win2012版-项目13 使用安全策略和防火墙构筑访问安全

2020年1月30日星期四第1页WindowsServer2012R2网络组建项目化教程WindowsServer2012R2网络组建项目化教程课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)主编：夏笠芹“十二五”职业教育国家规划教材教材资源清单资源下载地址：=1262020年1月30日星期四第2页WindowsServer2012R2网络组建项目化教程为了减少网络攻击行为的威胁,保障服务器的安全,迅达公司网络管理员小刘,采取了以下措施来加固服务器:对WindowsServer2012R2本身安装了最新的补丁程序修复系统漏洞;设置帐户策略以防止密码被盗;添加审核策略来跟踪资源访问者;启用并配置WindowsServer2012R2自带的防火墙对进、出服务器的数据包进行筛选。项目背景项目13使用安全策略和防火墙实现访问安全2020年1月30日星期四第3页WindowsServer2012R2网络组建项目化教程知识目标了解：安全策略的含义；熟悉：安全策略掌握：常见安全策略的配置，高级安全Windows防火墙的配置能力目标会进行账户策略、审核策略的安全设置会进行用户权限分配、安全选项的安全设置会进行Windows防火墙入站和出站规则的配置教学目标项目13使用安全策略和防火墙实现访问安全2020年1月30日星期四第4页WindowsServer2012R2网络组建项目化教程13.2项目知识准备13.2.1安全策略及类型安全策略(securitypolicy)规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则。合理运用和设定安全策略,可以使计算机受到的安全威胁大大降低。根据影响范围的不同,WindowsServer2012R2支持以下4种类型的安全策略:本地安全策略:实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和IP安全策略。域控制器安全策略:实现域控制器的安全。域安全策略:实现整个域的安全。组策略:实现整个网络的安全。2020年1月30日星期四第5页WindowsServer2012R2网络组建项目化教程13.2项目知识准备13.2.2认识高级安全Windows防火墙高级安全Windows防火墙(简称WFAS)。WFAS的优势有：●支持双向保护,可以对出站、入站通信进行过滤。●实现了更高级的出站和入站规则(防火墙规则)的创建与配置。●它将防火墙和Internet协议安全(IPSec)功能实现了集成。用户可以设置连接安全规则请求或要求计算机在通信之前互相进行身份验证,还可以配置通信时的密钥交换、数据保护(完整性和加密)。2020年1月30日星期四第6页WindowsServer2012R2网络组建项目化教程13.3项目实施任务13-1帐户策略的设置1.密码策略设置步骤如下：步骤1～步骤72020年1月30日星期四第7页WindowsServer2012R2网络组建项目化教程任务13-1帐户策略的设置2.帐户锁定策略的设置账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。设置账户锁定策略的步骤如下：步骤1～步骤42020年1月30日星期四第8页WindowsServer2012R2网络组建项目化教程任务13-2审核策略的设置审核就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。配置审核策略就是确定把哪些事件写入计算机的安全日志中。审核策略说明审核策略更改是否对用户权限分配策略、审核策略或信任策略的更改进行审核审核登录事件是否审核此策略应用到的系统中发生的登录和注销事件审核对象访问是否审核用户访问某个对象(如文件、文件夹、注册表项、打印机)的事件审核帐户登录事件是否审核在这台计算机用于验证帐户时,用户登录到其他计算机或者从其他计算机注销的每个实例审核系统事件是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件2020年1月30日星期四第9页WindowsServer2012R2网络组建项目化教程任务13-2审核策略的设置审核策略设置步骤：步骤1～步骤62020年1月30日星期四第10页WindowsServer2012R2网络组建项目化教程任务13-3用户权限分配的设置用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限控制为谁授予登录计算机的权限以及他们的登录方式，比如拒绝本地登录、允许本地登录等；特权控制对计算机上系统范围的资源的访问，比如关闭系统、更改系统时间等。