组策略与安全配置.ppt

第8章组策略与安全配置 本章要点 组策略可实现的功能与基本配置 帐户策略 用户指派权利 使用组策略部署软件 安全模板 安全配置和分析 安全配置向导 Windows防火墙 IP安全策略 证书服务 目录 8 1组策略概述8 2组策略的基本配置与实例8 3使用组策略配置用户环境8 4使用组策略部署软件 综合实训7 WindowsServer2003服务器安全配置 本地安全策略8 5安全配置和分析8 6安全配置向导8 7WindowsServer2003防火墙8 8IP安全设置8 9证书服务 综合实训8 安全配置 组策略是管理员为计算机和用户定义的 是用来控制应用程序 系统设置和管理模板的一种机制 简单地说 组策略就是介于控制面板和注册表之间的一种修改系统 设置程序的工具 组策略高于注册表 组策略使用更完善的管理组织方法 可以对各种对象中的设置进行管理和配置 远比手工修改注册表方便 灵活 功能也更加强大 1 使用组策略可以实现的功能帐户策略的设定本地策略的设定脚本的设定用户工作环境的定制软件的安装与删除限制软件的运行文件夹的转移其他系统设定 8 1组策略概述 方法1 单击 开始 运行 命令 输入gpedit msc 单击 确定 按钮 打开当前计算机的组策略 如图8 1所示 方法2 单击 开始 运行 命令 输入MMC 单击 确定 按钮 打开Microsoft管理控制台 添加 组策略对象编辑器 选择所需的组策略对象 打开要编辑的组策略对象 如图8 2所示 8 1组策略概述 2 启动组策略的方法 图8 1本地组策略窗口 图8 2MMC中的组策略管理单元 3 组策略界面组策略主界面共分为左右两个窗格 左边窗格中的 本地计算机 策略 由 计算机配置 和 用户配置 两个子项构成 右边窗格中是针对左边某一配置可以设置的具体策略 4 组策略对象组策略的基本单元是组策略对象GPO 它是一组设置的组合 有两种类型的组策略对象 本地组策略对象和非本地组策略对象 组策略作用范围 由它们所链接的站点 域或组织单元启用 5 组策略的应用时机计算机配置 计算机开机时自动启用 域控制器默认每隔5分钟自动启用 非域控制器默认每隔90 120分钟自动启动 此外不论策略是否有变动系统每隔16小时自动启动一次 用户配置 用户登录时自动启用 系统默认每隔90分钟自动启动 此外不论策略是否有变动系统每隔16小时自动启动一次 手动启动组策略的命令是 gpupdate target compute force6 组策略的处理顺序组策略的配置是累加的 应用的顺序 本地组策略对象 站点的组策略对象 域的组策略对象 组织单元的组策略对象 后面策略覆盖前面策略 8 1组策略概述 1 计算机配置计算机配置包括所有与计算机相关的策略设置 它们用来指定操作系统行为 桌面行为 安全设置 计算机开机与关机脚本 指定的计算机应用选项以及应用设置 2 用户配置用户配置包括所有与用户相关的策略设置 它们用来指定操作系统行为 桌面设置 安全设置 指定和发布的应用选项 应用设置 文件夹重定向选项 用户登录与注销脚本等 3 组策略插件扩展 1 软件设置 2 Windows设置账号策略 本地策略 事件日志 受限组 系统服务 注册表 文件系统 IP安全策略 公钥策略 3 管理模板 8 2组策略的基本配置与实例 8 2 1组策略的基本配置 1 让Windows的上网速率提升20 操作步骤 在 组策略编辑器 控制台中 展开 计算机配置 管理模板 网络 QoS数据包调度程序 项 在右窗格双击 限制可保留带宽 策略 在属性对话框中 选择 已启用 单选按钮 并将 带宽限制 值设置为0 单击 确定 按钮 8 2 2组策略实例1 计算机配置 8 2组策略的基本配置与实例 2 关闭系统还原功能操作步骤 在 组策略 控制台中 展开 计算机配置 管理模板 系统 系统还原 项 在右窗格双击 关闭系统还原 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮 启用此设置来关闭系统还原 3 禁止WindowsMessenger自动运行操作步骤 在 组策略 控制台中 展开 计算机配置 管理模板 Windows组件 WindowsMessenger 项 在右窗格双击 不允许运行WindowsMessenger 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮 8 2 2组策略实例1 计算机配置 8 2组策略的基本配置与实例 4 管理远程桌面设置实例 允许 远程桌面 连接在 组策略编辑器 中 展开 计算机配置 管理模板 Windows组件 终端服务 项 在右窗格中双击 允许用户使用终端服务远程连接 策略 在属性对话框中 选择 已启用 单选按钮 单击 确定 按钮即可 配置 数据重定向 双击 客户端 服务器数据重定向 目录 打开 客户端 服务器数据重定向 项 可以设置在建立连接后所能使用的客户端资源 设置空闲会话连接时间展开 会话 目录 双击 为活动但空闲的终端服务会话设置时间限制 策略 可以限制空闲会话的连接时间 5 审核登录帐户在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 审核策略 项 双击 帐户登录审核 策略 选择审核 成功 和 失败 两项 单击 确定 按钮 8 2 2组策略实例1 计算机配置 8 