安全策略的管理教材

第5章内容回顾NTFS文件系统的特点如何获得NTFS移动和复制操作对权限的影响AGDLP规则含义是什么安全策略第6章本章目标本章应用域的安全策略，加强了域环境安全性

理解本地安全策略 理解域控制器安全策略 理解域安全策略 掌握密码策略 掌握账户锁定策略 掌握审核策略密码策略帐户锁定策略概念应用举例本章结构安全策略三种安全策略的关系域帐户策略应用审核文件及文件夹本地安全策略帐户策略本地策略域控制器安全策略域安全策略审核策略用户权限分配安全选项本地安全策略本地安全策略影响本计算机的安全设置本地安全策略主要包含帐户策略本地策略账户策略2-1密码策略

密码必须符合复杂性要求密码长度最小值

密码最长使用期限

密码最短使用期限

强制密码历史

用可还原的加密来存储密码

账户锁定策略

账户锁定阈值

账户锁定时间

复位账户锁定计数器

账户策略2-2帐户策略举例

在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错密码就会被锁定步骤1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【账户策略】|【密码策略】2）双击“密码长度最小值”，输入“8”3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3”4）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）5）更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码6）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁定本地策略3-1审核策略是否在安全日志中记录登录用户的操作事件用户权限分配如关闭系统更该系统时间拒绝本地登录允许在本地登录

