1、,Windows Server 2003系统配置与管理项目教程,项目9 系统安全策略设置,主讲:XXX,课程组:Windows网络管理,教研室:网络技术,主编:谭方勇 E-mail: ,2019/6/4,2,本项目主要内容:,项目描述,相关理论基础,项目实施,项目总结,项目实训,项目描述,网络中恶意的攻击行为会对计算机系统造成数据或收入的损失,要保证网络中的计算机系统不受始终存在的蠕虫、病毒和恶意攻击使用的恶意代码的威胁,实施适当的安全策略可以减少这种风险的存在。 服务器操作系统运行的要求 需要对操作系统及网络进行安全策略的设置、对系统资源的使用进行审核,从而保障整个网络系统的安全 本项目的主
2、要目的 通过对本地安全策略、域控制器安全策略和域安全策略的设置来保障Windows Server 2003服务器的安全运行。,项目描述,项目实施流程图:,相关理论基础,1.安全策略概述 Windows Server 2003中的“本地安全策略”、“域控制器安全策略”和“域安全策略”可以分别为本地计算机、域控制器以及域这三个对象来设置一些必要的安全防护策略,从而保障系统及网络的安全。 (1)本地安全策略 主要针对本地计算机来实施安全防护 (2)域安全策略 主要针对域内所有的计算机与用户统一设置的策略 (3)域控制器安全策略 影响位于“Domain Controller”容器内的域控制器,相关理论
3、基础,2.用户账户保护安全策略 用户账户的保护主要通过保密保护的策略来实现的,系统安全策略中保护用户账户的具体措施主要是提高密码破解难度、启用账户锁定策略等。 (1)提高密码的破解难度 该措施主要可以通过提高密码的复杂性、增加密码长度、定期更换密码等措施。 对于较重要的用户账户是必须要采取一些必要的强制性的密码安全策略来保障该账户的安全。 (2)启用账户锁定策略 账户锁定策略是在用户账户受到攻击而采用的一种对账户保护的策略,比如,账户容易受到密码词典或暴力破解方式等在线的自动登录攻击,从而导致账户密码被破解,影响系统的安全。,相关理论基础,3. 系统监控安全策略 系统在运行过程中需要对其运行状
4、态进行实时的监视,这样做的目的主要是为了能够及时发现系统的各种安全问题,并做出相应的应对方案及时进行修补。 (1)启用系统的安全审核机制 安全审核机制可以将系统中发生的各类事件进行跟踪记录,并写入到对应的事件日志文件中,以便系统管理员对其进行分析、查找系统、相关服务和应用程序的故障,还可以判断是否有安全时间发生。 (2)事件日志监视 当在系统中启用了安全审核机制后,系统会对需要进行审核的事件记录到日志中,记录的内容包括该事件成功或失败的状态,一般情况下,记录失败的事件往往更有意义,管理员通过检查、分析各种事件的日志来判断系统是否存在安全问题。,项目实施,1. 用户账户安全策略设置 2.用户权限
5、分配及安全选项设置 3.设置事件审核策略 4.查看系统的安全事件,1. 用户账户安全策略设置,1)本地用户账户安全策略设置 单击“开始”|“管理工具”|“本地安全策略”,打开“本地安全设置”控制台,用户账户密码设置,账户锁定设置,2) 域用户账户的安全策略设置 在域控制器上,单击“开始”|“管理工具”|“域安全策略”,打开默认域控制器安全设置控制台,3) 域控制器账户的安全策略设置 单击“开始”|“管理工具”|“域控制器安全策略”,打开默认域控制器安全设置控制台,2.用户权限分配及安全选项设置,1) 用户权限分配的设置 单击“开始”|“管理工具”|“域控制器安全策略”,打开默认域控制器安全设置
