第一章安装和配置WindowsServer2003第四章域安全策略回顾上章内容如何创建、管理域用户账户?如何创建、管理、委派OU?如何实现漫游用户配置文件?AGDLP规则含义是什么?本章目标了解安全策略的类型掌握域安全策略的配置掌握域控制器安全策略的配置讲解本章目标WindowsServer2003安全策略简介本地安全策略强化单机系统的安全性域控制器计算机不能设置本地安全策略只对本机有效域安全策略强化整域内所有计算机的安全性域控制器策略强化域内所有域控制器计算机的安全性只能在域控制器计算机上设置域安全策略影响整个域中计算机的安全设置打开方式单击“开始”→“程序”→“管理工具”→“域安全策略”包含两个策略帐户策略本地策略帐户策略密码策略密码必须符合复杂性要求密码长度最小值密码最长使用期限密码最短使用期限强制密码历史用可还原的加密来存储密码帐户锁定策略帐户锁定阈值帐户锁定时间复位帐户锁定计数器Kerberos策略帐户策略举例实现目标域帐户密码长度最小为10,连续3次输错,帐户被锁定步骤(1)单击“开始”→“程序”→“管理工具”→“域安全策略”(2)选择“帐户策略”→“密码策略”,设置相应参数。(3)选择“帐户策略”→“帐户锁定策略”,设置相应参数。(4)设置完毕,刷新域安全策略。(5)修改某个帐户的密码,验证密码策略是否起作用。(6)使用域帐户登录测试本地策略审核策略是否在安全日志中记录登录用户的操作事件用户权限分配关闭系统更改系统时间拒绝本地登录允许在本地登录安全选项控制一些和操作系统安全相关的设置本地策略应用举例用户权限分配授予某用户向域中添加工作站的权限步骤(1)单击“开始”→“程序”→“管理工具”→“域安全策略”,展开“本地策略”→“用户权限分配”(2)双击“域中添加工作站”,添加相应的帐户(3)在“开始”→“运行”中,输入“gpupdate”(4)测试审核文件及文件夹审核策略审核文件及文件夹事件查看器审核策略常用审核策略审核事件说明账户登录事件审核域用户从域中的计算机登录时,域控制器收到的验证信息登录事件审核所有计算机用户的登录和注销事件对象访问审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等账户管理审核计算机上的每一个帐户管理事件,包括:创建、更改或删除用户帐户或组;重命名、禁用或启用用户帐户;设置或更改密码目录服务访问审核用户访问活动目录对象的事件系统事件审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件审核文件及文件夹步骤启用对象访问审核策略设置需要审核的文件或文件夹事件查看器2-1应用程序日志应用程序或系统程序记录的事件安全性日志登录尝试以及记录与资源使用相关的事件系统日志Windows系统组件记录的事件安装了其他服务则可能会增加日志类型目录服务文件复制服务DNS服务器事件查看器2-2事件类型错误:红色警告:黄色信息:白色成功审核:钥匙失败审核:锁保存日志审核文件或文件夹的实现步骤(1)启用域或者本机的审核策略中的审核对象访问策略,并刷新策略。(2)文件夹或者文件的“安全”→“高级”→“审核”中,添加审核账户及审核项目(3)使用用户访问该文件夹或者文件(4)使用“事件查看器”,查看“安全”日志教师演示并讲解相关理论小结WindowsServer2003可以设置那三个安全策略?密码策略包含哪些选项?帐户锁定策略哪些选项?本地策略有哪几部分?如何实现文件及文件夹审核?域控制器安全策略域控制器安全策略与本地安全策略的区别影响的计算机•前者影响DC•后者影响非DC打开方式•“开始”→“程序”→“管理工具”→“域控制器安全策略”帐户策略中有何异同•前者有Kerberos策略•与域用户帐户的登录有关域控制器安全策略应用举例目标某个普通域帐户需要在DC上登录步骤(1)打开“域控制器安全策略”→“安全设置”→“本地策略”→“用户权限分配”,(2)双击“允许在本地登录”,添加需要在DC上登录的用户帐户。(3)在“开始”→“运行”中,输入“gpupdate”(4)验证该普通用户能否在DC上登录。三种策略的关系三种安全策略的关系成员计算机和域的设置项冲突时,域安全策略生效域控制器和域的设置项冲突时,域控制器安全策略生效•本地安全策略•域控制器安全策略•域安全策略举例验证验证在客户机上域安全策略高于本地安全策略在域控制器上域控制器安全策略高于域策略以本地选项的设置项为例交互式登录:用户试图登录时消息标题交互式登录:用户试图登录时消息文字教师演示并讲解相关理论总结密码策略包含哪些选项?帐户锁定策略哪些选项?本地策略有哪几部分?如何实现文件及文件夹审核?本地安全策略、域安全策略、域控制器安全策略三者关系?总结并布置作业