《網絡安全運行與維護配套資源M14-使用本地安全的策略加強windows主機的整體防御ppt課件》由會員分享，可在線閱讀，更多相關《網絡安全運行與維護配套資源M14-使用本地安全的策略加強windows主機的整體防御ppt課件（48頁珍藏版）》請在裝配圖網上搜索。

1、,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標題樣式,網絡安全運行與維護,模塊一,Windows,桌面系統(tǒng)安全管理與維護,網絡安全運行與維護 模塊一,總體概述,為保護辦公網絡安全，公司的信息中心希望通過設置文件的訪問權限來保護公司文件服務器的安全，保證網絡中每類用戶擁有不同的權限級別，享受不同等級的文件共享資源。為了使系統(tǒng)能健康運行，信息中心在每臺計算機中都啟用了防火墻，設置了桌面系統(tǒng)運行策略，并針對每個文件及文件夾采取了加密措施。這些措施保證了公司各類人員都有自己的權限，他們在不同級別的安全策略上運行，可以訪問不同級別的加密文件。為了實現以上目標，信息中心需要

2、設置以下策略。,使用網絡安全訪問權限，加強,Windows,主機的管理,使用防火墻規(guī)則，加強,Windows,桌面系統(tǒng)的防御,使用文件加密系統(tǒng)，加強,Windows,文件系統(tǒng)的安全,使用本地安全策略，加強,Windows,主機的整體防御,使用安全審計,，,加強,Windows,主機的安全維護,總體概述為保護辦公網絡安全，公司的信息中心希望通過設置文件的,能力單元,4,使用本地安全策略加強,windows,主機的整體防御,能力單元4使用本地安全策略加強windows主機的整體防御,了解本地安全策略的使用方法,配置本地安全策略,第,4,頁,任務目標,第4頁 任務目標,南天公司的辦公網計算機都使用,

3、Windows,操作系統(tǒng)，沒有設置本地安全策略，部門之間通過辦公網傳輸數據易遭到網絡攻擊。為了保障桌面系統(tǒng)的數據安全，公司要求在每臺計算機的,Windows,系統(tǒng)中設置本地安全策略。,第,5,頁,任務描述,南天公司的辦公網計算機都使用Windows操作系統(tǒng)，沒有設置,在,Windows,操作系統(tǒng)中，可以通過設置以下策略來加強系統(tǒng)安全。,禁止枚舉賬號。,指派本地用戶權限。,IP,策略。,密碼安全。,第,6,頁,任務分析,第6頁 任務分析,禁用枚舉賬號的意義,一般來說，黑客攻擊入侵，大部分利用漏洞，然后提升權限，成為管理員，這一切都跟用戶帳號緊密相連。一般的黑客要攻擊,Windows 2000/X

4、P,等系統(tǒng)，必須要知道賬號和密碼。而賬號更為關鍵，那么如何來避免這種情況的發(fā)生呢？我們可以利用禁止枚舉帳號來限制黑客攻擊我們的賬戶和密碼。,第,7,頁,相關知識,禁用枚舉賬號的意義第7頁 相關知識,指派本地用戶權,限,在本地安全策略中可以指派本地用戶的權,限,設置哪些用戶組可以登錄到此終端,設置哪些用戶組或者用戶不能登錄到此終端中,設置哪些用戶組或者用戶可以關閉此計算機等等。,第,8,頁,相關知識,指派本地用戶權限第8頁 相關知識,IP,安全,策略,IP,安全策略是一個用于通信分析的策略，它將通信內容與設置好的規(guī)則進行比較，判斷通信是否與預期相吻合，然后決定是否允許通信,。,IP,安全策略彌補

5、了傳統(tǒng),TCP/IP,設計上的“隨意信任”安全漏洞，可以更仔細、更精確地實現,TCP/IP,安全。當配置好,IP,安全策略后，就相當于擁有了一個免費且功能完善的個人防火墻系統(tǒng)。,第,9,頁,相關知識,IP安全策略第9頁 相關知識,密碼安全,弱口令：是指僅包含簡單數字和字母的口令。,密碼長度：密碼字符的長度。,密碼復雜性：密碼由大小寫字母，數字，特殊字符組成。,密碼生存周期：也被稱為密碼有效期。,強制密碼歷史：強制密碼歷史是指如果要更改密碼，則密碼不能之前設置過的幾個密碼,。,第,10,頁,相關知識,密碼安全 第10頁 相關知識,第,11,頁,任務實施,搭建網絡環(huán)境,第11頁 任務實施搭建網絡環(huán)

