项目12 使用安全策略和防火墙构筑访问安全

Windows

Server2019网络组建项目化教程课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)主编：夏笠芹

“十二五”“十三五”职业教育国家规划教材教材资源清单资源下载地址：/classification.asp?sid=126

为了减少网络攻击行为的威胁,保障服务器的安全,迅达公司网络管理员小刘,采取了以下措施来加固服务器:对WindowsServer2019本身安装了最新的补丁程序修复系统漏洞;设置帐户策略以防止密码被盗;添加审核策略来跟踪资源访问者;启用并配置WindowsServer2019自带的防火墙对进、出服务器的数据包进行筛选。项目背景项目12使用安全策略和防火墙实现访问安全知识目标了解：安全策略的含义；熟悉：安全策略掌握：常见安全策略的配置，高级安全Windows防火墙的配置能力目标会进行账户策略、审核策略的安全设置会进行用户权限分配、安全选项的安全设置会进行Windows防火墙入站和出站规则的配置教学目标项目12使用安全策略和防火墙实现访问安全12.2项目知识准备12.2.1安全策略及类型安全策略(securitypolicy)规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则。合理运用和设定安全策略,可以使计算机受到的安全威胁大大降低。根据影响范围的不同,WindowsServer2019支持以下4种类型的安全策略:本地安全策略:实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和IP安全策略。域控制器安全策略:实现域控制器的安全。域安全策略:实现整个域的安全。组策略:实现整个网络的安全。12.2项目知识准备12.2.2认识高级安全WindowsDefender防火墙高级安全WindowsDefender防火墙的优势有：●支持双向保护,可以对出站、入站通信进行过滤。●实现了更高级的出站和入站规则(防火墙规则)的创建与配置。●它将防火墙和Internet协议安全(IPSec)功能实现了集成。用户可以设置连接安全规则请求或要求计算机在通信之前互相进行身份验证,还可以配置通信时的密钥交换、数据保护(完整性和加密)。12.3项目实施任务12-1帐户策略的设置1.密码策略设置步骤如下：步骤1～步骤7任务12-1帐户策略的设置2.帐户锁定策略的设置账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。设置账户锁定策略的步骤如下：步骤1～步骤4任务12-2审核策略的设置

审核就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。配置审核策略就是确定把哪些事件写入计算机的安全日志中。审核策略说明审核策略更改是否对用户权限分配策略、审核策略或信任策略的更改进行审核审核登录事件是否审核此策略应用到的系统中发生的登录和注销事件审核对象访问是否审核用户访问某个对象(如文件、文件夹、注册表项、打印机)的事件审核帐户登录事件是否审核在这台计算机用于验证帐户时,用户登录到其他计算机或者从其他计算机注销的每个实例审核系统事件是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件任务12-2审核策略的设置

审核策略设置步骤：步骤1～步骤6任务12-3用户权限分配的设置用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限控制为谁授予登录计算机的权限以及他们的登录方式，比如拒绝本地登录、允许本地登录等；特权控制对计算机上系统范围的资源的访问，比如关闭系统、更改系统时间等。任务12-3用户权限分配的设置用户权限名称说明从网络访问此计算机默认情况下任何用户均可从网络访问计算机，根据实际需要可以撤销某组账户从网络访问的权限。拒绝从网络访问这台计算机有些用户只在本地使用，不允许通过网络访问此计算机，就可以将此用户加入到该策略中。允许在本地登录此登录权限确定了可交互式登录到该计算机的用户，通过在连接的键盘上按Ctrl+Alt+Del组合键启动登录，该操作需要用户拥有此登录权限。另外，一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。拒绝本地登录此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约，则此策略设置将取代允许本地登录策略。关闭系统让普通用户具有关闭计算机的权限。表12-2常用的用户权限分配任务12-3用户权限分配的设置用户权限分配的设置步骤如下：进入【本地安全策略】窗口→在左窗格中展开【本地策略】→单击【用户权限分配】→在右窗格中双击【从网络访问此计算机】策略,打开【从网络访问此计算机属性】对话框,从此可以看出Everyone组也允许通过网络连接到此计算机,即网络中的所有用户都可以访问到这台计算机,基于安全的考虑,可以把Everyone组删除。单击【添加用户和组】/【删除】按钮,可以添加或删除具有从网络访问此计算机的用户和组任务12-4安全选项的设置在“安全选项”中的安全策略，是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项：安全选项名称说明关机：允许系统在未登录前关机正常情况下，只有登录系统后具有权限的用户才能关机，如果有时需要在未登录前关机，可将此策略启用账户：使用空白密码的本地账户只允许进行控制台登录密码为空的用户不能通过网络访问此计算机，此策略禁用后，密码为空的用户将不会受到限制。交互式登录：用户试图登录时消息文字该安全设置指定用户登录时显示的文本消息。使用该文本通常作用是用于警告。例如警告用户登录后哪些操作不被允许等。网络访问：不允许SAM账户和共享的匿名枚举禁止通过共享会话猜测管理员系统口令账户：来宾账户状态禁用来宾账户任务12-4安全选项的设置安全选项的设置步骤如下：步骤1～步骤4任务12-5高级安全WindowsDefender防火墙的配置防火墙是通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络的功能组件。Windows防火墙工作在服务器的与外界连接的网络适配器、DSL适配器或者拨号调制解调器等接口上。防火墙将哪些数据包拒之门外,又允许哪些数据包通过,则取决于防火墙的配置。1．

更改网络位置的配置文件【开始】→【管理工具】→在打开的【管理工具】窗口中双击【高级安全Windows防火墙】,打开【高级安全Windows防火墙】窗口任务12-5高级安全WindowsDefender防火墙的配置2．入站规则的设置——非标准的8080端口访问防火墙所在的Web服务器。步骤1-步骤6任务12-5高级安全WindowsDefender防火墙的配置3．出站规则的设置阻止当前服务器主机访问其他Web服务器的设置步骤1～步骤7任务12-5高级安全WindowsDefender防火墙的配置项目12使用安全策略和防火墙实现访问安全项目知识准备安全策略及类型认识高级安全WindowsDefender防火墙项目实施