WINDOWS2003 server 安全管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,16,计算机网络操作系统Windows Server 2003配置与管理,制作：张浩军,学习目标,Windows Server 2003安全策略,Windows Server 2003安全性措施,安全是网络应用的重要基础，确保Windows Server 2003服务器的安全，是确保全网安全的重要环节。有效保证服务器自身安全，才能提供可靠服务。本章介绍Windows Server 2003安全策略配置与管理，以及配置系统安全性的措施。本章包括以下主要内容：,1,前 言,网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。,访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和访问。,信息加密策略保证数据传输中的安全，可用于保证数据的完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。,2,目 录,15.1,Windows Server 2003安全策略,15.2 Windows Server 2003安全性措施,3,15.1 Windows Server 2003安全策略,安全策略是事先定义的一系列应用计算机的行为准则，应用这些安全策略保证用户具有一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。,Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免用户对网络安全性有意或无意的破坏。,在Windows Server 2003中安全策略分为本地安全设置和组策略两种。,本地安全设置实现基于单个计算机的安全性，较小的企业或组织，或未使用活动目录的网络，通常使用本地安全设置。,而组策略可以应用于站点、OU（组织单元）或域的范围，通常应用于较大规模并且实施活动目录的网络中。,4,15.1 Windows Server 2003安全策略,1. Windows Server 2003安全配置,运行“管理工具”中“本地安全设置”管理控制台,5,15.1 Windows Server 2003安全策略,2. 管理安全性模板,基本（Basic）：默认安全级别，可以用作基础配置。模板文件setup security.inf，代表了在安装操作系统期间所应用的默认安全设置，可以用在服务器或客户机上，但不能应用于域控制器。,兼容（Compatible）：提供比基本模板更高的安全级别，仍然兼容标准的商用应用程序的所有功能，模板文件是compatws.inf。,安全（Secure）：提供多种安全性，可能会影响一些商用应用程序某些功能的运行。包括安全的工作站或服务器模板securews.inf和安全的DC（域控制器）模板securedc.inf。,高度安全（High）：提供预定义下的最高安全性，该级别模板不会考虑应用程序是否会受到这些设定的影响，因此要慎用。模板包括高安全的工作站或服务器模板文件hisecdc.inf和高安全的DC模板文件hisecws.inf。,6,目 录,15.1,Windows Server 2003安全策略,15.2 Windows Server 2003安全性措施,7,15.2 Windows Server 2003安全性措施,1组件的定制,安全原则：,最少的服务+最小的权限=最大的安全,只安装确实需要的服务。,8,15.2 Windows Server 2003安全性措施,2正确安装Windows Server 2003,分区和逻辑盘的分配。建议最少建立两个分区，一个系统分区，一个应用程序分区。,安装顺序的选择与系统补丁。在完全安装、打补丁并配置好Windows Server 2003之前，不要把主机接入网络。,9,15.2 Windows Server 2003安全性措施,3安全配置Windows Server 2003,端口。端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，为了降低遭受黑客攻击的危险，应该关闭不必要的服务和服务端口。,IIS服务。IIS是微软漏洞最多一个组件，所以应该细致地配置IIS。谨慎建立所需目录，安全设置目录访问权限。,应用程序配置。,删除不需要的服务。,10,15.2 Windows Server 2003安全性措施,4账号安全,系统默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表。,限制匿名访问。运行“本地安全设置”管理控制台，选择“本地策略”/“安全选项”。启用“不允许SAM账户的匿名枚举”，启用“限制匿名访问命名管道和共享”，以及设置“可匿名访问的命名管道”。,11,15.2 Windows Server 2003安全性措施,4账号安全,12,15.2 Windows Server 2003安全性措施,5安全日志,“本地安全设置”管理控制台中选择“本地策略”/“审核策略”，设置相应的审核。,13,15.2 Windows Server 2003安全性措施,推荐的常用审核,项目,设置值,项目,设置值,账户管理,成功 失败,特权使用,失败,登录事件,成功 失败,系统事件,成功 失败,对象访问,失败,目录服务访问,失败,策略更改,成功 失败,账户登录事件,成功 失败,14,15.2 Windows Server 2003安全性措施,6目录和文件权限,权限累计特性。如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。,拒绝的权限比允许的权限级别高（拒绝优先）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。,文件权限比文件夹权限高。,仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。,15,小 结,保证Windows Server 2003服务器安全，是提供可靠服务的基础。本章介绍Windows Server 2003安全策略配置与管理，以及配置系统安全性的措施。Windows Server 2003内置了四种安全策略模板，能够满足常规安全配置需要，用户也可以根据具体网络应用，合理配置Windows Server 2003的安全策略。本章以安全安装操作系统、正确配置网络服务与端口、设置账号及安全日志策略为例，介绍了配置Windows Server 2003安全策略的作用与方法。,16,