规划、配置和部署安全的成员服务器基线2823A.ppt

第6章规划、配置和部署安全的成员服务器基线,网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例,第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章智能卡证书的规划、实现和故障诊断第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章 数据传输安全性的规划、部署和故障排除第11章 部署配置和管理SSL第12章 规划和实施无线网络的安全措施第13章 保护远程访问安全,网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例,第14章 Microsoft ISA Server 概述第15章 安装和维护 ISA Server第16章 允许对 Internet 资源的访问第17章 配置 ISA Server 作为防火墙第18章 配置对内部资源的访问第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高级应用程序和Web筛选第21章 为远程客户端和网络配置虚拟专用网络访问第22章 实现缓存第23章 监视ISA Server2004,第6章 规划、配置和部署安全的成员服务器基线,安全基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,安全基线元素,安全基线：是配置和管理计算机安全的详细描述安全基线包含：服务和应用程序设置操作系统组件的配置权限和权利分配管理规程,6.1.3 安全基线元素,第6章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,规划安全的成员服务器基线,为服务器规划安全基线的指导方针预定义的安全模板Windows Server 2003 的安全性环境其他安全模板保存安全模板的最佳实践其他安全设置管理组设计的最佳实践,6.2 规划安全的成员服务器基线,为每个角色使用模板,创建 OU 结构（基于成员服务器的角色）,确定多项操作系统要求（针对不同OS应有不同安全措施）,仅授予必需的权限,使用组策略以应用模板,监视基线（通过“安全配置和分析”监视更改）,6.2.1 为服务器规划安全基线的指导方针,为服务器规划安全基线的指导方针,预定义的安全模板,6.2.2 预定义的安全模板,书P127页,预定义的安全模板,6.2.2 预定义的安全模板,兼容模板（Compatws.inf）：可使USERS组能运行未参与“软件Windows微标计划的应用程序”，并删除Power users组成员安全模板（Securedc.inf 和 Securews.inf）：将客户端配置为仅发送NTLMV2响应，将服务器配置为拒绝LAN Manager响应。必须为NT4.0SP4以上版本的系统高度安全模板（Hisecdc.inf 和 Hicecws.inf）：在加密和签名级别上施加了进一步的限制，如SMB、LDAP签名等,6.2.3 Windows Server 2003 中的安全性环境,Windows Server 2003 中的安全性环境,分别称为旧客户端(LC)、企业客户端(EC)和专用安全 限制功能(SSLF)环境,三种不同的企业环境,其他安全模板,6.2.4 其他安全模板,保存安全模板的最佳实践,发生以下情形时，需要保存安全模板,确保在生产环境中使用的安全模板保存在一个只有负责实施组策略的管理员才能访问到的位置 指定一台域控制器来保存安全模板的主副本，以避免版本控制问题 确保只有管理员才拥有编辑和查看安全模板内容的权限,6.2.5 保存安全模板的最佳实践,安全模板保存在%SystemRoot%securitytemplates 文件夹,其他安全设置,控制特殊安全主体的权限（书P130页中上）设置administrator、Support_388945a0、guest和所有非操作系统服务帐户拒绝从网络上访问此计算机（即DC）、拒绝批量作业登录、拒绝通过终端服务登录等权利保护公开帐户配置服务帐户（除非绝对需要，否则不要将服务配置在域账户的安全性上下文中运行）使用 NTFS 设置禁用错误报告配置系统时间（时间统一）,6.2.6 其他安全设置,管理组设计的最佳实践,需要设计管理组的情形：,根据组织中的规划的管理模式创建 Active Directory 服务管理员组 如：基本架构管理员、DNS管理员等 将特殊权限分配给 Active Directory 数据管理员 实现资源管理简易性和资源组织复杂性之间的平衡 确保对管理员进行背景调查,6.2.7 管理组设计的最佳实践,目的：定可确保域中的新、旧操作系统之间兼容性的最佳方式,6.2.8 实验6-1 规划安全的成员服务器基线,实验6-1 规划安全的成员服务器基线,第6章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,配置其他安全设置,控制特殊安全主体的权限 设置administrator、Support_388945a0、guest拒绝从网络上访问此计算机重命名域中和服务器上的 