2组策略的基本配置与实例 1 个性化 任务栏和 开始 菜单 通过组策略可以实现 任务栏和 开始 菜单 的个性化 在 组策略编辑器 控制台中 展开 用户配置 管理模板 任务栏和 开始 菜单 项 在右窗格中列出 任务栏和 开始 菜单 有关策略的具体配置 具体实例如下 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 给 开始 菜单减肥在组策略窗口中 可以启用 从开始菜单删除用户文件夹 从开始菜单删除公用程序组 从开始菜单中删除 我的文档 图标 等多种组策略配置项目来去掉不需要的菜单项 保护好 任务栏和 开始 菜单 如果不想随意让他人更改 任务栏和 开始 菜单 的设置 只要启用 阻止更改 任务栏和开始菜单 设置 和 阻止访问任务栏的上下文菜单 两个策略即可 禁止 关机 启动计算机后 如果不希望用户进行 关机 操作 那么启用 删除和阻止访问 关机 命令 策略 利用组策略保护个人文档隐私如果不希望用户查看曾经访问过的文件 只要在组策略窗口中的 任务栏和 开始 菜单 项中 启用 不要保留最近打开文档的记录 和 退出时清除最近打开的文档的记录 两个策略即可 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 2 个性化桌面通过组策略可以实现 桌面 的个性化 可以让桌面管理工作变得易如反掌 在 组策略编辑器 控制台中 展开 用户配置 管理模板 桌面 项 在右窗格中列出 桌面 有关策略的具体配置 具体实例如下 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 隐藏桌面的系统图标只要启用 隐藏桌面上 网上邻居 图标 隐藏桌面上的InternetExplorer图标 隐藏和禁用桌面上的所有项目 删除桌面上的 我的文档 图标 删除桌面上的 我的电脑 图标 和 从桌面删除回收站 等策略可以隐藏桌面上的相应的图标 退出时不保存桌面设置启用 退出时不保存设置 策略可以防止用户保存对桌面的某些更改 如图标的位置 任务栏的位置及大小等 不过任务栏上的快捷方式总可以被保存 禁用ActiveDesktop 活动桌面 是Windows系统中自带的高级功能 最大的特点是可以设置各种图片格式的墙纸 甚至可以将网页作为墙纸显示 考虑性能因素 需要禁用这一功能 打开 桌面 中 ActiveDesktop 目录 在右侧窗格中启用 禁用ActiveDesktop 策略 可以禁用活动桌面 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 3 IE浏览器设置微软的IE浏览器让我们可以轻松地在互联网上遨游 但要想用好IE浏览器 则必须将它配置好 通过组策略可轻松实现高级配置功能 在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 InternetExplorer 项 需添加inetres adm模板文件 在右窗口格中列出 InternetExplorer 有关策略的具体配置 具体实例如下 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 禁用IE浏览器的某些菜单项例如在 浏览器菜单 目录项 启用 禁用 在新窗口中打开 菜单项 策略 在浏览器中用户右击链接 选择 在新窗口中打开 时 该命令不起作用 网页自动打开的窗口也被禁止 可达到屏蔽弹出广告窗口的效果 禁用 Internet选项 控制面板如果不希望用户修改InternetExplorer的属性中的某些设置 可以禁用 Internet选项 的某些选项卡 在 Internet控制面板 目录中 启用 禁用常规页 禁用安全页 等组策略项 可在 Internet选项 中删除 常规 安全 等选项卡 禁止修改IE浏览器的主页在 工具栏 目录 启用 禁用更改主页设置 策略即可 自定义IE工具栏在 组策略 控制台中 展开 用户配置 Windows设置 InternetExplorer维护 浏览器用户界面 项 双击 浏览器工具栏按钮自定义 策略 打开其设置窗口中 在 按钮 栏中单击 添加 按钮 在 工具栏标题 中输人 我的QQ 在 工具栏操作 中选择QQ程序的路径 最后再选择好 颜色图标 和 灰度图标 的路径 添加了一个 我的QQ 按钮 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 4 轻松实现Windows高级功能 关闭缩略图的缓存在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 关闭缩略图的缓存 策略即可 隐藏 我的电脑 中指定的驱动器在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 隐藏 我的电脑 中的这些指定的驱动器 策略 并在列表框中选择一个驱动器或几个驱动器 防止从 我的电脑 访问驱动器在 组策略编辑器 中 展开 用户配置 管理模板 Windows组件 Windows资源管理器 项 启用 防止从 我的电脑 访问驱动器 策略 并在列表框中选择一个驱动器或几个驱动器 禁止使用 命令提示符 在 组策略编辑器 中 展开 用户配置 管理模板 系统 项 启用 阻止访问命令提示符 策略 并选择 也停用命令提示符脚本处理 