,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,网络安全运行与维护,模块一,Windows,桌面系统安全管理与维护,网络安全运行与维护 模块一,总体概述,为保护办公网络安全,公司的信息中心希望通过设置文件的访问权限来保护公司文件服务器的安全,保证网络中每类用户拥有不同的权限级别,享受不同等级的文件共享资源。为了使系统能健康运行,信息中心在每台计算机中都启用了防火墙,设置了桌面系统运行策略,并针对每个文件及文件夹采取了加密措施。这些措施保证了公司各类人员都有自己的权限,他们在不同级别的安全策略上运行,可以访问不同级别的加密文件。为了实现以上目标,信息中心需要设置以下策略。,使用网络安全访问权限,加强,Windows,主机的管理,使用防火墙规则,加强,Windows,桌面系统的防御,使用文件加密系统,加强,Windows,文件系统的安全,使用本地安全策略,加强,Windows,主机的整体防御,使用安全审计,,,加强,Windows,主机的安全维护,总体概述为保护办公网络安全,公司的信息中心希望通过设置文件的,能力单元,4,使用本地安全策略加强,windows,主机的整体防御,能力单元4使用本地安全策略加强windows主机的整体防御,了解本地安全策略的使用方法,配置本地安全策略,第,4,页,任务目标,第4页 任务目标,南天公司的办公网计算机都使用,Windows,操作系统,没有设置本地安全策略,部门之间通过办公网传输数据易遭到网络攻击。为了保障桌面系统的数据安全,公司要求在每台计算机的,Windows,系统中设置本地安全策略。,第,5,页,任务描述,南天公司的办公网计算机都使用Windows操作系统,没有设置,在,Windows,操作系统中,可以通过设置以下策略来加强系统安全。,禁止枚举账号。,指派本地用户权限。,IP,策略。,密码安全。,第,6,页,任务分析,第6页 任务分析,禁用枚举账号的意义,一般来说,黑客攻击入侵,大部分利用漏洞,然后提升权限,成为管理员,这一切都跟用户帐号紧密相连。一般的黑客要攻击,Windows 2000/XP,等系统,必须要知道账号和密码。而账号更为关键,那么如何来避免这种情况的发生呢?我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。,第,7,页,相关知识,禁用枚举账号的意义第7页 相关知识,指派本地用户权,限,在本地安全策略中可以指派本地用户的权,限,设置哪些用户组可以登录到此终端,设置哪些用户组或者用户不能登录到此终端中,设置哪些用户组或者用户可以关闭此计算机等等。,第,8,页,相关知识,指派本地用户权限第8页 相关知识,IP,安全,策略,IP,安全策略是一个用于通信分析的策略,它将通信内容与设置好的规则进行比较,判断通信是否与预期相吻合,然后决定是否允许通信,。,IP,安全策略弥补了传统,TCP/IP,设计上的“随意信任”安全漏洞,可以更仔细、更精确地实现,TCP/IP,安全。当配置好,IP,安全策略后,就相当于拥有了一个免费且功能完善的个人防火墙系统。,第,9,页,相关知识,IP安全策略第9页 相关知识,密码安全,弱口令:是指仅包含简单数字和字母的口令。,密码长度:密码字符的长度。,密码复杂性:密码由大小写字母,数字,特殊字符组成。,密码生存周期:也被称为密码有效期。,强制密码历史:强制密码历史是指如果要更改密码,则密码不能之前设置过的几个密码,。,第,10,页,相关知识,密码安全 第10页 相关知识,第,11,页,任务实施,搭建网络环境,第11页 任务实施搭建网络环境,步骤,1,实验准备,在,SERVER,和,PC,上安装,WindowsXP,操作系统。,按照拓扑图连接网络,配置计算机的,IP,地址,,并测试网络的连通性,第,12,页,任务实施,步骤1实验准备第12页 任务实施,步骤,2,创建系统账户,在,SERVER,上,创建用户(,Bob,、,Mary,和,Tim,)和组(,Sales,、,Manager,和,Engineer,),并将用户分别加入相应组中。,在,SERVER,上开启远程桌面功能,并添加远程用户,Bob,、,Mary,和,Tim,。,第,13,页,任务实施,步骤2创建系统账户第13页 任务实施,步骤,3,禁止枚举账号,在,SERVER,上,创建共享文件夹,在计算机,SERVER,上,打开“本地安全设置”窗口,展开“本地策略”。,第,14,页,任务实施,步骤3禁止枚举账号第14页 任务实施,步骤,3,禁止枚举账号,双击“网络访问:不允许,SAM,账户和共享的匿名枚举”选项,打开属性对话框,选中“已启用”。,在,PC,上,再次通过匿名访问共享文件夹,第,15,页,任务实施,步骤3禁止枚举账号第15页 任务实施,步骤,4,指派本地用户权限,第,1,步:指派本地用户权限,配置所有用户具有从网络访问这台计算机。,第,16,页,任务实施,步骤4指派本地用户权限第16页 任务实施,步骤,4,指派本地用户权限,第,1,步:指派本地用户权限,配置,Engineer,组具有“拒绝从网络访问这台计算机”的权限。,只允许管理员、,mary,和,bob,具有“关闭系统”的权限。,允许用户,Mary,远程关闭计算机。,重新启动计算机,SERVER,。,第,17,页,任务实施,步骤4指派本地用户权限第17页 任务实施,步骤,4,指派本地用户权限,第,2,步:测试指派用户权限,用户,tim,不能访问共享文件,用户,bob,和,mary,能够访问共享文件。,用户,tim,不能在本地关闭计算机,用户,bob,和,mary,能在本地关闭计算机。,用户,bob,不能远程关闭计算机,用户,mary,能远程关闭计算机。,第,18,页,任务实施,步骤4指派本地用户权限第18页 任务实施,步骤,5,配置,IP,安全策略,第,1,步:测试网络共享,PC,能够访问,SERVER,的网络共享。,测试,445,和,139,端口连接。,第,19,页,任务实施,步骤5配置IP安全策略第19页 任务实施,步骤,5,配置,IP,安全策略,第,2,步:创建,IP,安全策略,在,SERVER,上,进入,IP,安全策略向导界面。,第,20,页,任务实施,步骤5配置IP安全策略第20页 任务实施,步骤,5,配置,IP,安全策略,第,2,步:创建,IP,安全策略,进入“,IP,安全策略名称”界面,输入名称。