網(wǎng)絡(luò)安全運(yùn)行與維護(hù)配套資源M14-使用本地安全的策略加強(qiáng)windows主機(jī)的整體防御ppt課件

,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),單擊此處編輯母版標(biāo)題樣式,網(wǎng)絡(luò)安全運(yùn)行與維護(hù),模塊一,Windows,桌面系統(tǒng)安全管理與維護(hù),網(wǎng)絡(luò)安全運(yùn)行與維護(hù) 模塊一,總體概述,為保護(hù)辦公網(wǎng)絡(luò)安全，公司的信息中心希望通過設(shè)置文件的訪問權(quán)限來保護(hù)公司文件服務(wù)器的安全，保證網(wǎng)絡(luò)中每類用戶擁有不同的權(quán)限級(jí)別，享受不同等級(jí)的文件共享資源。為了使系統(tǒng)能健康運(yùn)行，信息中心在每臺(tái)計(jì)算機(jī)中都啟用了防火墻，設(shè)置了桌面系統(tǒng)運(yùn)行策略，并針對(duì)每個(gè)文件及文件夾采取了加密措施。這些措施保證了公司各類人員都有自己的權(quán)限，他們?cè)诓煌?jí)別的安全策略上運(yùn)行，可以訪問不同級(jí)別的加密文件。為了實(shí)現(xiàn)以上目標(biāo)，信息中心需要設(shè)置以下策略。,使用網(wǎng)絡(luò)安全訪問權(quán)限，加強(qiáng),Windows,主機(jī)的管理,使用防火墻規(guī)則，加強(qiáng),Windows,桌面系統(tǒng)的防御,使用文件加密系統(tǒng)，加強(qiáng),Windows,文件系統(tǒng)的安全,使用本地安全策略，加強(qiáng),Windows,主機(jī)的整體防御,使用安全審計(jì),，,加強(qiáng),Windows,主機(jī)的安全維護(hù),總體概述為保護(hù)辦公網(wǎng)絡(luò)安全，公司的信息中心希望通過設(shè)置文件的,能力單元,4,使用本地安全策略加強(qiáng),windows,主機(jī)的整體防御,能力單元4使用本地安全策略加強(qiáng)windows主機(jī)的整體防御,了解本地安全策略的使用方法,配置本地安全策略,第,4,頁(yè),任務(wù)目標(biāo),第4頁(yè) 任務(wù)目標(biāo),南天公司的辦公網(wǎng)計(jì)算機(jī)都使用,Windows,操作系統(tǒng)，沒有設(shè)置本地安全策略，部門之間通過辦公網(wǎng)傳輸數(shù)據(jù)易遭到網(wǎng)絡(luò)攻擊。為了保障桌面系統(tǒng)的數(shù)據(jù)安全，公司要求在每臺(tái)計(jì)算機(jī)的,Windows,系統(tǒng)中設(shè)置本地安全策略。,第,5,頁(yè),任務(wù)描述,南天公司的辦公網(wǎng)計(jì)算機(jī)都使用Windows操作系統(tǒng)，沒有設(shè)置,在,Windows,操作系統(tǒng)中，可以通過設(shè)置以下策略來加強(qiáng)系統(tǒng)安全。,禁止枚舉賬號(hào)。,指派本地用戶權(quán)限。,IP,策略。,密碼安全。,第,6,頁(yè),任務(wù)分析,第6頁(yè) 任務(wù)分析,禁用枚舉賬號(hào)的意義,一般來說，黑客攻擊入侵，大部分利用漏洞，然后提升權(quán)限，成為管理員，這一切都跟用戶帳號(hào)緊密相連。一般的黑客要攻擊,Windows 2000/XP,等系統(tǒng)，必須要知道賬號(hào)和密碼。而賬號(hào)更為關(guān)鍵，那么如何來避免這種情況的發(fā)生呢？我們可以利用禁止枚舉帳號(hào)來限制黑客攻擊我們的賬戶和密碼。,第,7,頁(yè),相關(guān)知識(shí),禁用枚舉賬號(hào)的意義第7頁(yè) 相關(guān)知識(shí),指派本地用戶權(quán),限,在本地安全策略中可以指派本地用戶的權(quán),限,設(shè)置哪些用戶組可以登錄到此終端,設(shè)置哪些用戶組或者用戶不能登錄到此終端中,設(shè)置哪些用戶組或者用戶可以關(guān)閉此計(jì)算機(jī)等等。,第,8,頁(yè),相關(guān)知識(shí),指派本地用戶權(quán)限第8頁(yè) 相關(guān)知識(shí),IP,安全,策略,IP,安全策略是一個(gè)用于通信分析的策略，它將通信內(nèi)容與設(shè)置好的規(guī)則進(jìn)行比較，判斷通信是否與預(yù)期相吻合，然后決定是否允許通信,。,IP,安全策略彌補(bǔ)了傳統(tǒng),TCP/IP,設(shè)計(jì)上的“隨意信任”安全漏洞，可以更仔細(xì)、更精確地實(shí)現(xiàn),TCP/IP,安全。當(dāng)配置好,IP,安全策略后，就相當(dāng)于擁有了一個(gè)免費(fèi)且功能完善的個(gè)人防火墻系統(tǒng)。,第,9,頁(yè),相關(guān)知識(shí),IP安全策略第9頁(yè) 相關(guān)知識(shí),密碼安全,弱口令：是指僅包含簡(jiǎn)單數(shù)字和字母的口令。,密碼長(zhǎng)度：密碼字符的長(zhǎng)度。,密碼復(fù)雜性：密碼由大小寫字母，數(shù)字，特殊字符組成。,密碼生存周期：也被稱為密碼有效期。,強(qiáng)制密碼歷史：強(qiáng)制密碼歷史是指如果要更改密碼，則密碼不能之前設(shè)置過的幾個(gè)密碼,。,第,10,頁(yè),相關(guān)知識(shí),密碼安全 第10頁(yè) 相關(guān)知識(shí),第,11,頁(yè),任務(wù)實(shí)施,搭建網(wǎng)絡(luò)環(huán)境,第11頁(yè) 任務(wù)實(shí)施搭建網(wǎng)絡(luò)環(huán)境,步驟,1,實(shí)驗(yàn)準(zhǔn)備,在,SERVER,和,PC,上安裝,WindowsXP,操作系統(tǒng)。,按照拓?fù)鋱D連接網(wǎng)絡(luò),配置計(jì)算機(jī)的,IP,地址,，并測(cè)試網(wǎng)絡(luò)的連通性,第,12,頁(yè),任務(wù)實(shí)施,步驟1實(shí)驗(yàn)準(zhǔn)備第12頁(yè) 任務(wù)實(shí)施,步驟,2,創(chuàng)建系統(tǒng)賬戶,在,SERVER,上，創(chuàng)建用戶（,Bob,、,Mary,和,Tim,）和組（,Sales,、,Manager,和,Engineer,），并將用戶分別加入相應(yīng)組中。