WidowsServer安全管理.pptVIP

第16章 Windows Server 2003安全管理 本章学习目标 本章主要讲解Windows Server 2003服务器安全配置与管理，保证服务器自身安全，提供可靠服务。通过本章学习，读者应该掌握以下知识： Windows Server 2003安全策略； Windows Server 2003安全配置和分析； 管理安全性模板； Windows Server 2003安全性措施。 网络安全策略 网络安全策略主要包括两大部分，即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略，也是维护网络系统安全、保护网络资源的重要手段，用以保证网络资源不被非法使用和访问。信息加密策略保证数据传输中的安全，即保证数据完整性和机密性。各种安全策略相互配合才能实现对系统的全面保护。 16.1 Windows Server 2003安全策略 Windows Server 2003安全策略定义了用户在使用计算机、运行应用程序和访问网络等方面的行为，通过这些约束避免对网络安全性的有意或无意的伤害。 安全策略是一个事先定义好的一系列应用计算机的行为准则，应用这些安全策略保证用户有一致的工作方式，防止用户破坏计算机上的各种重要的配置，保护网络上的敏感数据。 在Windows Server 2003中安全策略分为“本地安全设置”和“组策略”两种。本地安全设置实现基于单个计算机的安全性，对于较小的企业或组织，或者是在网络中没有应用活动目录的网络，通常使用本地安全设置；而组策略可以在站点、OU（组织单元）或域的范围内实现，通常应用于较大规模并且实施活动目录的网络中。 16.2 Windows Server 2003安全配置和分析 (1) 打开“开始”/“管理工具”程序组，运行“本地安全设置”应用程序。在“本地安全设置”窗口的左侧的树型窗口中单击“+”号来扩展条目，如图16-1所示，进行相应的设置 16.2 Windows Server 2003安全配置和分析 (2) 16.2 Windows Server 2003安全配置和分析 (3) 例如，用户可以设置密码的安全策略，选中“账户策略”/“密码策略”，然后在右边的窗口中选择要设置的选项，如选中“密码长度最小值”，在这里可以设置密码的长度最少为8个字符。 又如，选择安全设置中的“本地策略”/“安全选项”，可以设置交互登录方式，如不需按CTRL+ALT+DEL组合键，如图16-2所示。双击该项目并设置成“已启用”即可。 16.2 Windows Server 2003安全配置和分析 (4) 16.3 管理安全性模板 (1) Windows Server 2003中包含了许多安全模板，分别适用于不同的安全需求。利用这些模板，用户可以简化策略的设定和实施操作。它们通常包含了大多数的安全设定，用户也可以按照需要继续配置，以适应一个具体网络的需要。Windows Server 2003提供了四种安全级别的模板：基本、兼容、安全和高度安全，它们存放在%SystemRoot%\security\templates文件夹中。 16.3 管理安全性模板 (2) 1．基本（Basic） 该级别的模板为Windows Server 2003定义的默认安全级别，可以用作基础配置。setup security.inf 模板文件是在安装期间针对每台计算机创建的。取决于所进行的安装是完整安装还是升级，该模板在不同的计算机中可能不同。Setup security.inf 代表了在安装操作系统期间所应用的默认安全设置，包括对系统驱动器的根目录的文件权限。它可以用在服务器或客户机上，但不能应用于域控制器。此模板的某些部分可应用于故障恢复。 16.3 管理安全性模板 (3) 2．兼容（Compatible） 提供比基本模板更高的安全级别，但仍然努力兼容标准的商用应用程序的所有功能，使之仍然可以有效的运行。该模板为兼容工作站或服务器模板，模板文件是compatws.inf。 16.3 管理安全性模板 (4) 3．安全（Secure） 当安全性被视为重要的考虑因素时应选用此类模板。这种模板提供多种安全性，可能会影响一些商用应用程序某些功能的运行。其中包括：安全的工作站或服务器模板securews.inf和安全的DC（域控制器）模板securedc.inf。 16.3 管理安全性模板 (5) 4．高度安全（high） 提供预定义下的最高安全性，安全性被视为首要考虑的因素时选用此类模板。该级别模板不会考虑应用程序是否会受到这些设定的影响，因此要慎重。模板包括高安全的工作站或服务器模板文件hisecdc.inf和高安全的DC模板文件hisecws.inf。 16.3 管理安全性模板 (6) 导入安全模板的步骤如下： 步