第十講(一)域的安全策略ppt課件

1、平安戰(zhàn)略本章目的本章運用域的平安戰(zhàn)略，加強(qiáng)了域環(huán)境平安性 了解本地平安戰(zhàn)略 了解域控制器平安戰(zhàn)略 了解域平安戰(zhàn)略 掌握密碼戰(zhàn)略 掌握賬戶鎖定戰(zhàn)略 掌握審核戰(zhàn)略密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 概念運用舉例 本章構(gòu)造平安戰(zhàn)略三種平安戰(zhàn)略的關(guān)系域帳戶戰(zhàn)略運用審核文件及文件夾本地平安戰(zhàn)略帳戶戰(zhàn)略本地戰(zhàn)略 域控制器平安戰(zhàn)略域平安戰(zhàn)略審核戰(zhàn)略用戶權(quán)限分配平安選項本地平安戰(zhàn)略 本地平安戰(zhàn)略影響本計算機(jī)的平安設(shè)置本地平安戰(zhàn)略主要包含帳戶戰(zhàn)略本地戰(zhàn)略賬戶戰(zhàn)略2-1 密碼戰(zhàn)略 密碼必需符合復(fù)雜性要求密碼長度最小值 密碼最長運用期限 密碼最短運用期限 強(qiáng)迫密碼歷史 用可復(fù)原的加密來存儲密碼 賬戶鎖定戰(zhàn)略 賬戶鎖定閾值 賬戶鎖

2、定時間 復(fù)位賬戶鎖定計數(shù)器 賬戶戰(zhàn)略2-2 帳戶戰(zhàn)略舉例 在獨立的計算機(jī)上要讓賬戶的密碼長度最小為8，賬戶假設(shè)延續(xù)3次輸錯密碼就會被鎖定 步驟1單擊【開場】|【程序】|【管理工具】|【本地平安戰(zhàn)略】，展開【賬戶戰(zhàn)略】|【密碼戰(zhàn)略】2雙擊“密碼長度最小值，輸入“83在【賬戶鎖定戰(zhàn)略】中，雙擊“賬戶鎖定閾值，輸入“34在【開場】|【運轉(zhuǎn)】中，輸入“gpupdate刷新本計算機(jī)的本地平安戰(zhàn)略或者重啟計算機(jī)5更改管理員賬戶administrator密碼，檢驗?zāi)芊駥⒚艽a修正成小于8位長度的密碼6退出系統(tǒng)，運用普通賬戶登錄，故意輸錯密碼3次，該賬戶就會被鎖定本地戰(zhàn)略3-1 審核戰(zhàn)略能否在平安日志中記錄登錄

3、用戶的操作事件 用戶權(quán)限分配如封鎖系統(tǒng)更該系統(tǒng)時間回絕本地登錄允許在本地登錄 平安選項控制一些和操作系統(tǒng)平安相關(guān)的設(shè)置 本地戰(zhàn)略3-2 用戶權(quán)限分配舉例作為效力器的計算機(jī)不能讓普通用戶交互式登錄在本地登錄 步驟:1單擊【開場】|【程序】|【管理工具】|【本地平安戰(zhàn)略】，展開【本地戰(zhàn)略】|【用戶權(quán)限分配】2雙擊“允許在本地登錄，刪除“Power Users和“Users3在【開場】|【運轉(zhuǎn)】中，輸入“gpupdate刷新本計算機(jī)的本地平安戰(zhàn)略或者重啟計算機(jī)4退出系統(tǒng)，運用普通賬戶登錄，檢驗?zāi)芊竦卿洷镜貞?zhàn)略3-3 平安選項舉例在獨立的計算機(jī)上要讓用戶在登錄前(Ctrl+Alt+Delete后)，必

