规划、配置和部署安全的成员服务器基线2823A_06

Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,第6章,规划、配置和部署安全的成员服务器基线,网络安全的实现和管理,以,Windows Server 2003,和,ISA Server 2004,为例,第,1,章规划和配置授权和身份验证策略,第,2,章安装、配置和管理证书颁发机构,第,3,章配置、部署和管理证书,第,4,章智能卡证书的规划、实现和故障诊断,第,5,章加密文件系统的规划、实现和故障排除,第,6,章规划、配置和部署安全的成员服务器基线,第,7,章为服务器角色规划、配置和部署安全基线,第,8,章规划、配置、实现和部署安全客户端计算机基线,第,9,章规划和实现软件更新服务,第,10,章 数据传输安全性的规划、部署和故障排除,第,11,章 部署配置和管理,SSL,第,12,章 规划和实施无线网络的安全措施,第,13,章 保护远程访问安全,网络安全的实现和管理,以,Windows Server 2003,和,ISA Server 2004,为例,第,14,章,Microsoft ISA Server,概述,第,15,章 安装和维护,ISA Server,第,16,章 允许对,Internet,资源的访问,第,17,章 配置,ISA Server,作为防火墙,第,18,章 配置对内部资源的访问,第,19,章 集成,ISA Server 2004,和,Microsoft Exchange Server,第,20,章 高级应用程序和,Web,筛选,第,21,章 为远程客户端和网络配置虚拟专用网络访问,第,22,章 实现缓存,第,23,章 监视,ISA Server2004,第,6,章 规划、配置和部署安全的成员服务器基线,安全基线概述,规划安全的成员服务器基线,配置其他安全设置,部署安全模板,安全模板故障诊断,安全基线元素,安全基线：,是配置和管理计算机安全的详细描述,安全基线包含：,服务和应用程序设置,操作系统组件的配置,权限和权利分配,管理规程,6.1.3,安全基线元素,第,6,章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述,规划安全的成员服务器基线,配置其他安全设置,部署安全模板,安全模板故障诊断,规划安全的成员服务器基线,为服务器规划安全基线的指导方针,预定义的安全模板,Windows Server 2003,的安全性环境,其他安全模板,保存安全模板的最佳实践,其他安全设置,管理组设计的最佳实践,6.2,规划安全的成员服务器基线,为每个角色使用模板,创建,OU,结构,（基于成员服务器的角色）,确定多项操作系统要求,（针对不同,OS,应有不同安全措施）,仅授予必需的权限,使用组策略以应用模板,监视基线（通过“安全配置和分析”监视更改）,6.2.1,为服务器规划安全基线的指导方针,为服务器规划安全基线的指导方针,预定义的安全模板,模板,描述,缺省安全（,Setup,security.inf,）,指定缺省安全设置,域控制器缺省安全（,DC,security.inf,）,从,Setup,security.inf,模板更新到域控制器安全设置,兼容（,Compatws.inf,）,更改授予,Users,组的缺省文件和注册表权限来,保证程序最大兼容性,安全（,Securedc.inf,和,Securews.inf,）,定义了对应用程序兼容性的影响可能最小的,增强安全设置,高度安全（,Hisecdc.inf,和,Hicecws.inf,）,是安全模板的超集,系统根目录安全性（,Rootsec.inf,）,定义了系统驱动器根目录的权限,6.2.2,预定义的安全模板,书,P127,页,预定义的安全模板,6.2.2,预定义的安全模板,兼容模板（,Compatws.inf,）：,可使,USERS,组能运行未参与“软件,Windows,微标计划的应用程序”，并删除,Power users,组成员,安全模板（,Securedc.inf,和,Securews.inf,）：,将客户端配置为仅发送,NTLMV2,响应，将服务器配置为拒绝,LAN Manager,响应。