配置本地安全策略.ppt

1、EDUASK4.0第一学期课程,第六章 配置本地安全策略, 理论部分,课程回顾,哪些用户有权限创建共享文件夹？ 通过哪些方式可以访问共享文件夹？ 共享权限为读取，NTFS权限为写入，通过网络访问时的有效权限是什么？ 打印设备和打印机的区别和联系？ 什么时候需要使用打印机优先级？ 常用的打印权限有哪些？,2,技能展示,理解本地安全策略 会配置账户策略 会配置本地策略 会配置高级安全防火墙规则,3,本章结构,4,配置本地 安全策略,账户策略,高级安全Windows防火墙,密码策略,账户锁定策略,入站规则,出站规则,本地策略,审核策略,用户权限分配,安全选项,本地安全策略,本地安全策略影响本计算机的

2、安全设置 本地安全策略主要包含 账户策略 本地策略 高级安全Windows防火墙,5,账户策略密码策略,密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来储存密码,6,账户策略账户锁定策略,7,账户锁定阈值 账户锁定时间 复位账户锁定计数器,案例：账户锁定策略应用,案例需求： 有一台系统为Windows Server 2008的服务器，为了提高系统的安全性，如果用户在一天之内3次输错密码，就锁定相应的用户账户 实现思路： 账户锁定阈值：3 账户锁定时间：0 复位账户锁定计数器：1440 管理员解锁,8,小结,请思考： 密码复杂性的要求是什

3、么？ 账户被锁定后，如何能使其正常登录？,9,本地策略审核策略,10,是否在安全日志中记录登录用户的操作事件,审核策略的配置,11,审核策略设置的安全设置选项包括： 成功 失败 无审核,事件查看器,作用： 浏览和管理事件日志,12,案例：审核文件和文件夹,案例需求： 服务器filesvr上有一个文件夹“公司文件”，其中存放着公司的日常工作规范等文档，管理员希望将来能够查看员工对该文件夹的成功访问和失败访问的情况 实现思路： 启用“审核对象访问”策略 设置文件夹的审核项目 访问文件夹“公司文件” 查看成功审核和失败审核的事件,13,本地策略用户权限分配,14,关闭系统 更改系统时间 拒绝本地登录

4、 允许在本地登录 ,案例：用户权限分配应用,案例需求： 普通用户UserA在登录Windows Server 2008系统后发现自己没有关闭系统的权限，如何让UserA能正常关机 实现思路： 配置本地安全策略 在“关闭系统”策略中添加UserA,15,本地策略安全选项,16,控制一些和操作系统安全相关的设置,案例：安全选项应用,案例需求： 为了提高Windows Server 2008系统的安全性，希望使用空白密码的本地账户只能进行控制台登录，如何实现 实现思路： 配置本地安全策略 启用“账户：使用空白密码的本地账户只允许进行控制台登录”策略,17,高级安全Windows防火墙,高级安全Win

5、dows防火墙 使用配置规则来响应传入和传出流量 包括： 入站规则 出站规则 连接安全规则,18,案例：入站规则配置,案例需求： 在一台服务器（192.168.1.25）上安装并启用FTP服务后，防火墙中将添加一条允许所有FTP入站连接的入站规则。如何配置防火墙规则阻止客户端192.168.1.10通过FTP连接到服务器，而其它客户端都能够通过FTP连接到服务器 实现思路： 新建入站规则 指定协议、端口和操作 配置入站规则属性,19,案例：出站规则配置,案例需求： 有一台Web服务器的IP地址为192.168.1.10，本地计算机的默认出站连接设置为允许，如何通过出站规则阻止本地计算机通过IE

6、访问Web服务器 实现思路： 新建出站规则 指定程序路径和操作 验证出站规则配置结果,20,本章总结,21,配置本地 安全策略,账户策略,高级安全Windows防火墙,密码策略,账户锁定策略,入站规则,出站规则,本地策略,审核策略,用户权限分配,安全选项,EDUASK4.0第一学期课程,第六章 配置本地安全策略, 上机部分,实验案例1：账户策略的应用,需求描述： 有一台Windows Server 2008服务器位于工作组中，为了加强该服务器的安全性，需要配置密码策略和账户锁定策略，账户被锁定后，通过管理员账户为锁定的账户解锁,23,实验案例1：账户策略的应用,实现思路： 启用密码复杂性策略

7、配置密码最短长度要求 配置账户锁定阈值为3 为锁定的账户解锁 学员练习： 在本地安全策略中配置各策略 验证所配置的策略,24,40分钟完成,实验案例2：审核策略的应用,需求描述： 在工作组中有一台Windows Server 2008文件服务器，服务器上有一个文件夹D:data，为了加强数据的安全性，管理员需要审核所有用户账户对该文件夹的访问情况,25,实验案例2：审核策略的应用,实现思路： 启用本地策略的审核对象访问 访问数据 查看审核记录 文件夹必须位于NTFS分区中,26,实验案例2：审核策略的应用,学员练习： 创建文件夹D:/data 启用本地安全策略中的“审核对象访问” 添加文件夹的审核 访问文件夹 查看审核结果,27,40分钟完成,