第十講(一)域的安全策略ppt課件

1、平安戰(zhàn)略本章目的本章運(yùn)用域的平安戰(zhàn)略，加強(qiáng)了域環(huán)境平安性 了解本地平安戰(zhàn)略 了解域控制器平安戰(zhàn)略 了解域平安戰(zhàn)略 掌握密碼戰(zhàn)略 掌握賬戶鎖定戰(zhàn)略 掌握審核戰(zhàn)略密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 概念運(yùn)用舉例 本章構(gòu)造平安戰(zhàn)略三種平安戰(zhàn)略的關(guān)系域帳戶戰(zhàn)略運(yùn)用審核文件及文件夾本地平安戰(zhàn)略帳戶戰(zhàn)略本地戰(zhàn)略 域控制器平安戰(zhàn)略域平安戰(zhàn)略審核戰(zhàn)略用戶權(quán)限分配平安選項(xiàng)本地平安戰(zhàn)略 本地平安戰(zhàn)略影響本計(jì)算機(jī)的平安設(shè)置本地平安戰(zhàn)略主要包含帳戶戰(zhàn)略本地戰(zhàn)略賬戶戰(zhàn)略2-1 密碼戰(zhàn)略 密碼必需符合復(fù)雜性要求密碼長度最小值 密碼最長運(yùn)用期限 密碼最短運(yùn)用期限 強(qiáng)迫密碼歷史 用可復(fù)原的加密來存儲(chǔ)密碼 賬戶鎖定戰(zhàn)略 賬戶鎖定閾值 賬戶鎖

2、定時(shí)間 復(fù)位賬戶鎖定計(jì)數(shù)器 賬戶戰(zhàn)略2-2 帳戶戰(zhàn)略舉例 在獨(dú)立的計(jì)算機(jī)上要讓賬戶的密碼長度最小為8，賬戶假設(shè)延續(xù)3次輸錯(cuò)密碼就會(huì)被鎖定 步驟1單擊【開場(chǎng)】|【程序】|【管理工具】|【本地平安戰(zhàn)略】，展開【賬戶戰(zhàn)略】|【密碼戰(zhàn)略】2雙擊“密碼長度最小值，輸入“83在【賬戶鎖定戰(zhàn)略】中，雙擊“賬戶鎖定閾值，輸入“34在【開場(chǎng)】|【運(yùn)轉(zhuǎn)】中，輸入“gpupdate刷新本計(jì)算機(jī)的本地平安戰(zhàn)略或者重啟計(jì)算機(jī)5更改管理員賬戶administrator密碼，檢驗(yàn)?zāi)芊駥⒚艽a修正成小于8位長度的密碼6退出系統(tǒng)，運(yùn)用普通賬戶登錄，故意輸錯(cuò)密碼3次，該賬戶就會(huì)被鎖定本地戰(zhàn)略3-1 審核戰(zhàn)略能否在平安日志中記錄登錄

3、用戶的操作事件 用戶權(quán)限分配如封鎖系統(tǒng)更該系統(tǒng)時(shí)間回絕本地登錄允許在本地登錄 平安選項(xiàng)控制一些和操作系統(tǒng)平安相關(guān)的設(shè)置 本地戰(zhàn)略3-2 用戶權(quán)限分配舉例作為效力器的計(jì)算機(jī)不能讓普通用戶交互式登錄在本地登錄 步驟:1單擊【開場(chǎng)】|【程序】|【管理工具】|【本地平安戰(zhàn)略】，展開【本地戰(zhàn)略】|【用戶權(quán)限分配】2雙擊“允許在本地登錄，刪除“Power Users和“Users3在【開場(chǎng)】|【運(yùn)轉(zhuǎn)】中，輸入“gpupdate刷新本計(jì)算機(jī)的本地平安戰(zhàn)略或者重啟計(jì)算機(jī)4退出系統(tǒng)，運(yùn)用普通賬戶登錄，檢驗(yàn)?zāi)芊竦卿洷镜貞?zhàn)略3-3 平安選項(xiàng)舉例在獨(dú)立的計(jì)算機(jī)上要讓用戶在登錄前(Ctrl+Alt+Delete后)，必