必须为,NT4.0SP4,以上版本的系统,高度安全模板（,Hisecdc.inf,和,Hicecws.inf,）：,在加密和签名级别上施加了进一步的限制，如,SMB,、,LDAP,签名等,因素,旧式或个人,客户端环境,企业客户端环境,高安全性环境,安全性,安全性最低,安全性高于旧式客户端，但低于高安全性,安全性最高,支持的模板,预定义模板,预定义或定制的模板,预定义或定制的模板,操作系统,包括,Windows 98,、,WindowsNT 4.0 Workstation,、,Windows2000 Professional,和,WindowsXP Professional,Windows2000,和,WindowsXP Professional,Windows 2000,和,Windows XP Professional,6.2.3,Windows Server 2003,中的安全性环境,Windows Server 2003,中的安全性环境,分别称为旧客户端,(LC),、企业客户端,(EC),和专用安全,限制功能,(SSLF),环境,三种不同的企业环境,其他安全模板,模板,描述,商业,由一些机构提供的针对各种用途的模板，并提供不同程度的支持,这些模板包含文档，文档描述了模板的用途以及应该如何应用模板,自定义,创建定制的安全模板来适合该计算机所担任的各种角色,例如，可以为一台既是,DHCP,又是,WINS,服务器的分支机构域控制器创建一个定制模板,6.2.4,其他安全模板,保存安全模板的最佳实践,发生以下情形时，需要保存安全模板,确保,在生产环境中使用的,安全模板,保存在一个,只有负责实施组策略的管理员才能访问,到的位置,指定一台域控制器来保存安全模板的主副本,，以避免版本控制问题,确保只有管理员才拥有编辑和查看安全模板内容的权限,6.2.5,保存安全模板的最佳实践,安全模板保存在,%SystemRoot%securitytemplates,文件夹,其他安全设置,控制特殊安全主体的权限（,书,P130,页中上,）,设置,administrator,、,Support_388945a0,、,guest,和所有非操作系统服务帐户拒绝从网络上访问此计算机（即,DC,）、拒绝批量作业登录、拒绝通过终端服务登录等权利,保护公开帐户,配置服务帐户,（除非绝对需要，否则不要将服务配置在域账户的安全性上下文中运行）,使用,NTFS,设置,禁用错误报告,配置系统时间（时间统一）,6.2.6,其他安全设置,管理组设计的最佳实践,需要设计管理组的情形：,根据组织中的规划的管理模式创建,Active Directory,服务管理员组,如：基本架构管理员、,DNS,管理员等,将特殊权限分配给,Active Directory,数据管理员,实现资源管理简易性和资源组织复杂性之间的平衡,确保对管理员进行背景调查,6.2.7,管理组设计的最佳实践,目的：,定可确保域中的新、旧操作系统之间兼容性的最佳方式,6.2.8,实验,6-1,规划安全的成员服务器基线,实验,6-1,规划安全的成员服务器基线,第,6,章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述,规划安全的成员服务器基线,配置其他安全设置,部署安全模板,安全模板故障诊断,配置其他安全设置,控制特殊安全主体的权限,设置,administrator,、,Support_388945a0,、,guest,拒绝从网络上访问此计算机,重命名域中和服务器上的,Administrator,和,Guest,帐户,时间同步过程,配置时间同步,6.3,配置其他安全设置,演示：,演示如何手工将安全组添加到“用户权限分配”,6.3.1,将安全组手工添加到“用户权限分配”,控制特殊安全主体的权限,计算机配置,windows,设置,安全设置,本地策略,用户权限分配,拒绝从网络访问这台计算机,Administrator,、,SUPPORT_338945A0,、,Guest,重命名域中和服务器上的,Administrator,和,Guest,帐户,演示如何重命名域中和服务器上的,Administrator,和,Guest,帐户,创建一个新的组策略对象,配置组策略设置来更改帐户名称,6.3.2,重命名域中和服务器上的,Administrator,和,Guest,帐户,计算机配置,windows,设置,安全设置,本地策略,安全选项,PDC,模拟器,PDC,模拟器,客户端计算机运行,Windows XP,域控制器,指向时间服务器,客户端计算机运行,Windows XP,成员服务器运行,Windows server 2003,时间同步过程,6.3.3,时间同步过程,服务：,W32time,，端口：,123,（,UDP,），协议：网络时间协议（,NTP,）,配置时间同步,演示如何配置时间同步,创建时间服务器列表,配置服务器使用时间服务器列表,6.3.4,配置时间同步,先编辑包含时间服务器的,timeservers.txt,文件,w32tm /,config,/,syncfromflags:manual,/,manualpeerlist:timeservers.txt,w32tm /,config,/update,可以从这个网站查找合适的外部时间服务器：,http:/,www.ntp.org,/,实验6-2,配置时间服务,目的：,在域中配置时间服务,6.3.5,实验6-2,配置时间服务,第,6,章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述,规划安全的成员服务器基线,配置其他安全设置,部署安全模板,安全模板故障诊断,部署安全模板,部署安全模板的方式,使用组策略在域环境中部署安全模板,在独立的计算机上部署安全模板,使用脚本部署安全模板,部署安全模板的最佳实践,6.4,部署安全模板,部署安全模板的方式,方式,描述,组策略,允许部署多台拥有相同安全配置需求的计算机,“,安全配置和分析”管理单元,可使管理员一次一台地分析和配置计算机的安全设置,脚本,允许从命令行以批处理文件或任务计划的形式使安全配置的应用和分析工作自动化,6.4.1,部署安全模板的方式,演示：,演示如何使用组策略在域环境中部署安全模板,6.4.2,使用组策略在域环境中部署安全模板,使用组策略在域环境中部署安全模板,演示：,演示在独立的计算机上部署安全模板,本地安全策略,安全配置分析工具,6.4.3,在独立的计算机上部署安全模板,在独立的计算机上部署安全模板,使用脚本部署安全模板,演示：,演示如何使用脚本部署安全模板,6.4.4,使用脚本部署安全模板,指令格式：,secedit,/configure /db,FileName,/,cfg,FileName,/overwrite/areas area1 area2. /log,FileName, /quiet,示例：,secedit,/configure /db,secedit.sdb,/,cfg,DC,security.inf, /overwrite /areas USER_RIGHTS /log,sec_config.log,/quiet,GPUPDATE /FORCE,部署安全模板的最佳实践,部署安全模板,:,如果没有经过测试，不要使用预定义的安全模板,跟踪计算机上所用的系统服务,频繁使用命令行工具,Secedit.exe,进行分析,为进行分析创建多个分开的安全数据库,6.4.5,部署安全模板的最佳实践,secedit,/analyze /db,FileName,/,cfg,FileName, /log,FileName, /quiet,第,6,章 规划、配置和部署安全的成员服务器基线,成员服务器基线概述,规划安全的成员服务器基线,配置其他安全设置,部署安全模板,安全模板故障诊断,安全模板故障诊断,解决与应用组策略有关的问题,解决不期望的安全设置问题,解决系统策略问题,6.5,安全模板故障诊断,分析问题流程,6.5.1,解决与应用组策略有关的问题,解决与应用组策略有关的问题,gpresult,/z ,gpresult.txt,或：帮助和支持,支持,高级系统信息,查看应用的组策略设置,net time,GPO,委派高级,WMI,筛选,分析,多个,GPO,将多个,模板应用到系统时会导,致不期望的安全设置分,析流程,6.5.2,解决不期望的安全设置问题,解决不期望的安全设置问题,MMC,策略的结果集,生成,RSOP,数据,解决不期望的安全设置问题,最佳实践,验证想要应用的策略没有受阻,验证在,Active Directory,中的较高级别设置的不允许覆盖策略是否已经设置为“强制,”,。如果同时使用了“强制”和“阻止”，“强制”优先,验证用户或计算机不属于任何“应用组策略”权限被设置为“拒绝”的安全组,验证用户或计算机至少属于一个“应用组策略”权限被设置为“允许”的安全组,验证用户或计算机至少属于一个“读取”权限被设置为“允许”的安全组,6.5.2,解决不期望的安全设置问题,练习,1,规划安全的成员服务器基线,练习,2,实施预定义的安全模板,练习,3,创建并实施定制的安全模板,练习,4,在非域成员的服务器上实施安全模板,6.6,实验,6-3,规划、配置和部署成员服务器基线,实验 6-3,规划、配置和部署成员服务器基线,回顾,学习完本章后，将能够：,了解安全基线和成员服务器基线的重要性,规划安全的成员服务器基线,配置附加安全设置,部署安全模板,随堂练习,1,假设你是,安全管理员。网络由一个叫做,的单一活动目录域组成。所有服务器运行,Windows Server 2003,。所有客户机运行,Windows XP Professional,。,一些客户机被配置为访问者和雇员可以使用的网亭（,kiosk,）计算机，并由,GPO,来管理。,GPO,强制要求安全配置。每天有很多用户登录到这些计算机上。,你检查了安全审核的结果，发现当有些用户登录的时候，安全配置就会被移除。,你需要确认安全配置总是处于执行状态。你该怎么做？