项 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 禁止更改显示属性在 组策略编辑器 中 展开 用户配置 管理模板 控制面板 显示 项 可根据需要启用 隐藏桌面选项卡 隐藏主题选项卡 隐藏保护程序选项卡 隐藏设置选项卡 等策略 来隐藏相关属性的选项卡 用户将无法再对桌面属性进行更改 禁用注册表编辑器在 组策略编辑器 中 展开 用户配置 管理模板 系统 项 启用 阻止访问注册表编辑工具 策略 禁止用户启动注册表编辑器 禁止访问 控制面板 在 组策略编辑器 中 展开 用户配置 管理模板 扩展面板 项 启用 禁止访问控制面板 策略 此后用户不能使用Control exe启动 控制面板 开始 菜单和 资源管理器 中将删除 控制面板 项 禁用 添加 删除程序 在 组策略编辑器 中 展开 用户配置 管理模板 添加或删除程序 项 启用 删除 添加 删除程序 策略 用户将无法运行 添加 删除程序 8 2 3组策略实例2 用户配置 8 2组策略的基本配置与实例 当用户登录计算机网络 操作系统将会通过 计算机配置 和 用户配置 中的 管理模板 策略配置用户环境 常用的配置 限制使用应用程序 展开 系统 项 启用 只运行许可的Windows应用程序 策略 添加允许运行的应用程序 隐藏在控制面板中指定的图标 展开 控制面板 项 启用 隐藏指定的控制面板程序 策略 添加相应的图标 禁用 Ctrl Alt Del 组合键弹出的对话框中的选项 展开 系统 Ctrl Alt Del 项 启用相应的策略 如 删除 任务管理器 删除开始菜单中的 关机 图标 展开 任务栏和 开始 菜单 项 启用 删除和阻止访问 关机 命令 策略 隐藏桌面上所有图标 展开 桌面 项 启用 隐藏和禁用桌面上所有的项目 策略 8 3 1管理模板策略 8 3使用组策略配置用户环境 帐户策略又包括密码策略 帐户锁定策略和Kerberos策略 1 密码策略的设置操作步骤 对本地计算机的用户 在 组策略编辑器 中 展开 计算机配置 Windows设置 安全设置 帐户策略 密码策略 项 双击 密码必须符合复杂性要求 选项 选择 已启用 单击 确定 按钮 还可设置 强制密码历史 密码最长使用期限 密码最短使用期限 密码长度最小值 对域控制器用户 打开 ActiveDirectory用户和计算机 管理窗口 右击域或组织单位 选择 属性 命令 在打开的对话框中选择 组策略 选项卡 选择组策略对象 单击 编辑 按钮 打开 组策略编辑器 界面 展开 计算机配置 Windows设置 安全设置 帐户策略 密码策略 项 选择相应的密码策略选项配置即可 8 3 2帐户策略 8 3使用组策略配置用户环境 2 帐户锁定策略帐户锁定指在某些情况下 如帐户受到黑客攻击 为保护帐户安全而将此帐户进行锁定 使之在一定时间内不能再次登录 从而挫败连续的猜解尝试 配置方法 在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略 项 双击某帐户锁定策略 进行配置 帐户锁定阈值 帐户锁定时间 复位帐户锁定计数器 3 Kerberos策略KerberosV5身份验证协议是用于确认用户或主机身份的身份验证机制 是WindowsServer2003系统默认的身份验证服务 IPSec可以使用Kerberos协议进行身份验证 Kerberos策略只用于域用户帐户 确定与Kerberos相关的设置 配置方法 在 组策略 控制台中 展开 计算机配置 Windows设置 安全设置 帐户策略 Kerberos策略 选择相应的Kerberos策略选项配置即可 8 3 2帐户策略 8 3使用组策略配置用户环境 为用户指派权限的操作步骤 步骤 1 在 组策略编辑器 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 用户权限指派 项 这里列出了能为用户指派的各项权限 8 3 3用户权限指派 8 3使用组策略配置用户环境 步骤 2 在右窗格中双击要指派的权限 如 关闭系统 打开其属性窗口 单击 添加用户或组 按钮 打开 选择用户或组 对话框 输入用户名 如abc 连续单击 确定 按钮 8 3 3用户权限指派 8 3使用组策略配置用户环境 下面列举几项用户权限的功能 从网络访问此计算机 确定哪些用户和组能够通过网络连接到该计算机 许多网络协议 如HTTP 都要求该用户权利 默认情况下为Everyone 任何人 安全组授予权限 建议删除Everyone组 向域中添加工作站 允许用户向指定的域中添加一台计算机 有此权限的用户可以向域中添加10个工作站 默认情况下AuthenticatedUsers 经过身份验证的用户 有此权限 建议此权限只授予Administrators组 允许从本地登录 允许用户在计算机上开启一个交互式的会话 用户不具备该权限 但拥有 允许通过终端服务登录 权限 他仍然能够在计算机上开启一个远程的交互式会话 建议此权限只授予Administrators组 允许通过终端服务登录 允许用户使用远程桌面连接登录到计算机上 建议此权限只授予Administrators组 但禁止Administrator帐户有此权限 可以增加系统的安全性 装载和卸载设备驱动程序 确定哪些用户有权安装和卸载设备驱动程序 默认情况下PrintOperators组有此权限 