Administrator 和 Guest 帐户时间同步过程配置时间同步,6.3 配置其他安全设置,演示：演示如何手工将安全组添加到“用户权限分配”,6.3.1 将安全组手工添加到“用户权限分配”,控制特殊安全主体的权限,计算机配置windows设置安全设置本地策略用户权限分配拒绝从网络访问这台计算机Administrator、SUPPORT_338945A0、Guest,重命名域中和服务器上的 Administrator 和 Guest 帐户,演示如何重命名域中和服务器上的 Administrator 和 Guest 帐户,创建一个新的组策略对象配置组策略设置来更改帐户名称,6.3.2 重命名域中和服务器上的 Administrator 和 Guest 帐户,计算机配置windows设置安全设置本地策略安全选项,PDC 模拟器,PDC 模拟器,客户端计算机运行 Windows XP,域控制器,指向时间服务器,客户端计算机运行 Windows XP,成员服务器运行 Windows server 2003,时间同步过程,6.3.3 时间同步过程,服务：W32time，端口：123（UDP），协议：网络时间协议（NTP）,配置时间同步,演示如何配置时间同步,创建时间服务器列表配置服务器使用时间服务器列表,6.3.4 配置时间同步,先编辑包含时间服务器的timeservers.txt文件w32tm/config/syncfromflags:manual/manualpeerlist:timeservers.txtw32tm/config/update,可以从这个网站查找合适的外部时间服务器：http:/,实验6-2 配置时间服务,目的：在域中配置时间服务,6.3.5 实验6-2 配置时间服务,第6章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,部署安全模板,部署安全模板的方式使用组策略在域环境中部署安全模板在独立的计算机上部署安全模板使用脚本部署安全模板部署安全模板的最佳实践,6.4 部署安全模板,部署安全模板的方式,6.4.1 部署安全模板的方式,演示：演示如何使用组策略在域环境中部署安全模板,6.4.2 使用组策略在域环境中部署安全模板,使用组策略在域环境中部署安全模板,演示：演示在独立的计算机上部署安全模板,本地安全策略安全配置分析工具,6.4.3 在独立的计算机上部署安全模板,在独立的计算机上部署安全模板,使用脚本部署安全模板,演示：演示如何使用脚本部署安全模板,6.4.4 使用脚本部署安全模板,指令格式：secedit/configure/db FileName/cfg FileName/overwrite/areas area1 area2./log FileName/quiet示例：secedit/configure/db secedit.sdb/cfg DC security.inf/overwrite/areas USER_RIGHTS/log sec_config.log/quietGPUPDATE/FORCE,部署安全模板的最佳实践,部署安全模板:,如果没有经过测试，不要使用预定义的安全模板 跟踪计算机上所用的系统服务 频繁使用命令行工具Secedit.exe 进行分析 为进行分析创建多个分开的安全数据库,6.4.5 部署安全模板的最佳实践,secedit/analyze/db FileName/cfg FileName/log FileName/quiet,第6章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,安全模板故障诊断,解决与应用组策略有关的问题解决不期望的安全设置问题解决系统策略问题,6.5 安全模板故障诊断,分析问题流程,6.5.1 解决与应用组策略有关的问题,解决与应用组策略有关的问题,gpresult/z gpresult.txt或：帮助和支持支持高级系统信息查看应用的组策略设置,net time,GPO委派高级WMI筛选,分析多个 GPO 将多个模板应用到系统时会导致不期望的安全设置分析流程,6.5.2 解决不期望的安全设置问题,解决不期望的安全设置问题,MMC策略的结果集生成RSOP数据,解决不期望的安全设置问题,最佳实践验证想要应用的策略没有受阻验证在 Active Directory 中的较高级别设置的不允许覆盖策略是否已经设置为“强制”。如果同时使用了“强制”和“阻止”，“强制”优先验证用户或计算机不属于任何“应用组策略”权限被设置为“拒绝”的安全组验证用户或计算机至少属于一个“应用组策略”权限被设置为“允许”的安全组验证用户或计算机至少属于一个“读取”权限被设置为“允许”的安全组,6.5.2 解决不期望的安全设置问题,练习 1规划安全的成员服务器基线练习 2实施预定义的安全模板练习 3创建并实施定制的安全模板练习 4在非域成员的服务器上实施安全模板,6.6 实验 6-3 规划、配置和部署成员服务器基线,实验 6-3 规划、配置和部署成员服务器基线,回顾,学习完本章后，将能够：了解安全基线和成员服务器基线的重要性规划安全的成员服务器基线配置附加安全设置部署安全模板,随堂练习 1,假设你是安全管理员。