搜索
第1章配置WindowsServer2008安全教学目标:能够配置系统的帐户策略能够启用审核策略配置用户权限分配配置安全选项能够配置高级的Windows防火墙能够配置软件限制策略使用本地组策略配置系统安全1.1本地安全策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略,可以强化公司网络的安全性。这些安全性策略定义了一个公司对于正确计算机的期望值,也确定了特殊的过程,用于防止发生安全性事故和对已经发生的安全性事故做出响应。因此,由网络管理员保护工作站上桌面和服务的安全性是非常重要的。通过应用安全性策略,可以防止用户破坏计算机配置,并且可以保护您的网络上敏感区域。1.2配置工作计算机系统安全任务描述配置工作组中计算机的系统安全。配置域中计算机的系统安全。试验环境DCServer是ESS.COM域的域控制器,操作系统是WindowsServer2008企业版。Sales是该域的计算机,操作系统是Vista。WorkgroupServer是工作组中的计算机,操作系统是WindowsServer2008企业版。试验目标学会配置工作组中计算机的系统安全。能够使用组策略批量配置域中计算机的系统安全。1.3帐户策略的设置1.3.1设置密码策略为工作组中的计算机设置密码策略。步骤:1.以管理员的身份登录WorkgroupServer计算机。2.点击“开始”“程序”“管理工具”“本地安全策略”。3.如图,点击帐户策略下的密码策略,可以看到一下几项设置。4.按照下图设置安全策略。5.进入命令行,以下是创建用户时密码不满足策略的情况。密码必须符合复杂性要求此安全设置确定密码是否必须符合复杂性要求。如果启用此策略,密码必须符合下列最低要求:不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符:英文大写字母(A到Z)英文小写字母(a到z)10个基本数字(0到9)非字母字符(例如!、$、#、%)最短密码长度此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于1和14个字符之间,或者将字符数设置为0以确定不需要密码。密码最短使用期限此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于1和998天之间的值,或者将天数设置为0,允许立即更改密码。密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为0,指明密码永不过期。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0和998之间的任何值。如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于0的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为1。密码最长使用期限此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于1到999之间)后到期,或者将天数设置为0,指定密码永不过期。如果密码最长使用期限介于1和999天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0和998天之间的任何值。注意:安全最佳操作是将密码设置为30到90天后过期,具体取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。默认值:42。强制密码历史此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于0个和24个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。若要维护密码历史的有效性,还要同时启用密码最短使用期限安全策略设置,不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息,请参阅“密码最短使用期限”。用可还原的加密来储存密码使用此安全设置确定操作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。通过远程访问或Internet身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在Internet信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。默认值:禁用。1.3.2设置帐户锁定策略防止其他人无数次猜计算机上的用户帐户密码,可以设置帐户锁定阀值。帐户锁定阈值此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于0和999之间的值。如果将值设置为0,则永远不会锁定帐户。在使用Ctrl+Alt+Del或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。帐户锁定时间此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从0到99,999分钟。如果将帐户锁定时间设置为0,帐户将一直被锁定直到管理员明确解除对它的锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。默认值:无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。在此后复位帐户锁定计数器此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0次错误登录尝试之前需要的时间。可用范围是1到99,999分钟。如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。默认值:无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。示例:切换用户,使用hanlg帐户输入5次错误密码您会发现提示“引用的帐户当前已经锁定,且可能无法登录。”切换到管理员登录,打开服务器管理器,双击hanlg用户账号,看到帐户已经被锁定。1.4设置审核策略1.4.1审核策略简介本节描述了如何设置应用于审核的各种设置。还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作,审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。简介每当用户执行了指定的某些操作,审核日志就会记录一个审核项。例如,修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生。例如,如果用户成功登录到系统,一般认为这是正常的。然而,如果用户多次尝试都未能成功登录到系统,则可能说明有人正试图使用他人的用户ID侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性,例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。审核设置所有审核设置的漏洞、对策和潜在影响都一样,因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设置。审核设置的选项为:成功失败无审核漏洞如果未配置任何审核设置,将很难甚至不可能确定出现安全事件期间发生的情况。不过,如果因为配置了审核而导致有太多的授权活动生成事件,则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。对策组织内的所有计算机都应启用适当的审核策略,这样合法用户可以对其操作负责,而未经授权的行为可以被检测和跟踪。潜在影响如果在组织内的计算机上没有配置审核,或者将审核设置的太低,将缺少足够的甚至根本没有可用的证据,可在发生安全事件后用于网络辩论分析。而另一方面,如果启用过多的审核,安全日志中将填满毫无意义的审核项。1.4.2审核设置审核帐户登录事件“审核帐户登录事件”设置用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核,该计算机记录了审核事件,并用来验证帐户。如果定义了该策略设置,则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在帐户登录尝试成功时生成一个审核项,该审核项的信息对于记帐以及事件发生后的辩论十分有用,可用来确定哪个人成功登录到哪台计算机。失败审核会在帐户登录尝试失败时生成一个审核项,该审核项对于入侵检测十分有用,但此设置可能会导致拒绝服务(DoS)状态,因为攻击者可以生成数百万次登录失败,并将安全事件日志填满。如果在域控制器上启用了帐户登录事件的成功审核,则对于没有通过域控制器验证的每个用户,都会为其记录一个审核项,即使该用户实际上只是登录到加入该域的一个工作站上。审核帐户管理“审核帐户管理”设置用于确定是否对计算机上的每个帐户管理事件进行审核。帐户管理事件的示例包括:创建、修改或删除用户帐户或组。重命名、禁用或启用用户帐户。设置或修改密码。如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在任何帐户管理事件成功时生成一个审核项,并且应在企业中的所有计算机上启用这些成功审核。在响应安全事件时,组织可以对创建、更改或删除帐户的人员进行跟踪,这一点非常重要。失败审核会在任何帐户管理事件失败时生成一个审核项。审核目录服务访问“审核目录服务访问”设置用于确定是否对用户访问MicrosoftActiveDirectory对象的事件进行审核,该对象指定了自身的系统访问控制列表(SACL)。SACL是用户和组的列表。对象上针对这些用户或组的操作将在基于MicrosoftWindows2000–的网络上进行审核。如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问指定了SACL的ActiveDirectory对象时生成一个审核项。失败审核会在用户试图访问指定了SACL的ActiveDirectory对象失败时生成一个审核项。启用“审核目录服务访问”并在目录对象上配置SACL可以在域控制器的安全日志中生成大量审核项,因此仅在确实要使用所创建的信息时才应启用这些设置。审核登录事件“审核登录事件”设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的帐户登录审核事件,工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。总而言之,帐户登录事件是在帐户所在的位置生成的,而登录事件是在登录尝试发生的位置生成的。如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用,可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项,该审核项对于入侵检测十分有用,但此设置可能会导致进入DoS状态,因为攻击者可以生成数百万次登录失败,并将安全事件日志填满。审核对象访问此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。如果定义此策略设置,可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在用户成功访问指定了相应SACL的对象时生成审核项。失败审核在用户尝试访问指定了SACL的对象失败时生成审核项。请注意,使用文件系统对象“属性”对话框中的“安全”选项卡,