建议此权限只授予Administrators组 还原文件及目录 允许用户在恢复备份的文件或文件夹时 避开文件和目录的许可权限 并且作为对象的所有者设置任何有效的安全主体 建议此权限只授予Administrators组 8 3 3用户权限指派 8 3使用组策略配置用户环境 可以通过 安全选项 来启用计算机的一些安全设置 操作步骤是 在 组策略编辑器 控制台中 展开 计算机配置 Windows设置 安全设置 本地策略 安全选项 项 双击要设置的策略 选择 已启用 或 已禁用 项 单击 确定 按钮 下面列举几个比较常用的安全选项 交互式登录 不需要按CTRL ALT DEL 在计算机机启动时直接出现 登录Windows 对话框 不需要显示 请按CTRL ALT DEL 对话框 交互式登录 不显示上次的用户名 在每次出现的 登录Windows 对话框中都不显示上一次登录者的用户名称 交互式登录 在密码到期前提示用户更改密码 用来设置密码到期前几天提示用户更改密码 关机 允许系统在未登录前关机 设置在 登录Windows 对话框中显示 关机 按钮 以便不需要登录的情况下就可以将计算机关闭 8 3 4安全选项 8 3使用组策略配置用户环境 启动 关机脚本是WindowsServer2003系统的一个新特点 启动脚本是用户登录之前运行的批文件 它的功能类似于早期Windows的Autoexec bat文件 关机脚本是计算机关机之前运行的批文件 与用户登录 注销脚本相比 它们之间的主要区别是启动 关机脚本是计算机启动和关机时运行的 脚本程序只运行一次 用户登录 注销脚本在用户登录对话框出现后 用户登录系统或从系统注销时运行 每次登录 注销时都运行一次 设置方法是 在 组策略 控制台中 展开 计算机配置 或 用户配置 Windows设置 脚本 项 双击 启动 或 关机 登录 注销 策略 打开相应的属性窗口 单击 添加 按钮 输入脚本名及参数 单击 确定 按钮 回到属性窗口 单击 确定 按钮完成设置 8 3 5启动 关机 登录 注销脚本 8 3使用组策略配置用户环境 文件夹重定向允许用户和管理员将一个文件夹的路径重定向到一个新的位置 文件夹重定向功能 提高了漫游用户配置文件的性能 存储在网络服务器上的数据可以被备份出来 指定给一个用户的数据可以重定向到其它位置 当用户从不同计算机登录网络时都可得到相同的文档 管理员可以使用组策略来设置磁盘配额 可以重定向的文件夹包括 我的文档 桌面 开始 菜单 和 ApplicationData 等 操作步骤 在域控制器上打开 ActiveDirectory用户和计算机 控制台 右击OU选项 选择 属性 命令 打开 OU属性 对话框 切换到 组策略 选项卡 打开 组策略编辑器 窗口 展开 用户配置 Windows设置 文件夹重定向 项 右击 我的文档 项 选择 属性 命令 打开 我的文档属性 对话框 单击 确定 按钮 8 3 6文件夹重定向 8 3使用组策略配置用户环境 WindowsServer2003中提供了RIS和Installer两种技术 前者是远程安装服务 通过WindowsServer2003为网络中的客户机提供操作系统的远程安装 后者则是专门解决在Windows网络环境中发布应用软件的需求 使用组策略部署软件的步骤 1 准备安装软件包使用Installer技术的安装程序首先要获取ZAP或MSI格式的软件包 MSI软件包是Microsoft专门为软件部署而开发的 是实现软件分发功能必需的文件格式 通常包含了安装内置程序所要的环境信息和安装或卸载程序时需要的指令和数据 当用户双击MSI文件时 与之关联的文件Msiexec exe将会被调用 它将用Msi dll读取软件包文件 msi 应用转换文件 mst 2 创建软件分发点软件分发点就是包含MSI包文件的共享文件夹 即在文件服务器上创建一个共享文件夹 如Tools 在其下创建要部署软件的子目录 然后将MSI包文件 如 WindowsServer2003管理工具包 程序Adminpak msi 及所有需要的安装源文件放于其中 设置该目录的共享权限为Users组可读 Administrators组完全控制 8 4使用组策略部署软件 3 创建组策略对象软件部署是依靠AD中的组策略来设置的 必须要创建一个用于分发软件程序包的组策略对象并在其中添加软件部署的设置 配置步骤 步骤 1 在域控制器上打开 ActiveDirectory用户和计算机 控制台 右击域 如 选择 属性 命令 弹出域属性对话框 切换到 组策略 选项卡 单击 新建 按钮 并将新建的组策略对象命名为Software 步骤 2 选中Software选项 单击 编辑 按钮 打开 组策略编辑器 窗口 以 用户配置 为例 右击 软件安装 项 选择 属性 命令 打开 软件安装属性 对话框 在 默认程序包位置 文本框中输入 服务器名 共享文件夹名 如 zah tools 然后选中 显示部署软件对话框 和 基本 项 单击 确定 按钮 8 4使用组策略部署软件 步骤 3 返回 组策略编辑器 窗口 右击 软件安装 项 选择 新建 程序包 命令 在弹出的 打开 对话框中 选择Tools 中的Adminpak msi文件后 单击 打开 按钮 在弹出的 部署软件 对话框中 询问软件部署的方式 WindowsInstaller提供 发布 和 指派 两种部署方式 选择 已发布 或 已指派 