《组策略与安全配置》PPT课件.ppt

第8章 组策略与安全配置,本章要点组策略可实现的功能与基本配置帐户策略、用户指派权利、使用组策略部署软件安全模板、安全配置和分析、安全配置向导Windows防火墙IP安全策略证书服务,目 录,8.1 组策略概述8.2 组策略的基本配置与实例8.3 使用组策略配置用户环境8.4 使用组策略部署软件 综合实训7：Windows Server 2003服务器 安全配置本地安全策略8.5 安全配置和分析 8.6 安全配置向导8.7 Windows Server 2003防火墙8.8 IP安全设置8.9 证书服务综合实训8:安全配置,组策略是管理员为计算机和用户定义的，是用来控制应用程序、系统设置和管理模板的一种机制。简单地说，组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。组策略高于注册表，组策略使用更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。1.使用组策略可以实现的功能帐户策略的设定本地策略的设定脚本的设定用户工作环境的定制软件的安装与删除限制软件的运行文件夹的转移其他系统设定,8.1 组策略概述,方法1：单击【开始】|【运行】命令，输入gpedit.msc，单击【确定】按钮，打开当前计算机的组策略，如图8-1所示。方法2：单击【开始】|【运行】命令，输入MMC，单击【确定】按钮，打开 Microsoft 管理控制台，添加【组策略对象编辑器】，选择所需的组策略对象，打开要编辑的组策略对象，如图8-2所示。,8.1 组策略概述,2.启动组策略的方法,图8-1 本地组策略窗口,图8-2 MMC中的组策略管理单元,3.组策略界面组策略主界面共分为左右两个窗格，左边窗格中的【“本地计算机”策略】由【计算机配置】和【用户配置】两个子项构成，右边窗格中是针对左边某一配置可以设置的具体策略。4.组策略对象组策略的基本单元是组策略对象GPO,它是一组设置的组合。有两种类型的组策略对象：本地组策略对象和非本地组策略对象。组策略作用范围：由它们所链接的站点、域或组织单元启用。5.组策略的应用时机计算机配置：计算机开机时自动启用，域控制器默认每隔5分钟自动启用，非域控制器默认每隔90-120分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。手动启动组策略的命令是：gpupdate/target:compute/force6.组策略的处理顺序组策略的配置是累加的。应用的顺序：本地组策略对象站点的组策略对象域的组策略对象组织单元的组策略对象。后面策略覆盖前面策略。,8.1 组策略概述,1.计算机配置计算机配置包括所有与计算机相关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。2.用户配置用户配置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。3.组策略插件扩展（1）软件设置（2）Windows设置账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、IP安全策略、公钥策略（3）管理模板,8.2 组策略的基本配置与实例,组策略的基本配置,1让Windows的上网速率提升20%操作步骤：在【组策略编辑器】控制台中，展开【计算机配置】|【管理模板】|【网络】|【QoS 数据包调度程序】项，在右窗格双击【限制可保留带宽】策略，在属性对话框中，选择【已启用】单选按钮，并将【带宽限制】值设置为0%，单击【确定】按钮。,8.2.2 组策略实例1：计算机配置,8.2 组策略的基本配置与实例,2关闭系统还原功能 操作步骤：在【组策略】控制台中，展开【计算机配置】|【管理模板】|【系统】|【系统还原】项，在右窗格双击【关闭系统还原】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮，启用此设置来关闭系统还原。3禁止Windows Messenger自动运行操作步骤：在【组策略】控制台中，展开【计算机配置】|【管理模板】|【Windows组件】|【Windows Messenger】项，在右窗格双击【不允许运行Windows Messenger】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮。,8.2.2 组策略实例1：计算机配置,8.2 组策略的基本配置与实例,4管理远程桌面设置实例允许“远程桌面”连接在【组策略编辑器】中，展开【计算机配置】|【管理模板】|【Windows组件】|【终端服务】项，在右窗格中双击【允许用户使用终端服务远程连接】策略，在属性对话框中，选择【已启用】单选按钮，单击【确定】按钮即可。