網(wǎng)絡(luò)安全運(yùn)行與維護(hù)配套資源M14-使用本地安全的策略加強(qiáng)windows主機(jī)的整體防御ppt課件

單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標(biāo)題樣式,網(wǎng)絡(luò)安全運(yùn)行與維護(hù),模塊一,Windows,桌面系統(tǒng)安全管理與維護(hù),網(wǎng)絡(luò)安全運(yùn)行與維護(hù) 模塊一,總體概述,為保護(hù)辦公網(wǎng)絡(luò)安全，公司的信息中心希望通過設(shè)置文件的訪問權(quán)限來保護(hù)公司文件服務(wù)器的安全，保證網(wǎng)絡(luò)中每類用戶擁有不同的權(quán)限級別，享受不同等級的文件共享資源為了使系統(tǒng)能健康運(yùn)行，信息中心在每臺計(jì)算機(jī)中都啟用了防火墻，設(shè)置了桌面系統(tǒng)運(yùn)行策略，并針對每個(gè)文件及文件夾采取了加密措施這些措施保證了公司各類人員都有自己的權(quán)限，他們在不同級別的安全策略上運(yùn)行，可以訪問不同級別的加密文件為了實(shí)現(xiàn)以上目標(biāo)，信息中心需要設(shè)置以下策略使用網(wǎng)絡(luò)安全訪問權(quán)限，加強(qiáng),Windows,主機(jī)的管理,使用防火墻規(guī)則，加強(qiáng),Windows,桌面系統(tǒng)的防御,使用文件加密系統(tǒng)，加強(qiáng),Windows,文件系統(tǒng)的安全,使用本地安全策略，加強(qiáng),Windows,主機(jī)的整體防御,使用安全審計(jì),，,加強(qiáng),Windows,主機(jī)的安全維護(hù),總體概述為保護(hù)辦公網(wǎng)絡(luò)安全，公司的信息中心希望通過設(shè)置文件的,能力單元,4,使用本地安全策略加強(qiáng),windows,主機(jī)的整體防御,能力單元4使用本地安全策略加強(qiáng)windows主機(jī)的整體防御,了解本地安全策略的使用方法,配置本地安全策略,第,4,頁,任務(wù)目標(biāo),第4頁 任務(wù)目標(biāo),南天公司的辦公網(wǎng)計(jì)算機(jī)都使用,Windows,操作系統(tǒng)，沒有設(shè)置本地安全策略，部門之間通過辦公網(wǎng)傳輸數(shù)據(jù)易遭到網(wǎng)絡(luò)攻擊。

為了保障桌面系統(tǒng)的數(shù)據(jù)安全，公司要求在每臺計(jì)算機(jī)的,Windows,系統(tǒng)中設(shè)置本地安全策略第,5,頁,任務(wù)描述,南天公司的辦公網(wǎng)計(jì)算機(jī)都使用Windows操作系統(tǒng)，沒有設(shè)置,在,Windows,操作系統(tǒng)中，可以通過設(shè)置以下策略來加強(qiáng)系統(tǒng)安全禁止枚舉賬號指派本地用戶權(quán)限IP,策略密碼安全第,6,頁,任務(wù)分析,第6頁 任務(wù)分析,禁用枚舉賬號的意義,一般來說，黑客攻擊入侵，大部分利用漏洞，然后提升權(quán)限，成為管理員，這一切都跟用戶帳號緊密相連一般的黑客要攻擊,Windows 2000/XP,等系統(tǒng)，必須要知道賬號和密碼而賬號更為關(guān)鍵，那么如何來避免這種情況的發(fā)生呢？我們可以利用禁止枚舉帳號來限制黑客攻擊我們的賬戶和密碼第,7,頁,相關(guān)知識,禁用枚舉賬號的意義第7頁 相關(guān)知識,指派本地用戶權(quán),限,在本地安全策略中可以指派本地用戶的權(quán),限,設(shè)置哪些用戶組可以登錄到此終端,設(shè)置哪些用戶組或者用戶不能登錄到此終端中,設(shè)置哪些用戶組或者用戶可以關(guān)閉此計(jì)算機(jī)等等第,8,頁,相關(guān)知識,指派本地用戶權(quán)限第8頁 相關(guān)知識,IP,安全,策略,IP,安全策略是一個(gè)用于通信分析的策略，它將通信內(nèi)容與設(shè)置好的規(guī)則進(jìn)行比較，判斷通信是否與預(yù)期相吻合，然后決定是否允許通信,。

