1、2018/4/16,1,项目十二 安全管理,2018/4/16,2,项目描述,随着公共互联网、电子商务、个人计算机和计算机网络的蓬勃发展,如果不对它们进行妥善的保护,它们将越来越容易受到具有破坏性的攻击的危害。黑客、病毒、不满的员工,甚至人为故障都会给网络中的数据带来巨大的威胁。所有计算机用户,从最普通的互联网冲浪者到大型企业,都可能受到网络安全漏洞的影响。,2018/4/16,3,项目十二 安全管理,任务1 Windows安全措施 任务2 设置本地安全策略 任务3 组策略任务4 设置高级安全Windows防火墙任务5 数据的备份与还原,2018/4/16,4,任务1 Windows安全措施,
2、任务描述:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。微软把Windows Server 2008操作系统定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。因此,作为网络操作系统管理员,应当了解和掌握保证网络安全所能采用的安全措施和安全技术。任务目标:为了实现网络安全的要求,网络管理员应当了解网络操作系统Windows Server 2008中的安全结构和安全特点。,2018/4/16,5,安全措施和分析,1在系统安装过程中进行安全性设置2
3、配置安全策略3为物理机器和逻辑元件设定适当的存取控制权限4禁用或删除不需要的帐户、端口和服务5创建一个强大和健壮的审计和日志策略6创建一个基线的备份7密切留意用户帐户8保持系统补丁应该是最新的9利用外部解决方案保护系统和数据安全,2018/4/16,6,安全配置向导,1启用安全配置向导,2018/4/16,7,安全配置向导,2基于角色的服务器,2018/4/16,8,安全配置向导,3网络安全配置,2018/4/16,9,安全配置向导,4注册表设置,2018/4/16,10,安全配置向导,5启用审核策略,2018/4/16,11,安全配置向导,6保存安全策略,2018/4/16,12,任务2 设
4、置本地安全策略,任务描述:在Windows网络中,本地安全策略是非常重要的一个安全环节。因为,在处理各种服务请求时,本地的身份认证(识别)系统是网络安全的第一保护层。它除了可以进行帐户和口令的检测与认证之外,还可以由管理员限制用户的上网时间、非法使用者锁定和密码更改等。登录验证之后,才是资源的访问与控制。本地安全策略可以控制的内容有:本地登录还是交互式登录,登录用户在本地计算机中的操作权力与访问权限。用户帐户策略的密码策略和帐户锁定策略。任务目标:掌握网络系统中的本地安全策略中身份认证相关的基本知识和操作技能。,2018/4/16,13,本地策略,1设置登录不需按Ctrl+Alt+Delete
5、组合键启动2允许域用户在域控制器上登录3赋予普通用户关机权限,2018/4/16,14,帐户与密码策略,1密码策略(1)强制密码历史(2)密码最长使用期限(3)密码最短使用期限(4)密码长度最小值(5)密码必须符合复杂性要求(6)用可还原的加密来存储密码2账户锁定策略(1)账户锁定阈值(2)账户锁定时间(3)复位账户锁定计数器,2018/4/16,15,任务3 组策略,任务描述:在安全管理中,除了资源的权限分配外,还可以为用户、组等对象分配或取消一些特殊的权力。例如,执行关闭系统,从网络访问此计算机,更改系统时间,拒绝本地登录,拒绝修改网络设置等操作的权力。任务目标:组策略不仅可设置系统管理员
6、需要管理的用户桌面环境的各种组件,例如,用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项,而且提供了很多安全设计方面的内容,包括了帐户策略、本地策略等众多的设置内容,而且这些配置都是针对计算机而言的,也就是说为了提高系统的安全性能,其配置对登录本台计算机的所有用户都有效。,2018/4/16,16,组策略概述,1使用组策略可以实现的功能2启动组策略的方法3组策略对象4组策略的应用时机5组策略的处理顺序,2018/4/16,17,组策略配置实例,1严禁恶意程序不请自来2监控系统登录状态3禁止暴力破解登录密码4拒绝调用任务管理器5禁止降低IE安全等级6禁止查看重要数据分区,2018/4/1
7、6,18,任务4 设置高级安全Windows防火墙,任务描述:网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,还可以允许或拒绝特定的通信流出或流入,提高内部网络的安全性。任务目标:Windows Server 2008内置的防火墙可以对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。其还可以关闭不使用的端口。而且它
8、还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。管理员可以将防火墙配置成许多不同保护级别,从而保护主机系统不受安全威胁。,2018/4/16,19,Windows 防火墙概述,1Windows防火墙 2查看Windows防火墙状态,2018/4/16,20,Windows 防火墙概述,3设置Windows防火墙4高级安全Windows防火墙,2018/4/16,21,设置高级安全Windows防火墙,1本地安全策略设置,2018/4/16,22,设置高级安全Windows防
9、火墙,2设置高级安全Windows防火墙,2018/4/16,23,任务5 数据的备份与还原,任务描述:企业应用程序可以生成大量的电子数据,并且数据存储需求还将继续增加。企业需要找到能够以最有效的方式保护其数据,而不影响其数据中心提供服务的方法。而且,数据保留、存档和存储要求对备份提出了新的挑战,因为它们经常超出常规备份和恢复技术的能力。任务目标:备份Windows环境以保护关键的数据,并在发生数据丢失的情况下使之能够快速还原是非常重要的。利用Windows Server 2008自有功能进行数据的备份与恢复,可以有效降低由硬盘子系统故障、电源故障(导致数据损坏)、系统软件故障、数据被意外或恶意删除或修改、病毒、自然灾害(如火灾、洪水和地震等)等造成的数据的意外丢失。,2018/4/16,24,对系统账号进行巧妙备份,2018/4/16,25,对系统分区进行巧妙备份,2018/4/16,26,对系统数据进行完整备份,2018/4/16,27,将系统完整备份到网络共享,2018/4/16,28,拒绝对系统分区增量备份,