,第,21,页,任务实施,步骤5配置IP安全策略第21页 任务实施,步骤,5,配置,IP,安全策略,第,2,步:创建,IP,安全策略,配置安全通信请求,保持默认值。,完成,IP,安全策略向导。,第,22,页,任务实施,步骤5配置IP安全策略第22页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,打开“管理,IP,筛选器表和筛选器操作”窗口。,第,23,页,任务实施,步骤5配置IP安全策略第23页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,打开“,IP,筛选器列表”对话框,输入名称。,第,24,页,任务实施,步骤5配置IP安全策略第24页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,打开,IP“,筛选器向导”对话框,在“源地址”下拉列表框中选择“任何,IP,地址”。,第,25,页,任务实施,步骤5配置IP安全策略第25页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,进入,IP,通信目标设置界面,在“目标地址”下拉列表框中选择“我的,IP,地址”。,第,26,页,任务实施,步骤5配置IP安全策略第26页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,进入,IP,协议类型设置界面,在“选择协议类型”下拉列表框中选择“,TCP”,。,第,27,页,任务实施,步骤5配置IP安全策略第27页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,进入,IP,协议端口设置界面,设置端口信息。,第,28,页,任务实施,步骤5配置IP安全策略第28页 任务实施,步骤,5,配置,IP,安全策略,第,3,步:添加,IP,筛选器列表,添加对,445,端口访问的,IP,筛选器表。,第,29,页,任务实施,步骤5配置IP安全策略第29页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,选择“管理筛选器操作”选项卡。,第,30,页,任务实施,步骤5配置IP安全策略第30页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,进入筛选器操作向导。,第,31,页,任务实施,步骤5配置IP安全策略第31页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,输入筛选器操作名称。,第,32,页,任务实施,步骤5配置IP安全策略第32页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,进入设置筛选器操作的行为界面,选中“阻止”单选按钮。,第,33,页,任务实施,步骤5配置IP安全策略第33页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,完成筛选器的添加。,第,34,页,任务实施,步骤5配置IP安全策略第34页 任务实施,步骤,5,配置,IP,安全策略,第,4,步:添加筛选器操作,查看新建的“屏蔽网络共享”策略。,第,35,页,任务实施,步骤5配置IP安全策略第35页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,打开“屏蔽网络共享属性”对话框。,第,36,页,任务实施,步骤5配置IP安全策略第36页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,打开“安全规则向导”对话框。,第,37,页,任务实施,步骤5配置IP安全策略第37页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,选中“此规则不指定隧道”单选按钮。,第,38,页,任务实施,步骤5配置IP安全策略第38页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,选中“所有网络连接”单选按钮。,第,39,页,任务实施,步骤5配置IP安全策略第39页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,在“,IP,筛选器列表”中,选中“连接,139,和,445,端口”单选按钮。,第,40,页,任务实施,步骤5配置IP安全策略第40页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,在“筛选器操作”列表框中,选中“阻止访问”单选按钮。,第,41,页,任务实施,步骤5配置IP安全策略第41页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,完成,IP,策略的配置。,第,42,页,任务实施,步骤5配置IP安全策略第42页 任务实施,步骤,5,配置,IP,安全策略,第,5,步:添加安全规则,右击“屏蔽本地网络共享”策略,选择快捷菜单“指派”选项,完成策略指派。,第,43,页,任务实施,步骤5配置IP安全策略第43页 任务实施,步骤,5,配置,IP,安全策略,第,6,步:测试,IP,策略,PC,无法访问,SERVER,的网络共享。,测试,139,和,445,端口连接。,第,44,页,任务实施,步骤5配置IP安全策略第44页 任务实施,步骤,6,设置密码策略,第,1,步:设置密码策略,打开“本地安全设置”窗口,展开“账户策略”,-“,密码策略”节点。,打开“本地安全设置”窗口,展开“账户策略”,-“,密码策略”节点。,启用“密码必须符合复杂性要求”选项。,设置“密码长度最小值”选项。,设置“密码最长使用期限”选项。,设置“密码最短使用期限”选项。,第,45,页,任务实施,步骤6设置密码策略第45页 任务实施,步骤,6,设置密码策略,第,1,步:设置密码策略,设置“强制密码历史”选项。,设置“用可还原的加密来储存密码”选项,第,46,页,任务实施,步骤6