4、需閱讀公司運用計算機(jī)的本卷須知步驟:1展開【本地戰(zhàn)略】|【平安選項】2在以下選項中輸入提示信息交互式登錄：用戶試圖登錄時音訊標(biāo)題交互式登錄：用戶試圖登錄時音訊文字3刷新本地平安戰(zhàn)略4驗證 階段總結(jié)本地平安戰(zhàn)略主要包含賬戶戰(zhàn)略和本地戰(zhàn)略 密碼戰(zhàn)略包含哪些選項賬戶鎖定戰(zhàn)略哪些選項本地戰(zhàn)略有哪幾部分域控制器平安戰(zhàn)略2-1 域控制器平安戰(zhàn)略與本地平安戰(zhàn)略的區(qū)別影響的計算機(jī)前者影響DC后者影響非DC翻開方式【域控制器平安戰(zhàn)略】【本地平安戰(zhàn)略】帳戶戰(zhàn)略中有何異同前者有Kerberos戰(zhàn)略與域用戶賬戶的登錄有關(guān) 域控制器平安戰(zhàn)略2-2 域控制器平安戰(zhàn)略運用舉例某個普通域賬戶需求在DC上登錄步驟1翻開【域控制

5、器平安戰(zhàn)略】|【平安 設(shè)置】|【本地戰(zhàn)略】|【用戶權(quán)限分配】，雙擊【允許在本地登錄】，添加需求在DC上登錄的用戶帳戶2刷新域控制器平安戰(zhàn)略3驗證該普通用戶能否在DC上登錄 域平安戰(zhàn)略3-1 可以影響整個域中的計算機(jī)的平安設(shè)置 翻開方式【域平安戰(zhàn)略】帳戶戰(zhàn)略密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 Kerberos 戰(zhàn)略本地戰(zhàn)略域平安戰(zhàn)略3-2三種平安戰(zhàn)略的關(guān)系成員計算機(jī)和域的設(shè)置項沖突時，域平安戰(zhàn)略生效域控制器和域的設(shè)置項沖突時，域控制器平安戰(zhàn)略生效本地平安戰(zhàn)略域控制器平安戰(zhàn)略域平安戰(zhàn)略域平安戰(zhàn)略3-3 舉例驗證以本地選項的設(shè)置項為例交互式登錄：用戶試圖登錄時音訊標(biāo)題 交互式登錄：用戶試圖登錄時音訊文字成員計算機(jī)

6、與域的對比域控制器與域的對比域賬戶戰(zhàn)略運用 帳戶戰(zhàn)略設(shè)置需求域賬戶密碼長度至少7個字符密碼符合復(fù)雜性要求密碼至少30天修正一次設(shè)置密碼鎖定戰(zhàn)略：輸入5次密碼不正確就鎖定該用戶帳戶實施步驟 1單擊【開場】|【程序】|【管理工具】|【域平安戰(zhàn)略】2設(shè)置【賬戶戰(zhàn)略】的【密碼戰(zhàn)略】和【賬戶鎖定戰(zhàn)略】3設(shè)置終了，刷新域平安戰(zhàn)略4修正某個賬戶的密碼，驗證密碼戰(zhàn)略能否起作用 5運用某個域賬戶登錄，故意輸錯密碼，看幾次后賬戶被鎖定階段練習(xí)背景某些員工設(shè)置密碼長度很短，而且不符合復(fù)雜性要求密碼很久也不修正有時會發(fā)生非法用戶試探員工密碼目的密碼戰(zhàn)略設(shè)置賬戶鎖定戰(zhàn)略設(shè)置密碼戰(zhàn)略的驗證賬戶鎖定戰(zhàn)略驗證如何給賬戶解鎖審

