第16章 Windows server2003 安全管理
第16章 Windows Server 2003 安全管理
本章学习目标 ·本章主要讲解 Windows server2003服务器 安全配置与管理,保证服务器自身安全, 提供可靠服务。通过本章学习,读者应该 掌握以下知识: Windows server2003安全策略; · Windows server2003安全配置和分析; 管理安全性模板; Windows server2003安全性措施
本章学习目标 • 本章主要讲解Windows Server 2003服务器 安全配置与管理,保证服务器自身安全, 提供可靠服务。通过本章学习,读者应该 掌握以下知识: • Windows Server 2003安全策略; • Windows Server 2003安全配置和分析; • 管理安全性模板; • Windows Server 2003安全性措施
网络安全策略 网络安全策略主要包括两大部分,即访问 控制策略和信息加密策略。访问控制策略 是网络安全防范和保护的主要策略,也是 维护网络系统安全、保护网络资源的重要 手段,用以保证网络资源不被非法使用和 访问。信息加密策略保证数据传输中的安 全,即保证数据完整性和机密性。各种安 全策略相互配合才能实现对系统的全面保 护
网络安全策略 • 网络安全策略主要包括两大部分,即访问 控制策略和信息加密策略。访问控制策略 是网络安全防范和保护的主要策略,也是 维护网络系统安全、保护网络资源的重要 手段,用以保证网络资源不被非法使用和 访问。信息加密策略保证数据传输中的安 全,即保证数据完整性和机密性。各种安 全策略相互配合才能实现对系统的全面保 护
16.1 Windows server2003安全策略 · Windows server2003安全策略定义了用户在使用计算机、 运行应用程序和访问网络等方面的行为,通过这些约束避 免对网络安全性的有意或无意的伤害 安全策略是一个事先定义好的一系列应用计算机的行为准 则,应用这些安全策略保证用户有一致的工作方式,防止 用户破坏计算机上的各种重要的配置,保护网络上的敏感 数据 在 Windows server2003中安全策略分为“本地安全设置” 和“组策略”两种。本地安全设置实现基于单个计算机的 安全性,对于较小的企业或组织,或者是在网络中没有应 用活动目录的网络,通常使用本地安全设置;而组策略可 以在站点、OU(组织单元)或域的范围内实现,通常应 用于较大规模并且实施活动目录的网络中
16.1 Windows Server 2003安全策略 • Windows Server 2003安全策略定义了用户在使用计算机、 运行应用程序和访问网络等方面的行为,通过这些约束避 免对网络安全性的有意或无意的伤害。 • 安全策略是一个事先定义好的一系列应用计算机的行为准 则,应用这些安全策略保证用户有一致的工作方式,防止 用户破坏计算机上的各种重要的配置,保护网络上的敏感 数据。 • 在Windows Server 2003中安全策略分为“本地安全设置” 和“组策略”两种。本地安全设置实现基于单个计算机的 安全性,对于较小的企业或组织,或者是在网络中没有应 用活动目录的网络,通常使用本地安全设置;而组策略可 以在站点、OU(组织单元)或域的范围内实现,通常应 用于较大规模并且实施活动目录的网络中
162 Windows server2003安全配 置和分析(1) 打开“开始”/“管理工具”程序组,运行 “本地安全设置”应用程序。在“本地安 全设置”窗口的左侧的树型窗口中单击“+” 号来扩展条目,如图16-1所示,进行相应 的设置
16.2 Windows Server 2003安全配 置和分析 (1) • 打开“开始”/“管理工具”程序组,运行 “本地安全设置”应用程序。在“本地安 全设置”窗口的左侧的树型窗口中单击“+” 号来扩展条目,如图16-1所示,进行相应 的设置
162 Windows server2003安全配 置和分析(2) 本地安全设置 文件()操作④)查看)帮助⑩0 争安全设置 「安全设置 国帐户策略 密码必须符合复杂性要求 已禁用 密码策略 密码长度最小值 中帐户锁定策略 圆密码最长使用期限 42天 中国本地策略 密码最短使用期限 0天 公钥策略 □软件限制策略 强制密码历史 个记住的密码 易IP安全策略,在本地计算机 用可还原的加来储存密码已禁用 图16-1安全设置
16.2 Windows Server 2003安全配 置和分析 (2) 图16- 1 安全设置