网络由一个叫做的单一活动目录域组成。所有服务器运行Windows Server 2003。所有客户机运行Windows XP Professional。一些客户机被配置为访问者和雇员可以使用的网亭（kiosk）计算机，并由GPO来管理。GPO 强制要求安全配置。每天有很多用户登录到这些计算机上。你检查了安全审核的结果，发现当有些用户登录的时候，安全配置就会被移除。你需要确认安全配置总是处于执行状态。你该怎么做？把 Securews.inf 安全模板应用到 kiosk 计算机中在 kiosk 计算机上，把默认用户配置文件配置为强制用户配置文件编辑 GPO 来管理 kiosk 计算机。禁止次登陆服务编辑 GPO 来管理 kiosk 计算机。启用循环程序,随堂练习 2,假设你是的安全管理员。网络由一个叫做的单一活动目录域组成。S域包含Windows Server 2003计算机和Windows XP Professional客户机。所有计算机都是域的成员。S 公司的雇员用户账户是客户机的本机管理组的成员。有时你会遇到管理客户机的问题，因为可能有个别雇员把计算机的本地管理组中的域管理全局组移除。你需要阻止用户把计算机的本地管理组中的域管理全局组移除。你该怎么做？A对客户机应用安全模板，使用受限制组策略把域管理全局组确定为本地管理组的一个成员。B对域控制器计算机应用安全模板，使用受限制组策略把域管理全局组确定为本地管理组的一个成员。C通过对域管理全局组指定完全允许控制权限来修改域管理全局组。D通过对域管理全局组指定完全拒绝控制权限来修改域管理全局组。,随堂练习 3,假设你是 shixun 的安全管理员。Shixun 在 New York、San Francisco、Toronto 都有办事处。网络由一个叫做 的单一活动目录域组成。每个办事处都被配置为一个活动目录站点。所有服务器运行 Windows Server 2003，所有客户机运行 Windows XP Professional。在 Toronto 办事处的用户在研发部门工作，这些用户的用户对象存储在一个叫做 Toronto 的组织单元（OU）里。其他办事处的用户经常到 Toronto 来开会或者培训。Shixun 的写安全策略要求 Toronto 办事处的计算机上必须强制有以下设置：1提醒用户保护 shixun 信息的警告消息必须在用户登陆前显示。2当用户对客户机解锁时必须要求域控制器验证。3身份验证最高级别必须在网络上随时可以被应用。,随堂练习 3（续）,你创建了一个叫做 TorontoSecurity 的新的组策略对象（GPO）来满足写安全策略要求。到 Toronto 办事处的用户报告说他们没有受到警告信息，同时他们的屏幕保护程序不需要通过密码使其处于不活动状态。你需要确认仅当其他用户来到 Toronto 办事处时，写安全策略才会执行。你想通过最少的管理精力来实现这个目标。你该怎么办？A把 TorontoSecurity GPO 和 Toronto OU 连接。B把 TorontoSecurity GPO 和域连接。C当用户到 Toronto 办事处时，配置一个登陆脚本，使它可以应用自定义安全模板。D把 TorontoSecurity GPO 和 Toronto 站点连接。,随堂练习 4,假设你是 shixun 的安全管理员。网络由一个叫做 的单一活动目录域组成。网络包含 Windows XP Professional 客户机和 Windows Server 2003 计算机。域包含三个域控制器。所有域控制器位于 OU 域控制器中。在 shixun.inf 安全模板中定义了一个新的密码策略。你需要为域账户执行新密码策略。你该怎么办？A把 shixun.inf 安全模板输入到默认域策略 GPO 中。B把 shixun.inf 安全模板输入到默认域控制器策略 GPO 中。C在每个域控制器上，把 shixun.inf 安全模板输入到本地计算机策略中。D在每个域控制器上，把 shixun.inf 安全模板输入到安全配置和分析中，然后使用计算机配置 Now 命令。E在每个域控制器上，运行 secedit/import TestKing.inf 命令，然后运行 secedit/configure 命令。,随堂练习 5,假设你是 shixun 的安全管理员。网络由一个叫做 的单一活动目录域组成。网络包含 Windows XP Professional，Windows 2000 Professional和Windows Server 2003 计算机。你发现一个域中的用户可以得到其他域中用户的账户名称列表。这种情况允许未授权用户可以猜测到密码并访问机密数据。你需要确认用户名称只可以由账户所在域的用户得到。在域控制器上你该执行哪两种措施？（每个正确答案代表了部分解决方法。选择两个）应用安全模板来禁止网络访问：允许匿名 SID/Name 解释设置。应用安全模板来禁止网络访问：不允许匿名 SAM 账户列举设置。应用安全模板来禁止网络访问：在下一个密码更改设置上，不存储 LAN 管理无用信息值。应用安全模板来设置域控制器：LDAP 服务器标记请求设置到请求标记。,