单元WindowsServer安全管理PPT课件.ppt

第10单元WindowsServer2003安全管理 Page1 Page2 单元目标 了解 Windows2003的安全特性了解 网络操作系统Windows2003的安全结构掌握 本地和域中的身份识别系统的管理技术掌握 安全审核系统与日志的管理技术掌握 资源访问控制统的管理技术 Page3 10 1任务1操作系统安全管理基础知识 10 1 1任务描述微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统 Page4 10 1 2任务目标网络管理员应当了解网络操作系统WindowsServer2003中的安全结构和安全特点 Page5 10 1 3网络操作系统的基础安全知识1 计算机网络的安全技术主机安全技术 身份认证技术 访问控制技术 密码技术 防火墙技术 安全审计技术和安全管理技术 Page6 2 C2安全等级的重要标准特征1983年美国国防部率先提出了一套 可信计算机评估标准 它将计算机系统的安全等级划分为A B C D四大类7个小类 包括了从最简单的系统安全特性到最高级的计算机安全模型技术 Page7 目前 这套评估标准常为广大的网络管理人员所引用 Page8 3 WindowsServer2003增强的安全特性 内置防火墙 应当注意在接入Internet之前启用内置的防火墙 Page9 默认启用必要服务 在默认情况下禁用了所有的不必要的服务 只启用了基本和必要的服务 更严格的对象控制权限 针对对象采取了更严格的控制权限 Page10 更加安全的IIS 对以前的隐患和问题进行了脱胎换骨的改造 大大地提高了安全性能 自动更新服务自动更新功能 减弱了管理员下载 安装更新的繁琐工作强度 Page11 4 安全结构与安全策略环节类型 身份认证 是指对登录过程进行必要的身份识别与控制 Page12 目录和文件的存取控制 是指中应对网络中的资源 采取存取标识与存取控制技术 审计和跟踪 使得系统能够自动针对各种对象进行访问的跟踪 并将跟踪的结果记录在日志中 Page13 5 身份认证与识别系统 1 登录机制对于符合安全等级的系统 应当为每一个用户设置为强制性的登录过程 强制登录是指任何一个用户 在登录时都必须使用 Ctrl Alt Del 三个健的组合进行登录 Page14 2 登录的类型 交互登录 是指登录使用本地的安全账户管理 SAM SecurityReferenceMonitor 信息库进行身份认证 通过本地的身份验证后 可以登录到计算机本机 并进行本地的资源访问 参见图10 1 Page15 远程登录 登录到 域 时 就会发生远程登录 此时用户的身份认证会传递到 域控制器 中去完成 域管理员可以选择 交互 或 远程 方式登录 Page16 3 账户安全策略环节类型域控制器的用于身份认证的 账户策略 环节有3个 即 密码策略 账户的锁定策略 和 Kerberos策略 而 本地策略 是由 审核策略 用户权利分配 和 安全选项 等几个环节组成的 Page17 6 安全审核策略 审计谁 是指确定审计的对象 审什么 是指确定审计系统发生的何种事件或行为 Page18 谁审计 是指确定实施审计行为的用户 何时审 是指确定审计行为发生的时间和日期 审计结果的保存 是指确定何时清除审计结果 Page19 7 资源访问权限控制 Page20 10 2任务2本地安全策略 10 2 1任务描述本地安全策略是非常重要的一个安全环节 本地的身份认证 识别 系统是网络安全的第一保护层 登录验证之后 才是资源的访问与控制 Page21 10 2 2任务目标掌握网络系统中的本地安全策略中身份认证相关的基本知识 以及操作技能 Page22 10 2 3本地登录认证 在域控制器中 依次单击择 开始 管理工具 域控制器安全策略 命令 Page23 图10 1登录DC本地时的 登录到Windows 窗口 Page24 在图10 2窗口中 依次选择 安全设置 本地策略 用户权限分配 选项 在窗口的右侧 双击 允许在本地登录 选项 Page25 在图10 3对话框中 单击 添加用户和组 按钮 在图10 4对话框中 第一 输入用户或组名称 第二 单击 确定 