windows2003安全策略.pptx

平安策略讲师:best超亮哥本章目标v本章应用域的平安策略，加强了域环境平安性v 理解本地平安策略v 理解域控制器平安策略v 理解域平安策略v 掌握密码策略v 掌握账户锁定策略v 掌握审核策略密码策略帐户锁定策略 概念应用举例 本章结构平安策略三种平安策略的关系域帐户策略应用审核文件及文件夹本地平安策略帐户策略本地策略 域控制器平安策略域平安策略审核策略用户权限分配平安选项本地平安策略 v 本地平安策略影响本计算机的平安设置v 本地平安策略主要包含v 帐户策略v 本地策略账户策略2-1 v 密码策略 v 密码必须符合复杂性要求v 密码长度最小值 v 密码最长使用期限 v 密码最短使用期限 v 强制密码历史 v 用可复原的加密来存储密码 v 账户锁定策略 v 账户锁定阈值 v 账户锁定时间 v 复位账户锁定计数器 账户策略2-2 v 帐户策略举例 v 在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错密码就会被锁定 v 步骤v 1单击【开始】|【程序】|【管理工具】|【本地平安策略】，展开【账户策略】|【密码策略】v 2双击“密码长度最小值，输入“8v 3在【账户锁定策略】中，双击“账户锁定阈值，输入“3v 4在【开始】|【运行】中，输入“gpupdate刷新本计算机的本地平安策略或者重启计算机v 5更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码v 6退出系统，使用普通账户登录，成心输错密码3次，该账户就会被锁定本地策略3-1 v 审核策略v 是否在平安日志中记录登录用户的操作事件 v 用户权限分配v 如关闭系统v 更该系统时间v 拒绝本地登录v 允许在本地登录 v 平安选项v 控制一些和操作系统平安相关的设置 本地策略3-2 v 用户权限分配举例v 作为效劳器的计算机不能让普通用户交互式登录在本地登录 v 步骤:v 1单击【开始】|【程序】|【管理工具】|【本地平安策略】，展开【本地策略】|【用户权限分配】v 2双击“允许在本地登录，删除“Power Users和“Usersv 3在【开始】|【运行】中，输入“gpupdate刷新本计算机的本地平安策略或者重启计算机v 4退出系统，使用普通账户登录，检验能否登录本地策略3-3 v 平安选项举例v 在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的本卷须知v 步骤:v 1展开【本地策略】|【平安选项】v 2在以下选项中输入提示信息v 交互式登录：用户试图登录时消息标题v 交互式登录：用户试图登录时消息文字v 3刷新本地平安策略v 4验证 阶段总结本地平安策略主要包含账户策略和本地策略 密码策略包含哪些选项账户锁定策略哪些选项本地策略有哪几局部域控制器平安策略2-1 v 域控制器平安策略与本地平安策略的区别v 影响的计算机v 前者影响DCv 后者影响非DCv 翻开方式v 【域控制器平安策略】v 【本地平安策略】v 帐户策略中有何异同v 前者有Kerberos策略v 与域用户账户的登录有关 域控制器平安策略2-2 v 域控制器平安策略应用举例v 某个普通域账户需要在DC上登录v 步骤v 1翻开【域控制器平安策略】|【平安 设置】|【本地策略】|【用户权限分配】，双击【允许在本地登录】，添加需要在DC上登录的用户帐户v 2刷新域控制器平安策略v 3验证该普通用户能否在DC上登录 域平安策略3-1 v 可以影响整个域中的计算机的平安设置 v 翻开方式v 【域平安策略】v 帐户策略v 密码策略v 帐户锁定策略 v Kerberos 策略v 本地策略域平安策略3-2v 三种平安策略的关系v 成员计算机和域的设置项冲突时，域平安策略生效v 域控制器和域的设置项冲突时，域控制器平安策略生效v 