1、安全策略,Page 2/30,本章目标,本章应用域的安全策略,加强了域环境安全性理解本地安全策略理解域控制器安全策略理解域安全策略掌握密码策略掌握账户锁定策略掌握审核策略,Page 3/30,密码策略,帐户锁定策略,概念,应用举例,本章结构,安全策略,三种安全策略的关系,域帐户策略应用,审核文件及文件夹,本地安全策略,帐户策略,本地策略,域控制器安全策略,域安全策略,审核策略,用户权限分配,安全选项,Page 4/30,本地安全策略,本地安全策略影响本计算机的安全设置 本地安全策略主要包含 帐户策略 本地策略,Page 5/30,账户策略2-1,密码策略 密码必须符合复杂性要求 密码长度最小值
2、 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 账户锁定策略 账户锁定阈值 账户锁定时间 复位账户锁定计数器,Page 6/30,账户策略2-2,帐户策略举例 在独立的计算机上要让账户的密码长度最小为8,账户如果连续3次输错密码就会被锁定 步骤 1)单击【开始】|【程序】|【管理工具】|【本地安全策略】,展开【账户策略】|【密码策略】 2)双击“密码长度最小值”,输入“8” 3)在【账户锁定策略】中,双击“账户锁定阈值”,输入“3” 4)在【开始】|【运行】中,输入“gpupdate”刷新本计算机的本地安全策略(或者重启计算机) 5)更改管理员账户administ
3、rator密码,检验能否将密码修改成小于8位长度的密码 6)退出系统,使用普通账户登录,故意输错密码3次,该账户就会被锁定,Page 7/30,本地策略3-1,审核策略 是否在安全日志中记录登录用户的操作事件 用户权限分配 如关闭系统 更该系统时间 拒绝本地登录 允许在本地登录 安全选项 控制一些和操作系统安全相关的设置,Page 8/30,本地策略3-2,用户权限分配举例 作为服务器的计算机不能让普通用户交互式登录(在本地登录) 步骤: 1)单击【开始】|【程序】|【管理工具】|【本地安全策略】,展开【本地策略】|【用户权限分配】 2)双击“允许在本地登录”,删除“Power Users”和
4、“Users” 3)在【开始】|【运行】中,输入“gpupdate”刷新本计算机的本地安全策略(或者重启计算机) 4)退出系统,使用普通账户登录,检验能否登录,Page 9/30,本地策略3-3,安全选项举例 在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后),必须阅读公司使用计算机的注意事项 步骤: 1)展开【本地策略】|【安全选项】 2)在以下选项中输入提示信息 交互式登录:用户试图登录时消息标题 交互式登录:用户试图登录时消息文字 3)刷新本地安全策略 4)验证,Page 10/30,阶段总结,本地安全策略主要包含账户策略和本地策略 密码策略包含哪些选项 账户锁定策略哪
5、些选项 本地策略有哪几部分,Page 11/30,域控制器安全策略2-1,域控制器安全策略与本地安全策略的区别 影响的计算机 前者影响DC 后者影响非DC 打开方式 【域控制器安全策略】 【本地安全策略】 帐户策略中有何异同 前者有Kerberos策略 与域用户账户的登录有关,Page 12/30,域控制器安全策略2-2,域控制器安全策略应用举例 某个普通域账户需要在DC上登录 步骤 1)打开【域控制器安全策略】|【安全 设置】|【本地策略】|【用户权限分配】,双击【允许在本地登录】,添加需要在DC上登录的用户帐户 2)刷新域控制器安全策略 3)验证该普通用户能否在DC上登录,Page 13/
6、30,域安全策略3-1,可以影响整个域中的计算机的安全设置 打开方式 【域安全策略】 帐户策略 密码策略 帐户锁定策略 Kerberos 策略 本地策略,Page 14/30,域安全策略3-2,三种安全策略的关系 成员计算机和域的设置项冲突时,域安全策略生效 域控制器和域的设置项冲突时,域控制器安全策略生效 本地安全策略 域控制器安全策略 域安全策略,Page 15/30,域安全策略3-3,举例验证 以本地选项的设置项为例 交互式登录:用户试图登录时消息标题 交互式登录:用户试图登录时消息文字,成员计算机与域的对比,域控制器与域的对比,Page 16/30,域账户策略应用,帐户策略设置需求 域
