规划配置实现和部署安全客户端计算机基线.ppt

第8章规划 配置 实现和部署安全客户端计算机基线 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章智能卡证书的规划 实现和故障诊断第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MicrosoftISAServer概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第8章规划 配置和部署安全的客户端计算机基线 规划和实现安全客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略为移动客户端实现安全 规划和实现安全客户端计算机基线 客户端计算机基线为保护客户端安全预定义的安全模板MicrosoftWindowsXP安全指南模板管理模板管理模板和安全模板的区别添加和删除管理模板MicrosoftOffice模板规划客户端计算机基线的指导方针 8 1规划和实现安全客户端计算机基线 客户端计算机基线 所有客户端计算机都应该有自己的基线安全策略其他安全设置 管理模板等 添加 adm模板以便进一步保护计算机避免受到来自用户的威胁使用SYSKEY调整事件日志文件的大小保护计算机抵御未授权的或未知代码的访问保护便携式计算机防止偷窃重命名Guest和Administrator账户 8 1 1客户端计算机基线 为保护客户端安全预定义的安全模板 8 1 2为保护客户端安全预定义的安全模板 MicrosoftWindowsXP安全指南模板 8 1 3MicrosoftWindowsXP安全指南模板 管理模板 使用管理模板 adm 文件来配置WindowsXP注册表中的设置WindowsXPServicePack1管理模板 System adm 定义用户环境的系统设置Inetres adm 定义IE设置Conf adm 定义NetMeeting设置Wmplayer adm 定义MediaPlayer设置Wuau adm 定义WindowsUpdate设置 8 1 4管理模板 管理模板和安全模板的区别 8 1 5管理模板和安全模板的区别 安全模板默认位置 windir security templates管理模板默认位置 windir inf 添加和删除管理模板 演示 添加和删除管理模板 8 1 6添加和删除管理模板 MicrosoftOffice模板 能为连接到网络的MicrosoftOffice用户全局设置策略在Office中的一些管理模板 Access11 adm Access2003模板Excel11 adm Excell2003模板FP11 adm FrontPage2003模板GAL11 adm ClipOrganizer2003模板 剪贴图管理器 INF11 adm InfoPath2003模板PUB11 adm Publisher2003模板PPT11 adm WORD11 adm OUTLK11 adm ONENT11 adm OneNote2003模板OFFICE11 ADM Office2003General模板 8 1 7MicrosoftOffice模板 这些模板在OfficeResourcekit中 规划客户端计算机基线的指导方针 规划客户端计算机基线 确定OU结构 示例P181页 确定合适的安全模板确定合适的管理模板确定其他的安全设置 如重命名一些特殊帐号等 8 1 8规划客户端计算机基线的指导方针 实验8 1安装OfficeResourceKit模板 8 1 9实验8 1安装OfficeResourceKit模板 第8章规划 配置和部署安全的客户端计算机基线 规划和实现安全客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略为移动客户端实现安全 配置和部署客户端计算机基线 组策略环回处理模式启用环回处理的方式重命名客户端计算机上的Administrator和Guest账户的方式配置和部署客户端计算机基线的指导方针 8 2配置和部署客户端计算机基线 组策略环回处理模式 使用组策略的环回处理特性来进行计算机对象单独的位置对他们应用策略环回处理替换环回合并环回 8 2 1组策略环回处理模式 启用环回处理的方式 演示 启用环回处理的方式 8 2 2启用环回处理的方式 重命名客户端计算机上的Administrator和Guest账户的方式 演示 重命名客户端计算机上的Administrator和Guest账户的方式 8 2 3重命名客户端计算机上的Administrator和Guest账户的方式 配置和部署客户端计算机基线的指导方针 配置和部署客户端计算机基线 使用最佳实践来配置NTFS使用最佳实践存储模板为配置其他安全设置选择合适的方法为部署客户端计算机基线选择合适的方法 一般通过组策略来实现 使用最佳实践部署安全和管理模板调整事件日志文件的大小以捕捉足够的数据 8 2 4配置和部署客户端计算机基线的指导方针 实验8 2为环回模式配置管理模板 8 2 5实验8 2为环回模式配置管理模板 第8章规划 配置和部署安全的客户端计算机基线 规划和实现安全客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略为移动客户端实现安全 