安全选项控制一些和操作系统安全相关的设置

本地策略3-2用户权限分配举例作为服务器的计算机不能让普通用户交互式登录（在本地登录）步骤:1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【本地策略】|【用户权限分配】2）双击“允许在本地登录”，删除“PowerUsers”和“Users”3）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机）4）退出系统，使用普通账户登录，检验能否登录本地策略3-3安全选项举例在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的注意事项步骤:1）展开【本地策略】|【安全选项】2）在以下选项中输入提示信息交互式登录：用户试图登录时消息标题交互式登录：用户试图登录时消息文字3）刷新本地安全策略4）验证阶段总结本地安全策策略主要包包含账户策策略和本地地策略密码策略包包含哪些选选项账户锁定策策略哪些选选项本地策略有有哪几部分分返回域控制器安安全策略2-1域控制器安安全策略与与本地安全全策略的区区别影响的计算算机前者影响DC后者影响非非DC打开方式【域控制器安全策略】【本地安全策策略】帐户策略中中有何异同同前者有Kerberos策略与域用户账账户的登录录有关域控制器安安全策略2-2域控制器安安全策略应应用举例某个普通域域账户需要要在DC上登录步骤1）打开【域控制器安全策略】|【安全设置置】|【本地策略】|【用户权限分分配】，双击【允许在本地地登录】，添加需要要在DC上登录的用用户帐户2）刷新域控控制器安全全策略3）验证该普普通用户能能否在DC上登录返回域安全策略略3-1可以影响整整个域中的的计算机的的安全设置置打开方式【域安全策略略】帐户策略密码策略帐户锁定策策略Kerberos策略本地策略域安全策略略3-2三种安全策策略的关系系成员计算机机和域的设设置项冲突突时，域安安全策略生生效域控制器和和域的设置置项冲突时时，域控制制器安全策策略生效本地安全策策略域控制器安安全策略域安全策略略域安全策略略3-3举例验证以本地选选项的设设置项为为例交互式登登录：用用户试图图登录时时消息标标题交互式登登录：用用户试图图登录时时消息文文字成员计算算机与域域的对比比域控制器器与域的的对比域账户策策略应用用帐户策略略设置需需求域账户密密码长度度至少7个字符密码符合合复杂性性要求密码至少少30天修改一一次设置密码码锁定策策略：输输入5次密码不不正确就就锁定该该用户帐帐户实施步骤骤1）单击【开始】|【程序】|【管理工具具】|【域安全策策略】2）设置【账户策略略】的【密码策略略】和【账户锁定定策略】3）设置完完毕，刷刷新域安安全策略略4）修改某某个账户户的密码码，验证证密码策策略是否否起作用用5）使用某某个域账账户登录录，故意意输错密密码，看看几次后后账户被被锁定阶段练习习背景某些员工工设置密密码长度度很短，，而且不不符合复复杂性要要求密码很久久也不修修改有时会发发生非法法用户试试探员工工密码目标密码策略略设置账户锁定定策略设设置密码策略略的验证证账户锁定定策略验验证如何给账账户解锁锁审核文件件及文件件夹审核策略略审核文件件及文件件夹事件查看看器审核策略略常用审核核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时，域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件，包括：创建、更改或删除用户帐户或组；重命名、禁用或启用用户帐户；设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核文件件及文件件夹步骤启用对象象访问审审核策略略设置需要要审核的文件或或文件夹夹事件查看看器2-1应用程序序应用程序序或系统统程序记记录的事事件安全性登录尝试试以及记记录与资资源使用用相关的的事件系统Windows系统组件件记录的的事件安装了其其他服务务则可能能会增加加日志类类型目录服务务文件复制制服务DNS服务器事件查看看器2-2事件类型型错误:红色警告:黄色信息:白色成功审核核:钥匙失败审核核:锁保存日志志审核文件件或文件件夹的实实现步骤骤1）启用域域或者本本机的审审核策略略中的审审核对象象访问策策略，并并刷新策策略2）在文件件或文件件夹的【安全】属性|【高级】|【审核】中，添加加要审核核的账户户及详细细的审核核项目3）使用用用户访问问该文件件夹或者者文件4）使用【事件查看看器】，检查是是否有用用户访问问的记录录。阶段总结结本地安全全策略、、域控制制器安全全策略和和域安全全策略之之间的关关系域账户策策略如何何加强域域账户的的安全性性审核策略略包含哪哪些内容容审核文件件及文件件夹主要要步骤有有哪些阶段练习习背景BENET公司需要要审核员员工对服服务器上上某文件件夹的访访问情况况目标审核策略略文件夹或或者文件件的【安全】|【高级】|【审核】属性设置置使用【事件查看看器】本章总结结密码策略略帐户锁定定策略概念应用举例例安全策略略三种安全全策略的的关系域帐户策策略应用用审核文件件及文件件夹本地安全全策略帐户策略略本地策略略域控制器器安全策策略域安全策策略审核策略略用户权限限分配安全选项项密码必须须符合复复杂性要要求密码长度度最小值值密码最长长使用期期限密码最短短使用期期限强制密码码历史账户锁定定阈值账户锁定定时间复位账户户锁定计计数器理解域控控制器安安全策略略与本地地安全策策略的区区别成员计算算机和域域的设置置项冲突突时，域域安全策策略生效效域控制器器和域的的设置项项冲突时时，域控控制器安安全策略略生效1）启用域域审核策策略中的的审核对对象访问问策略，，并刷新新策略2）添加文文件夹的的审核项项目3）用户访问文文件夹4）使用事件查查看器实验任务1域账账户策略应用用任务2审核核文件夹任务1域账账户策略应用用背景某些员工设置置密码长度很很短而且不符合复复杂性要求密码很久也不不修改有时会发生非非法用户试探探员工密码完成标准设置密码策略略：密码长度度最小值为7、密码必须符符合复杂性要要求、密码使使用最长期限限30天设置帐户锁定定策略：用户户锁定阈值为为5次用户StuY被锁定后管理理员解锁，让让用户正常登登录任务2审核核文件夹的访访问背景BENET公司的一台服服务器上的一一个共享文件件夹中存放着着公司的日常常工作规范等等文档需要审核员工工对该文件夹夹的访问情况况完成标准使用【事件查看器】，可以看到服服务器上的【安全】日志中的有用用户访问文件件夹记录9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Saturday,December24,202210、雨中中黄叶叶树，，灯下下白头头人。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、以以我我独独沈沈久久，，愧愧君君相相见见频频。。。。12月月-2200:19:1900:19Dec-2224-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。00:19:1900:19:1900:19Saturday,December24,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2200:19:1900:19:19December24,202214、他乡生白白发，旧国国见青山。。。24十二二月202212:19:19上上午00:19:1912月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月2212:19上午12月-2200:19December24,202216、行动出成成果，工作作出财富。。。2022/12/240:19:1900:19:1924December202217、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。12:19:19上午午12:19上上午00:19:1912月-229、没有失败，，只有暂时停停止成功！。。12月-2212月-22Saturday,December24,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。00:19:1900:19:1900:1912/24/202212:19:19AM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2200:19:1900:19Dec-2224-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。00:19:1900:19:1900:19Saturday,December24,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2200:19:1900:19:19December24,202214、意志志坚强强的人人能把把世界界放在在手中中像泥泥块一一样任任意揉揉捏。。24十十二二月202212:19:19上上午午00:19:1912月月-2215、楚楚塞塞三三湘湘接接，，荆荆门门九九派派通通。。。。。。十二二月月2212:19上上午午12月月-2200:19December24,202216、少年十五二二十时，步行行夺得胡马骑骑。。2022/12/240:19:1900:19:1924December202217、空山新雨后后，天气晚来来秋。。12:19:19上午午12:19上上午00:19:1912月-229、杨柳柳散和和风，，青山山澹吾吾虑。。。12月月-2212月月-22Saturday,December24,202210、阅读读一切切好书书如同同和过过去最最杰出出的人人谈话话。00:19:1900:19:1900:1912/24/202212:19:19AM11、越是没有有本领的