配置“数据重定向”双击【客户端/服务器数据重定向】目录，打开【客户端/服务器数据重定向】项，可以设置在建立连接后所能使用的客户端资源。设置空闲会话连接时间展开【会话】目录，双击【为活动但空闲的终端服务会话设置时间限制】策略，可以限制空闲会话的连接时间。5.审核登录帐户在【组策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【审核策略】项，双击【帐户登录审核】策略，选择审核【成功】和【失败】两项，单击【确定】按钮。,8.2.2 组策略实例1：计算机配置,8.2 组策略的基本配置与实例,1.个性化【任务栏和开始菜单】通过组策略可以实现【任务栏和开始菜单】的个性化。在【组策略编辑器】控制台中，展开【用户配置】【管理模板】【任务栏和开始菜单】项，在右窗格中列出【任务栏和开始菜单】有关策略的具体配置。具体实例如下：,组策略实例2：用户配置,8.2 组策略的基本配置与实例,给开始菜单减肥在组策略窗口中，可以启用【从开始菜单删除用户文件夹】、【从开始菜单删除公用程序组】、【从开始菜单中删除我的文档图标】等多种组策略配置项目来去掉不需要的菜单项。保护好【任务栏和开始菜单】如果不想随意让他人更改【任务栏和开始菜单】的设置，只要启用【阻止更改“任务栏和开始菜单”设置】和【阻止访问任务栏的上下文菜单】两个策略即可。禁止【关机】启动计算机后，如果不希望用户进行【关机】操作，那么启用【删除和阻止访问“关机”命令】策略。利用组策略保护个人文档隐私如果不希望用户查看曾经访问过的文件，只要在组策略窗口中的【任务栏和开始菜单】项中，启用【不要保留最近打开文档的记录】和【退出时清除最近打开的文档的记录】两个策略即可。,组策略实例2：用户配置,8.2 组策略的基本配置与实例,2个性化桌面通过组策略可以实现【桌面】的个性化，可以让桌面管理工作变得易如反掌。在【组策略编辑器】控制台中，展开【用户配置】|【管理模板】|【桌面】项，在右窗格中列出【桌面】有关策略的具体配置，具体实例如下：,组策略实例2：用户配置,8.2 组策略的基本配置与实例,隐藏桌面的系统图标只要启用【隐藏桌面上“网上邻居”图标】、【隐藏桌面上的Internet Explorer图标】、【隐藏和禁用桌面上的所有项目】、【删除桌面上的“我的文档”图标】、【删除桌面上的“我的电脑”图标】和【从桌面删除回收站】等策略可以隐藏桌面上的相应的图标。退出时不保存桌面设置启用【退出时不保存设置】策略可以防止用户保存对桌面的某些更改（如图标的位置、任务栏的位置及大小等），不过任务栏上的快捷方式总可以被保存。禁用Active Desktop【活动桌面】是Windows系统中自带的高级功能，最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。考虑性能因素，需要禁用这一功能，打开【桌面】中【Active Desktop】目录，在右侧窗格中启用【禁用Active Desktop】策略，可以禁用活动桌面。,组策略实例2：用户配置,8.2 组策略的基本配置与实例,3.IE浏览器设置微软的IE浏览器让我们可以轻松地在互联网上遨游，但要想用好IE浏览器，则必须将它配置好。通过组策略可轻松实现高级配置功能。在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Internet Explorer】项（需添加inetres.adm模板文件），在右窗口格中列出【Internet Explorer】有关策略的具体配置。具体实例如下：,组策略实例2：用户配置,8.2 组策略的基本配置与实例,禁用IE浏览器的某些菜单项例如在【浏览器菜单】目录项，启用【禁用“在新窗口中打开”菜单项】策略，在浏览器中用户右击链接，选择【在新窗口中打开】时，该命令不起作用。网页自动打开的窗口也被禁止，可达到屏蔽弹出广告窗口的效果。禁用【Internet 选项】控制面板如果不希望用户修改Internet Explorer的属性中的某些设置，可以禁用【Internet 选项】的某些选项卡，在【Internet 控制面板】目录中，启用【禁用常规页】、【禁用安全页】等组策略项，可在【Internet选项】中删除【常规】、【安全】等选项卡。禁止修改IE浏览器的主页在【工具栏】目录，启用【禁用更改主页设置】策略即可。自定义IE工具栏在【组策略】控制台中，展开【用户配置】|【Windows设置】|【Internet Explorer维护】|【浏览器用户界面】项，双击【浏览器工具栏按钮自定义】策略，打开其设置窗口中，在【按钮】栏中单击【添加】按钮，在【工具栏标题】中输人【我的QQ】，在【工具栏操作】中选择QQ程序的路径，最后再选择好【颜色图标】和【灰度图标】的路径。