2020年1月30日星期四第11页WindowsServer2012R2网络组建项目化教程任务13-3用户权限分配的设置用户权限名称说明从网络访问此计算机默认情况下任何用户均可从网络访问计算机，根据实际需要可以撤销某组账户从网络访问的权限。拒绝从网络访问这台计算机有些用户只在本地使用，不允许通过网络访问此计算机，就可以将此用户加入到该策略中。允许在本地登录此登录权限确定了可交互式登录到该计算机的用户，通过在连接的键盘上按Ctrl+Alt+Del组合键启动登录，该操作需要用户拥有此登录权限。另外，一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。拒绝本地登录此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约，则此策略设置将取代允许本地登录策略。关闭系统让普通用户具有关闭计算机的权限。表13-2常用的用户权限分配2020年1月30日星期四第12页WindowsServer2012R2网络组建项目化教程任务13-3用户权限分配的设置用户权限分配的设置步骤如下：进入【本地安全策略】窗口→在左窗格中展开【本地策略】→单击【用户权限分配】→在右窗格中双击【从网络访问此计算机】策略,打开【从网络访问此计算机属性】对话框,从此可以看出Everyone组也允许通过网络连接到此计算机,即网络中的所有用户都可以访问到这台计算机,基于安全的考虑,可以把Everyone组删除。单击【添加用户和组】/【删除】按钮,可以添加或删除具有从网络访问此计算机的用户和组2020年1月30日星期四第13页WindowsServer2012R2网络组建项目化教程任务13-4安全选项的设置在“安全选项”中的安全策略，是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项：安全选项名称说明关机：允许系统在未登录前关机正常情况下，只有登录系统后具有权限的用户才能关机，如果有时需要在未登录前关机，可将此策略启用账户：使用空白密码的本地账户只允许进行控制台登录密码为空的用户不能通过网络访问此计算机，此策略禁用后，密码为空的用户将不会受到限制。交互式登录：用户试图登录时消息文字该安全设置指定用户登录时显示的文本消息。使用该文本通常作用是用于警告。例如警告用户登录后哪些操作不被允许等。网络访问：不允许SAM账户和共享的匿名枚举禁止通过共享会话猜测管理员系统口令账户：来宾账户状态禁用来宾账户2020年1月30日星期四第14页WindowsServer2012R2网络组建项目化教程任务13-4安全选项的设置安全选项的设置步骤如下：步骤1～步骤42020年1月30日星期四第15页WindowsServer2012R2网络组建项目化教程任务13-5高级安全Windows防火墙的配置防火墙是通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络的功能组件。Windows防火墙工作在服务器的与外界连接的网络适配器、DSL适配器或者拨号调制解调器等接口上。防火墙将哪些数据包拒之门外,又允许哪些数据包通过,则取决于防火墙的配置。2020年1月30日星期四第16页WindowsServer2012R2网络组建项目化教程任务13-5高级安全Windows防火墙的配置1．更改网络位置的配置文件【开始】→【管理工具】→在打开的【管理工具】窗口中双击【高级安全Windows防火墙】,打开【高级安全Windows防火墙】窗口2020年1月30日星期四第17页WindowsServer2012R2网络组建项目化教程任务13-5高级安全Windows防火墙的配置2．入站规则的设置——非标准的8080端口访问防火墙所在的Web服务器。步骤1-步骤52020年1月30日星期四第18页WindowsServer2012R2网络组建项目化教程任务13-5高级安全Windows防火墙的配置3．出站规则的设置阻止当前服务器主机访问其他Web服务器的设置步骤1～步骤82020年1月30日星期四第19页WindowsServer2012R2网络组建项目化教程项目13使用安全策略和防火墙实现访问安全项目知识准备安全策略及类型认识高级安全Windows防火墙项目实施帐户策略的设置密码策略的设置账户锁定策略的设置审核策略的设置用户权限分配的设置安全选项的设置高级安全Windows防火墙的配置小结2020年1月30日星期四第20页WindowsServer2012R2网络组建项目化教程项目13使用安全策略和防火墙实现访问安全实训（交实训报告书）实训13安全策略与防火墙的配置习题（课堂小组活动）一、选择题：1～8二、简答题：作业