按钮 在返回图10 3后 单击 确定 按钮 关闭该对话框 Page26 重新启动计算机 使得设置生效后 即可使用被授权的用户登录 并访问域控制器的本地资源了 在图10 2窗口 还可以取消某用户或组的本地登录权限 Page27 图10 2 默认域控制器安全设置 用户权限 窗口 Page28 图10 3 允许在本地登录属性 对话框 Page29 图10 4 添加用户和组名 对话框 Page30 说明 第一 当使用域控制器上建立的 域用户账户 登录域控制器本机时 在输入账户后 如果出现图10 1所示的对话框所示的 则表示该账户没有被授予本地交互式登录的权限 如果被允许交互登录时 则该账户可以在域控制器的本机进行登录 第二 不同的登录方式 对资源的使用权限也不同 Page31 10 2 4账户策略 在域控制器中 依次选择 开始 管理工具 域控制器安全策略 命令选项 Page32 在图10 2窗口中 依次选择 安全设置 账户策略 密码策略 选项 Page33 在图10 5窗口中 可见到用户身份验证的 账户策略 系统是由 密码策略 账户的锁定策略 等3个策略组成的 而 本地策略 是由 审核策略 用户权利分配 和 安全选项 等几个部分组成 Page34 图10 5 默认域控制器安全设置 密码策略 窗口 Page35 10 2 1密码策略1 密码符合复杂性要求 密码符合复杂性要求 默认值是在域控制器上已启用 在独立服务器上已禁用 选用的含义是当用户更改或创建密码时 会强制执行复杂性设置的要求 Page36 密码符合复杂性要求 对密码的要求是使用增强的复杂密码 不允许使用简单密码或空白密码 作为符合复杂性要求的密码应当包含以下4个类别中的3种字符 Page37 2 密码长度最小值 密码长度最小值 选项 用来定义密码的长度 密码长度最小值可以在0 14之间取值 当设置为0值时 表示不用设置密码 推荐的策略是7位以上 Page38 因为 长密码比短密码具有更强的安全性 设置该策略后 用户将无法使用空密码 他们必须创建指定字符长度的密码 在中等安全性的网络中 要求口令长度为6 8个字符 在高等安全性网络中 要求口令长度为8 14个字符 Page39 3 密码最长期限 密码最长期限 选项用来设置必须更换密码的期限 到期之后 用户必须更换密码 其取值在0 999天之间 0表示密码永不过期 Page40 这个值设置的应当尽可能的短 推荐的间隔是30 90天 设置该值之后 即使攻击者破解了密码 也只能在密码到期之前访问网络 在中等安全性的网络中 每45 90天更换一次口令 在高等安全性的网络中 每14 45天更换一次口令 Page41 4 最短密码期限 最短密码期限 选项用来设置密码更改前必须使用的天数 其取值在0 998天之间 Page42 该策略的设置可以阻止用户通过频繁更改密码的方法绕过 强制密码历史 策略的设置 而继续使用其原来的密码 设置之后 用户只有在等待指定的天数之后才能够更改密码 本项设置的时间一定要小于 密码最长期限 中所设置的密码最长期限值 Page43 5 强制密码历史 强制密码历史 策略用来设置先前已用密码的数量 其值为0 24 当设置为0时 表示不保留密码记录 Page44 在中等安全性的网络中 要求8 12个不同的口令 在高等安全性的网络中 要求12 24个不同的口令 在中等安全要求的网络中 密码策略的设置推荐值如下 Page45 启用密码策略 用强密码保护所有用户帐户 启用 密码必须符合复杂性要求 策略设置 Page46 密码长度最小值7位 强制密码历史8个 密码最长期限45天 最短密码期限30天 Page47 6 设置密码策略 在图10 2窗口中 依次选择 安全设置 账户策略 密码策略 选项 Page48 在图10 5窗口 选中需要设置的策略 如 密码长度最小值 选项 单击鼠标右键 选中 属性 选项 Page49 在图10 6对话框中的操作步骤参见图中的标注 注意 很多策略设置之后 过一段时间后 才会生效 如果重新启动系统 可以立即生效 Page50 图10 6 安全策略 密码长度最小值 对话框 Page51 10 2 2帐户锁定策略帐户锁定策略用于保护用户的账户和密码 账户锁定策略是指当非法用户输入的错误密码的次数达到设定值的时候 