CHAP6安全策略.ppt

Chapter 第5章内容回顾 NTFS文件系统的特点 如何获得NTFS 移动和复制操作对权限的影响 AGDLP规则含义是什么 安全策略 第6章 安全策略 本章目标 本章应用域的安全策略，加强了域环境安全性 理解本地安全策略 理解域控制器安全策略 理解域安全策略 掌握密码策略 掌握账户锁定策略 掌握审核策略 本章结构 本地安全策略 本地安全策略影响本计算机的安全设置 本地安全策略主要包含 帐户策略 本地策略 账户策略2-1 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 账户锁定策略 账户锁定阈值 账户锁定时间 复位账户锁定计数器 账户策略2-2 帐户策略举例 在独立的计算机上要让账户的密码长度最小为8，账户如果连续3次输错密码就会被锁定 步骤 1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【账户策略】|【密码策略】 2）双击“密码长度最小值”，输入“8” 3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3” 4）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机） 5）更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码 6）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁定 本地策略3-1 审核策略 是否在安全日志中记录登录用户的操作事件 用户权限分配 如关闭系统 更该系统时间 拒绝本地登录 允许在本地登录 安全选项 控制一些和操作系统安全相关的设置 本地策略3-2 用户权限分配举例 作为服务器的计算机不能让普通用户交互式登录（在本地登录） 步骤: 1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【本地策略】|【用户权限分配】 2）双击“允许在本地登录”，删除“Power Users”和“Users” 3）在【开始】|【运行】中，输入“gpupdate”刷新本计算机的本地安全策略（或者重启计算机） 4）退出系统，使用普通账户登录，检验能否登录 本地策略3-3 安全选项举例 在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的注意事项 步骤: 1）展开【本地策略】|【安全选项】 2）在以下选项中输入提示信息 交互式登录：用户试图登录时消息标题 交互式登录：用户试图登录时消息文字 3）刷新本地安全策略 4）验证 阶段总结 本地安全策略主要包含账户策略和本地策略 密码策略包含哪些选项 账户锁定策略哪些选项 本地策略有哪几部分 域控制器安全策略2-1 域控制器安全策略与本地安全策略的区别 影响的计算机 前者影响DC 后者影响非DC 打开方式 【域控制器安全策略】 【本地安全策略】 帐户策略中有何异同 前者有Kerberos策略 与域用户账户的登录有关 域控制器安全策略2-2 域控制器安全策略应用举例 某个普通域账户需要在DC上登录 步骤 1）打开【域控制器安全策略】|【安全 设置】|【本地策略】|【用户权限分配】，双击【允许在本地登录】，添加需要在DC上登录的用户帐户 2）刷新域控制器安全策略 3）验证该普通用户能否在DC上登录 域安全策略3-1 可以影响整个域中的计算机的安全设置 打开方式 【域安全策略】 帐户策略 密码策略 帐户锁定策略 Kerberos 策略 本地策略 域安全策略3-2 三种安全策略的关系 成员计算机和域的设置项冲突时，域安全策略生效 域控制器和域的设置项冲突时，域控制器安全策略生效 本地安全策略 域控制器安全策略 域安全策略 域安全策略3-3 举例验证 以本地选项的设置项为例 交互式登录：用户试图登录时消息标题 交互式登录：用户试图登录时消息文字 域账户策略应用 帐户策略设置需求 域账户密码长度至少7个字符 密码符合复杂性要求 密码至少30天修改一次 设置密码锁定策略：输入5次密码不正确就锁定该用户帐户 实施步骤 1）单击【开始】|【程序】|【管理工具】|【域安全策略】 2）设置【账户策略】的【密码策略】和【账户锁定策略】 3）设置完毕，刷新域安全策略 4）修改某个账户的密码，验证密码策略是否起作用 5）使用某个域账户登录，故意输错密码，看几次后账户被锁定 阶段练习 背景 某些员工设置密码长度很短，而且不符合复杂性要求 密码很久也不修改 有时会发生非法用户试探员工密码 目标 密码策略设置 账户锁定策略设置 密码策略的验证 账户锁定策略验证 如何给账户解锁 审核文件及文件夹 审核策略 审核文件及文件夹 事件查看器 审核策略 审核文件及文件夹 事