6、境,步驟,1,實驗準備,在,SERVER,和,PC,上安裝,WindowsXP,操作系統(tǒng)。,按照拓撲圖連接網絡,配置計算機的,IP,地址,，并測試網絡的連通性,第,12,頁,任務實施,步驟1實驗準備第12頁 任務實施,步驟,2,創(chuàng)建系統(tǒng)賬戶,在,SERVER,上，創(chuàng)建用戶（,Bob,、,Mary,和,Tim,）和組（,Sales,、,Manager,和,Engineer,），并將用戶分別加入相應組中。,在,SERVER,上開啟遠程桌面功能，并添加遠程用戶,Bob,、,Mary,和,Tim,。,第,13,頁,任務實施,步驟2創(chuàng)建系統(tǒng)賬戶第13頁 任務實施,步驟,3,禁止枚舉賬號,在,SERVER

7、,上，創(chuàng)建共享文件夾,在計算機,SERVER,上，打開“本地安全設置”窗口，展開“本地策略”。,第,14,頁,任務實施,步驟3禁止枚舉賬號第14頁 任務實施,步驟,3,禁止枚舉賬號,雙擊“網絡訪問：不允許,SAM,賬戶和共享的匿名枚舉”選項，打開屬性對話框，選中“已啟用”。,在,PC,上，再次通過匿名訪問共享文件夾,第,15,頁,任務實施,步驟3禁止枚舉賬號第15頁 任務實施,步驟,4,指派本地用戶權限,第,1,步：指派本地用戶權限,配置所有用戶具有從網絡訪問這臺計算機。,第,16,頁,任務實施,步驟4指派本地用戶權限第16頁 任務實施,步驟,4,指派本地用戶權限,第,1,步：指派本地用戶權限

8、,配置,Engineer,組具有“拒絕從網絡訪問這臺計算機”的權限。,只允許管理員、,mary,和,bob,具有“關閉系統(tǒng)”的權限。,允許用戶,Mary,遠程關閉計算機。,重新啟動計算機,SERVER,。,第,17,頁,任務實施,步驟4指派本地用戶權限第17頁 任務實施,步驟,4,指派本地用戶權限,第,2,步：測試指派用戶權限,用戶,tim,不能訪問共享文件，用戶,bob,和,mary,能夠訪問共享文件。,用戶,tim,不能在本地關閉計算機，用戶,bob,和,mary,能在本地關閉計算機。,用戶,bob,不能遠程關閉計算機，用戶,mary,能遠程關閉計算機。,第,18,頁,任務實施,步驟4指派

9、本地用戶權限第18頁 任務實施,步驟,5,配置,IP,安全策略,第,1,步：測試網絡共享,PC,能夠訪問,SERVER,的網絡共享。,測試,445,和,139,端口連接。,第,19,頁,任務實施,步驟5配置IP安全策略第19頁 任務實施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,在,SERVER,上，進入,IP,安全策略向導界面。,第,20,頁,任務實施,步驟5配置IP安全策略第20頁 任務實施,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,進入“,IP,安全策略名稱”界面，輸入名稱。,第,21,頁,任務實施,步驟5配置IP安全策略第21頁 任務實施

10、,步驟,5,配置,IP,安全策略,第,2,步：創(chuàng)建,IP,安全策略,配置安全通信請求，保持默認值。,完成,IP,安全策略向導。,第,22,頁,任務實施,步驟5配置IP安全策略第22頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“管理,IP,篩選器表和篩選器操作”窗口。,第,23,頁,任務實施,步驟5配置IP安全策略第23頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,打開“,IP,篩選器列表”對話框，輸入名稱。,第,24,頁,任務實施,步驟5配置IP安全策略第24頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：