系统将自动锁定该账户 Page52 1 帐户锁定阈值 帐户锁定阈值 选项定义了用户帐户被锁定前所允许的登录失败尝试的次数 Page53 2 帐户锁定时间 帐户锁定时间 选项是指当用户帐户被锁定后 在自动解锁前保持锁定状态的分钟数 Page54 3 复位帐户锁定计数器 复位帐户锁定计数器 设置的时间是指登录尝试失败后系统锁定的分钟数 Page55 例如 在图10 7中设置的中等安全要求的密码策略如下 复位帐户锁定计数器 50分钟 帐户锁定时间 50分钟 帐户锁定阈值 5次 Page56 设置案例的含义 帐户锁定时间 和 复位帐户锁定计数器 设置为50分钟 帐户锁定阈值 设置为5 这表示在使用该账户的失败登录尝试5次之后 锁定该账户 在锁定后50分钟以后 将自动解锁 解锁的同时将复位锁定计数器的已积累的5次重置为0次 Page57 4 操作步骤 在图10 5窗口中 依次选择 安全设置 账户策略 账户锁定策略 选项 Page58 在图10 7栏目中 选中 复位账户锁定计数器 选项 单击鼠标右键 在打开的菜单中 选中 属性 选项 在图10 8对话框的操作步骤 请参见图中标识的步骤 Page59 图10 7 默认域控制器安全设置 账户锁定策略 窗口 Page60 图10 8 安全策略 复位账户锁定计数器 对话框 Page61 10 2 3安全策略中的其他策略1 禁用Guest账号策略Guest账号是一个非常危险的漏洞 黑客常常利用这个漏洞 账号 登录计算机 在安装好WindowsServer2003之后 Guest帐户默认值为 禁用 状态 Page62 2 禁止显示登录用户名策略 Page63 图10 9 本地策略 安全选项 窗口 Page64 图10 10 交互式登录 不显示上次的用户名 对话框 Page65 3 Administrator账号更名策略Administrator既不能被停用 也不能被设置安全策略 因此 采用管理员账户重命名的方法可使未经授权的人员在猜测该特权用户名和密码组合时的难度增大 Page66 管理员在 ActiveDirectory用户和计算机 或者在图10 9窗口 依次选择 安全策略 本地策略 安全选项 选项 在打开的窗口中可以进行Administrator账户的更名 Page67 4 推荐使用的账号策略参数 Page68 表10 1推荐的Windows2003中的账户策略 Page69 续表 Page70 10 3任务3安全审核策略 10 3 1任务描述通过审核策略的是指可以将与计算机相关的各种安全事件记录到安全日志中 Page71 10 3 2任务目标掌握审核计划的设置步骤 以及安全日志的查看方法 Page72 10 3 3实施审核策略的基本知识1 明确所审核的类型和事件常见的审计类型有3类 系统审计 应用程序审计和用户自行配置的安全性审计等 Page73 2 明确审核的事件是成功或失败的记录 跟踪事件的成功记录能了解文件和打印机的访问频率 从而有助于进行资源规划 Page74 跟踪事件的失败记录 将对非法入侵发出警报 在中等和高等安全的网络中 应该跟踪 用户登录成功和失败的记录 及资源的使用情况 Page75 3 制定审核计划管理员应当设置有审核计划 并按计划进行安全日志的存档或清除 Page76 4 确定审核策略设置的位置审核策略的实现位置是基于本机的 Page77 5 审核的管理者只有域的管理员 Administrator 能够设置域控制器上的文件 目录和打印机的审核 对于非域控制器的计算机 只有本机的管理员组 Administrator组 的成员才能设置审核 Page78 6 在NTFS分区上完成文件和目录的审核对于系统中文件和目录的审核 只能在NTFS分区上完成 不能在FAT32系统中实现 Page79 7 中小型网络安全审计策略的方案 在中低安全性的环境 要了解某项资源的使用情况 就跟踪它成功的事件 Page80 在中低安全性的环境 跟踪 失败 的事件可以对可能发生的安全隐患发出警报 在较高安全性的环境 应当跟踪所有 成功 的事件 Page81 在较高安全性的环境 跟踪所有 失败 的事件 对所有敏感和保密的数据 必须设置审核 成功 和 失败 的事件 Page82 10 3 4审核策略的设置方法第一 