配置本地安全策略.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,EDUASK4.0,第一学期课程,第六章 配置本地安全策略,理论部分,课程回顾,哪些用户有权限创建共享文件夹？,通过哪些方式可以访问共享文件夹？,共享权限为读取，,NTFS,权限为写入，通过网络访问时的有效权限是什么？,打印设备和打印机的区别和联系？,什么时候需要使用打印机优先级？,常用的打印权限有哪些？,2,技能展示,理解本地安全策略,会配置账户策略,会配置本地策略,会配置高级安全防火墙规则,3,本章结构,4,配置本地,安全策略,账户策略,高级安全,Windows,防火墙,密码策略,账户锁定策略,入站规则,出站规则,本地策略,审核策略,用户权限分配,安全选项,本地安全策略,本地安全策略影响本计算机的安全设置,本地安全策略主要包含,账户策略,本地策略,高级安全,Windows,防火墙,5,账户策略密码策略,密码必须符合复杂性要求,密码长度最小值,密码最长使用期限,密码最短使用期限,强制密码历史,用可还原的加密来,储存密码,6,账户策略账户锁定策略,7,账户锁定阈值,账户锁定时间,复位账户锁定计数器,案例：账户锁定策略应用,案例需求：,有一台系统为,Windows Server 2008,的服务器，为了提高系统的安全性，如果用户在一天之内,3,次输错密码，就锁定相应的用户账户,实现思路：,账户锁定阈值：,3,账户锁定时间：,0,复位账户锁定计数器：,1440,管理员解锁,8,教员演示操作过程,小结,请思考：,密码复杂性的要求是什么？,账户被锁定后，如何能使其正常登录？,9,本地策略审核策略,审核策略,说明,审核策略更改,确定是否对用户权限分配策略、审核策略或信任策略的更改进行审核,审核登录事件,确定是否审核此策略应用到的系统中发生的登录和注销事件,审核对象访问,确定是否审核用户访问某个对象（如文件、文件夹、注册表项、打印机）的事件,审核账户登录事件,确定是否审核在这台计算机用于验证账户时，用户登录到其他计算机或者从其他计算机注销的每个实例,审核系统事件,确定是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件,10,是否在安全日志中记录登录用户的操作事件,审核策略的配置,11,审核策略设置的安全设置选项包括：,成功,失败,无审核,事件查看器,作用：,浏览和管理事件日志,12,安全日志：,审核成功,审核失败,案例：审核文件和文件夹,案例需求：,服务器,filesvr,上有一个文件夹“公司文件”，其中存放着公司的日常工作规范等文档，管理员希望将来能够查看员工对该文件夹的成功访问和失败访问的情况,实现思路：,启用“审核对象访问”策略,设置文件夹的审核项目,访问文件夹“公司文件”,查看成功审核和失败审核的事件,13,教员演示操作过程,本地策略用户权限分配,14,关闭系统,更改系统时间,拒绝本地登录,允许在本地登录,案例：用户权限分配应用,案例需求：,普通用户,UserA,在登录,Windows Server 2008,系统后发现自己没有关闭系统的权限，如何让,UserA,能正常关机,实现思路：,配置本地安全策略,在“关闭系统”策略中添加,UserA,15,教员演示操作过程,本地策略安全选项,16,控制一些和操作系统安全相关的设置,案例：安全选项应用,案例需求：,为了提高,Windows Server 2008,系统的安全性，希望使用空白密码的本地账户只能进行控制台登录，如何实现,实现思路：,配置本地安全策略,启用“账户：使用空白密码的本地账户只允许进行控制台登录”策略,17,教员演示操作过程,高级安全,Windows,防火墙,高级安全,Windows,防火墙,使用配置规则来响应传入和传出流量,包括：,入站规则,出站规则,连接安全规则,18,案例：入站规则配置,案例需求：,在一台服务器（,192.168.1.25,）上安装并启用,FTP,服务后，防火墙中将添加一条允许所有,FTP,入站连接的入站规则。如何配置防火墙规则阻止客户端,192.168.1.10,通过,FTP,连接到服务器，而其它客户端都能够通过,FTP,连接到服务器,实现思路：,新建入站规则,指定协议、端口和操作,配置入站规则属性,19,教员演示操作过程,案例：出站规则配置,案例需求：,有一台,Web,服务器的,IP,地址为,192.168.1.10,，本地计算机的默认出站连接设置为允许，如何通过出站规则阻止本地计算机通过,IE,访问,Web,服务器,实现思路：,新建出站规则,指定程序路径和操作,验证出站规则配置结果,20,教员演示操作过程,本章总结,21,配置本地,安全策略,账户策略,高级安全,Windows,防火墙,密码策略,账户锁定策略,入站规则,出站规则,本地策略,审核策略,用户权限分配,安全选项,EDUASK4.0,第一学期课程,第六章 配置本地安全策略,上机部分,实验案例,1,：账户策略的应用,需求描述：,有一台,Windows Server 2008,服务器位于工作组中，为了加强该服务器的安全性，需要配置密码策略和账户锁定策略，账户被锁定后，通过管理员账户为锁定的账户解锁,23,实验案例,1,：账户策略的应用,实现思路：,启用密码复杂性策略,配置密码最短长度要求,配置账户锁定阈值为,3,为锁定的账户解锁,学员练习：,在本地安全策略中配置各策略,验证所配置的策略,24,40,分钟完成,实验案例,2,：审核策略的应用,需求描述,：,在工作组中有一台,Windows Server 2008,文件服务器，服务器上有一个文件夹,D:data,，为了加强数据的安全性，管理员需要审核所有用户账户对该文件夹的访问情况,25,实验案例,2,：审核策略的应用,实现思路,：,启用本地策略的审核对象访问,访问数据,查看审核记录,文件夹必须位于,NTFS,分区中,26,实验案例,2,：审核策略的应用,学员练习,：,创建文件夹,D:/data,启用本地安全策略中的“审核对象访问”,添加文件夹的审核,访问文件夹,查看审核结果,27,40,分钟完成,