,在,SERVER,上開啟遠(yuǎn)程桌面功能，并添加遠(yuǎn)程用戶,Bob,、,Mary,和,Tim,。,第,13,頁(yè),任務(wù)實(shí)施,步驟2創(chuàng)建系統(tǒng)賬戶第13頁(yè) 任務(wù)實(shí)施,步驟,3,禁止枚舉賬號(hào),在,SERVER,上，創(chuàng)建共享文件夾,在計(jì)算機(jī),SERVER,上，打開“本地安全設(shè)置”窗口，展開“本地策略”。,第,14,頁(yè),任務(wù)實(shí)施,步驟3禁止枚舉賬號(hào)第14頁(yè) 任務(wù)實(shí)施,步驟,3,禁止枚舉賬號(hào),雙擊“網(wǎng)絡(luò)訪問：不允許,SAM,賬戶和共享的匿名枚舉”選項(xiàng)，打開屬性對(duì)話框，選中“已啟用”。,在,PC,上，再次通過匿名訪問共享文件夾,第,15,頁(yè),任務(wù)實(shí)施,步驟3禁止枚舉賬號(hào)第15頁(yè) 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,1,步：指派本地用戶權(quán)限,配置所有用戶具有從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)。,第,16,頁(yè),任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第16頁(yè) 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,1,步：指派本地用戶權(quán)限,配置,Engineer,組具有“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”的權(quán)限。,只允許管理員、,mary,和,bob,具有“關(guān)閉系統(tǒng)”的權(quán)限。,允許用戶,Mary,遠(yuǎn)程關(guān)閉計(jì)算機(jī)。,重新啟動(dòng)計(jì)算機(jī),SERVER,。,第,17,頁(yè),任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第17頁(yè) 任務(wù)實(shí)施,步驟,4,指派本地用戶權(quán)限,第,2,步：測(cè)試指派用戶權(quán)限,用戶,tim,不能訪問共享文件，用戶,bob,和,mary,能夠訪問共享文件。,用戶,tim,不能在本地關(guān)閉計(jì)算機(jī)，用戶,bob,和,mary,能在本地關(guān)閉計(jì)算機(jī)。,用戶,bob,不能遠(yuǎn)程關(guān)閉計(jì)算機(jī)，用戶,mary,能遠(yuǎn)程關(guān)閉計(jì)算機(jī)。,第,18,頁(yè),任務(wù)實(shí)施,步驟4指派本地用戶權(quán)限第18頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,1,步：測(cè)試網(wǎng)絡(luò)共享,PC,能夠訪問,SERVER,的網(wǎng)絡(luò)共享。,測(cè)試,445,和,139,端口連接。,第,19,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第19頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,在,SERVER,上，進(jìn)入,IP,安全策略向?qū)Ы缑妗?第,20,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第20頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,進(jìn)入“,IP,安全策略名稱”界面，輸入名稱。,第,21,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第21頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,配置安全通信請(qǐng)求，保持默認(rèn)值。,完成,IP,安全策略向?qū)А?第,22,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第22頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“管理,IP,篩選器表和篩選器操作”窗口。,第,23,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第23頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“,IP,篩選器列表”對(duì)話框，輸入名稱。,第,24,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第24頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開,IP“,篩選器向?qū)А睂?duì)話框，在“源地址”下拉列表框中選擇“任何,IP,地址”。,第,25,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第25頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,通信目標(biāo)設(shè)置界面，在“目標(biāo)地址”下拉列表框中選擇“我的,IP,地址”。,第,26,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第26頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,協(xié)議類型設(shè)置界面，在“選擇協(xié)議類型”下拉列表框中選擇“,TCP”,。,第,27,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第27頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進(jìn)入,IP,協(xié)議端口設(shè)置界面，設(shè)置端口信息。