在图10 11窗口 设置审核策略 第二 设置审核对象 如 设置文件 目录或打印机等审核具体对象的审核哪些事件 Page83 10 3 5设置审核策略1 设置审核策略 在域控制器 依次选择 开始 管理工具 域控制器安全策略 命令选项 Page84 在图10 2窗口中 依次选择 安全设置 账户策略 密码策略 选项 在域控制器上的图10 5窗口中 依次选择 安全设置 本地策略 审核策略 选项 Page85 在图10 11窗口右侧的 策略 和 策略设置 栏目中 应当先选择需要进行审核的策略 再创建具体事件的审核 Page86 2 审核策略事件说明 审核策略更改 在改变每一个事件策略的设置时 都会发生该策略的审核 审核登录事件 登录或注销计算机的事件成功或失败时 会发生此安全策略的审核信息 Page87 审核对象访问 该项策略决定是否对用户访问某个对象的事件进行审核 审核过程跟踪 该项策略决定是否审核事件的详细跟踪信息 Page88 审核目录服务访问 该项策略决定是否审核用户对ActiveDirectory对象访问的成功或失败 审核特权使用 该项策略决定是否审核用户对用户权利改变所做的每一个事件 Page89 审核系统事件 该项策略决定是否审核对系统安全或安全日志有影响的事件 Page90 审核帐户登录事件 该项策略决定是否审核在这台计算机上发生的登录或注销事件 审核帐户管理 该项策略决定是否审核审核计算机上的每一个帐户管理事件 Page91 图10 11 本地策略 审核策略 窗口 Page92 例如 在图10 11窗口中 右击 审核账户管理 选项 在快捷菜单中 单击 属性 选项 在该对话框中 要审核账户管理中所有成功的操作的步骤如图10 12中所示 Page93 说明 图10 11中有关审核策略的其他选项设置可以参照图10 12中的设置步骤依次进行 Page94 图10 12 安全策略设置 审核账户管理 对话框 Page95 10 3 6设置审核对象1 设置审核策略事件 在图10 11窗口的右侧 选中 审核账户管理 和 对象访问 选项 单击鼠标右键 在打开的菜单中 选中 属性 选项 Page96 在图10 13窗口中 管理员既可以审核成功的操作 也可审核失败的操作 Page97 图10 13 本地策略 审核策略 窗口中的 安全策略设置 审核对象访问 对话框 Page98 2 设置审核对象 目录 如果要对单个的文件或目录进行审核 还需要在资源上指定要审核的事件 Page99 在图10 14对话框中 单击 高级 按钮 在图10 15对话框中 单击 添加 按钮 Page100 在图10 16对话框中 可以直接输入要审核的用户或组的名称 也可以单击 高级 按钮 搜索需要审核的对象 选好之后 单击 确定 按钮 Page101 在图10 17对话框 选中需要审核的项目 设置项目的成功或失败的操作后单击 确定 按钮 Page102 图10 16 选择用户 计算机或组 对话框 Page103 图10 17soft目录 审核项目 的设置对话框 Page104 10 3 7查看 安全日志 1 日志的类型 应用程序 日志 包括应用程序产生的出错信息 警告信息以及提示信息 Page105 安全性 日志 包括设置审核事件成功或是失败的信息 系统 日志 包括系统产生出错信息 警告信息以及提示信息 Page106 2 查看日志的方法 选择 开始 管理工具 事件查看器 命令选项 Page107 在图10 18窗口中 单击需要查看的日志类型 右边对话框中就会列出所有日志记录 Page108 在图10 18 安全性 日志中 先选择要查看的事件 然后 双击该事件 打开该事件操作的属性对话框 查看日志内容 最后 单击 确定 按钮 关闭对话框 Page109 图10 18 事件查看器 安全性 日志窗口 Page110 10 4任务4控制对象的访问权限 10 4 1任务描述对网络中的文件 目录和打印机等各种资源对象都可以灵活地控制用户的访问权限 Page111 10 4 2任务目标掌握资源对象访问控制的基本概念 以及文件和目录等资源对象的访问控制的操作技能 Page112 10 4 3目录与文件控制的基本知识1 文件和目录的安全性 Page113 Windows2003的资源访问控制系统 