windows20xx管理9--配置系统安全(已修改)

　

【正文】 第1章 配置Windows Server 2008安全教学目标:252。 能够配置系统的帐户策略252。 能够启用审核策略252。 配置用户权限分配252。 配置安全选项252。 能够配置高级的Windows防火墙252。 能够配置软件限制策略252。 使用本地组策略配置系统安全 本地安全策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略，可以强化公司网络的安全性。这些安全性策略定义了一个公司对于正确计算机的期望值，也确定了特殊的过程，用于防止发生安全性事故和对已经发生的安全性事故做出响应。因此，由网络管理员保护工作站上桌面和服务的安全性是非常重要的。通过应用安全性策略，可以防止用户破坏计算机配置，并且可以保护您的网络上敏感区域。 配置工作计算机系统安全任务描述配置工作组中计算机的系统安全。配置域中计算机的系统安全。试验环境252。 DCServer ，操作系统是Windows Server 2008企业版。252。 Sales是该域的计算机，操作系统是Vista。252。 WorkgroupServer是工作组中的计算机，操作系统是Windows Server 2008企业版。试验目标252。 学会配置工作组中计算机的系统安全。252。 能够使用组策略批量配置域中计算机的系统安全。 帐户策略的设置 设置密码策略为工作组中的计算机设置密码策略。步骤：1. 以管理员的身份登录WorkgroupServer计算机。2. 点击“开始”224。“程序”224。“管理工具”224。“本地安全策略”。3. 如图，点击帐户策略下的密码策略，可以看到一下几项设置。4. 按照下图设置安全策略。5. 进入命令行，以下是创建用户时密码不满足策略的情况。密码必须符合复杂性要求此安全设置确定密码是否必须符合复杂性要求。如果启用此策略，密码必须符合下列最低要求:252。 不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分252。 至少有六个字符长252。 包含以下四类字符中的三类字符:w 英文大写字母(A 到 Z)w 英文小写字母(a 到 z)w 10 个基本数字(0 到 9)w 非字母字符(例如 !、$、%)最短密码长度 此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为 0 以确定不需要密码。密码最短使用期限此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0，用户将不必选择新密码。因此，默认情况下将“强制密码历史”设置为 1。密码最长使用期限此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 天之间的任何值。注意: 安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于您的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。默认值: 42。强制密码历史此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。若要维护密码历史的有效性，还要同时启用密码最短使用期限安全策略设置，不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息，请参阅“密码最短使用期限”。用可还原的加密来储存密码使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。默认值: 禁用。 设置帐户锁定策略防止其他人无数次猜计算机上的用户帐户密码，可以设置帐户锁定阀值。帐户锁定阈值此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和 999 之间的值。如果将值设置为 0，则永远不会锁定帐户。在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。帐户锁定时间此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。在此后复位帐户锁定计数器此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。默认值: 无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。示例：切换用户，使用hanlg帐户输入5次错误密码您会发现提示“引用的帐户当前已经锁定，且可能无法登录。”切换到管理员登录，打开服务器管理器，双击hanlg用户账号，看到帐户已经被锁定。 设置审核策略 审核策略简介本节描述了如何设置应用于审核的各种设置。还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。简介每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。通常，失败日志比成功日志更有意义，因为失败通常说明有错误发生。例如，如果用户成功登录到系统，一般认为这是正常的。然而，如果用户多次尝试都未能成功登录到系统，则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性，例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。审核设置所有审核设置的漏洞、对策和潜在影响都一样，因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设置。审核设置的选项为：252。 成功 252。 失败 252。 无审核漏洞如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件，则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。对策组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授