7、账户密码长度至少7个字符 密码符合复杂性要求 密码至少30天修改一次 设置密码锁定策略:输入5次密码不正确就锁定该用户帐户 实施步骤 1)单击【开始】|【程序】|【管理工具】|【域安全策略】 2)设置【账户策略】的【密码策略】和【账户锁定策略】 3)设置完毕,刷新域安全策略 4)修改某个账户的密码,验证密码策略是否起作用 5)使用某个域账户登录,故意输错密码,看几次后账户被锁定,Page 17/30,阶段练习,背景 某些员工设置密码长度很短,而且不符合复杂性要求 密码很久也不修改 有时会发生非法用户试探员工密码 目标 密码策略设置 账户锁定策略设置 密码策略的验证 账户锁定策略验证 如何给账户
8、解锁,Page 18/30,审核文件及文件夹,审核策略 审核文件及文件夹 事件查看器,Page 19/30,审核策略,常用审核策略,Page 20/30,审核文件及文件夹,步骤 启用对象访问审核策略 设置需要审核的文件或文件夹,Page 21/30,事件查看器2-1,应用程序 应用程序或系统程序记录的事件 安全性 登录尝试以及记录与资源使用相关的事件 系统 Windows 系统组件记录的事件 安装了其他服务则可能会增加日志类型 目录服务 文件复制服务 DNS 服务器,Page 22/30,事件查看器2-2,事件类型 错误:红色 警告:黄色 信息:白色 成功审核:钥匙 失败审核: 锁 保存日志,
9、Page 23/30,审核文件或文件夹的实现步骤,1)启用域或者本机的审核策略中的审核对象访问策略,并刷新策略 2)在文件或文件夹的【安全】属性|【高级】|【审核】中,添加要审核的账户及详细的审核项目 3)使用用户访问该文件夹或者文件 4)使用【事件查看器】,检查是否有用户访问的记录。,Page 24/30,阶段总结,本地安全策略、域控制器安全策略和域安全策略之间的关系 域账户策略如何加强域账户的安全性 审核策略包含哪些内容 审核文件及文件夹主要步骤有哪些,Page 25/30,阶段练习,背景 BENET公司需要审核员工对服务器上某文件夹的访问情况 目标 审核策略 文件夹或者文件的【安全】|【
10、高级】|【审核】属性设置 使用【事件查看器】,Page 26/30,本章总结,密码策略,帐户锁定策略,概念,应用举例,安全策略,三种安全策略的关系,域帐户策略应用,审核文件及文件夹,本地安全策略,帐户策略,本地策略,域控制器安全策略,域安全策略,审核策略,用户权限分配,安全选项,密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史,账户锁定阈值 账户锁定时间 复位账户锁定计数器,理解域控制器安全策略与本地安全策略的区别,成员计算机和域的设置项冲突时,域安全策略生效 域控制器和域的设置项冲突时,域控制器安全策略生效,1)启用域审核策略中的审核对象访问策略,并刷
11、新策略 2)添加文件夹的审核项目 3)用户访问文件夹 4)使用事件查看器,Page 27/30,实验,任务1 域账户策略应用 任务2 审核文件夹,Page 28/30,任务1 域账户策略应用,背景 某些员工设置密码长度很短 而且不符合复杂性要求 密码很久也不修改 有时会发生非法用户试探员工密码 完成标准 设置密码策略:密码长度最小值为7、密码必须符合复杂性要求、密码使用最长期限30天 设置帐户锁定策略:用户锁定阈值为5次 用户StuY被锁定后管理员解锁,让用户正常登录,Page 29/30,任务2 审核文件夹的访问,背景 BENET公司的一台服务器上的一个共享文件夹中存放着公司的日常工作规范等文档 需要审核员工对该文件夹的访问情况 完成标准 使用【事件查看器】,可以看到服务器上的【安全】日志中的有用户访问文件夹记录,