单选按钮 单击 确定 按钮 4 客户端安装软件在DC中部署软件完成后 指派的软件 用户只要登录域后直接在开始菜单中即可找到并使用 发布的软件 用户只要单击 添加或删除程序 窗口中的 添加新程序 按钮 就会立即在 从网络添加程序 列表中列出从DC中分发出来的Adminpak msi程序 如果希望安装 按 添加 按钮即可 8 4使用组策略部署软件 实训时间 4小时实训目标 通过对服务器进行本地安全策略的配置 使学生掌握组策略的概念 配置组策略的方法 及使用组策略配置用户 配置计算机及配置软件的具体实例操作 实训内容 操作1 根据以下要求对WindowsServer2003服务器进行安全策略配置 步骤 1 配置账户策略密码策略 启用密码必须符合复杂性要求 密码最短使用期限改成0天账户锁定策略 账户锁定阈值5次 账户锁定时间10分钟步骤 2 配置本地策略之审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败 综合实训案例7 WindowsServer2003服务器安全配置 本地安全策略 步骤 3 配置本地策略之用户权限分配关闭系统 只有Administrators组 其它全部删除 通过终端服务拒绝登陆 加入Guests User组通过终端服务允许登陆 只加入Administrators组 其他全部删除步骤 4 配置本地策略之安全选项交互式登录 不显示上次的用户名启用网络访问 不允许SAM帐户和共享的匿名枚举启用网络访问 不允许为网络身份验证储存凭证启用网络访问 可匿名访问的共享全部删除网络访问 可匿名访问的命全部删除网络访问 可远程访问的注册表路径全部删除网络访问 可远程访问的注册表路径和子路径全部删除不需要按CTRL ALT DEL更改为 已启用 帐户 重命名来宾帐户重命名一个帐户帐户 重命名系统管理员帐户重命名一个帐户步骤 5 安全策略自动更新命令 GPUpdate force 应用组策略自动生效不需重新启动 综合实训案例7 操作2 部署软件步骤 1 安装活动目录 域为 将 WindowsServer2003管理工具包 程序Adminpak msi从安装光盘复制到c windows sysvol 活动目录默认共享文件夹 步骤 2 在 ActiveDirectory用户和计算机 中 右击 选择 属性 命令 打开 属性 对话框 切换到 组策略 选项卡 新建组策略对象 命名为software 步骤 3 选择software 单击 编辑 按钮 打开 组策略编辑器 对话框 展开 软件安装 项 右击 软件安装 选择 属性 命令 打开 软件安装属性 对话框 在 默认程序包位置 文本框中输入 计算机名 共享文件夹名 单击 确定 按钮 步骤 4 右击 软件安装 选择 新建 程序包 命令 在 打开 对话框中 选择Adminpak msi文件 运行GPUpdate force更新命令安全策略 步骤 5 在工作站中使用 添加 删除程序 窗口中的 添加新程序 按钮 选择 从网络添加程序 下的WindowsServer2003管理工具包 Adminpak msi 程序进行安装 综合实训案例7 1 安全配置和分析WindowsServer2003系统提供的 安全配置和分析 管理工具 它的主要作用是对本地系统的安全性进行分析和配置 安全分析 可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析 从而找出系统安全的薄弱环节 安全配置 可以用于直接配置本地系统的安全性 利用个人数据库 可以导入由 安全模板 创建的安全模板 并将这些模板应用于本地计算机 这将立即使用模板中指定的级别配置系统安全性 从而轻松地掌控系统的安全 2 安全模板安全配置提供了可以应用的预配置的安全设置组 它是将除 Internet协议 安全和公用密钥策略之外的所有安全属性组织在一起以便于安全管理 每个模板都是基于文本的 inf文件 这些文件位于系统根目录的 Security Templates 8 5安全配置和分析 8 5 1 安全配置和分析 管理工具 默认的安全模板按不同的安全级别分为兼容 安全或高级安全设置三类 8 5安全配置和分析 8 5 1 安全配置和分析 管理工具 查看安全模板的操作步骤 在打开mmc控制台窗口中 添加管理单元 安全模板 在此可以查看各种安全模板的配置 定义安全模板的操作步骤 在打开的 安全模板 控制台 右键单击要存储新模板的文件夹 单击 新加模板 命令 在 模板名 中键入新建安全模板的名称 在 描述 中键入新安全模板的说明 然后单击 确定 按钮 使用 安全配置和分析 工具配置本地计算机安全的方法有两种 使用命令提示符 secedit exe 和MMC控制台 见下例 具体操作步骤 8 5安全配置和分析 8 5 2使用安全配置和分析工具 1 打开 安全配置和分析 单击 开始 运行 输入mmc 打开mmc控制台 单击 文件 添加 删除管理单元 打开 添加 删除管理单元 对话框 单击 添加 按钮 选择 安全配置和分析 单击 添加 按钮 单击 关闭 按钮 单击 确定 按钮 完成 安全配置和分析 管理单元的添加 2 打开数据库在控制台窗口中 右击 安全配置和分析 管理单元 选择 打开数据库 命令 弹出 打开数据库 对话框 如果是首次对系统进行安全性分析 需要新建一个数据库 在 文件名 文本框中为新建的数据库输入一个名称 然后单击 打开 