添加了一个【我的QQ】按钮。,组策略实例2：用户配置,8.2 组策略的基本配置与实例,4.轻松实现Windows高级功能关闭缩略图的缓存在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项，启用【关闭缩略图的缓存】策略即可。隐藏【我的电脑】中指定的驱动器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项，启用【隐藏“我的电脑”中的这些指定的驱动器】策略，并在列表框中选择一个驱动器或几个驱动器。防止从【我的电脑】访问驱动器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【Windows 组件】|【Windows资源管理器】项，启用【防止从“我的电脑”访问驱动器】策略，并在列表框中选择一个驱动器或几个驱动器。禁止使用【命令提示符】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问命令提示符】策略，并选择【也停用命令提示符脚本处理】项。,组策略实例2：用户配置,8.2 组策略的基本配置与实例,禁止更改显示属性在【组策略编辑器】中，展开【用户配置】|【管理模板】|【控制面板】|【显示】项，可根据需要启用【隐藏桌面选项卡】、【隐藏主题选项卡】、【隐藏保护程序选项卡】、【隐藏设置选项卡】等策略，来隐藏相关属性的选项卡，用户将无法再对桌面属性进行更改。禁用注册表编辑器在【组策略编辑器】中，展开【用户配置】|【管理模板】|【系统】项，启用【阻止访问注册表编辑工具】策略，禁止用户启动注册表编辑器。禁止访问【控制面板】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【扩展面板】项，启用【禁止访问控制面板】策略。此后用户不能使用Control.exe启动【控制面板】，开始菜单和【资源管理器】中将删除【控制面板】项。禁用【添加/删除程序】在【组策略编辑器】中，展开【用户配置】|【管理模板】|【添加或删除程序】项，启用【删除“添加/删除程序”】策略，用户将无法运行【添加/删除程序】。,组策略实例2：用户配置,8.2 组策略的基本配置与实例,当用户登录计算机网络，操作系统将会通过“计算机配置”和“用户配置”中的“管理模板”策略配置用户环境。常用的配置：限制使用应用程序：展开【系统】项，启用【只运行许可的Windows应用程序】策略，添加允许运行的应用程序。隐藏在控制面板中指定的图标：展开【控制面板】项，启用【隐藏指定的控制面板程序】策略，添加相应的图标。禁用【Ctrl+Alt+Del】组合键弹出的对话框中的选项：展开【系统】|【Ctrl+Alt+Del】项，启用相应的策略，如【删除“任务管理器”】。删除开始菜单中的【关机】图标：展开【任务栏和开始菜单】项，启用【删除和阻止访问“关机”命令】策略。隐藏桌面上所有图标：展开【桌面】项，启用【隐藏和禁用桌面上所有的项目】策略。,管理模板策略,8.3 使用组策略配置用户环境,帐户策略又包括密码策略、帐户锁定策略和Kerberos策略。1.密码策略的设置操作步骤：对本地计算机的用户，在【组策略编辑器】中，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【密码策略】项，双击【密码必须符合复杂性要求】选项，选择【已启用】，单击【确定】按钮。还可设置：强制密码历史、密码最长使用期限、密码最短使用期限、密码长度最小值。对域控制器用户，打开【Active Directory用户和计算机】管理窗口，右击域或组织单位，选择【属性】命令，在打开的对话框中选择【组策略】选项卡。选择组策略对象，单击【编辑】按钮，打开【组策略编辑器】界面，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【密码策略】项，选择相应的密码策略选项配置即可。,帐户策略,8.3 使用组策略配置用户环境,2.帐户锁定策略帐户锁定指在某些情况下（如帐户受到黑客攻击），为保护帐户安全而将此帐户进行锁定，使之在一定时间内不能再次登录，从而挫败连续的猜解尝试。配置方法：在【组策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【帐户锁定策略】项，双击某帐户锁定策略，进行配置：帐户锁定阈值、帐户锁定时间、复位帐户锁定计数器。3.Kerberos策略Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，是Windows Server 2003系统默认的身份验证服务。IPSec可以使用Kerberos协议进行身份验证。