计算机网络安全技术 课件 第二章 Windows 操作系统安全配置

第二章Windows操作系统安全配置2.1认识Windows操作系统2.1.1什么是Windows操作系统Windows是美国微软公司以图形用户界面（GUI）为基础研发的操作系统，主要运用于计算机、智能手机等设备，共有普通版本、服务器版本（WindowsServer）、手机版本（WindowsPhone等）、嵌入式版本（WindowsCE等）等子系列，是全球应用最广泛的操作系统之一。2.1.2WindowsServer2016概述

WindowsServer2016是微软公司专门为服务器提供的一款图形化操作系统，可以帮助信息部门的IT人员来搭建网站、应用程序服务及虚拟化云服务等。WindowsServer2016具有强大的管理功能和安全措施来简化网站的部署与服务器的管理，能够改善资源可用性、降低成本、保护企业应用程序和数据的安全，使运维人员更加轻松地管理服务器和维护应用程序。2.1.3WindowsServer2016版本WindowsServer2016分为3个版本：1.DatacenterEdition（数据中心版）2.StandardEdition（标准版）3.EssentialsEdition（基本版）2.2用户和组的安全管理用户是具有登录系统和访问资源权限的个人账户。在WindowsServer2016中，每个用户都有一个唯一的用户名和密码，这些信息用于登录系统。用户可以被授权访问特定的文件、文件夹、共享资源、应用程序、设备等。管理员可以通过设置访问权限来对用户进行管理。2.2.1用户安全管理1．修改Administrator账户名称WindowsServer2016内置了两个可供使用的用户账户。Administrator（系统管理员）：Administrator账户拥有最高的权限，用户可以使用此账户来管理计算机。Guest（来宾）：它是供没有账户的用户临时使用的，只有很少的权限，可以更改名称，但是无法被删除。此账户默认是被禁用的，如果没有禁用，则可以手动禁用此账户。左键“开始”图标，在弹出的快捷菜单中选择“运行”命令，打开“运行”窗口，输“gpedit.msc”，单击“确定”按钮。打开“本地组策略编辑器”窗口，依次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”选项。在右侧找到“账户：重命名系统管理员账户”选项并右击，在弹出的快捷菜单中选择“属性”命令，弹出“账户：重命名系统管理员账户属性”对话框。输入新的账户名称，单击“确定”按钮。2．禁用Guest账户左键“开始”图标，在弹出的快捷菜单中选择“计算机管理”命令，打开“计算机管理”窗口。选择“计算机管理（本地）”→“本地用户和组”→“用户”→“Guest”选项，右击，在弹出的快捷菜单中选择“属性”命令。弹出“Guest属性”对话框，勾选“账户已禁用”复选框。3．设置用户账户密码右击“开始”图标，在弹出的快捷菜单中选择“计算机管理”命令，打开“计算机管理”窗口。选择“计算机管理（本地）”→“本地用户和组”→“用户”→“User”选项（以User账户为例），右击，在弹出的快捷菜单中选择“设置密码”命令。弹出“为User设置密码”对话框，输入新密码，单击“确定”按钮。4．创建密码盘密码盘的工作原理如下。（1）硬件层面：密码盘需要支持硬件虚拟化和安全启动功能。（2）安全启动：当服务器启动时，密码盘会启动安全启动功能，验证操作系统和启动文件的完整性，并确保它们没有被篡改。（3）安全运行环境：密码盘创建一个安全的虚拟化环境，用于存储用户凭据和加密密钥。这个环境是隔离的，不受主操作系统的影响。（4）认证和加密：当用户登录时，密码盘将用户凭据传递给安全运行环境中的身份验证服务。如果凭据正确，则密码盘返回一个加密密钥，用于保护用户凭据。（5）访问控制：密码盘会根据用户的访问权限，限制用户对虚拟化环境中凭据的访问我们可以使用可移动磁盘（以U盘为例）来制作密码重置盘。