按钮 8 5安全配置和分析 8 5 2使用安全配置和分析工具 3 选择安全模板弹出 导入模板 框 选择安全模板文件 如Securews inf 同时选择 导入之前清除这个数据库 选择框 单击 确定 按钮 完成模板导入 8 5安全配置和分析 8 5 2使用安全配置和分析工具 4 安全分析右击 安全配置和分析 项 选择 立即分析计算机 命令 弹出 进行分析 对话框 指定保存错误日志文件的路径 单击 确定 按钮 开始系统安全机制的分析进程 5 查看安全分析结果安全分析结束后 展开 安全配置和分析 各项 在右格中 通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别是否匹配 6 配置系统安全机制右击项目分析结果中的不匹配策略 单击 属性 命令 修改此策略 修改完后进行重新分析直到满意为止 右击 安全配置和分析 项 选择 立即配置计算机 命令 并在 配置系统 对话框中指定保存错误日志文件的路径 单击 确定 按钮 开始系统安全机制的配置进程 完成配置 8 5安全配置和分析 8 5 2使用安全配置和分析工具 安全配置向导 SCW 是WindowsServer2003SP1系统新增的一个安全配置工具 根据指定服务器执行的角色 SCW可以指导您完成安全策略的创建 创建策略之后 不但可以对其进行编辑 而且可以将其应用于一个或多个配置相似的服务器 也可取消已应用的策略 8 6安全配置向导 8 6 1安装与启动 安全配置向导 默认情况下 WindowsServer2003操作并不安装安全配置向导 用户需要通过 添加 删除Windows组件 来手工安装安全配置向导 安装步骤 打开 控制面板 窗口 双击 添加或删除程序 图标 打开 添加或删除Windows组件 对话框 单击 下一步 按钮 打开 Windows组件向导 对话框 选中 安全配置向导 选项 单击 下一步 按钮 就能轻松完成SCW组件的安装 要启动SCW 单击 开始 程序 管理工具 安全配置向导 命令 或在 运行 对话框中输入SCW命令 1 新建一个 安全策略 新建一个 安全策略 安全策略信息被保存在 XML的文件中的 它的默认存储位置是 c windows security msscw policies 可以根据不同需要 创建多个 安全策略 文件 每次应用一个 启动 安全配置向导 弹出 欢迎使用安全配置向导 对话框 单击 下一步 按钮 进入 配置操作 窗口 第一次使用SCW 要选择 创建新的安全策略 单选按钮 单击 下一步 按钮 开始配置安全策略 8 6 2利用 安全配置向导 配置 安全策略 8 6安全配置向导 2 轻松配置 角色 在 选择服务器 对话框中输入要进行安全配置的WindowsServer2003服务器的机器名或IP地址 单击 下一步 按钮 安全配置向导 会处理安全配置数据库 单击 下一步 按钮 进入 基于角色的服务配置 对话框 单击 下一步 按钮 进入 选择服务器角色 配置框 选择服务器角色 单击 下一步 按钮 进入 选择客户端功能 对话框 选择你所需的客户端功能来配置WindowsServer2003服务器支持的 客户端功能 8 6 2利用 安全配置向导 配置 安全策略 8 6安全配置向导 单击 下一步 按钮 进入 选择管理和其它选项 对话框 选择需要的Windows2003系统提供的管理和服务功能 单击 下一步 按钮 还要配置一些Windows2003系统的额外服务 这些额外服务一般都是第三方软件提供的服务 进入到 处理未指定的服务 对话框 选择 不更改此服务的启用模式 单选项 最后进入到 确认服务更改 对话框 对你的配置进行最终确认后 就完成了基于角色的服务配置 8 6 2利用 安全配置向导 配置 安全策略 8 6安全配置向导 3 配置网络安全单击 下一步 进入 网络安全 框 单击 下一步 按钮 进入 打开端口并允许应用程序 对话框 开放所需的端口 要切记 最小化 原则 最后确认端口配置 4 注册表设置单击 下一步 分别进入 要求SMB安全签名 出站身份验证方法 入站身份验证方法 等设置窗口 通过严格的设置 就能最大限度保证WindowsServer2003服务器的安全运行 5 启用 审核策略 单击 下一步 打开 系统审核策略 配置对话框 合理选择审核目标 6 增强IIS安全单击 下一步 弹出 Internet信息服务 配置对话框 这样IIS服务器的安全性就大大增强 完成以上几步配置后 进入到保存安全策略对话框 单击 下一步 弹出 安全策略文件名 框 为你配置的安全策略起个名字 单击 下一步 弹出 应用安全策略 框 选择 现在应用 选项 使配置的安全策略立即生效 8 6 2利用 安全配置向导 配置 安全策略 8 6安全配置向导 启用Windows防火墙的方法是 右击 网上邻居 选择 属性 命令 打开 网络连接 窗口 右击要保护的本地连接 选择 属性 命令 弹出 本地连接属性 对话框 打开 高级 选项卡 单击 Windows防火墙 栏中的 设置 按钮 打开 Windows防火墙 选项卡 单击 启用 按钮 启用Windows防火墙 8 7WindowsServer2003防火墙 8 7 1启用Windows防火墙 标准服务的设置 以提供标准Web服务 默认80端口 为例 操作步骤 在 Windows防火墙 对话框 单击 高级 选项卡 在 网络连接设置 框中 选中要设置防火墙的本地连接 