Kerberos策略只用于域用户帐户，确定与Kerberos相关的设置，配置方法：在【组策略】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【帐户策略】|【Kerberos策略】，选择相应的Kerberos策略选项配置即可。,帐户策略,8.3 使用组策略配置用户环境,为用户指派权限的操作步骤：步骤（1）在【组策略编辑器】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【用户权限指派】项，这里列出了能为用户指派的各项权限，,8.3.3 用户权限指派,8.3 使用组策略配置用户环境,步骤（2）在右窗格中双击要指派的权限（如【关闭系统】），打开其属性窗口，单击【添加用户或组】按钮，打开【选择用户或组】对话框，输入用户名（如abc），连续单击【确定】按钮。,8.3.3 用户权限指派,8.3 使用组策略配置用户环境,下面列举几项用户权限的功能：从网络访问此计算机：确定哪些用户和组能够通过网络连接到该计算机。许多网络协议（如HTTP）都要求该用户权利。默认情况下为Everyone（任何人）安全组授予权限。建议删除Everyone组。向域中添加工作站：允许用户向指定的域中添加一台计算机。有此权限的用户可以向域中添加10个工作站。默认情况下Authenticated Users（经过身份验证的用户）有此权限。建议此权限只授予Administrators组。允许从本地登录：允许用户在计算机上开启一个交互式的会话。用户不具备该权限，但拥有“允许通过终端服务登录”权限，他仍然能够在计算机上开启一个远程的交互式会话。建议此权限只授予Administrators组。允许通过终端服务登录：允许用户使用远程桌面连接登录到计算机上。建议此权限只授予Administrators组，但禁止Administrator帐户有此权限，可以增加系统的安全性。装载和卸载设备驱动程序：确定哪些用户有权安装和卸载设备驱动程序。默认情况下Print Operators组有此权限。建议此权限只授予Administrators组。还原文件及目录：允许用户在恢复备份的文件或文件夹时，避开文件和目录的许可权限，并且作为对象的所有者设置任何有效的安全主体。建议此权限只授予Administrators组。,8.3.3 用户权限指派,8.3 使用组策略配置用户环境,可以通过【安全选项】来启用计算机的一些安全设置。操作步骤是：在【组策略编辑器】控制台中，展开【计算机配置】|【Windows设置】|【安全设置】|【本地策略】|【安全选项】项，双击要设置的策略，选择【已启用】或【已禁用】项，单击【确定】按钮。下面列举几个比较常用的安全选项：【交互式登录：不需要按CTRL+ALT+DEL】：在计算机机启动时直接出现“登录Windows”对话框，不需要显示“请按CTRL+ALT+DEL”对话框。【交互式登录：不显示上次的用户名】：在每次出现的“登录Windows”对话框中都不显示上一次登录者的用户名称。【交互式登录：在密码到期前提示用户更改密码】：用来设置密码到期前几天提示用户更改密码。【关机：允许系统在未登录前关机】：设置在“登录Windows”对话框中显示【关机】按钮，以便不需要登录的情况下就可以将计算机关闭。,安全选项,8.3 使用组策略配置用户环境,启动/关机脚本是Windows Server 2003系统的一个新特点，启动脚本是用户登录之前运行的批文件，它的功能类似于早期Windows的Autoexec.bat文件，关机脚本是计算机关机之前运行的批文件。与用户登录/注销脚本相比，它们之间的主要区别是启动/关机脚本是计算机启动和关机时运行的，脚本程序只运行一次，用户登录/注销脚本在用户登录对话框出现后，用户登录系统或从系统注销时运行，每次登录/注销时都运行一次。设置方法是：在【组策略】控制台中，展开【计算机配置】（或【用户配置】）|【Windows设置】|【脚本】项，双击【启动】（或【关机】、【登录】、【注销】）策略，打开相应的属性窗口，单击【添加】按钮，输入脚本名及参数，单击【确定】按钮，回到属性窗口，单击【确定】按钮完成设置。,启动/关机、登录/注销脚本,8.3 使用组策略配置用户环境,文件夹重定向允许用户和管理员将一个文件夹的路径重定向到一个新的位置。文件夹重定向功能：提高了漫游用户配置文件的性能。存储在网络服务器上的数据可以被备份出来。指定给一个用户的数据可以重定向到其它位置。当用户从不同计算机登录网络时都可得到相同的文档。管理员可以使用组策略来设置磁盘配额。可以重定向的文件夹包括：“我的文档”、“桌面”、“开始菜单”和“Application Data”等。