可以确定用户对目录和文件的访问和使用的权利 它除了规定了用户所能访问的网络信息资源的目录和文件外 还可以控制用户的访问层次和范围 Page114 2 通过共享许可 权限 保护网络资源 1 共享和共享许可当一个目录 文件夹 被共享时 用户就可以通过网络连接到该共享目录 文件夹 上 进而访问该文件夹中的所有文件和文件夹 Page115 2 对于用户和组分配共享许可的一般准则 对被访问的资源确定允许访问的组 给组分配其应具有的访问许可的类型 Page116 在允许网络用户执行所需的任务的前提下 给共享资源分配最严格的权限 删除新共享文件夹上的给Everyone组分配的 完全控制 的缺省权限 Page117 3 通过NTFS许可保护网络资源 1 NTFS许可在NTFS分区中 可以通过共享许可和NTFS许可两种方式来实现网络资源的安全保护 此外 在NTFS分区上 除了能够实现文件和目录设置许可之外 还能够对文件实施安全措施 Page118 2 分配NTFS许可 权限 的准则 移去给Everyone组的控制许可 给管理员组 Administrator组 分配完全控制许可 Page119 对数据文件夹的创建组 CreatorOwner组 分配完全控制许可 让用户为自己的文件分配NTFS许可 在完成任务的前提下 为用户分配最严格的权限 Page120 10 4 4设置共享目录的访问权限 依次选择 开始 Windows资源管理器 命令选项 打开资源管理器窗口 Page121 选择需要管理的 驱动器 目录 后 单击鼠标右键 选择快捷菜单 共享和安全 选项 Page122 在图10 19对话框中 单击 权限 按钮 在图10 20对话框中 单击 添加 按钮 Page123 图10 19共享目录的 共享 对话框 Page124 图10 20 共享权限 对话框 Page125 在图10 21对话框中 可以在 输入对象名称来选择 栏目中 直接输入用户名或组名 也可以单击 高级 按钮 Page126 在图10 22对话框中 单击 立即查找 按钮 搜索结果对话框中将列出所有符合条件的搜索对象 双击允许使用资源对象的组 依次单击 确定 按钮 关闭所有设置对话框 Page127 图10 21 输入对象名称 对话框 Page128 图10 22选择对象的 立即查找 对话框 Page129 10 4 5设置NTFS分区目录的访问权限1 NTFS目录权限 许可 的类型NTFS的目录权限用于控制对NTFS分区中各个目录的访问 NTFS目录权限的类型参见表10 2 Page130 表10 2NTFS文件夹 目录 权限的类型 Page131 续表 Page132 2 设置NTFS目录的权限 依次选择 开始 Windows资源管理器 命令 打开 资源管理器 窗口 Page133 在NTFS分区 依次单击 驱动器 目录 选中拟管理的目录后 单击鼠标右键 在打开的快捷菜单中 选择 共享和安全 选项 Page134 在图10 23对话框中 由于继承了父目录的权限 因此 不允许更改设置 若要取消继承 请单击 高级 按钮 在图10 24对话框中 取消 允许父项的继承权限传播 前的 复选框中的 取消继承权 Page135 图10 23设置NTFS权限前的 安全 对话框 Page136 图10 24 高级安全设置 对话框 Page137 在图10 25对话框中 单击 删除 按钮 可以删除该目录从父目录继承到的权限 在图10 23对话框中 单击 添加 按钮 添加新的组或用户后 单击 确定 按钮 完成后的NTFS目录的 安全 对话框如图10 26所示 Page138 图10 25 安全 提示对话框 Page139 图10 26设置NTFS权限后的 安全 对话框 Page140 10 4 6设置NTFS分区文件的访问权限1 NTFS分区文件权限 许可 的类型表10 3为NTFS文件权限 许可 的类型 Page141 2 设置NTFS分区的文件访问权限 依次选择 开始 Windows资源管理器 命令选项 打开资源管理器窗口 Page142 在NTFS分区 选择要管理的 驱动器 目录 文件 后 右击鼠标 在快捷菜单中 选择 属性 选项 Page143 在图10 27对话框中 单击 高级 按钮 可以更