項目9 系統(tǒng)安全策略設(shè)置

小型局域網(wǎng)管理項目教程項目9系統(tǒng)安全策略設(shè)置主講：涂小燕課程組：小型局域網(wǎng)管理教研室：網(wǎng)絡(luò)通信2023/2/52本項目主要內(nèi)容：項目描述相關(guān)理論基礎(chǔ)項目實施

項目總結(jié)

項目實訓(xùn)

項目描述網(wǎng)絡(luò)中惡意的攻擊行為會對計算機系統(tǒng)造成數(shù)據(jù)或收入的損失，要保證網(wǎng)絡(luò)中的計算機系統(tǒng)不受始終存在的蠕蟲、病毒和惡意攻擊使用的惡意代碼的威脅，實施適當(dāng)?shù)陌踩呗钥梢詼p少這種風(fēng)險的存在。服務(wù)器操作系統(tǒng)運行的要求需要對操作系統(tǒng)及網(wǎng)絡(luò)進行安全策略的設(shè)置、對系統(tǒng)資源的使用進行審核，從而保障整個網(wǎng)絡(luò)系統(tǒng)的安全本項目的主要目的通過對本地安全策略、域控制器安全策略和域安全策略的設(shè)置來保障WindowsServer2003服務(wù)器的安全運行。

項目描述項目實施流程圖:

相關(guān)理論基礎(chǔ)1.安全策略概述WindowsServer2003中的“本地安全策略”、“域控制器安全策略”和“域安全策略”可以分別為本地計算機、域控制器以及域這三個對象來設(shè)置一些必要的安全防護策略，從而保障系統(tǒng)及網(wǎng)絡(luò)的安全。(1)本地安全策略主要針對本地計算機來實施安全防護(2)域安全策略主要針對域內(nèi)所有的計算機與用戶統(tǒng)一設(shè)置的策略(3)域控制器安全策略影響位于“DomainController”容器內(nèi)的域控制器相關(guān)理論基礎(chǔ)2.用戶賬戶保護安全策略用戶賬戶的保護主要通過保密保護的策略來實現(xiàn)的，系統(tǒng)安全策略中保護用戶賬戶的具體措施主要是提高密碼破解難度、啟用賬戶鎖定策略等。(1)提高密碼的破解難度該措施主要可以通過提高密碼的復(fù)雜性、增加密碼長度、定期更換密碼等措施。對于較重要的用戶賬戶是必須要采取一些必要的強制性的密碼安全策略來保障該賬戶的安全。(2)啟用賬戶鎖定策略賬戶鎖定策略是在用戶賬戶受到攻擊而采用的一種對賬戶保護的策略，比如，賬戶容易受到密碼詞典或暴力破解方式等在線的自動登錄攻擊，從而導(dǎo)致賬戶密碼被破解，影響系統(tǒng)的安全。相關(guān)理論基礎(chǔ)3.系統(tǒng)監(jiān)控安全策略系統(tǒng)在運行過程中需要對其運行狀態(tài)進行實時的監(jiān)視，這樣做的目的主要是為了能夠及時發(fā)現(xiàn)系統(tǒng)的各種安全問題，并做出相應(yīng)的應(yīng)對方案及時進行修補。(1)啟用系統(tǒng)的安全審核機制安全審核機制可以將系統(tǒng)中發(fā)生的各類事件進行跟蹤記錄，并寫入到對應(yīng)的事件日志文件中，以便系統(tǒng)管理員對其進行分析、查找系統(tǒng)、相關(guān)服務(wù)和應(yīng)用程序的故障，還可以判斷是否有安全時間發(fā)生。(2)事件日志監(jiān)視當(dāng)在系統(tǒng)中啟用了安全審核機制后，系統(tǒng)會對需要進行審核的事件記錄到日志中，記錄的內(nèi)容包括該事件成功或失敗的狀態(tài)，一般情況下，記錄失敗的事件往往更有意義，管理員通過檢查、分析各種事件的日志來判斷系統(tǒng)是否存在安全問題。項目實施1.用戶賬戶安全策略設(shè)置2.用戶權(quán)限分配及安全選項設(shè)置3.設(shè)置事件審核策略4.查看系統(tǒng)的安全事件1.用戶賬戶安全策略設(shè)置1)本地用戶賬戶安全策略設(shè)置單擊“開始”|“管理工具”|“本地安全策略”，打開“本地安全設(shè)置”控制臺