4、需閱讀公司運(yùn)用計(jì)算機(jī)的本卷須知步驟:1展開【本地戰(zhàn)略】|【平安選項(xiàng)】2在以下選項(xiàng)中輸入提示信息交互式登錄：用戶試圖登錄時(shí)音訊標(biāo)題交互式登錄：用戶試圖登錄時(shí)音訊文字3刷新本地平安戰(zhàn)略4驗(yàn)證 階段總結(jié)本地平安戰(zhàn)略主要包含賬戶戰(zhàn)略和本地戰(zhàn)略 密碼戰(zhàn)略包含哪些選項(xiàng)賬戶鎖定戰(zhàn)略哪些選項(xiàng)本地戰(zhàn)略有哪幾部分域控制器平安戰(zhàn)略2-1 域控制器平安戰(zhàn)略與本地平安戰(zhàn)略的區(qū)別影響的計(jì)算機(jī)前者影響DC后者影響非DC翻開方式【域控制器平安戰(zhàn)略】【本地平安戰(zhàn)略】帳戶戰(zhàn)略中有何異同前者有Kerberos戰(zhàn)略與域用戶賬戶的登錄有關(guān) 域控制器平安戰(zhàn)略2-2 域控制器平安戰(zhàn)略運(yùn)用舉例某個(gè)普通域賬戶需求在DC上登錄步驟1翻開【域控制

5、器平安戰(zhàn)略】|【平安 設(shè)置】|【本地戰(zhàn)略】|【用戶權(quán)限分配】，雙擊【允許在本地登錄】，添加需求在DC上登錄的用戶帳戶2刷新域控制器平安戰(zhàn)略3驗(yàn)證該普通用戶能否在DC上登錄 域平安戰(zhàn)略3-1 可以影響整個(gè)域中的計(jì)算機(jī)的平安設(shè)置 翻開方式【域平安戰(zhàn)略】帳戶戰(zhàn)略密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 Kerberos 戰(zhàn)略本地戰(zhàn)略域平安戰(zhàn)略3-2三種平安戰(zhàn)略的關(guān)系成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí)，域平安戰(zhàn)略生效域控制器和域的設(shè)置項(xiàng)沖突時(shí)，域控制器平安戰(zhàn)略生效本地平安戰(zhàn)略域控制器平安戰(zhàn)略域平安戰(zhàn)略域平安戰(zhàn)略3-3 舉例驗(yàn)證以本地選項(xiàng)的設(shè)置項(xiàng)為例交互式登錄：用戶試圖登錄時(shí)音訊標(biāo)題 交互式登錄：用戶試圖登錄時(shí)音訊文字成員計(jì)算機(jī)

6、與域的對(duì)比域控制器與域的對(duì)比域賬戶戰(zhàn)略運(yùn)用 帳戶戰(zhàn)略設(shè)置需求域賬戶密碼長度至少7個(gè)字符密碼符合復(fù)雜性要求密碼至少30天修正一次設(shè)置密碼鎖定戰(zhàn)略：輸入5次密碼不正確就鎖定該用戶帳戶實(shí)施步驟 1單擊【開場(chǎng)】|【程序】|【管理工具】|【域平安戰(zhàn)略】2設(shè)置【賬戶戰(zhàn)略】的【密碼戰(zhàn)略】和【賬戶鎖定戰(zhàn)略】3設(shè)置終了，刷新域平安戰(zhàn)略4修正某個(gè)賬戶的密碼，驗(yàn)證密碼戰(zhàn)略能否起作用 5運(yùn)用某個(gè)域賬戶登錄，故意輸錯(cuò)密碼，看幾次后賬戶被鎖定階段練習(xí)背景某些員工設(shè)置密碼長度很短，而且不符合復(fù)雜性要求密碼很久也不修正有時(shí)會(huì)發(fā)生非法用戶試探員工密碼目的密碼戰(zhàn)略設(shè)置賬戶鎖定戰(zhàn)略設(shè)置密碼戰(zhàn)略的驗(yàn)證賬戶鎖定戰(zhàn)略驗(yàn)證如何給賬戶解鎖審