在计算机上插入已经格式化的U盘，登录账户之后，左键“开始”图标，在弹出的快捷菜单中选择“控制面板”命令。打开“控制面板”窗口，选择“用户账户”→“创建密码重置盘”选项，打开“忘记密码向导”窗口。单击“下一步”按钮，选择密码密钥盘。单击“下一步”按钮，输入新密码。2.2.2组安全管理组是一组用户的集合，每个用户可以属于一个或多个组。在WindowsServer2016中，有一些内置的组，如Administrators、Users、Guests。在WindowsServer2016中对组进行安全管理的操作如下。单击“开始”图标→“服务器管理器”→“服务器管理器”→“仪表板”→“工具”→“计算机管理”→“本地组策略编辑器”→“本地用户和组”→“组”→“新建组”。在仪表板选项卡中选择“工具”→“本地安全策略”→“本地安全策略”→“本地策略”→“用户权限分配”→“关闭系统”双击→“关闭系统属性”对话框。选择“本地安全设置”→“本地安全设置”→选择相应的用户或组→“添加用户或组”，这样被添加的组就自动拥有了该项策略的权限了。2.3文件系统安全配置2.3.1设置文件权限右击需要设置权限的文件→“属性”→“安全”→打开“安全”选项卡。单击“高级”按钮→“高级安全设置”→“添加”→“选择主体”文字链接→“选择用户或组”→输入要选择的对象名称→“检查名称”→“确定”→弹出权限项目对话框→选择分配给用户的权限。2.3.2设置文件夹权限用户可以对文件夹进行的操作，包括列出文件夹内的文件名、在文件夹内创建文件等。NTFS为每个文件夹提供了一个访问控制列表。选中需要设置权限的文件夹并右击→选择“属性”命令→打开文件夹属性对话框→单击“安全”→“编辑”。如果需要编辑系统权限，则可以单击属性对话框中“安全”选项卡的“高级”按钮。2.3.3文件加密文件加密可以保护敏感数据，防止未经授权的用户访问和查看文件内容。右击需要加密的文件或文件夹→选择“属性”命令→单击“常规”选项卡→“高级”按钮→弹出“高级属性”对话框→勾选“加密内容以便保护数据”复选框→单击“确定”按钮。2.4服务安全配置和加固2.4.1服务安全配置1．开启系统自动更新功能使用Win+R组合键打开“运行”窗口→输入“gpedit.msc”→“确定”→“本地组策略编辑器”→“计算机配置”→“管理模板”→“Windows组件”→“Windows更新”→“设置”→双击“配置自动更新”。打开“配置自动更新”窗口→“已启用”→“选项”列表框中可以配置其他属性→右击“开始”→“以管理员身份运行”→打开“管理员：WindowsPowerShell”→执行“gpupdate/force”命令，使设置生效。2．开启系统防火墙WindowsServer2016内置了一个名为Windows防火墙的功能，它可以帮助管理员保护服务器不受来自网络的未经授权的访问和攻击。左键“开始”→“控制面板”→“系统和安全”→“检查防火墙状态”→“启用或关闭Windows防火墙”→“自定义设置”→“专用网络设置和公用网络设置”→“启用Windows防火墙”。专用网络设置和公用网络设置的区别主要在于它们适用的网络环境及它们的默认安全级别。专用网络设置：专用网络指的是在组织内部使用的受信任网络，例如公司内部网络或内部数据中心的网络。公用网络设置：公用网络指的是在公共场所使用的不受信任的网络，例如咖啡店、机场或公共图书馆的网络。3．配置防火墙规则1）入站规则2）出站规则3）程序规则4）安全组规则5）认证规则6）边界规则4．开启IE增强安全配置启用IE增强的安全配置后，服务器的IE浏览器将只能访问白名单中的网站。单击“开始”→“服务器管理器”→“仪表板”→“配置此本地服务器”→“IE增强的安全配置”→“启用”→在弹出的“InternetExplorer增强的安全配置”对话框中根据需求设置管理员和用户是否启用InternetExplorer增强的安全配置。2.4.2服务安全加固RemoteRegistryService是WindowsServer2016中的一项服务，它允许用户通过网络远程访问计算机上的注册表。主要作用有以下几个方面。1．远程管理2．集中管理3．故障排除2.5本地安全策略2.5.1账户策略配置账户策略用于控制用户登录失败的次数和时间，从而防止攻击者暴力破解密码。“开始”图标→“服务器管理器”→“仪表板”→“工具”→“计算机管理”→“本地组策略编辑器”→“本地计算机策略”→“计算机配置”→“Windows设置”→