,把,Securews.inf,安全模板应用到,kiosk,计算机中,在,kiosk,计算机上，把默认用户配置文件配置为强制用户配置文件,编辑,GPO,来管理,kiosk,计算机。禁止次登陆服务,编辑,GPO,来管理,kiosk,计算机。启用循环程序,随堂练习,2,假设你是,的安全管理员。网络由一个叫做,的单一活动目录域组成。,S,域包含,Windows Server 2003,计算机和,Windows XP Professional,客户机。所有计算机都是域的成员。,S,公司的雇员用户账户是客户机的本机管理组的成员。有时你会遇到管理客户机的问题，因为可能有个别雇员把计算机的本地管理组中的域管理全局组移除。,你需要阻止用户把计算机的本地管理组中的域管理全局组移除。你该怎么做？,A,对客户机应用安全模板，使用受限制组策略把域管理全局组确定为本地管理组的一个成员。,B,对域控制器计算机应用安全模板，使用受限制组策略把域管理全局组确定为本地管理组的一个成员。,C,通过对域管理全局组指定完全允许控制权限来修改域管理全局组。,D,通过对域管理全局组指定完全拒绝控制权限来修改域管理全局组。,随堂练习,3,假设你是,shixun,的安全管理员。,Shixun,在,New York,、,San Francisco,、,Toronto,都有办事处。网络由一个叫做,的单一活动目录域组成。每个办事处都被配置为一个活动目录站点。所有服务器运行,Windows Server 2003,，所有客户机运行,Windows XP Professional,。,在,Toronto,办事处的用户在研发部门工作，这些用户的用户对象存储在一个叫做,Toronto,的组织单元（,OU,）里。其他办事处的用户经常到,Toronto,来开会或者培训。,Shixun,的写安全策略要求,Toronto,办事处的计算机上必须强制有以下设置：,1,提醒用户保护,shixun,信息的警告消息必须在用户登陆前显示。,2,当用户对客户机解锁时必须要求域控制器验证。,3,身份验证最高级别必须在网络上随时可以被应用。,随堂练习,3,（续）,你创建了一个叫做,TorontoSecurity,的新的组策略对象（,GPO,）来满足写安全策略要求。,到,Toronto,办事处的用户报告说他们没有受到警告信息，同时他们的屏幕保护程序不需要通过密码使其处于不活动状态。,你需要确认仅当其他用户来到,Toronto,办事处时，写安全策略才会执行。你想通过最少的管理精力来实现这个目标。你该怎么办？,A,把,TorontoSecurity,GPO,和,Toronto OU,连接。,B,把,TorontoSecurity,GPO,和域连接。,C,当用户到,Toronto,办事处时，配置一个登陆脚本，使它可以应用自定义安全模板。,D,把,TorontoSecurity,GPO,和,Toronto,站点连接。,随堂练习,4,假设你是,shixun,的安全管理员。网络由一个叫做,的单一活动目录域组成。网络包含,Windows XP Professional,客户机和,Windows Server 2003,计算机。,域包含三个域控制器。所有域控制器位于,OU,域控制器中。在,shixun.inf,安全模板中定义了一个新的密码策略。,你需要为域账户执行新密码策略。你该怎么办？,A,把,shixun.inf,安全模板输入到默认域策略,GPO,中。,B,把,shixun.inf,安全模板输入到默认域控制器策略,GPO,中。,C,在每个域控制器上，把,shixun.inf,安全模板输入到本地计算机策略中。,D,在每个域控制器上，把,shixun.inf,安全模板输入到安全配置和分析中，然后使用计算机配置,Now,命令。,E,在每个域控制器上，运行,secedit,/import,TestKing.inf,命令，然后运行,secedit,/configure,命令。,随堂练习,5,假设你是,shixun,的安全管理员。网络由一个叫做,的单一活动目录域组成。网络包含,Windows XP Professional,，,Windows 2000 Professional,和,Windows Server 2003,计算机。,你发现一个域中的用户可以得到其他域中用户的账户名称列表。这种情况允许未授权用户可以猜测到密码并访问机密数据。,你需要确认用户名称只可以由账户所在域的用户得到。在域控制器上你该执行哪两种措施？（每个正确答案代表了部分解决方法。选择两个）,应用安全模板来禁止网络访问：允许匿名,SID/Name,解释设置。,应用安全模板来禁止网络访问：不允许匿名,SAM,账户列举设置。,应用安全模板来禁止网络访问：在下一个密码更改设置上，不存储,LAN,管理无用信息值。,应用安全模板来设置域控制器：,LDAP,服务器标记请求设置到请求标记。,