Download
1 / 33
330 likes | 480 Views
Windows Server 2008 R2 安全策略. 第 12 章. 刘道军 QQ : 10804072. 概述. 安全策略是影响计算机安全性的设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略可以强化公司网络的安全性。 通过配置本地安全策略,可以加固服务器安全,从以下几个方面配置服务器安全:帐户策略、审核策略、用户权限分配、安全选 项及软件限制策略。 高级 Windows 防火墙能够控制进出操作系统的流量,还能够配置服务器之间进行加密通信。. 本章要点. 帐户策略的设置 设置审核策略 用户权限分配 安全选项
E N D
Windows Server 2008 R2安全策略 第12章 刘道军 QQ:10804072
概述 安全策略是影响计算机安全性的设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略可以强化公司网络的安全性。 通过配置本地安全策略,可以加固服务器安全,从以下几个方面配置服务器安全:帐户策略、审核策略、用户权限分配、安全选 项及软件限制策略。 高级Windows防火墙能够控制进出操作系统的流量,还能够配置服务器之间进行加密通信。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全
帐户策略的设置 设置密码策略 设置帐户锁定策略 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
设置审核策略 • 简介 • 安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。 • 审核设置:成功、失败、无审核 • 漏洞: • 如果未配置任何审核设置,将很难甚至不可能确定出现安全事件期间发生的情况。如果配置了审核而导致有太多的授权活动生成事件,则安全事件日志会被无用的数据填满,对系统性能也是有影响的。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
设置审核策略 • 对策: • 组织内的所有计算机都应启用适当的审核策略,这样合法用户可以对其操作负责,而未经授权的行为可以被检测和跟踪。 • 潜在影响: • 如果在组织内的计算机上没有配置审核,或者将审核设置得太低,将缺少足够的证据,可在发生安全事件后用于网络辩论分析。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
审核设置 审核帐户登录事件 审核帐户管理 审核目录服务访问 审核登录事件 审核对象访问 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
实验演示:登录服务器失败,Windows Server 2008 R2自动报警 • 自动报警思路 • Windows Server 2008 R2自动报警功能只有基于某个特定的系统事件才能启用运行 • 任务审核登录失败操作 • 创建登录失败事件 • 附加自动报警任务 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
用户权限设置 允许本地登录 关闭系统 从网络访问此计算机 拒绝本地登录 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
常用安全选项设置示例 交互式登录:不显示最后的用户名 交互式登录:提示用户在密码过期之前进行更改 审核:如果无法记录安全审核则立即关闭系统 网络访问:本地帐户的共享和安全模型 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
高级Windows防火墙 • 具有高级安全性的Windows防火墙 • 结合了主机防火墙和IPSec。 • 运行在每台Windows计算机上。 • 提供计算机到计算机的连接安全,使用户可以对通信要求身份验证和数据保护。 • 是一种状态防火墙,检查并筛选IPv4和IPv6流量的所有数据包。 • 可以请求或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或数据加密。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
高级Windows防火墙 • 高安全性的Windows防火墙工作方式 • 使用两组规则配置其如何响应传入和传出流量。 • 防火墙规则确定允许或阻止哪种流量 • 连接安全规则确定如何保护此计算机和其他计算机之间的流量。 • 防火墙配置文件(根据计算机连接的位置应用)可以应用这些规则以及其他设置,还可以监视防火墙活动和规则。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
高级Windows防火墙 • 防火墙规则 • 配置防火墙规则以确定阻止还允许流量通过。 • 数据包过滤流程 • 可以从标准中进行选择: • 应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型、用户、组、计算机、计算机组、协议及ICMP类型等。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
高级Windows防火墙 • 连接安全规则 • 配置本计算机与其他计算机之间特定连接的IPSec设置。 • 使用该规则来评估网络通信,然后根据该规则中所建立的标准阻止或允许消息。 • 如果所配置的设置要求连接安全(双向),而两台计算机无法互相进行身份验证,则将阻止连接 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
高级Windows防火墙 • 防火墙配置文件 • 防火墙配置文件是对根据连接计算机的位置应用于计算机的设置(如防火墙规则和连接安全规则)进行分组的方式。 • 一次只能应用一个配置文件。 • 配置文件: • 域:当计算机连接到该计算机域帐户所在的网络时 • 专用:当计算机连接到没有该计算机域帐户的网络时应用。 • 公用:当计算机通过公用网络连接到域时应用。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
上机演练1: • 创建一个在企业内网使用的防火墙: • 配置目标: • 更改网络位置 • 启用网络发现 • 允许访问该计算机的共享文件夹。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
上机演练2: • 配置Web服务器网络安全: • 配置Web站点 • 只允许目标端口是80的数据包进入Web服务器 • 只允许源端口是80的数据包从Web服务器出来 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
配置加密通信 高级Windows防火墙除了能够允许或拒绝某些通信外,还支持加密通信。 配置连接安全性规则。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
监视加密通信 DEMO 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
配置IPSec加密和身份验证的方法 一般情况下最好使用默认的数据加密和完整性算法,你也可以自定义加密和完整性算法。 确保通信两端的完整性和加密算法一致。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
创建软件限制策略 软件限制策略提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。 可以帮助组织免遭恶意代码的攻击。 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
示例:创建软件限制策略 证书规则 路径规则 哈希(散列)规则 Internet区域规则 禁止运行计算器软件 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
指定软件限制策略的软件类型 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
导入导出策略 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章要点 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
使用本地组策略配置系统安全 关闭自动播放 禁止用户运行特定程序 禁止恶意程序“不请自来” 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
本章总结 • 帐户策略的设置 • 设置审核策略 • 用户权限分配 • 安全选项 • 高级Windows防火墙 • 创建软件限制策略 • 使用本地组策略配置系统安全 新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 上述课程报名咨询及光盘购买请与我联系!QQ:10804072
谢谢 新目标IT网络课堂常年开设 微软、思科、Linux、网络安全 及Office高端培训 QQ:10804072