IP,安全策略彌補(bǔ)了傳統(tǒng),TCP/IP,設(shè)計(jì)上的“隨意信任”安全漏洞，可以更仔細(xì)、更精確地實(shí)現(xiàn),TCP/IP,安全當(dāng)配置好,IP,安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)且功能完善的個(gè)人防火墻系統(tǒng)第,9,頁,相關(guān)知識,IP安全策略第9頁 相關(guān)知識,密碼安全,弱口令：是指僅包含簡單數(shù)字和字母的口令密碼長度：密碼字符的長度密碼復(fù)雜性：密碼由大小寫字母，數(shù)字，特殊字符組成密碼生存周期：也被稱為密碼有效期強(qiáng)制密碼歷史：強(qiáng)制密碼歷史是指如果要更改密碼，則密碼不能之前設(shè)置過的幾個(gè)密碼,第,10,頁,相關(guān)知識,密碼安全 第10頁 相關(guān)知識,第,11,頁,任務(wù)實(shí)施,搭建網(wǎng)絡(luò)環(huán)境,第11頁 任務(wù)實(shí)施搭建網(wǎng)絡(luò)環(huán)境,步驟,1,實(shí)驗(yàn)準(zhǔn)備,在,SERVER,和,PC,上安裝,WindowsXP,操作系統(tǒng)按照拓?fù)鋱D連接網(wǎng)絡(luò),配置計(jì)算機(jī)的,IP,地址,，并測試網(wǎng)絡(luò)的連通性,第,12,頁,任務(wù)實(shí)施,步驟1實(shí)驗(yàn)準(zhǔn)備第12頁 任務(wù)實(shí)施,步驟,2,創(chuàng)建系統(tǒng)賬戶,在,SERVER,上，創(chuàng)建用戶（,Bob,、,Mary,和,Tim,）和組（,Sales,、,Manager,和,Engineer,），并將用戶分別加入相應(yīng)組中在,SERVER,上開啟遠(yuǎn)程桌面功能，并添加遠(yuǎn)程用戶,Bob,、,Mary,和,Tim,。

第,13,頁,任務(wù)實(shí)施,步驟2創(chuàng)建系統(tǒng)賬戶第13頁 任務(wù)實(shí)施,步驟,3,禁止枚舉賬號,在,SERVER,上，創(chuàng)建共享文件夾,在計(jì)算機(jī),SERVER,上，打開“本地安全設(shè)置”窗口，展開“本地策略”第,14,頁,任務(wù)實(shí)施,步驟3禁止枚舉賬號第14頁 任務(wù)實(shí)施,步驟,3,禁止枚舉賬號,雙擊“網(wǎng)絡(luò)訪問：不允許,SAM,賬戶和共享的匿名枚舉”選項(xiàng)，打開屬性對話框，選中“已啟用”在,PC,上，再次通過匿名訪問共享文件夾,第,15,頁,任務(wù)實(shí)施,步驟3禁止枚舉賬號第15頁 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,1,步：指派本地用戶權(quán)限,配置所有用戶具有從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)第,16,頁,任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第16頁 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,1,步：指派本地用戶權(quán)限,配置,Engineer,組具有“拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī)”的權(quán)限只允許管理員、,mary,和,bob,具有“關(guān)閉系統(tǒng)”的權(quán)限允許用戶,Mary,遠(yuǎn)程關(guān)閉計(jì)算機(jī)重新啟動(dòng)計(jì)算機(jī),SERVER,第,17,頁,任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第17頁 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,2,步：測試指派用戶權(quán)限,用戶,tim,不能訪問共享文件，用戶,bob,和,mary,能夠訪問共享文件。