单击 设置 按钮 弹出 高级设置 对话框 在 服务 选项卡中选择 Web服务 HTTP 复选框 单击 确定 按钮 8 7WindowsServer2003防火墙 8 7 2防火墙服务设置 非标准服务的设置 为了使用非默认端口提供服务 如使用8080提供WWW服务 要在 高级设置 对话框中 单击 添加 按钮 出现 服务设置 对话框 在 服务描述 填入WWW 服务所使用的计算机名或IP地址 端口号 并选择所使用的协议 最后单击 确定 按钮 设置ICMP协议ICMP即Internet控制信息协议 我们最常用的ping就是用的ICMP协议 默认情况下 Windows防火墙禁用了应用该协议的信息请求 如果想ping通本机 需要在 高级设置 对话框中 单击ICMP标签 在打开的选项卡中 选中 允许传入响应请求 项即可 设置安全日志在 高级设置 对话框中 单击 安全日志记录 框中的 设置 按钮 弹出 日志设置 对话框 选择 记录被丢弃的数据包 和 记录成功的连接 两项 并设置日志文件名即可 8 7WindowsServer2003防火墙 8 7 2防火墙服务设置 对网络层的安全性有3个公认的指标 身份验证 完整性和机密性 Internet协议安全 IPSec 是一种开放标准的框架结构 通过使用加密安全服务以确保Internet协议 IP 网络上进行保密而安全的通信 IPSec的工作原理是 在进行数据交换之前 先相互验证双方的计算机的身份 之后在两台计算机之间建立一种安全协作关系 并且在进行数据传输之前将数据进行加密传送 通过这三个步骤 可以保证网络的通信安全 即使数据中途被截获 因为截获者不知道加密的密钥也就无从了解数据的内容 下面以禁止他人Ping自己的主机为案例介绍配置系统IP安全策略的操作步骤 1 添加IP安全策略单击 开始 程序 管理工具 本地安全策略 命令 打开 本地安全策略 对话框 选中 IP安全策略 在本地计算机 项 8 8IP安全设置 8 8 1IP安全 2 创建IP安全策略右击右窗格空白处 选择 创建IP安全策略 命令 弹出 IP安全策略向导 对话框 单击 下一步 弹出 IP安全策略名称 页 在 名称 和 描述 文本框中输入 禁止Ping 单击 下一步 则弹出 安全通信请求 页 选中 激活默认相应规则 复选框 单击 下一步 弹出 默认响应规则身份验证方法 页中选择 此字符串保护密钥交换 单选按钮 然后在下面的文字框中任意输入一段字符串 如 禁止Ping 单击 下一步 单击 完成 完成新的IP安全策略的创建 8 8IP安全设置 8 8 1IP安全 3 编辑IP安全策略属性 1 右击新建IP安全策略 选择 属性 命令 弹出 禁止Ping属性 对话框中 单击 添加 按钮 弹出 安全规则向导 对话框 单击 下一步 按钮 进入 隧道终结点 页 选择 此规则不指定隧道 单选按钮 单击 下一步 按钮 进入 网络类型 页 选择 所有网络连接 单选按钮 确保所有计算机都不能Ping该主机 8 8IP安全设置 8 8 1IP安全 2 单击 下一步 按钮 弹出 身份验证方法 页 选择 此字符串保护密钥交换 单选按钮 然后在下面的文字框中任意输入一段字符串 如 禁止Ping 单击 下一步 按钮 弹出 IP筛选列表 页 3 单击 添加 按钮 弹出 IP筛选器列表 对话框 单击 添加 按钮 弹出 IP筛选器向导 对话框 步骤 4 单击 下一步 按钮 弹出 IP通信源 页 源地址选 我的IP地址 项 单击 下一步 按钮 弹出 IP通信目标 页 目标地址选 任何IP地址 项 8 8IP安全设置 8 8 1IP安全 5 单击 下一步 弹出 IP协议类型 页 在 选择协议类型 下拉列表中选择 ICMP 项 单击 下一步 弹出 完成筛选器向导 页 单击 完成 按钮 回到 IP筛选器列表 对话框 看到新的筛选器 单击 确定 按钮 返回 安全规则向导 对话框 6 在 IP筛选器列表 栏中选择 新IP筛选器列表 项 单击 下一步 按钮 弹出 筛选器操作 页 在 筛选器操作 栏中选择 需要安全 项 单击 下一步 按钮 单击 完成 按钮 完成新建IP安全规则 单击 确定 按钮 8 8IP安全设置 8 8 1IP安全 4 指派IP安全策略安全策略创建完毕后并不能马上生效 还需通过 指派 功能令其发挥作用 在 本地安全策略 窗口 右击 新IP安全策略 项 在弹出的菜单中选择 指派 命令 即可启用该策略 至此这台主机具备了拒绝其他任何机器Ping自己IP地址的功能 不过在本地仍能Ping自己 从而不用担心被Ping命令威胁 默认情况下 Windows有很多端口是开放的 在你上网的时候 网络病毒和黑客可以通过这些端口连上你的电脑 为了让你的系统变为铜墙铁壁 应该封闭这些端口 主要有 TCP135 139 445 593 1025端口和UDP135 137 138 445端口 一些流行病毒的后门端口 如TCP2745 3127 6129端口 以及远程服务访问端口3389 步骤 1 创建IP安全策略 名称为 封闭端口 步骤 2 编辑IP安全策略属性 右击新策略 选择 属性 命令 不使用向导 单击 添加 按钮 弹出 新规则属性 对话框 单击 添加 按钮 添加IP筛选器列表 单击 添加 按钮 添加IP筛选器 筛选器属性 为源地址选 任何IP地址 目标地址选 我的IP地址 选择协议类型选择 TCP 到此端口为 135 单击 确定 按钮 重复操作添加TCP137 