规划和实现软件限制策略 软件限制策略的用途标识软件的规则软件限制策略选项规划和实现软件限制策略的最佳实践创建规则的方法 8 3规划和实现软件限制策略 软件限制策略的用途 软件限制策略 控制软件在系统中的运行能力允许用户在多用户计算机上仅运行特定文件决定可在计算机中添加受信任的发布者的用户 证书 控制软件限制策略是影响到所有用户还是计算机上的某些用户 8 3 1软件限制策略的用途 标识软件的规则 8 3 2标识软件的规则 打开证书规则 软件限制策略选项 8 3 3软件限制策略选项 软件限制策略选项 8 3 3软件限制策略选项 规划和实现软件限制策略的最佳实践 为软件限制策略创建一个独立的组策略对象如果遇到应用的策略设置的问题 在安全模式下重新启动Windows在定义 不被允许 默认设置时的使用提醒为获得最佳的安全性 可以连同软件限制策略使用访问控制列表在对域应用策略设置之前在测试环境中全面测试新策略设置根据安全组中的成员身份筛选用户策略设置 8 3 4规划和实现软件限制策略的最佳实践 创建规则的方法 演示 演示如何创建规则哈希证书路径区域 8 3 5创建规则的方法 创建规则的方法 Gpupdate语法 gpupdate Target Computer User Force Wait Value Logoff Boot Sync Gpupdate功能 立即更新策略并在命令行中指定某些选项 8 3 5创建规则的方法 实验 配置软件限制策略 目的 教师根据现有学校特点 请学生选择适当的软件限制策略 同时进行配置 第8章规划 配置和部署安全的客户端计算机基线 规划和实现安全客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略为移动客户端实现安全 为移动客户端实现安全 对移动客户端的威胁在移动客户端上保护硬件的最佳实践在移动客户端上保护操作系统安全的最佳实践为移动客户端更改启动密码的方法在移动客户端上保护数据安全的最佳实践 8 4为移动客户端实现安全 对移动客户端的威胁 8 4 1对移动客户端的威胁 在移动客户端上保护硬件的最佳实践 使用安全的线缆使用警报使用跟踪设备 使用安全线缆将便携式计算机固定在桌子或其他不可移动的物体上 扩展坞 接近警告是两位一体的系统 一个设备连接到移动客户端而另一个设备由用户携带 超出一定的距离就会报警 设备可以在敏感便携式计算机被偷或者放错地方时定位它们的确切位置 GPS 8 4 2在移动客户端上保护硬件的最佳实践 在移动客户端上保护操作系统安全的最佳实践 确保客户端计算机上运行的操作系统更新了最新的更新和修补程序 及时打补丁 使用凭据管理程序创建一个单点登录解决方案 当客户端计算机远离域环境的保护时 应该启用ICF Internet连接防火墙 禁用IrDA端口 使用SYSKEY来保护本地SAM数据库 8 4 3在移动客户端上保护操作系统安全的最佳实践 为移动客户端更改启动密码的方法 演示 为移动客户端更改启动密码的方法 8 4 4为移动客户端更改启动密码的方法 SYSKEY 在移动客户端上保护数据安全的最佳实践 使用EFS和NTFS加密脱机文件 使用户能加密个别文件和文件夹即使攻击者通过安装新的操作系统来绕过系统安全保护 加密的文件仍然是机密的 WindowsXPProfessional 可以加密脱机文件数据库来保护所有本地缓存的文档不被偷窃 8 4 4在移动客户端上保护数据安全的最佳实践 实验8 3 规划 实现 配置和部署安全客户端计算机基线 为客户端计算机规划安全模板为客户端计算机实现安全模板实现软件限制策略 8 5实验8 3 规划 实现 配置和部署安全客户端计算机基线 回顾 学习完本章后 将能够 规划安全的客户端计算机基线配置和部署客户端计算机基线在客户端计算机上规划和实现软件限制策略在移动计算机上实现安全性 随堂练习1 假设你是的安全管理员 网络由一个叫做的单一活动目录域组成 所有服务器运行WindowsServer2003 客户机运行WindowsXPProfessional S有时会遇到故障 因为受到以MicrosoftVisualBasic脚本版本文件形式进入网络的恶意Internet病毒入侵 你检查了一些客户机 发现VBS文件是通过MicrosoftOutlook 即时消息传递工具 或者是对等网络文件共享程序下载的 你需要阻止用户运行VBS文件 不管这些文件是以何种形式到达客户机的 随堂练习1 续 你该怎么做 A 使用软件限制策略禁止所有未被授权的脚本 B 使用管理模板 确保Outlook和InternetExplorer在受限制站点安全区域 C 使用集中登录脚本 把每个计算机上的Wscript exe文件重命名为包含一个不可执行的扩展名的文件 D 使用文件系统安全策略为Wscript exe文件分配拒绝 执行权限 随堂练习2 假设你是shixun的安全管理员 网络由一个叫做的单一活动目录域组成 所有服务器运行WindowsServer2003 客户机运行WindowsXPProfessional 你使用组策略对象 GPOs 和脚本一起管理网络 脚本文件名有 vbs文件扩展名 并且脚本存储在shixun1服务器的一个叫做Scripts的共享文件夹中 用户报告说他们有时会运行通过e mail和Internet接收到的脚本 甚至这些脚本可以引起客户机出现问题 而且经常删除或更改文件