windows-2003组策略与安全配置.pptVIP

第8章 组策略与安全配置 本章要点 ●组策略可实现的功能与基本配置 ●帐户策略、用户指派权利、使用组策略部署软件? ●安全模板、安全配置和分析、安全配置向导 ●Windows防火墙 ●IP安全策略 ●证书服务 目 录 8.1 组策略概述 8.2 组策略的基本配置与实例 8.3 使用组策略配置用户环境 8.4 使用组策略部署软件? 综合实训案例7：Windows Server 2003服务器安全配置——本地安全策略 8.5 安全配置和分析 8.6 安全配置向导 8.7 Windows Server 2003防火墙 8.8 IP安全设置 8.9 证书服务 综合实训8: 安全配置 步骤（3）配置本地策略之用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 步骤（4）配置本地策略之安全选项 交互式登录：不显示上次的用户名　　　　　　启用 网络访问：不允许SAM帐户和共享的匿名枚举　 启用 网络访问：不允许为网络身份验证储存凭证　　启用 网络访问：可匿名访问的共享　　　　　　　　全部删除 网络访问：可匿名访问的命　　　　　　　　　全部删除 网络访问：可远程访问的注册表路径　　　　　全部删除 网络访问：可远程访问的注册表路径和子路径　全部删除 不需要按CTRL+ALT+DEL 更改为“已启用” 帐户：重命名来宾帐户　　　　　　　　　　　重命名一个帐户 帐户：重命名系统管理员帐户　　　　　　　　重命名一个帐户 步骤（5）安全策略自动更新命令：GPUpdate/force (应用组策略自动生效不需重新启动) 综合实训案例7 操作2:部署软件 步骤（1）安装活动目录，域为，将“Windows Server 2003管理工具包”程序Adminpak.msi从安装光盘复制到c:\windows\sysvol（活动目录默认共享文件夹）。 步骤（2）在【Active Directory用户和计算机】中，右击，选择【属性】命令，打开【属性】对话框，切换到【组策略】选项卡，新建组策略对象，命名为software。 步骤（3）选择software，单击【编辑】按钮，打开【组策略编辑器】对话框，展开【软件安装】项，右击【软件安装】，选择【属性】命令，打开【软件安装属性】对话框，在【默认程序包位置】文本框中输入“\\计算机名\共享文件夹名”，单击【确定】按钮。 步骤（4）右击【软件安装】，选择【新建】|【程序包】命令，在【打开】对话框中，选择Adminpak.msi文件。运行GPUpdate /force更新命令安全策略。 步骤（5）在工作站中使用【添加/删除程序】窗口中的【添加新程序】按钮，选择【从网络添加程序】下的Windows Server 2003管理工具包（Adminpak.msi）程序进行安装。 综合实训案例7 1.安全配置和分析 Windows Server 2003系统提供的【安全配置和分析】管理工具，它的主要作用是对本地系统的安全性进行分析和配置。 “安全分析”可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析，从而找出系统安全的薄弱环节。 “安全配置”可以用于直接配置本地系统的安全性。利用个人数据库，可以导入由“安全模板”创建的安全模板，并将这些模板应用于本地计算机，这将立即使用模板中指定的级别配置系统安全性，从而轻松地掌控系统的安全。 2.安全模板 安全配置提供了可以应用的预配置的安全设置组，它是将除“Internet协议”安全和公用密钥策略之外的所有安全属性组织在一起以便于安全管理。每个模板都是基于文本的.inf 文件，这些文件位于系统根目录的\Security\Templates。 8.5.1【安全配置和分析】管理工具 默认的安全模板 按不同的安全级别分为兼容、安全或高级安全设置三类。 8.5 安全配置和分析 8.5.1【安全配置和分析】管理工具 兼容模板 (compatws.inf) 安全设置模板 高级安全模板 域控制器默认安全设置模板(securedc.inf) 工作站默认安全设置模板(securews.inf) 默认安全设置模板(Setup security.inf) 系统根目录安全模板(Rootsec.inf) 无终端服务器用户SID模板(Notssid.inf) 查看安全模板的操作步骤： 在打开mmc控制台窗口中，添加管理单元【安全模板】，在此可以查看各种安全模板的配置。 定义安全模板的操作步骤： 在打开的【安全模板】控制台，右键单击要存储新模板的文件夹，单击【新加模板】命令，在【模板名】中键入新建安全模板的名称，在【描述】中