“安全设置”→“账户策略”→“密码策略”→右侧可以设置关于账户密码的一些策略，左侧“账户锁定策略”选项可以设置账户锁定时间等策略。2.5.2本地策略配置“开始”图标→“服务器管理器”→“仪表板”→“工具”→“计算机管理”→“本地组策略编辑器”→“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”。“审核策略”包含“审核登录事件”“审核对象访问”等策略。“用户权限分配”包含“备份文件和目录”“创建符号链接”“创建全局对象”等策略。“安全选项”包含与交互式登录、关机等相关的策略。设置本地策略的注意事项：（1）在设置密码策略时，需要确保密码长度、复杂度等符合实际需求和安全要求。（2）在设置账户锁定策略时，需要根据实际情况来选择合适的锁定阈值和锁定时长，以确保系统安全和用户体验的平衡。（3）在检查设置是否生效时，可以根据实际需要选择不同的方法和工具，以确保策略生效并能及时发现和处理相关安全事件。2.6域和活动目录安全管理1．安装ActiveDirectory服务（域控制器）WindowsServer2016中的ActiveDirectory是一种目录服务，它是基于LDAP（LightweightDirectoryAccessProtocol）的一种分布式数据库系统。ActiveDirectory用于管理网络中的用户、组、计算机和其他资源，并提供集中化的认证和授权机制，从而实现对网络资源的安全访问和管理。2.6.1域和域控制器安全策略配置“开始”图标→“服务器管理器”→“仪表板”→“添加角色和功能”→“添加角色和功能向导”→“下一步”→“选择安装类型”→“基于角色或基于功能的安装”→“下一步”→“选择目标服务器”→“从服务器池中选择服务器”→“下一步”→“选择服务器角色”→勾选“ActiveDirectory域服务”→“添加角色和功能向导”→“添加功能”回到“选择服务器角色”→“下一步”→“选择服务器角色”→勾选“ActiveDirectory域服务”→“添加角色和功能向导”→“添加功能”回到“选择服务器角色”→“下一步”→“选择功能”、“ActiveDirectory域服务”使用默认选项→“确认安装所选内容”→“安装”→“关闭”按钮回到“仪表板”→“通知”→“将此服务器提升为域控制器”→“ActiveDirectory域服务配置向导”→“添加新林”→“根域名”中输入“”，→“下一步”→“域控制器选项”→键入目录服务还原模式（DSRM）密码→“下一步”→其他窗口中使用默认选项即可→“安装”→自动重启。在WindowsServer2016中，ActiveDirectory主要有以下几个特点：1）集中化的用户管理2）集中化的认证和授权机制3）统一的命名空间4）可扩展性和可定制性5）支持分布式管理6）安全性和稳定性2．域安全策略配置域安全策略是一种安全性设置，用于保障域中计算机的安全。它是一组规则和设置，定义了域中所有计算机的安全策略和配置，并指定了哪些用户和组可以访问计算机和域资源。“开始”图标→“Windows管理工具”→“组策略管理”→“林：”→“域”→“”→“DefaultDomainPolicy”→“编辑”注意事项：（1）隶属于域的任何一台计算机都会受到域安全策略的影响。（2）隶属于域的计算机，如果本地安全策略的配置与域安全策略的配置有冲突，则以域安全策略的配置优先，也就是说本地安全策略自动无效。（3）当域安全策略的配置发生变化时，这些策略需要应用到本地计算机后才对本地计算机有效。2.6.2活动目录安全管理活动目录（ActiveD