项目13 使用安全策略和防火墙实现访问安全

Windows Server 2008网络组建项目化教程*第1 页Windows Server 2008网络组建项目化教程l课程标准(教学大纲) l教学设计方案(教案) lPPT电子课件 l教材习题参考答案 l模拟试卷及参考答案(4套) lIT认证+全国技能大赛资料 l知识拓展 ;设置帐户策略以防止密码被盗设置帐户策略以防止密码被盗; ;添加审核添加审核 策略来跟踪资源访问者策略来跟踪资源访问者; ;启用并配置启用并配置 Windows Server 2008Windows Server 2008自带的防火墙对进、自带的防火墙对进、 出服务器的数据包进行筛选。出服务器的数据包进行筛选。项目背景项目13 使用安全策略和防火墙实现访问安全Windows Server 2008网络组建项目化教程*第3 页l l 知识目标知识目标 ØØ了解：了解：安全策略的含义；安全策略的含义； ØØ熟悉：熟悉：安全策略安全策略 ØØ掌握：掌握：常见安全策略的配置，高级安全常见安全策略的配置，高级安全 WindowsWindows防火墙的配置防火墙的配置 l l 能力目标能力目标 ØØ会进行账户策略、审核策略的安全设置会进行账户策略、审核策略的安全设置 ØØ会进行用户权限分配、安全选项的安全设置会进行用户权限分配、安全选项的安全设置 ØØ会进行会进行WindowsWindows防火墙入站和出站规则的配防火墙入站和出站规则的配 置置教学目标项目13 使用安全策略和防火墙实现访问安全Windows Server 2008网络组建项目化教程*第4 页13.2 项目知识准备13.2.1 安全策略及类型 安全策略(security policy)规定了用户在使用计算机、 运行应用程序和访问网络等方面的行为约束规则。合 理运用和设定安全策略,可以使计算机受到的安全威胁 大大降低。根据影响范围的不同,Windows Server 2008支持以下4种类型的安全策略: 本地安全策略:实现本地计算机的安全。包括帐户策 略、本地策略、公钥策略、软件限制策略和IP安全策 略。 域控制器安全策略:实现域控制器的安全。 域安全策略:实现整个域的安全。 组策略:实现整个网络的安全。Windows Server 2008网络组建项目化教程*第5 页13.2 项目知识准备13.2.2 13.2.2 认识高级安全认识高级安全WindowsWindows防火墙防火墙“ “高级安全高级安全WindowsWindows防火墙防火墙” ”( (简称简称WFAS)WFAS)。 WFASWFAS的优势有：的优势有： 支持双向保护支持双向保护, ,可以对出站、入站通信进行过滤可以对出站、入站通信进行过滤 。 实现了更高级的出站和入站规则实现了更高级的出站和入站规则( (防火墙规则防火墙规则) ) 的创建与配置。的创建与配置。 它将防火墙和它将防火墙和InternetInternet协议安全协议安全(IPSec)(IPSec)功能实功能实 现了集成。用户可以设置连接安全规则请求或要现了集成。用户可以设置连接安全规则请求或要 求计算机在通信之前互相进行身份验证求计算机在通信之前互相进行身份验证, ,还可以还可以 配置通信时的密钥交换、数据保护配置通信时的密钥交换、数据保护( (完整性和加完整性和加 密密) )。Windows Server 2008网络组建项目化教程*第6 页13.3 项目实施任务任务13-1 13-1 帐户策略的设置帐户策略的设置1.1.密码策略设置步骤如下：密码策略设置步骤如下： 步骤步骤1 1步骤步骤7 7Windows Server 2008网络组建项目化教程*第7 页任务任务13-1 13-1 帐户策略的设置帐户策略的设置2.2.