7、核文件及文件夾 審核戰(zhàn)略審核文件及文件夾 事件查看器審核戰(zhàn)略 常用審核戰(zhàn)略審核事件說明賬戶登錄事件審核域用戶從域中的計(jì)算機(jī)登錄時(shí)，域控制器收到的驗(yàn)證信息登錄事件審核所有計(jì)算機(jī)用戶的登錄和注銷事件對(duì)象訪問審核用戶訪問某個(gè)對(duì)象的事件，例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等賬戶管理審核計(jì)算機(jī)上的每一個(gè)帳戶管理事件，包括：創(chuàng)建、更改或刪除用戶帳戶或組； 重命名、禁用或啟用用戶帳戶；設(shè)置或更改密碼目錄服務(wù)訪問審核用戶訪問活動(dòng)目錄對(duì)象的事件系統(tǒng)事件審核用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者對(duì)系統(tǒng)安全或安全日志有影響的事件審核文件及文件夾 步驟啟用對(duì)象訪問審核戰(zhàn)略設(shè)置需求審核 的文件或文件夾事件查看器2-1 運(yùn)用程序

8、運(yùn)用程序或系統(tǒng)程序記錄的事件 平安性登錄嘗試以及記錄與資源運(yùn)用相關(guān)的事件 系統(tǒng)Windows 系統(tǒng)組件記錄的事件 安裝了其他效力那么能夠會(huì)添加日志類型目錄效力文件復(fù)制效力DNS 效力器事件查看器2-2事件類型錯(cuò)誤:紅色警告:黃色信息:白色勝利審核:鑰匙失敗審核: 鎖保管日志審核文件或文件夾的實(shí)現(xiàn)步驟 1啟用域或者本機(jī)的審核戰(zhàn)略中的審核對(duì)象訪問戰(zhàn)略，并刷新戰(zhàn)略2在文件或文件夾的【平安】屬性|【高級(jí)】|【審核】中，添加要審核的賬戶及詳細(xì)的審核工程3運(yùn)用用戶訪問該文件夾或者文件4運(yùn)用【事件查看器】，檢查能否有用戶訪問的記錄。階段總結(jié)本地平安戰(zhàn)略、域控制器平安戰(zhàn)略和域平安戰(zhàn)略之間的關(guān)系 域賬戶戰(zhàn)略如何

9、加強(qiáng)域賬戶的平安性審核戰(zhàn)略包含哪些內(nèi)容審核文件及文件夾主要步驟有哪些 階段練習(xí)背景BENET公司需求審核員工對(duì)效力器上某文件夾的訪問情況目的審核戰(zhàn)略文件夾或者文件的【平安】|【高級(jí)】|【審核】屬性設(shè)置運(yùn)用【事件查看器】本章總結(jié)密碼戰(zhàn)略帳戶鎖定戰(zhàn)略 概念運(yùn)用舉例 平安戰(zhàn)略三種平安戰(zhàn)略的關(guān)系域帳戶戰(zhàn)略運(yùn)用審核文件及文件夾本地平安戰(zhàn)略帳戶戰(zhàn)略本地戰(zhàn)略 域控制器平安戰(zhàn)略域平安戰(zhàn)略審核戰(zhàn)略用戶權(quán)限分配平安選項(xiàng)密碼必需符合復(fù)雜性要求密碼長度最小值 密碼最長運(yùn)用期限 密碼最短運(yùn)用期限 強(qiáng)迫密碼歷史 賬戶鎖定閾值 賬戶鎖定時(shí)間 復(fù)位賬戶鎖定計(jì)數(shù)器 了解域控制器平安戰(zhàn)略與本地平安戰(zhàn)略的區(qū)別成員計(jì)算機(jī)和域的設(shè)置項(xiàng)沖突時(shí)，域平安戰(zhàn)略生效域控制器和域的設(shè)置項(xiàng)沖突時(shí)，域控制器平安戰(zhàn)略生效1啟用域?qū)徍藨?zhàn)略中的審核對(duì)象訪問戰(zhàn)略，并刷新戰(zhàn)略2添加文件夾的審核工程3用戶訪問文件夾4運(yùn)用事件查看器實(shí)驗(yàn)義務(wù)1 域賬戶戰(zhàn)略運(yùn)用 義務(wù)2 審核文件夾 義務(wù)1 域賬戶戰(zhàn)略運(yùn)用 背景某些員工設(shè)置密碼長度很短而且不符合復(fù)雜性要求密碼很久也不修正有時(shí)會(huì)發(fā)生非法用戶試探員工密碼完成規(guī)范設(shè)置密碼戰(zhàn)略：密碼長度最小值為7、密碼必需符合復(fù)雜性要求、密碼運(yùn)用最長期限3