WindowsServer2008R2安全策略_第1页
WindowsServer2008R2安全策略_第2页
WindowsServer2008R2安全策略_第3页
WindowsServer2008R2安全策略_第4页
WindowsServer2008R2安全策略_第5页
已阅读5页,还剩28页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Windows Server 2008 R2,第12章,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,概述,安全策略是影响计算机安全性的设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略可以强化公司网络的安全性。 通过配置本地安全策略,可以加固服务器安全,从以下几个方面配置服务器安全:帐户策略、审核策略、用户权限分配、安全选 项及软件限制策略。 高级Windows防火墙能够控制进出操作系统的流量,还能够配置服务器之间进行加密通信。,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防

2、火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,帐户策略的设置,设置密码策略 设置帐户锁定策略,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,设置审核策略,简介 安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生

3、了违反安全的事件。 审核设置:成功、失败、无审核 漏洞: 如果未配置任何审核设置,将很难甚至不可能确定出现安全事件期间发生的情况。如果配置了审核而导致有太多的授权活动生成事件,则安全事件日志会被无用的数据填满,对系统性能也是有影响的。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,设置审核策略,对策: 组织内的所有计算机都应启用适当的审核策略,这样合法用户可以对其操作负责,而未经授权的行为可以被检测和跟踪。 潜在影响: 如果在组织内的计算机上没有配置审核,或者将审核设置得太低,将缺少足够的证据,可在发生安全事件后用于网络辩论分析。,新目标IT网络课堂

4、常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,审核设置,审核帐户登录事件 审核帐户管理 审核目录服务访问 审核登录事件 审核对象访问,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,实验演示:登录服务器失败,Windows Server 2008 R2自动报警,自动报警思路 Windows Server 2008 R2自动报警功能只有基于某个特定的系统事件才能启用运行 任务审核登录失败操作 创建登录失败事件 附加自动报警任务,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐

5、户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,用户权限设置,允许本地登录 关闭系统 从网络访问此计算机 拒绝本地登录,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:

6、,常用安全选项设置示例,交互式登录:不显示最后的用户名 交互式登录:提示用户在密码过期之前进行更改 审核:如果无法记录安全审核则立即关闭系统 网络访问:本地帐户的共享和安全模型,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,高级Windows防火墙,具有高级安全性的Windows防火墙 结合了主机防火墙和IPSec。 运行在每台

7、Windows计算机上。 提供计算机到计算机的连接安全,使用户可以对通信要求身份验证和数据保护。 是一种状态防火墙,检查并筛选IPv4和IPv6流量的所有数据包。 可以请求或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或数据加密。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,高级Windows防火墙,高安全性的Windows防火墙工作方式 使用两组规则配置其如何响应传入和传出流量。 防火墙规则确定允许或阻止哪种流量 连接安全规则确定如何保护此计算机和其他计算机之间的流量。 防火墙配置文件(根据计算机连接的位置应用)可以应用这些规则

8、以及其他设置,还可以监视防火墙活动和规则。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,高级Windows防火墙,防火墙规则 配置防火墙规则以确定阻止还允许流量通过。 数据包过滤流程 可以从标准中进行选择: 应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型、用户、组、计算机、计算机组、协议及ICMP类型等。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,高级Windows防火墙,连接安全规则 配置本计算机与其他计算机之间特定连接的IPSec设置。 使用该规

9、则来评估网络通信,然后根据该规则中所建立的标准阻止或允许消息。 如果所配置的设置要求连接安全(双向),而两台计算机无法互相进行身份验证,则将阻止连接,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,高级Windows防火墙,防火墙配置文件 防火墙配置文件是对根据连接计算机的位置应用于计算机的设置(如防火墙规则和连接安全规则)进行分组的方式。 一次只能应用一个配置文件。 配置文件: 域:当计算机连接到该计算机域帐户所在的网络时 专用:当计算机连接到没有该计算机域帐户的网络时应用。 公用:当计算机通过公用网络连接到域时应用。,新目标IT网络课堂常年开设微软

10、、思科、Linux、网络安全及Office高端培训 QQ:,上机演练1:,创建一个在企业内网使用的防火墙: 配置目标: 更改网络位置 启用网络发现 允许访问该计算机的共享文件夹。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,上机演练2:,配置Web服务器网络安全: 配置Web站点 只允许目标端口是80的数据包进入Web服务器 只允许源端口是80的数据包从Web服务器出来,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,配置加密通信,高级Windows防火墙除了能够允许或拒绝某些通信外,还支持加密通信。 配置

11、连接安全性规则。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,监视加密通信,DEMO,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,配置IPSec加密和身份验证的方法,一般情况下最好使用默认的数据加密和完整性算法,你也可以自定义加密和完整性算法。 确保通信两端的完整性和加密算法一致。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全

12、,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,创建软件限制策略,软件限制策略提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。 可以帮助组织免遭恶意代码的攻击。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,示例:创建软件限制策略,证书规则 路径规则 哈希(散列)规则 Internet区域规则 禁止运行计算器软件,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,指定软件限制策略的软件类型,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,导入导出策略,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ:,本章要点,帐户策略的设置 设置审核策略 用户权限分配 安全选项 高级Windows防火墙 创建软件限制策略 使用本地组策略配置系统安全,新目标IT网络课堂

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论