安全管理防病毒.ppt

回顾 如何创建、管理域用户账户？ 如何创建、管理、委派OU？ AGDLP规则含义是什么？ 本章目标 了解安全策略的类型 掌握域安全策略的配置 掌握域控制器安全策略的配置 了解计算机病毒的定义、种类及防范 了解Symantec企业版防病毒软件的安装、部署和策略应用 （自主练习）实练案例-安装防病毒软件 需求描述： 安装Symantec系统中心 利用Symantec系统中心远程为另一台安装防病毒服务器 利用Symantec系统中心远程为最后一台计算机安装客户端 注：自由选取一款服务器版杀毒软件，测试其使用方法。 主要内容 一、安全策略 Windows Server 2003安全策略简介 本地安全策略 强化单机系统的安全性 域控制器计算机不能设置本地安全策略 只对本机有效 域安全策略 强化整域内所有计算机的安全性 域控制器策略 强化域内所有域控制器计算机的安全性 只能在域控制器计算机上设置 域安全策略 影响整个域中计算机的安全设置 打开方式 单击“开始”→“程序”→“管理工具”→“域安全策略” 包含两个策略 帐户策略 本地策略 帐户策略 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码 帐户锁定策略 帐户锁定阈值 帐户锁定时间 复位帐户锁定计数器 Kerberos策略 帐户策略举例 实现目标 域帐户密码长度最小为10，连续3次输错，帐户被锁定 步骤 （1）单击“开始”→“程序”→“管理工具”→“域安全策略” （2）选择“帐户策略”→“密码策略”，设置相应参数。 （3）选择“帐户策略”→“帐户锁定策略”，设置相应参数。 （4）设置完毕，刷新域安全策略。 （5）修改某个帐户的密码，验证密码策略是否起作用。 （6）使用域帐户登录测试 本地策略 审核策略 是否在安全日志中记录登录用户的操作事件 用户权限分配 关闭系统 更改系统时间 拒绝本地登录 允许在本地登录 安全选项 控制一些和操作系统安全相关的设置 本地策略应用举例 用户权限分配 授予某用户向域中添加工作站的权限 步骤 （1）单击“开始”→“程序”→“管理工具”→“域安全策略”，展开“本地策略”→“用户权限分配” （2）双击“域中添加工作站”，添加相应的帐户 （3）在“开始”→“运行”中，输入“gpupdate”（4）测试 主要内容 一、安全策略 二、审核文件夹及文件 审核文件及文件夹 审核策略 审核文件及文件夹 事件查看器 审核策略 常用审核策略 审核文件及文件夹 步骤 打开本地安全策略 启用对象访问审核策略 设置需要审核的文件或文件夹 事件查看器2-1 应用程序日志 应用程序或系统程序记录的事件 安全性日志 登录尝试以及记录与资源使用相关的事件 系统日志 Windows 系统组件记录的事件 安装了其他服务则可能会增加日志类型 目录服务 文件复制服务 DNS 服务器 事件查看器2-2 事件类型 错误:红色 警告:黄色 信息:白色 成功审核:钥匙 失败审核: 锁 保存日志 审核文件或文件夹的实现步骤 （1）启用域或者本机的审核策略中的审核对象访问策略，并刷新策略。 （2）文件夹或者文件的“安全” →“高级”→“审核”中，添加审核账户及审核项目 （3）使用用户访问该文件夹或者文件 （4）使用“事件查看器”，查看“安全”日志 小结 Windows Server 2003可以设置那三个安全策略？ 密码策略包含哪些选项？ 帐户锁定策略哪些选项？ 本地策略有哪几部分？ 如何实现文件及文件夹审核？ 主要内容 一、安全策略 二、审核文件夹及文件 三、域控制器安全策略 域控制器安全策略 域控制器安全策略与本地安全策略的区别 影响的计算机 前者影响DC 后者影响非DC 打开方式 “开始”→“程序”→“管理工具”→“域控制器安全策略” 帐户策略中有何异同 前者有Kerberos策略 与域用户帐户的登录有关 域控制器安全策略应用举例 目标 某个普通域帐户需要在DC上登录 步骤 （1）打开“域控制器安全策略”→“安全设置”→“本地策略”→“用户权限分配”， （2）双击“允许在本地登录”，添加需要在DC上登录的用户帐户。 （3）在“开始”→“运行”中，输入“gpupdate” （4）验证该普通用户能否在DC上登录。 三种策略的关系 三种安全策略的关系 成员计算机和域的设置项冲突时，域安全策略生效 域控制器和域的设置项冲突时，域控制器安全策略生效 本地安全策略 域控制器安全策略 域安全策略 举例验证 验证 在客户机上域安全策略高于本地安全策略 在域控制器上域控制器安全策略高于域策略 以本地选项的设置项为例 交互式登录：用户试图登录时消息标题 交互