大学课件WindowsServerR2安全策略

1、windows server 2008 r2windows server 2008 r2安全策略安全策略http:/ 项及软件限制策略。高级windows防火墙能够控制进出操作系统的流量，还能够配置服务器之间进行加密通信。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072本章要点本章要点l帐户策略的设置l设置审核策略l用户权限分配l安全选项l高级windows防火墙

2、l创建软件限制策略l使用本地组策略配置系统安全帐户策略的设置帐户策略的设置 设置密码策略 设置帐户锁定策略新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072本章要点本章要点l帐户策略的设置l设置审核策略l用户权限分配l安全选项l高级windows防火墙l创建软件限制策略l使用本地组策略配置系统安全新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、

3、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072设置审核策略设置审核策略 简介安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。 审核设置：成功、失败、无审核 漏洞：如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。如果配置了审核而导致有太多的授权活动生成事件，则安全事件日志会被无用的数据填满，对系统性能也是有影响的。新目标新目标itit网络课堂常年开设微软、思科、网络

4、课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072设置审核策略设置审核策略 对策：组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。 潜在影响：如果在组织内的计算机上没有配置审核，或者将审核设置得太低，将缺少足够的证据，可在发生安全事件后用于网络辩论分析。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及

5、、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072审核设置审核设置 审核帐户登录事件 审核帐户管理 审核目录服务访问 审核登录事件 审核对象访问新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072实验演示：登录服务器失败，实验演示：登录服务器失败

6、，windows server 2008 r2windows server 2008 r2自动报警自动报警 自动报警思路windows server 2008 r2自动报警功能只有基于某个特定的系统事件才能启用运行 任务审核登录失败操作 创建登录失败事件 附加自动报警任务新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072本章要点本章要点l帐户策略的设置l设置审核策略

7、l用户权限分配l安全选项l高级windows防火墙l创建软件限制策略l使用本地组策略配置系统安全新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072用户权限设置用户权限设置 允许本地登录 关闭系统 从网络访问此计算机 拒绝本地登录新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffi

8、ce高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072本章要点本章要点l帐户策略的设置l设置审核策略l用户权限分配l安全选项l高级windows防火墙l创建软件限制策略l使用本地组策略配置系统安全新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072常用安全选项设置示例常用安全选项设

9、置示例 交互式登录：不显示最后的用户名 交互式登录：提示用户在密码过期之前进行更改 审核：如果无法记录安全审核则立即关闭系统 网络访问：本地帐户的共享和安全模型新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072本章要点本章要点l帐户策略的设置l设置审核策略l用户权限分配l安全选项l高级windows防火墙l创建软件限制策略l使用本地组策略配置系统安全新目标新目标it

10、it网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072高级高级windowswindows防火墙防火墙 具有高级安全性的具有高级安全性的windowswindows防火墙防火墙结合了主机防火墙和ipsec。运行在每台windows计算机上。提供计算机到计算机的连接安全，使用户可以对通信要求身份验证和数据保护。是一种状态防火墙，检查并筛选ipv4和ipv6流量的所有数据包。可以请求或要求

11、计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072高级高级windowswindows防火墙防火墙 高安全性的高安全性的windowswindows防火墙工作方式防火墙工作方式使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量连接安全规则确定如何保护此计算机和其他计算机之间

12、的流量。防火墙配置文件（根据计算机连接的位置应用）可以应用这些规则以及其他设置，还可以监视防火墙活动和规则。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072高级高级windowswindows防火墙防火墙 防火墙规则防火墙规则配置防火墙规则以确定阻止还允许流量通过。数据包过滤流程可以从标准中进行选择：应用程序名称、系统服务名称、tcp端口、udp端口、本地ip地址

13、、远程ip地址、配置文件、接口类型、用户、组、计算机、计算机组、协议及icmp类型等。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072高级高级windowswindows防火墙防火墙 连接安全规则连接安全规则配置本计算机与其他计算机之间特定连接的ipsec设置。使用该规则来评估网络通信，然后根据该规则中所建立的标准阻止或允许消息。如果所配置的设置要求连接安全（双向

14、），而两台计算机无法互相进行身份验证，则将阻止连接新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072高级高级windowswindows防火墙防火墙 防火墙配置文件防火墙配置文件防火墙配置文件是对根据连接计算机的位置应用于计算机的设置（如防火墙规则和连接安全规则）进行分组的方式。一次只能应用一个配置文件。配置文件：域域：当计算机连接到该计算机域帐户所在的网络时专用：

15、专用：当计算机连接到没有该计算机域帐户的网络时应用。公用：公用：当计算机通过公用网络连接到域时应用。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072上机演练上机演练1 1： 创建一个在企业内网使用的防火墙： 配置目标：更改网络位置启用网络发现允许访问该计算机的共享文件夹。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinu

16、x、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072上机演练上机演练2 2： 配置web服务器网络安全：配置web站点只允许目标端口是80的数据包进入web服务器只允许源端口是80的数据包从web服务器出来新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080

17、407210804072配置加密通信配置加密通信 高级windows防火墙除了能够允许或拒绝某些通信外，还支持加密通信。 配置连接安全性规则。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072监视加密通信监视加密通信 demo新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffic

18、e高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072配置配置ipsecipsec加密和身份验证的方法加密和身份验证的方法 一般情况下最好使用默认的数据加密和完整性算法，你也可以自定义加密和完整性算法。 确保通信两端的完整性和加密算法一致。新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：108040721080

19、4072本章要点本章要点l帐户策略的设置l设置审核策略l用户权限分配l安全选项l高级windows防火墙l创建软件限制策略l使用本地组策略配置系统安全新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072创建软件限制策略创建软件限制策略 软件限制策略提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。 可以帮助组织免遭恶意代码的攻击。新目标新目标it

20、it网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072示例：创建软件限制策略示例：创建软件限制策略 证书规则 路径规则 哈希（散列）规则 internet区域规则 禁止运行计算器软件新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报

21、名咨询及光盘购买请与我联系! qq! qq：1080407210804072指定软件限制策略的软件类型指定软件限制策略的软件类型新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：1080407210804072导入导出策略导入导出策略新目标新目标itit网络课堂常年开设微软、思科、网络课堂常年开设微软、思科、linuxlinux、网络安全及、网络安全及officeoffice高端培训高端培训上述课程报名咨询及光盘购买请与我联系上述课程报名咨询及光盘购买请与我联系! qq! qq：108040721080407