11、添加,IP,篩選器列表,打開,IP“,篩選器向導”對話框，在“源地址”下拉列表框中選擇“任何,IP,地址”。,第,25,頁,任務實施,步驟5配置IP安全策略第25頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進入,IP,通信目標設置界面，在“目標地址”下拉列表框中選擇“我的,IP,地址”。,第,26,頁,任務實施,步驟5配置IP安全策略第26頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進入,IP,協(xié)議類型設置界面，在“選擇協(xié)議類型”下拉列表框中選擇“,TCP”,。,第,27,頁,任務實施,步驟5配置IP安全策略第27頁

12、任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,進入,IP,協(xié)議端口設置界面，設置端口信息。,第,28,頁,任務實施,步驟5配置IP安全策略第28頁 任務實施,步驟,5,配置,IP,安全策略,第,3,步：添加,IP,篩選器列表,添加對,445,端口訪問的,IP,篩選器表。,第,29,頁,任務實施,步驟5配置IP安全策略第29頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,選擇“管理篩選器操作”選項卡。,第,30,頁,任務實施,步驟5配置IP安全策略第30頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進入篩選器操

13、作向導。,第,31,頁,任務實施,步驟5配置IP安全策略第31頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,輸入篩選器操作名稱。,第,32,頁,任務實施,步驟5配置IP安全策略第32頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,進入設置篩選器操作的行為界面，選中“阻止”單選按鈕。,第,33,頁,任務實施,步驟5配置IP安全策略第33頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩選器操作,完成篩選器的添加。,第,34,頁,任務實施,步驟5配置IP安全策略第34頁 任務實施,步驟,5,配置,IP,安全策略,第,4,步：添加篩

14、選器操作,查看新建的“屏蔽網絡共享”策略。,第,35,頁,任務實施,步驟5配置IP安全策略第35頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“屏蔽網絡共享屬性”對話框。,第,36,頁,任務實施,步驟5配置IP安全策略第36頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,打開“安全規(guī)則向導”對話框。,第,37,頁,任務實施,步驟5配置IP安全策略第37頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,選中“此規(guī)則不指定隧道”單選按鈕。,第,38,頁,任務實施,步驟5配置IP安全策略第38頁 任務實施,步驟,5,配置,I

15、P,安全策略,第,5,步：添加安全規(guī)則,選中“所有網絡連接”單選按鈕。,第,39,頁,任務實施,步驟5配置IP安全策略第39頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“,IP,篩選器列表”中，選中“連接,139,和,445,端口”單選按鈕。,第,40,頁,任務實施,步驟5配置IP安全策略第40頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,在“篩選器操作”列表框中，選中“阻止訪問”單選按鈕。,第,41,頁,任務實施,步驟5配置IP安全策略第41頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,完成,IP,策略的配置。

16、,第,42,頁,任務實施,步驟5配置IP安全策略第42頁 任務實施,步驟,5,配置,IP,安全策略,第,5,步：添加安全規(guī)則,右擊“屏蔽本地網絡共享”策略，選擇快捷菜單“指派”選項，完成策略指派。,第,43,頁,任務實施,步驟5配置IP安全策略第43頁 任務實施,步驟,5,配置,IP,安全策略,第,6,步：測試,IP,策略,PC,無法訪問,SERVER,的網絡共享。,測試,139,和,445,端口連接。,第,44,頁,任務實施,步驟5配置IP安全策略第44頁 任務實施,步驟,6,設置密碼策略,第,1,步：設置密碼策略,打開“本地安全設置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點。,打開“本地安全設置”窗口，展開“賬戶策略”,-“,密碼策略”節(jié)點。,啟用“密碼必須符合復雜性要求”選項。,設置“密碼長度最小值”選項。,設置“密碼最長使用期限”選項。,設置“密碼最短使用期限”選項。,第,45,頁,任務實施,步驟6設置密碼策略第45頁 任務實施,步驟,6,設置密碼策略,第,1,步：設置密碼策略,設置“強制密碼歷史”選項。,設置“用可還原的加密來儲存密碼”選項,第,46,頁,任務實施,步驟6