用戶賬戶密碼設(shè)置賬戶鎖定設(shè)置2)域用戶賬戶的安全策略設(shè)置在域控制器上，單擊“開始”|“管理工具”|“域安全策略”，打開默認(rèn)域控制器安全設(shè)置控制臺3)域控制器賬戶的安全策略設(shè)置單擊“開始”|“管理工具”|“域控制器安全策略”，打開默認(rèn)域控制器安全設(shè)置控制臺

2.用戶權(quán)限分配及安全選項設(shè)置1)用戶權(quán)限分配的設(shè)置單擊“開始”|“管理工具”|“域控制器安全策略”，打開默認(rèn)域控制器安全設(shè)置控制臺，在左邊窗格中，展開“本地策略”，單擊“用戶權(quán)限分配”，然后在右側(cè)的窗格中可以進行策略的設(shè)置2)設(shè)置安全選項單擊“開始”|“管理工具”|“域控制器安全策略”，打開默認(rèn)域控制器安全設(shè)置控制臺，在左邊窗格中，單擊“安全選項”，在右邊的窗格進行具體設(shè)置3.設(shè)置事件審核策略1)定義審核策略單擊“開始”|“管理工具”|“域控制器安全策略”，打開默認(rèn)域控制器安全設(shè)置控制臺，在左邊窗格中，單擊“本地策略”|“審核策略”，在右側(cè)的窗格中，雙擊需要審核的策略項來設(shè)置需要的審核策略2)設(shè)置對象的審核為對象啟動審核策略，則首先需要開啟“審核對象訪問”策略4.查看系統(tǒng)的安全事件1)打開事件查看器單擊“開始”|“管理工具”|“事件查看器”，打開“事件查看器”控制臺窗口 2)查看事件日志內(nèi)容類型內(nèi)容信息事件一般指示不常發(fā)生但又比較重要的“成功”操作，如，當(dāng)

MicrosoftSQLServer成功加載時會記錄一個“已啟動

SQLServer”的信息事件。如果在主要的服務(wù)器上記錄該事件，則是正確的，但對于桌面應(yīng)用程序，如果每次啟動時都記錄一個事件，則不太合適。警告事件一般指示不會馬上就很明顯的問題，但是它以后可能會帶來問題，如磁盤空間不足時，應(yīng)用程序會記錄一個警告事件。如果一個應(yīng)用程序從事件中恢復(fù)而未丟失功能或數(shù)據(jù)，它一般會將這類事件歸為警告事件。錯誤事件一般指示用戶知道的重大問題，如功能或數(shù)據(jù)的丟失，如某項服務(wù)在系統(tǒng)引導(dǎo)時不能加載，則它會記錄一個錯誤的事件。審核成功事件是一種安全性事件，在經(jīng)審核的訪問嘗試成功時發(fā)生，如用戶的登錄嘗試就是一個審核成功事件，審核失敗也是一種安全性事件，在經(jīng)審核的訪問嘗試失敗時發(fā)生，如打開文件失敗就是一個審核失敗事件。3)搜索事件日志在管理工具中，打開事件查看器，選擇某個事件日志，如“安全性”日志，單擊“查看”菜單|“查找”命令

