windows20xx管理9--配置系统安全-文库吧资料

　　

【正文】 用配置文件设置应该最为严格。专用配置文件设置应该比域配置文件设置更为严格。配置文件 域 当计算机连接到该计算机域帐户所在的网络时应用。在运行此版本的 Windows 计算机上，具有高级安全性的 Windows 防火墙有三个配置文件。可以配置计算机何时连接到域、专用网络（例如家庭网络）或公用网络（例如 Internet 展台）的配置文件。 防火墙配置文件可以将防火墙规则和连接安全规则以及其他设置应用于一个或多个防火墙配置文件。在某些环境下具有高级安全性的 Windows 防火墙将阻止通信。连接安全规则可以使用连接安全规则来配置本计算机与其他计算机之间特定连接的 IPSec 设置。对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP 端口、UDP 端口、本地 IP 地址、远程 IP 地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP 类型等。如果数据包与规则中的标准匹配，则具有高级安全性的 Windows 防火墙执行规则中指定的操作，即阻止连接或允许连接。防火墙规则配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的 Windows 防火墙。通过使用防火墙配置文件（根据计算机连接的位置应用），可以应用这些规则以及其他设置。防火墙规则确定允许或阻止哪种流量。使用具有高级安全性的 Windows 防火墙还可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。 高级Windows防火墙简介什么是具有高级安全性的 Windows 防火墙？具有高级安全性的 Windows 防火墙结合了主机防火墙和 IPSec。 高级Windows防火墙本主题概述了具有高级安全性的 Windows 防火墙。如果Guest帐户有密码，则必须输入Guest帐户以及密码才能访问。您发现不需要输入任何凭据，就可以访问WrorkgroupServer计算机上的共享文件和打印机。用户，双击Guest帐户，在用户属性去掉“帐户禁用”，点击“确定”。配置224。Guest帐户的密码默认为空，如果guest帐户密码为空，用户访问WorkgourpServer时，不需要输入账号和密码，直接就以guest帐户连接该服务器。 示例：只允许使用Guest帐户访问双击“网络访问: 本地帐户的共享和安全模型”，选中“仅来宾对本地用户进行身份验证，其身份为来宾”。双击“交互式登录: 不显示最后的用户名”，选择“已启用”。 示例：不显示最后的用户名为确保服务器安全不显示最后的用户名。此策略将不会影响运行 Windows 2000 的计算机。同样，使用“经典”模型时，本地帐户必须受密码保护，否则，这些用户帐户可以被任何人用来访问共享的系统资源。重要信息使用“仅来宾”模型时，所有可以通过网络访问计算机的用户(包括匿名 Internet 用户)都可以访问共享资源。在域计算机上的默认设置: 经典。通过使用“仅来宾”模型，您可以平等地对待所有用户。通过使用“经典”模型，您可以针对同一个资源为不同用户授予不同的访问类型。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。默认: 禁用。即使安全日志未满，也要到重置此安全设置之后，非 Administrators 组成员用户才能登录到系统。如果安全日志已满且无法覆盖某个现有条目，并且启用了此安全选项，则会出现下列停止错误:STOP: C0000244 {审核失败}尝试生成安全审核失败。启用此安全设置后，如果因任何原因无法记录安全审核，它就会停止系统。默认: 14 天。交互式登录: 提示用户在密码过期之前进行更改确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。如果禁用该策略，则会显示最后登录的用户的名称。 安全选项 安全选项设置交互式登录: 不显示最后的用户名该安全设置确定是否在 Windows 登录屏幕中显示最后登录到计算机的用户的名称。注：Win2008是WorkgroupServer计算机的计算机名。2. 双击“从网络访问计算机”，删除现有的用户，添加han用户账号。工作站和服务器上的默认值:AdministratorsBackup OperatorsUsersEveryone域控制器上的默认值:AdministratorsAuthenticated UsersEnterprise Domain ControllersEveryonePreWindows 2000 Compatible Access 示例：拒绝本地登录示例：WorkgroupServer是一个文件服务器，只允许使用han用户帐户从网络访问该服务器上的资源，但拒绝han用户帐户在本地登录。从网络访问此计算机此用户权限确定允许哪些用户和组通过网络连接到计算机。服务器上的默认值: Administrators、Backup Operators。误用此用户权限会导致拒绝服务。域控制器上的默认值: Account OperatorsAdministratorsBackup OperatorsPrint OperatorsServer Operators。如果为某个用户或组定义此策略，则还必须向 Administrators 组授予此权限。通过在连接的键盘上按 Ctrl+Alt+Del 序列启动的登录要求用户具有此登录权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。登录权限的一个示例是在本地登录计算机的权限。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。 用户权限分配用户权限是允许用户在计算机系统或域中执行的任务。7. 切换至管理员，查看日志。5. 在出现的对话框，在“列出文件夹/读取数据” 选中“失败”。3. 点击test文件夹属性安全标签下的高级按钮，在出现的对话框，点击审核标签下的“编辑”按钮，点击“添加”。步骤：1. 双击“审核对象访问”，选中“失败”，点击“确定”。 示例：审核对文件夹失败的访问。失败审核在用户尝试访问指定了 SACL 的对象失败时生成审核项。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核该事件类型。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致进入 DoS 状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。成功审核会在登录尝试成功时生成一个审核项。总而言之，帐户登录事件是在帐户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的。如果正在域控制器上记录成功的帐户登录审核事件，工作站登录尝试将不生成登录审核。启用“审核目录服务访问”并在目录对象上配置 SACL 可以在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用这些设置。成功审核会在用户成功访问指定了 SACL 的 Active Directory 对象时生成一个审核项。对象上针对这些用户或组的操作将在基于 Microsoft Windows 2000–的网络上进行审核。审核目录服务访问“审核目录服务访问”设置用于确定是否对用户访问 Microsoft Active Directory 对象的事件进行审核，该对象指定了自身的系统访问控制列表（SACL）。在响应安全事件时，组织可以对创建、更改或删除帐户的人员进行跟踪，这一点非常重要。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。252。252。帐户管理事件的示例包括：252。如果在域控制器上启用了帐户登录事件的成功审核，则对于没有通过域控制器验证的每个用户，都会为其记录一个审核项，即使该用户实际上只是登录到加入该域的一个工作站上。成功审核会在帐户登录尝试成功时生成一个审核项，该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。 审核设置审核帐户登录事件“审核帐户登录事件”设置用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核，该计算机记录了审核事件，并用来验证帐户。潜在影响如果在组织内的计算机上没有配置审核，或者将审核设置的太低，将缺少足够的甚至根本没有可用的证据，可在发生安全事件后用于网络辩论分析。为大量对象配置审核也会对整个系统性能产生