,第,28,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第28頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,添加對(duì),445,端口訪問的,IP,篩選器表。,第,29,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第29頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,選擇“管理篩選器操作”選項(xiàng)卡。,第,30,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第30頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進(jìn)入篩選器操作向?qū)А?第,31,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第31頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,輸入篩選器操作名稱。,第,32,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第32頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進(jìn)入設(shè)置篩選器操作的行為界面，選中“阻止”單選按鈕。,第,33,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第33頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,完成篩選器的添加。,第,34,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第34頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,查看新建的“屏蔽網(wǎng)絡(luò)共享”策略。,第,35,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第35頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“屏蔽網(wǎng)絡(luò)共享屬性”對(duì)話框。,第,36,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第36頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“安全規(guī)則向?qū)А睂?duì)話框。,第,37,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第37頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,選中“此規(guī)則不指定隧道”單選按鈕。,第,38,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第38頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,選中“所有網(wǎng)絡(luò)連接”單選按鈕。,第,39,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第39頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“,IP,篩選器列表”中，選中“連接,139,和,445,端口”單選按鈕。,第,40,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第40頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“篩選器操作”列表框中，選中“阻止訪問”單選按鈕。,第,41,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第41頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,完成,IP,策略的配置。,第,42,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第42頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,右擊“屏蔽本地網(wǎng)絡(luò)共享”策略，選擇快捷菜單“指派”選項(xiàng)，完成策略指派。,第,43,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第43頁(yè) 任務(wù)實(shí)施,步驟,5,配置,IP,安全策略,第,6,步：測(cè)試,IP,策略,PC,無法訪問,SERVER,的網(wǎng)絡(luò)共享。,測(cè)試,139,和,445,端口連接。,第,44,頁(yè),任務(wù)實(shí)施,步驟5配置IP安全策略第44頁(yè) 任務(wù)實(shí)施,步驟,6,設(shè)置密碼策略,第,1,步：設(shè)置密碼策略,打開“本地安全設(shè)置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點(diǎn)。,打開“本地安全設(shè)置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點(diǎn)。,啟用“密碼必須符合復(fù)雜性要求”選項(xiàng)。,設(shè)置“密碼長(zhǎng)度最小值”選項(xiàng)。,設(shè)置“密碼最長(zhǎng)使用期限”選項(xiàng)。,設(shè)置“密碼最短使用期限”選項(xiàng)。,第,45,頁(yè),任務(wù)實(shí)施,步驟6設(shè)置密碼策略第45頁(yè) 任務(wù)實(shí)施,步驟,6,設(shè)置密碼策略,第,1,步：設(shè)置密碼策略,設(shè)置“強(qiáng)制密碼歷史”選項(xiàng)。,設(shè)置“用可還原的加密來儲(chǔ)存密碼”選項(xiàng),第,46,頁(yè),任務(wù)實(shí)施,步驟6