162 Windows server2003安全配 置和分析(3) 例如,用户可以设置密码的安全策略,选 中“账户策略”/密码策略”,然后在右边 的窗口中选择要设置的选项,如选中“密 码长度最小值”,在这里可以设置密码的 长度最少为8个字符。 又如,选择安全设置中的“本地策略”/“安 全选项”,可以设置交互登录方式,如不 需按CTRL+ALT+DEL组合键,如图16-2所 示。双击该项目并设置成“已启用”即可
16.2 Windows Server 2003安全配 置和分析 (3) • 例如,用户可以设置密码的安全策略,选 中“账户策略”/“密码策略”,然后在右边 的窗口中选择要设置的选项,如选中“密 码长度最小值”,在这里可以设置密码的 长度最少为8个字符。 • 又如,选择安全设置中的“本地策略”/“安 全选项”,可以设置交互登录方式,如不 需按CTRL+ALT+DEL组合键,如图16-2所 示。双击该项目并设置成“已启用”即可
162 Windows server2003安全配 置和分析(4) 文件)操作〔A)查看)帮助D 如圳回回X 安全设置 策略A 安全设置 白帐户策略 i crosoft网络服务器:当登录时间用完时自动注销用户 已启用 密码策略 閩 Microsoft网络服务器:数字签名的通信偌客户端同意 已禁用 由帐户锁定策略 圊 li crosoft网络服务器:数宇签名的通信〔总是 已禁用 白本地策略 Mi crosoft网服务器:在挂起会话之前所需的空闲时间 审核策略 已禁用 用户权限分配 躓 Microsoft网络客户端:发送未加密的密码到第三方sMB服务器 a安全选项 躓駟 i crosoft网络客户端:数字签名的通信G服务器同意) 已启用 由口公钥策略 " i crosoft网络客户端:数字签名的通信〔总是) 已禁用 口软件限制策略 故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问已禁用 IP安全策略,在本地计算机 故障恢复控制台:允许自动系统管理级登录 已禁用 閩关机:清除虚拟内存页面文件 已禁用 躓关机:允许系统在未登录前关机 已禁用 交互式登录:不显示上次的用户名 已禁用 交互式登录:不需要按cTRL+AT+DEL 交互式登录:可被缓存的前次登录个数在城控制器不可用的情况下)10次登录 交互式登录:要求域控制器身份验证以解锁工作站 已禁用 的交互式登录:要求智能卡 已禁用 士氰,R血陬寻叶铛自晒 右中 图16-2安全选项设置
16.2 Windows Server 2003安全配 置和分析 (4) 图16-2 安全选项设置
16.3管理安全性模板(1) · Windows server2003中包含了许多安全模 板,分别适用于不同的安全需求。利用这 些模板,用户可以简化策略的设定和实施 操作。它们通常包含了大多数的安全设定, 用户也可以按照需要继续配置,以适应 个具体网络的需要。 Windows server2003 提供了四种安全级别的模板:基本、兼容 安全和高度安全,它们存放在 System。ot% ecurityAtemplates文件夹
16.3 管理安全性模板 (1) • Windows Server 2003中包含了许多安全模 板,分别适用于不同的安全需求。利用这 些模板,用户可以简化策略的设定和实施 操作。它们通常包含了大多数的安全设定, 用户也可以按照需要继续配置,以适应一 个具体网络的需要。Windows Server 2003 提供了四种安全级别的模板:基本、兼容、 安全和高度安全,它们存放在 %SystemRoot%\security\templates文件夹 中
16.3管理安全性模板(2) ·1.基本( Basic) ·该级别的模板为 Windows server2003定义的默 认安全级别,可以用作基础配置。Setu security. inf模板文件是在安装期间针对每台计算 机创建的。取决于所进行的安装是完整安装还是 升级,该模板在不同的计算机中可能不同。 Setup security. inf代表了在安装操作系统期间所应用的 默认安全设置,包括对系统驱动器的根目录的文 件权限。它可以用在服务器或客户机上,但不能 应用于域控制器。此模板的某些部分可应用于故 璋恢复
16.3 管理安全性模板 (2) • 1.基本(Basic) • 该级别的模板为Windows Server 2003定义的默 认安全级别,可以用作基础配置。setup security.inf 模板文件是在安装期间针对每台计算 机创建的。取决于所进行的安装是完整安装还是 升级,该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的 默认安全设置,包括对系统驱动器的根目录的文 件权限。它可以用在服务器或客户机上,但不能 应用于域控制器。此模板的某些部分可应用于故 障恢复