7、核文件及文件夾 審核戰(zhàn)略審核文件及文件夾 事件查看器審核戰(zhàn)略 常用審核戰(zhàn)略審核事件說明賬戶登錄事件審核域用戶從域中的計算機(jī)登錄時，域控制器收到的驗證信息登錄事件審核所有計算機(jī)用戶的登錄和注銷事件對象訪問審核用戶訪問某個對象的事件，例如文件、文件夾、注冊表項、打印機(jī)等賬戶管理審核計算機(jī)上的每一個帳戶管理事件，包括：創(chuàng)建、更改或刪除用戶帳戶或組； 重命名、禁用或啟用用戶帳戶；設(shè)置或更改密碼目錄服務(wù)訪問審核用戶訪問活動目錄對象的事件系統(tǒng)事件審核用戶重新啟動或關(guān)閉計算機(jī)時或者對系統(tǒng)安全或安全日志有影響的事件審核文件及文件夾 步驟啟用對象訪問審核戰(zhàn)略設(shè)置需求審核 的文件或文件夾事件查看器2-1 運用程序

8、運用程序或系統(tǒng)程序記錄的事件 平安性登錄嘗試以及記錄與資源運用相關(guān)的事件 系統(tǒng)Windows 系統(tǒng)組件記錄的事件 安裝了其他效力那么能夠會添加日志類型目錄效力文件復(fù)制效力DNS 效力器事件查看器2-2事件類型錯誤:紅色警告:黃色信息:白色勝利審核:鑰匙失敗審核: 鎖保管日志審核文件或文件夾的實現(xiàn)步驟 1啟用域或者本機(jī)的審核戰(zhàn)略中的審核對象訪問戰(zhàn)略，并刷新戰(zhàn)略2在文件或文件夾的【平安】屬性|【高級】|【審核】中，添加要審核的賬戶及詳細(xì)的審核工程3運用用戶訪問該文件夾或者文件4運用【事件查看器】，檢查能否有用戶訪問的記錄。階段總結(jié)本地平安戰(zhàn)略、域控制器平安戰(zhàn)略和域平安戰(zhàn)略之間的關(guān)系 域賬戶戰(zhàn)略如何

9、加強(qiáng)域賬戶的平安性審核戰(zhàn)略包含哪些內(nèi)容審核文件及文件夾主要步驟有哪些 階段練習(xí)背景BENET公司需求審核員工對效力器上某文件夾的訪問情況目的審核戰(zhàn)略文件夾或者文件的【平安】|【高級】|【審核】屬性設(shè)置運用【事件查看器】本章總結(jié)密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 概念運用舉例 平安戰(zhàn)略三種平安戰(zhàn)略的關(guān)系域帳戶戰(zhàn)略運用審核文件及文件夾本地平安戰(zhàn)略帳戶戰(zhàn)略本地戰(zhàn)略 域控制器平安戰(zhàn)略域平安戰(zhàn)略審核戰(zhàn)略用戶權(quán)限分配平安選項密碼必需符合復(fù)雜性要求密碼長度最小值 密碼最長運用期限 密碼最短運用期限 強(qiáng)迫密碼歷史 賬戶鎖定閾值 賬戶鎖定時間 復(fù)位賬戶鎖定計數(shù)器 了解域控制器平安戰(zhàn)略與本地平安戰(zhàn)略的區(qū)別成員計算機(jī)和域的設(shè)置項沖突時，域平安戰(zhàn)略生效域控制器和域的設(shè)置項沖突時，域控制器平安戰(zhàn)略生效1啟用域?qū)徍藨?zhàn)略中的審核對象訪問戰(zhàn)略，并刷新戰(zhàn)略2添加文件夾的審核工程3用戶訪問文件夾4運用事件查看器實驗義務(wù)1 域賬戶戰(zhàn)略運用 義務(wù)2 審核文件夾 義務(wù)1 域賬戶戰(zhàn)略運用 背景某些員工設(shè)置密碼長度很短而且不符合復(fù)雜性要求密碼很久也不修正有時會發(fā)生非法用戶試探員工密碼完成規(guī)范設(shè)置密碼戰(zhàn)略：密碼長度最小值為7、密碼必需符合復(fù)雜性要求、密碼運用最長期限3