本地平安策略v 域控制器平安策略v 域平安策略域平安策略3-3 v 举例验证 以本地选项的设置项为例 交互式登录：用户试图登录时消息标题 交互式登录：用户试图登录时消息文字成员计算机与域的比照域控制器与域的比照域账户策略应用 v 帐户策略设置需求v 域账户密码长度至少7个字符v 密码符合复杂性要求v 密码至少30天修改一次v 设置密码锁定策略：输入5次密码不正确就锁定该用户帐户v 实施步骤 v 1单击【开始】|【程序】|【管理工具】|【域平安策略】v 2设置【账户策略】的【密码策略】和【账户锁定策略】v 3设置完毕，刷新域平安策略v 4修改某个账户的密码，验证密码策略是否起作用 v 5使用某个域账户登录，成心输错密码，看几次后账户被锁定阶段练习J背景J某些员工设置密码长度很短，而且不符合复杂性要求J密码很久也不修改J有时会发生非法用户试探员工密码J目标J密码策略设置J账户锁定策略设置J密码策略的验证J账户锁定策略验证J如何给账户解锁审核文件及文件夹 v审核策略v审核文件及文件夹 v事件查看器审核策略 v 常用审核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组； 重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核文件及文件夹 v步骤 启用对象访问审核策略 设置需要审核 的文件或文件夹事件查看器2-1 v 应用程序v 应用程序或系统程序记录的事件 v 平安性v 登录尝试以及记录与资源使用相关的事件 v 系统v Windows 系统组件记录的事件 v 安装了其他效劳那么可能会增加日志类型v 目录效劳v 文件复制效劳v DNS 效劳器事件查看器2-2v 事件类型 错误:红色 警告:黄色 信息:白色 成功审核:钥匙 失败审核: 锁v 保存日志审核文件或文件夹的实现步骤 1启用域或者本机的审核策略中的审核对象访问策略，并刷新策略2在文件或文件夹的【平安】属性|【高级】|【审核】中，添加要审核的账户及详细的审核工程3使用用户访问该文件夹或者文件4使用【事件查看器】，检查是否有用户访问的记录。

阶段总结本地平安策略、域控制器平安策略和域平安策略之间的关系 域账户策略如何加强域账户的平安性审核策略包含哪些内容审核文件及文件夹主要步骤有哪些 阶段练习J背景J公司需要审核员工对效劳器上某文件夹的访问情况J目标J审核策略J文件夹或者文件的【平安】|【高级】|【审核】属性设置J使用【事件查看器】本章总结密码策略帐户锁定策略 概念应用举例 平安策略三种平安策略的关系域帐户策略应用审核文件及文件夹本地平安策略帐户策略本地策略 域控制器平安策略域平安策略审核策略用户权限分配平安选项密码必须符合复杂性要求密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 账户锁定阈值 账户锁定时间 复位账户锁定计数器 理解域控制器平安策略与本地平安策略的区别成员计算机和域的设置项冲突时，域平安策略生效域控制器和域的设置项冲突时，域控制器平安策略生效1启用域审核策略中的审核对象访问策略，并刷新策略2添加文件夹的审核工程3用户访问文件夹4使用事件查看器实验v任务1 域账户策略应用 v任务2 审核文件夹 任务1 域账户策略应用 v背景 某些员工设置密码长度很短 而且不符合复杂性要求 密码很久也不修改 有时会发生非法用户试探员工密码v完成标准 设置密码策略：密码长度最小值为7、密码必须符合复杂性要求、密码使用最长期限30天 设置帐户锁定策略：用户锁定阈值为5次 用户StuY被锁定后管理员解锁，让用户正常登录任务2 审核文件夹的访问 v背景v公司的一台效劳器上的一个共享文件夹中存放着公司的日常工作标准等文档v需要审核员工对该文件夹的访问情况v完成标准v使用【事件查看器】，可以看到效劳器上的【平安】日志中的有用户访问文件夹记录 。