帐户锁定策略的设置帐户锁定策略的设置 l l 账户锁定账户锁定是指在某些情况下（如账户受到采用密码词典或暴是指在某些情况下（如账户受到采用密码词典或暴 力破解方式等），为保护该账户的安全而将此账户进行锁定力破解方式等），为保护该账户的安全而将此账户进行锁定 ，使其在一定时间内不能再次使用，从而使破解失败。，使其在一定时间内不能再次使用，从而使破解失败。 l l 设置账户锁定策略的步骤如下：设置账户锁定策略的步骤如下：步骤步骤1 1步骤步骤4 4Windows Server 2008网络组建项目化教程*第8 页任务13-2 审核策略的设置 l l 审核审核就是通过在计算机的安全日志中记录选定类型的事件来就是通过在计算机的安全日志中记录选定类型的事件来 跟踪用户和操作系统的活动。跟踪用户和操作系统的活动。 l l 配置审核策略配置审核策略就是确定把哪些事件写入计算机的安全日志中就是确定把哪些事件写入计算机的安全日志中 。 l l 设置步骤：设置步骤：步骤步骤1 1步骤步骤6 6Windows Server 2008网络组建项目化教程*第9 页任务13-3 用户权限分配的设置l l用户权限用户权限是允许用户在计算机系统或域中是允许用户在计算机系统或域中 执行的任务。执行的任务。 l l有两种类型的用户权限：有两种类型的用户权限：ØØ登录权限登录权限控制为谁授予登录计算机的权限以控制为谁授予登录计算机的权限以 及他们的登录方式，比如拒绝本地登录、允及他们的登录方式，比如拒绝本地登录、允 许本地登录等；许本地登录等；ØØ特权特权控制对计算机上系统范围的资源的访问控制对计算机上系统范围的资源的访问 ，比如关闭系统、更改系统时间等。，比如关闭系统、更改系统时间等。Windows Server 2008网络组建项目化教程*第10 页任务13-3 用户权限分配的设置用户权限名称用户权限名称 说明说明 从网络访问此计从网络访问此计 算机算机 默认情况下任何用户均可从网络访问计算机，根据实际需默认情况下任何用户均可从网络访问计算机，根据实际需 要可以撤销某组账户从网络访问的权限。要可以撤销某组账户从网络访问的权限。 拒绝从网络访问拒绝从网络访问 这台计算机这台计算机 有些用户只在本地使用，不允许通过网络访问此计算机，有些用户只在本地使用，不允许通过网络访问此计算机， 就可以将此用户加入到该策略中。就可以将此用户加入到该策略中。 允许在本地登录允许在本地登录 此登录权限确定了可交互式登录到该计算机的用户，通过此登录权限确定了可交互式登录到该计算机的用户，通过 在连接的键盘上按在连接的键盘上按Ctrl+Alt+DelCtrl+Alt+Del组合键启动登录，该操作需组合键启动登录，该操作需 要用户拥有此登录权限。另外，一些能使用户进行登录的要用户拥有此登录权限。另外，一些能使用户进行登录的 服务或管理应用程序可能也需要此登录权限。服务或管理应用程序可能也需要此登录权限。 拒绝本地登录拒绝本地登录 此安全设置确定阻止哪些用户登录到该计算机。如果一个此安全设置确定阻止哪些用户登录到该计算机。如果一个 账户同时受上述策略的制约，则此策略设置将取代允许本账户同时受上述策略的制约，则此策略设置将取代允许本 地登录策略。地登录策略。 关闭系统关闭系统 让普通用户具有关闭计算机的权限。让普通用户具有关闭计算机的权限。 表13-2 常用的用户权户权 限分配Windows Server 2008网络组建项目化教程*第11 页任务13-3 用户权限分配的设置l l 用户权限分配的设置步骤如下：用户权限分配的设置步骤如下：进入进入【本地安全策略本地安全策略】窗口窗口在在 左窗格中展开左窗格中展开【本地策略本地策略】单击单击【用户权限分配用户权限分配】在右窗格中双击在右窗格中双击 【从网络访问此计算机从网络访问此计算机】策略策略, ,打开打开【从网络访问此计算机从网络访问此计算机 属性属性】对话对话 框框, ,从此可以看出从此可以看出EveryoneEveryone组也允许通过网络连接到此计算机组也允许通过网络连接到此计算机, ,即网络中即网络中 的所有用户都可以访问到这台计算机的所有用户都可以访问到这台计算机, ,基于安全的考虑基于安全的考虑, ,可以把可以把EveryoneEveryone 组删除。