大学WindowsServerR安全策略课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,QQ,：,10804072,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,0,单击此处编辑母版标题样式,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,QQ,：,10804072,概述,安全策略是影响计算机安全性的设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略可以强化公司网络的安全性。,通过配置本地安全策略，可以加固服务器安全，从以下几个方面配置服务器安全：帐户策略、审核策略、用户权限分配、安全选 项及软件限制策略。,高级,Windows,防火墙能够控制进出操作系统的流量，还能够配置服务器之间进行加密通信。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,概述安全策略是影响计算机安全性的设置的组合。可以利用本地安全,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限制策略,使用本地组策略配置系统安全,本章要点帐户策略的设置,帐户策略的设置,设置密码策略,设置帐户锁定策略,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,帐户策略的设置设置密码策略新目标IT网络课堂常年开设微软、思,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限制策略,使用本地组策略配置系统安全,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,本章要点帐户策略的设置新目标IT网络课堂常年开设微软、思科、,设置审核策略,简介,安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。,审核设置：成功、失败、无审核,漏洞：,如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。如果配置了审核而导致有太多的授权活动生成事件，则安全事件日志会被无用的数据填满，对系统性能也是有影响的。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,设置审核策略简介新目标IT网络课堂常年开设微软、思科、Lin,设置审核策略,对策：,组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。,潜在影响：,如果在组织内的计算机上没有配置审核，或者将审核设置得太低，将缺少足够的证据，可在发生安全事件后用于网络辩论分析。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,设置审核策略对策：新目标IT网络课堂常年开设微软、思科、Li,审核设置,审核帐户登录事件,审核帐户管理,审核目录服务访问,审核登录事件,审核对象访问,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,审核设置审核帐户登录事件新目标IT网络课堂常年开设微软、思科,实验演示：登录服务器失败，,Windows Server 2008 R2,自动报警,自动报警思路,Windows Server 2008 R2,自动报警功能只有基于某个特定的系统事件才能启用运行,任务审核登录失败操作,创建登录失败事件,附加自动报警任务,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,实验演示：登录服务器失败，Windows Server 20,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限制策略,使用本地组策略配置系统安全,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,本章要点帐户策略的设置新目标IT网络课堂常年开设微软、思科、,用户权限设置,允许本地登录,关闭系统,从网络访问此计算机,拒绝本地登录,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,用户权限设置允许本地登录新目标IT网络课堂常年开设微软、思科,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限制策略,使用本地组策略配置系统安全,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,本章要点帐户策略的设置新目标IT网络课堂常年开设微软、思科、,常用安全选项设置示例,交互式登录：不显示最后的用户名,交互式登录：提示用户在密码过期之前进行更改,审核：如果无法记录安全审核则立即关闭系统,网络访问：本地帐户的共享和安全模型,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,常用安全选项设置示例交互式登录：不显示最后的用户名新目标IT,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限制策略,使用本地组策略配置系统安全,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,本章要点帐户策略的设置新目标IT网络课堂常年开设微软、思科、,高级,Windows,防火墙,具有高级安全性的,Windows,防火墙,结合了主机防火墙和,IPSec,。,运行在每台,Windows,计算机上。,提供计算机到计算机的连接安全，使用户可以对通信要求身份验证和数据保护。,是一种状态防火墙，检查并筛选,IPv4,和,IPv6,流量的所有数据包。,可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,高级Windows防火墙具有高级安全性的Windows防火墙,高级,Windows,防火墙,高安全性的,Windows,防火墙工作方式,使用两组规则配置其如何响应传入和传出流量。,防火墙规则确定允许或阻止哪种流量,连接安全规则确定如何保护此计算机和其他计算机之间的流量。,防火墙配置文件（根据计算机连接的位置应用）可以应用这些规则以及其他设置，还可以监视防火墙活动和规则。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,高级Windows防火墙高安全性的Windows防火墙工作方,高级,Windows,防火墙,防火墙规则,配置防火墙规则以确定阻止还允许流量通过。,数据包过滤流程,可以从标准中进行选择：,应用程序名称、系统服务名称、,TCP,端口、,UDP,端口、本地,IP,地址、远程,IP,地址、配置文件、接口类型、用户、组、计算机、计算机组、协议及,ICMP,类型等。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,高级Windows防火墙防火墙规则新目标IT网络课堂常年开设,高级,Windows,防火墙,连接安全规则,配置本计算机与其他计算机之间特定连接的,IPSec,设置。,使用该规则来评估网络通信，然后根据该规则中所建立的标准阻止或允许消息。,如果所配置的设置要求连接安全（双向），而两台计算机无法互相进行身份验证，则将阻止连接,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,高级Windows防火墙连接安全规则新目标IT网络课堂常年开,高级,Windows,防火墙,防火墙配置文件,防火墙配置文件是对根据连接计算机的位置应用于计算机的设置（如防火墙规则和连接安全规则）进行分组的方式。,一次只能应用一个配置文件。,配置文件：,域,：当计算机连接到该计算机域帐户所在的网络时,专用：,当计算机连接到没有该计算机域帐户的网络时应用。,公用：,当计算机通过公用网络连接到域时应用。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,高级Windows防火墙防火墙配置文件新目标IT网络课堂常年,上机演练,1,：,创建一个在企业内网使用的防火墙：,配置目标：,更改网络位置,启用网络发现,允许访问该计算机的共享文件夹。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,上机演练1：创建一个在企业内网使用的防火墙：新目标IT网络课,上机演练,2,：,配置,Web,服务器网络安全：,配置,Web,站点,只允许目标端口是,80,的数据包进入,Web,服务器,只允许源端口是,80,的数据包从,Web,服务器出来,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,上机演练2：配置Web服务器网络安全：新目标IT网络课堂常年,配置加密通信,高级,Windows,防火墙除了能够允许或拒绝某些通信外，还支持加密通信。,配置连接安全性规则。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,配置加密通信高级Windows防火墙除了能够允许或拒绝某些通,监视加密通信,DEMO,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,监视加密通信DEMO新目标IT网络课堂常年开设微软、思科、L,配置,IPSec,加密和身份验证的方法,一般情况下最好使用默认的数据加密和完整性算法，你也可以自定义加密和完整性算法。,确保通信两端的完整性和加密算法一致。,新目标,IT,网络课堂常年开设微软、思科、,Linux,、网络安全及,Office,高端培训,上述课程报名咨询及光盘购买请与我联系,!,QQ,：,10804072,配置IPSec加密和身份验证的方法一般情况下最好使用默认的数,本章要点,帐户策略的设置,设置审核策略,用户权限分配,安全选项,高级,Windows,防火墙,创建软件限