【大学课件】Windows ServerR2安全策略.ppt

Windows Server 2008 R2安全策略,http:/,第12章,概述,安全策略是影响计算机安全性的设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略可以强化公司网络的安全性。通过配置本地安全策略，可以加固服务器安全，从以下几个方面配置服务器安全：帐户策略、审核策略、用户权限分配、安全选 项及软件限制策略。高级Windows防火墙能够控制进出操作系统的流量，还能够配置服务器之间进行加密通信。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,帐户策略的设置,设置密码策略设置帐户锁定策略,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,设置审核策略,简介安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。审核设置：成功、失败、无审核漏洞：如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。如果配置了审核而导致有太多的授权活动生成事件，则安全事件日志会被无用的数据填满，对系统性能也是有影响的。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,设置审核策略,对策：组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。潜在影响：如果在组织内的计算机上没有配置审核，或者将审核设置得太低，将缺少足够的证据，可在发生安全事件后用于网络辩论分析。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,审核设置,审核帐户登录事件审核帐户管理审核目录服务访问审核登录事件审核对象访问,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,实验演示：登录服务器失败，Windows Server 2008 R2自动报警,自动报警思路Windows Server 2008 R2自动报警功能只有基于某个特定的系统事件才能启用运行任务审核登录失败操作创建登录失败事件附加自动报警任务,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,用户权限设置,允许本地登录关闭系统从网络访问此计算机拒绝本地登录,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,常用安全选项设置示例,交互式登录：不显示最后的用户名交互式登录：提示用户在密码过期之前进行更改审核：如果无法记录安全审核则立即关闭系统网络访问：本地帐户的共享和安全模型,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,高级Windows防火墙,具有高级安全性的Windows防火墙结合了主机防火墙和IPSec。运行在每台Windows计算机上。提供计算机到计算机的连接安全，使用户可以对通信要求身份验证和数据保护。是一种状态防火墙，检查并筛选IPv4和IPv6流量的所有数据包。可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,高级Windows防火墙,高安全性的Windows防火墙工作方式使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量连接安全规则确定如何保护此计算机和其他计算机之间的流量。防火墙配置文件（根据计算机连接的位置应用）可以应用这些规则以及其他设置，还可以监视防火墙活动和规则。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,高级Windows防火墙,防火墙规则配置防火墙规则以确定阻止还允许流量通过。数据包过滤流程可以从标准中进行选择：应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型、用户、组、计算机、计算机组、协议及ICMP类型等。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,高级Windows防火墙,连接安全规则配置本计算机与其他计算机之间特定连接的IPSec设置。使用该规则来评估网络通信，然后根据该规则中所建立的标准阻止或允许消息。如果所配置的设置要求连接安全（双向），而两台计算机无法互相进行身份验证，则将阻止连接,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,高级Windows防火墙,防火墙配置文件防火墙配置文件是对根据连接计算机的位置应用于计算机的设置（如防火墙规则和连接安全规则）进行分组的方式。一次只能应用一个配置文件。配置文件：域：当计算机连接到该计算机域帐户所在的网络时专用：当计算机连接到没有该计算机域帐户的网络时应用。公用：当计算机通过公用网络连接到域时应用。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,上机演练1：,创建一个在企业内网使用的防火墙：配置目标：更改网络位置启用网络发现允许访问该计算机的共享文件夹。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,上机演练2：,配置Web服务器网络安全：配置Web站点只允许目标端口是80的数据包进入Web服务器只允许源端口是80的数据包从Web服务器出来,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,配置加密通信,高级Windows防火墙除了能够允许或拒绝某些通信外，还支持加密通信。配置连接安全性规则。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,监视加密通信,DEMO,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,配置IPSec加密和身份验证的方法,一般情况下最好使用默认的数据加密和完整性算法，你也可以自定义加密和完整性算法。确保通信两端的完整性和加密算法一致。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,创建软件限制策略,软件限制策略提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。可以帮助组织免遭恶意代码的攻击。,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,示例：创建软件限制策略,证书规则路径规则 哈希（散列）规则Internet区域规则禁止运行计算器软件,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,指定软件限制策略的软件类型,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,导入导出策略,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章要点,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,使用本地组策略配置系统安全,关闭自动播放禁止用户运行特定程序禁止恶意程序“不请自来”,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,本章总结,帐户策略的设置设置审核策略用户权限分配安全选项高级Windows防火墙创建软件限制策略使用本地组策略配置系统安全,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训上述课程报名咨询及光盘购买请与我联系!QQ：10804072,新目标IT网络课堂常年开设微软、思科、Linux、网络安全及Office高端培训 QQ：10804072,谢谢,