6、控制台,在左边窗格中,展开“本地策略”,单击“用户权限分配”,然后在右侧的窗格中可以进行策略的设置,2) 设置安全选项 单击“开始”|“管理工具”|“域控制器安全策略”,打开默认域控制器安全设置控制台,在左边窗格中,单击“安全选项”,在右边的窗格进行具体设置,3.设置事件审核策略,1) 定义审核策略 单击“开始”|“管理工具”|“域控制器安全策略”,打开默认域控制器安全设置控制台,在左边窗格中,单击“本地策略”|“审核策略”,在右侧的窗格中,双击需要审核的策略项来设置需要的审核策略,2) 设置对象的审核 为对象启动审核策略,则首先需要开启“审核对象访问”策略,4.查看系统的安全事件,1) 打开
7、事件查看器 单击“开始”|“管理工具”|“事件查看器”,打开“事件查看器”控制台窗口,2) 查看事件日志内容,3) 搜索事件日志 在管理工具中,打开事件查看器,选择某个事件日志,如“安全性”日志,单击“查看”菜单|“查找”命令,4) 筛选事件日志 单击“系统”日志,选择“查看”菜单|“筛选”命令|“筛选器”选项卡,5) 设置事件日志大小 事件日志信息是保存在事件日志文件中,如系统事件日志保存在“%SYSTEMROOT%system32configSysEvent.Evt”文件中,可以右击某个事件日志,选择属性,打开日志属性对话框,项目总结,用户账户安全是操作系统及网络安全的基础,而保护用户账户
8、安全的安全措施主要有为账户设置密码策略以及账户的锁定策略,即提高密码的复杂度、当出现异常情况时将其锁定。 用户权限分配及安全选项设置了用户访问系统及网络时所具有的权限,这也可以有效地防止一些利用现有的系统功能来破坏系统及网络的安全。 设置事件审核,可以帮助管理员及时跟踪系统中发生的一些安全事件,及时发现异常行为的事件,并记录到事件日志中。 事件日志是网络管理员统计和分析系统安全状况的重要工具,将系统和网络中发生的重要安全事件记录到日志文件中,这样可以为日后的系统维护提供帮助,还可以为网络犯罪的取证提供依据。,项目实训,1.硬件兼容性检查 1.实训目的 了解Windows Server 2003
9、 Enterprise和Windows Server 2003 Standard的硬件兼容性。 2.设备和工具 Windows Server 2003 Enterprise和Standard版本的CD-ROM安装光盘;微软硬件兼容性检查网址:http:/ 3.实训内容及要求 利用Windows Server 2003的CD-ROM安装光盘和http:/ 4.实训总结 总结利用微软硬件兼容性检查网址和系统安装CD-ROM自带的检查工具的检测结果与系统推荐的标准之间的差别。如果不能达到推荐的最低标准,则给出相应的处理方法。,项目实训,2.磁盘分区及格式化 1.实训目的 掌握Windows Serv
10、er 2003安装程序自带的分区及格式化功能,了解PQMagic等第三方的磁盘分区工具的使用。 2.设备和工具 Windows Server 2003的CD-ROM安装光盘;PQMagic磁盘分区软件。 3.实训内容及要求 将磁盘分成3个分区,分别为“C”、“D”和“E”分区,“C”分区的大小为3GB,文件系统采用NTFS格式,完全格式化该分区;“D”分区大小为2GB,文件系统采用NTFS格式,完全格式化该分区;“E”分区大小为3GB,文件系统采用FAT 32格式,快速格式化分区。 4.实训总结 总结在磁盘分区中的注意事项,分析如何分区以及设置分区格式。,项目实训,3.系统安全补丁安装 1.实训目的 熟悉微软Windows Update和自动更新的使用方法,掌握Service Pack补丁和Hotfix补丁的安装技能。 2.设备和工具 Windows Upadate、自动更新工具及http:/ 3.实训内容及要求 (1)利用Windows Update工具更新系统的累积补丁和热补丁; (2)设置系统的自动更新功能,要求在网络使用的低峰期间(中午12:00-1:00)期间启用自动更新功能; (3)在微软网站上及其它权威的站点下载最新的热补丁,然后进行安装。 4.实训总结 总结系统更新的主要方法和目的,分析比较不同的更新方法的特点,并给出系统更新的基本策略。,Q & A,返回,
