性设置使用【事件查看器】Page27/30本章总结密码策略帐户锁定策略概念应用举例安全策略三种安全策略的关系域帐户策略应用审核文件及文件夹本地安全策略帐户策略本地策略域控制器安全策略域安全策略审核策略用户权限分配安全选项密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史账户锁定阈值账户锁定时间复位账户锁定计数器理解域控制器安全策略与本地安全策略的区别成员计算机和域的设置项冲突时，域安全策略生效域控制器和域的设置项冲突时，域控制器安全策略生效1）启用域审核策略中的审核对象访问策略，并刷新策略2）添加文件夹的审核项目3）用户访问文件夹4）使用事件查看器Page28/30实验任务1域账户策略应用任务2审核文件夹Page29/30任务1域账户策略应用背景某些员工设置密码长度很短而且不符合复杂性要求密码很久也不修改有时会发生非法用户试探员工密码完成标准设置密码策略：密码长度最小值为7、密码必须符合复杂性要求、密码使用最长期限30天设置帐户锁定策略：用户锁定阈值为5次用户StuY被锁定后管理员解锁，让用户正常登录Page30/30任务2审核文件夹的访问背景BENET公司的一台服务器上的一个共享文件夹中存放着公司的日常工作规范等文档需要审核员工对该文件夹的访问情况完成标准使用【事件查看器】，可以看到服务器上的【安全】日志中的有用户访问文件夹记录