单击组删除。单击【添加用户和组添加用户和组】/ /【删除删除】按钮按钮, ,可以添加或删除具有从可以添加或删除具有从 网络访问此计算机的用户和组网络访问此计算机的用户和组Windows Server 2008网络组建项目化教程*第12 页任务13-4 “安全选项”的设置l l 在在“ “安全选项安全选项” ”中的安全策略，是一些和操作系统安中的安全策略，是一些和操作系统安 全有关的设置。下表列出了几个常用的安全选项：全有关的设置。下表列出了几个常用的安全选项：安全选项名称安全选项名称说明说明 关机：允许许系统统在未登录录前 关机正常情况下，只有登录录系统统后具有权权限的 用户户才能关机，如果有时时需要在未登录录前 关机，可将此策略启用账户账户 ：使用空白密码码的本地 账户账户 只允许进许进 行控制台登录录密码为码为 空的用户户不能通过过网络访问络访问 此计计算 机，此策略禁用后，密码为码为 空的用户户将不 会受到限制。交互式登录录：用户试图户试图 登录录 时时消息文字该该安全设设置指定用户户登录时显录时显 示的文本消 息。使用该该文本通常作用是用于警告。例如 警告用户户登录录后哪些操作不被允许许等。 网络访问络访问 ：不允许许SAM账户账户 和共享的匿名枚举举禁止通过过共享会话话猜测测管理员员系统统口令账户账户 ：来宾账户宾账户 状态态禁用来宾账户宾账户Windows Server 2008网络组建项目化教程*第13 页任务13-4 “安全选项”的设置l l “ “安全选项安全选项” ” 的设置步骤如下：的设置步骤如下：l l 步骤步骤1 1步骤步骤4 4Windows Server 2008网络组建项目化教程*第14 页任务13-5 高级安全Windows防火墙的配置l l防火墙防火墙是通过检查传入的数据包并将其与是通过检查传入的数据包并将其与 一组规则进行比较一组规则进行比较, ,从而决定是否让数据从而决定是否让数据 包进入到服务器或网络的功能组件。包进入到服务器或网络的功能组件。 l lWindowsWindows防火墙防火墙工作在服务器的与外界工作在服务器的与外界 连接的网络适配器、连接的网络适配器、DSLDSL适配器或者拨号适配器或者拨号 调制解调器等接口上。防火墙将哪些数据调制解调器等接口上。防火墙将哪些数据 包拒之门外包拒之门外, ,又允许哪些数据包通过又允许哪些数据包通过, ,则取则取 决于防火墙的配置。决于防火墙的配置。Windows Server 2008网络组建项目化教程*第15 页任务13-5 高级安全Windows防火墙的配置1 1启动启动/ /关闭关闭WindowsWindows防火墙防火墙 在桌面上单击在桌面上单击【开始开始】 【控制面板控制面板】在打开的在打开的【控制面板控制面板】窗口中双击窗口中双击【WindowsWindows防火墙防火墙】 图标图标在打开的在打开的【WindowsWindows防火墙防火墙】窗口中单击窗口中单击【启用或关闭启用或关闭WindowsWindows 防火墙防火墙】链接链接, ,打开打开【WindowsWindows防火墙设置防火墙设置】对话框对话框在在【常规常规】选项卡选项卡 中选中中选中【启用启用】单选按钮单选按钮单击单击【确定确定】后系统便启动后系统便启动“ “WindowsWindows防火墙防火墙 ” ”, ,如图如图13-2213-22所示。所示。Windows Server 2008网络组建项目化教程*第