139 445 593 1025 2745 3127 6129 3389端口和UDP135 139 445端口相应的筛选器 步骤 3 筛选器操作 在 新规则属性 对话框中 激活 新IP筛选器列表 在 筛选器操作 中不使用添加向导 使用 添加 按钮 添加 阻止 操作 步骤 4 指派IP安全策略 8 8IP安全设置 操作案例 证书是用于身份验证的经过权威机构数字签名的数字文档 证书将公钥与保存对应私钥的实体绑定一起 公钥证书以非对称密码算法为基础 非对称密码基于复杂数学问题构建公钥和私钥的意义映射关系 公钥是与公钥算法一起使用的加密密钥对的公开部分 私钥是与公钥算法一起使用的加密密钥对的保密部分 使用公钥加密数据 数据加密 只能使用对应的私钥解密 数据解密 使用私钥加密数据 数字签名 只能使用对应公钥解密 签名验证 证书一般由可信的第三方CA中心 权威授权机构 颁发 CA对其颁发的证书进行数字答名 以保证所颁发证书的完整性和可鉴别性 CA可以为用户 计算机或服务等各类实体颁发证书 数字签名是邮件 文件或其他数字编码信息的创作者用来将他们的身份绑定到信息上的方法 数字签名在公钥环境中使用 数字签名者使用自己的私钥对发送的信息进行加密 接收者使用发送者的公钥对签名进行验证 接收者往往就是从公开发布的证书库中获得签名者的证书及包含在证书中的公钥信息 数字签名提供了具有不可否认性和完整性的服务 WindowsServer2003操作系统支持两种证书服务器 分别是用于企业内部的企业证书服务器 需要AD的支持 和独立证书服务 8 9证书服务 8 9 1证书服务的基本概念 1 安装证书服务WindowsServer2003系统内置了证书服务组件 安装该组件可以构建自己的CA中心 适合中小企业构建自己的安全基础设施PKI应用 安装证书服务器的步骤如下 1 在 控制面板 窗口中 双击 添加或删除程序 图标 打开 添加或删除程序 对话框 单击 添加或删除Windows组件 按钮 打开 Windows组件向导 对话框 选择 证书服务 复选框 2 单击 详细信息 按钮 弹出 证书服务 子组件详细信息对话框 选择 证书服务CA 和 证书服务Web注册支持 复选框 单击 确定 按钮 单击 下一步 按钮 3 打开 CA类型 页 选择 独立根 和 用自定义设置生成密匙对和CA证书 选项 这里我们构建企业自己独立的CA服务器 单击 下一步 按钮 8 9证书服务 8 9 2安装与配置WindowsServer2003证书服务 4 打开 公钥 私钥对 页 进行加密服务提供程序的设置 选择散列算法 建议用SHA I 和密匙长度 512 1024或2048位 单击 下一步 按钮 5 打开 CA的识别信息 页 在 CA的识别信息 框中输入CA的公用名称 通常是单位的名称 如HeBeiTourismVocationalCOllege 单击 下一步 按钮 6 在 证书数据库设置 对话框中进行证书数据库 证书数据库日志存储路径的设置 单击 下一步 按钮弹出询问停止IIS服务的对话框 单击 是 按钮 停止IIS服务 接下来系统开始安装组件 完成后单击 完成 按钮 8 9证书服务 8 9 2安装与配置WindowsServer2003证书服务 证书服务安装完成后 在证书服务器 CA服务器 上将增加一个共享文件夹 SystemRoot system32 certsrv CertEnroll 下面存放CA的根证书和撤销列表CRL文件 同时 在服务器的IIS服务中将增加证书服务的Web服务 通过IIS服务器管理控制台 可以对证书Web服务器进行管理和配置 证书Web入口程序为CertSrv虚拟目录下的default asp文件 为了能够允许用户访问该程序 必须设置Web服务器允许脚本执行 8 9证书服务 8 9 2安装与配置WindowsServer2003证书服务 2 证书服务管理单击 开始 程序 管理工具 证书颁发机构 命令 打开 证书颁发机构 控制台窗口 显示此计算机上已经安装好的证书服务 而且已经自动启动运行 从图中可以看出 证书服务器管理有四个目录 当用户申请证书后 在 挂起的申请 文件夹内出现用户证书申请文件 选择右窗口中的证书请求记录 通过双击记录查看证书请求的详细内容 右击记录 选择 所有任务 颁发 命令 审核通过颁发此证书 证书将出现在 颁发的证书 文件夹内 同时可以将证书保存到证书文件中 8 9证书服务 8 9 2安装与配置WindowsServer2003证书服务 1 安装CA根证书 1 打开IE浏览器 在地址栏中输入http 172 20 13 139 certsrv 出现 Microsoft证书服务 页面 2 单击 下载一个CA证书 证书链或CRL 链接 进入下右图页面 单击 下载CA证书 链接 可以将CA证书以文件 扩展名为 Crt 的形式下载并保存到本地磁盘 如D 上 也可以选择 安装此CA证书链 链接 自动安装CA证书到本地操作系统 8 9证书服务 8 9 3客户端申请和安装证书 3 在IE浏览器中选择 工具 Internet选项 命令 选择 内容 选项卡 单击 证书 按钮 打开 证书 对话框 选择 受信任的根证书颁发机构 选项卡 如下左图 4 单击 导入 打开 证书导入向导 框中 单击 下一步 打开 要导入的文件 页 指定CA证书存放位置 D 单击 下一步 步骤 5 弹出 证书存储 对话框 因为是受信任的根CA证书 所以