4)篩選事件日志單擊“系統(tǒng)”日志，選擇“查看”菜單|“篩選”命令|“篩選器”選項卡

5)設(shè)置事件日志大小事件日志信息是保存在事件日志文件中，如系統(tǒng)事件日志保存在“%SYSTEMROOT%\system32\config\SysEvent.Evt”文件中，可以右擊某個事件日志，選擇屬性，打開日志屬性對話框項目總結(jié)用戶賬戶安全是操作系統(tǒng)及網(wǎng)絡(luò)安全的基礎(chǔ)，而保護用戶賬戶安全的安全措施主要有為賬戶設(shè)置密碼策略以及賬戶的鎖定策略，即提高密碼的復(fù)雜度、當(dāng)出現(xiàn)異常情況時將其鎖定。用戶權(quán)限分配及安全選項設(shè)置了用戶訪問系統(tǒng)及網(wǎng)絡(luò)時所具有的權(quán)限，這也可以有效地防止一些利用現(xiàn)有的系統(tǒng)功能來破壞系統(tǒng)及網(wǎng)絡(luò)的安全。設(shè)置事件審核，可以幫助管理員及時跟蹤系統(tǒng)中發(fā)生的一些安全事件，及時發(fā)現(xiàn)異常行為的事件，并記錄到事件日志中。事件日志是網(wǎng)絡(luò)管理員統(tǒng)計和分析系統(tǒng)安全狀況的重要工具，將系統(tǒng)和網(wǎng)絡(luò)中發(fā)生的重要安全事件記錄到日志文件中，這樣可以為日后的系統(tǒng)維護提供幫助，還可以為網(wǎng)絡(luò)犯罪的取證提供依據(jù)。項目實訓(xùn)1.硬件兼容性檢查1.實訓(xùn)目的了解WindowsServer2003Enterprise和WindowsServer2003Standard的硬件兼容性。2.設(shè)備和工具WindowsServer2003Enterprise和Standard版本的CD-ROM安裝光盤；微軟硬件兼容性檢查網(wǎng)址：/hcl。3.實訓(xùn)內(nèi)容及要求利用WindowsServer2003的CD-ROM安裝光盤和/hcl來檢查硬件的兼容性。4.實訓(xùn)總結(jié)總結(jié)利用微軟硬件兼容性檢查網(wǎng)址和系統(tǒng)安裝CD-ROM自帶的檢查工具的檢測結(jié)果與系統(tǒng)推薦的標(biāo)準(zhǔn)之間的差別。如果不能達到推薦的最低標(biāo)準(zhǔn)，則給出相應(yīng)的處理方法。項目實訓(xùn)2.磁盤分區(qū)及格式化1.實訓(xùn)目的掌握WindowsServer2003安裝程序自帶的分區(qū)及格式化功能，了解PQMagic等第三方的磁盤分區(qū)工具的使用。2.設(shè)備和工具WindowsServer2003的CD-ROM安裝光盤；PQMagic磁盤分區(qū)軟件。3.實訓(xùn)內(nèi)容及要求將磁盤分成3個分區(qū)，分別為“C”、“D”和“E”分區(qū)，“C”分區(qū)的大小為3GB，文件系統(tǒng)采用NTFS格式，完全格式化該分區(qū)；“D”分區(qū)大小為2GB，文件系統(tǒng)采用NTFS格式，完全格式化該分區(qū)；“E”分區(qū)大小為3GB，文件系統(tǒng)采用FAT32格式，快速格式化分區(qū)。4.實訓(xùn)總結(jié)總結(jié)在磁盤分區(qū)中的注意事項，分析如何分區(qū)以及設(shè)置分區(qū)格式。項目實訓(xùn)3.系統(tǒng)安全補丁安裝1.實訓(xùn)目的熟悉微軟WindowsUpdate和自動更新的使用方法，掌握ServicePack補丁和Hotfix補丁的安裝技能。2.設(shè)備和工具WindowsUpadate、自動更新工具及/downloads/站點。3.實訓(xùn)內(nèi)容及要求（1