用戶,tim,不能在本地關(guān)閉計(jì)算機(jī)，用戶,bob,和,mary,能在本地關(guān)閉計(jì)算機(jī)用戶,bob,不能遠(yuǎn)程關(guān)閉計(jì)算機(jī)，用戶,mary,能遠(yuǎn)程關(guān)閉計(jì)算機(jī)第,18,頁,任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第18頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,1,步：測試網(wǎng)絡(luò)共享,PC,能夠訪問,SERVER,的網(wǎng)絡(luò)共享測試,445,和,139,端口連接第,19,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第19頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,在,SERVER,上，進(jìn)入,IP,安全策略向?qū)Ы缑娴?20,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第20頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,進(jìn)入“,IP,安全策略名稱”界面，輸入名稱第,21,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第21頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,配置安全通信請求，保持默認(rèn)值完成,IP,安全策略向?qū)У?22,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第22頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“管理,IP,篩選器表和篩選器操作”窗口。

第,23,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第23頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“,IP,篩選器列表”對話框，輸入名稱第,24,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第24頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開,IP“,篩選器向?qū)А睂υ捒?，在“源地址”下拉列表框中選擇“任何,IP,地址”第,25,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第25頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,通信目標(biāo)設(shè)置界面，在“目標(biāo)地址”下拉列表框中選擇“我的,IP,地址”第,26,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第26頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,協(xié)議類型設(shè)置界面，在“選擇協(xié)議類型”下拉列表框中選擇“,TCP”,第,27,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第27頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,協(xié)議端口設(shè)置界面，設(shè)置端口信息第,28,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第28頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,添加對,445,端口訪問的,IP,篩選器表。

第,29,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第29頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,選擇“管理篩選器操作”選項(xiàng)卡第,30,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第30頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進(jìn)入篩選器操作向?qū)У?31,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第31頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,輸入篩選器操作名稱第,32,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第32頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進(jìn)入設(shè)置篩選器操作的行為界面，選中“阻止”單選按鈕第,33,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第33頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,完成篩選器的添加第,34,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第34頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,查看新建的“屏蔽網(wǎng)絡(luò)共享”策略第,35,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第35頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“屏蔽網(wǎng)絡(luò)共享屬性”對話框。

第,36,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第36頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“安全規(guī)則向?qū)А睂υ捒虻?37,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第37頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,選中“此規(guī)則不指定隧道”單選按鈕第,38,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第38頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,選中“所有網(wǎng)絡(luò)連接”單選按鈕第,39,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第39頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“,IP,篩選器列表”中，選中“連接,139,和,445,端口”單選按鈕第,40,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第40頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“篩選器操作”列表框中，選中“阻止訪問”單選按鈕第,41,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第41頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,完成,IP,策略的配置第,42,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第42頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,右擊“屏蔽本地網(wǎng)絡(luò)共享”策略，選擇快捷菜單“指派”選項(xiàng)，完成策略指派。

第,43,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第43頁 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,6,步：測試,IP,策略,PC,無法訪問,SERVER,的網(wǎng)絡(luò)共享測試,139,和,445,端口連接第,44,頁,任務(wù)實(shí)施,步驟5配置IP安全策略第44頁 任務(wù)實(shí)施,步驟,6,設(shè)置密碼策略,第,1,步：設(shè)置密碼策略,打開“本地安全設(shè)置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點(diǎn)打開“本地安全設(shè)置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點(diǎn)啟用“密碼必須符合復(fù)雜性要求”選項(xiàng)設(shè)置“密碼長度最小值”選項(xiàng)設(shè)置“密碼最長使用期限”選項(xiàng)設(shè)置“密碼最短使用期限”選項(xiàng)第,45,頁,任務(wù)實(shí)施,步驟6設(shè)置密碼策略第45頁 任務(wù)實(shí)施,步驟,6,設(shè)置密碼策略,第,1,步：設(shè)置密碼策略,設(shè)置“強(qiáng)制密碼歷史”選項(xiàng)設(shè)置“用可還原的加密來儲存密碼”選項(xiàng),第,46,頁,任務(wù)實(shí)施,步驟6。