操作步骤：在域控制器上打开【Active Directory用户和计算机】控制台，右击OU选项，选择【属性】命令，打开【OU属性】对话框，切换到【组策略】选项卡，打开【组策略编辑器】窗口，展开【用户配置】|【Windows设置】|【文件夹重定向】项，右击【我的文档】项，选择【属性】命令，打开【我的文档属性】对话框，单击【确定】按钮。,文件夹重定向,8.3 使用组策略配置用户环境,Windows Server 2003中提供了RIS和Installer两种技术，前者是远程安装服务，通过Windows Server2003为网络中的客户机提供操作系统的远程安装，后者则是专门解决在Windows网络环境中发布应用软件的需求。使用组策略部署软件的步骤：1准备安装软件包使用Installer技术的安装程序首先要获取ZAP或MSI格式的软件包。MSI软件包是Microsoft专门为软件部署而开发的，是实现软件分发功能必需的文件格式，通常包含了安装内置程序所要的环境信息和安装或卸载程序时需要的指令和数据。当用户双击MSI文件时，与之关联的文件Msiexec.exe将会被调用，它将用Msi.dll读取软件包文件（.msi）、应用转换文件（.mst）。2.创建软件分发点软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享文件夹（如Tools$），在其下创建要部署软件的子目录，然后将MSI包文件（如“Windows Server 2003管理工具包”程序Adminpak.msi）及所有需要的安装源文件放于其中。设置该目录的共享权限为Users组可读，Administrators组完全控制。,8.4 使用组策略部署软件,3.创建组策略对象软件部署是依靠AD中的组策略来设置的，必须要创建一个用于分发软件程序包的组策略对象并在其中添加软件部署的设置。配置步骤：步骤（1）在域控制器上打开【Active Directory用户和计算机】控制台，右击域（如），选择【属性】命令，弹出域属性对话框，切换到【组策略】选项卡，单击【新建】按钮，并将新建的组策略对象命名为Software。步骤（2）选中Software选项，单击【编辑】按钮，打开【组策略编辑器】窗口，以【用户配置】为例，右击【软件安装】项，选择【属性】命令，打开【软件安装属性】对话框，在【默认程序包位置】文本框中输入“服务器名共享文件夹名（如zahtools$）”，然后选中【显示部署软件对话框】和【基本】项，单击【确定】按钮。,8.4 使用组策略部署软件,步骤（3）返回【组策略编辑器】窗口，右击【软件安装】项，选择【新建】|【程序包】命令，在弹出的【打开】对话框中，选择Tools$中的Adminpak.msi文件后，单击【打开】按钮，在弹出的【部署软件】对话框中，询问软件部署的方式，Windows Installer提供“发布”和“指派”两种部署方式。选择【已发布】或【已指派】单选按钮，单击【确定】按钮。4客户端安装软件在DC中部署软件完成后，指派的软件，用户只要登录域后直接在开始菜单中即可找到并使用；发布的软件，用户只要单击【添加或删除程序】窗口中的【添加新程序】按钮，就会立即在【从网络添加程序】列表中列出从DC中分发出来的Adminpak.msi程序，如果希望安装，按【添加】按钮即可。,8.4 使用组策略部署软件,实训时间：4小时实训目标：通过对服务器进行本地安全策略的配置，使学生掌握组策略的概念，配置组策略的方法，及使用组策略配置用户、配置计算机及配置软件的具体实例操作。实训内容：操作1:根据以下要求对Windows Server 2003服务器进行安全策略配置：步骤（1）配置账户策略密码策略：启用密码必须符合复杂性要求，密码最短使用期限改成0天账户锁定策略：账户锁定阈值 5 次，账户锁定时间 10分钟 步骤（2）配置本地策略之审核策略审核策略更改 成功失败 审核登录事件成功失败审核对象访问 失败 审核系统事件成功失败审核账户登录事件成功失败 审核账户管理成功失败,综合实训案例7：Windows Server 2003服务器安全配置本地安全策略,步骤（3）配置本地策略之用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除步骤（4）配置本地策略之安全选项交互式登录：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除不需要按CTRL+ALT+DEL 更改为“已启用”帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户步骤（5）安全策略自动更新命令：GPUpdate/force(应用组策略自动生效不需重新启动),综合实训案例7,操作2:部署软件步骤（1）安装活动目录，域为，将“Windows Server 2003管理工具包”程序Adminpak.msi从安装光盘复制到c:windowssysvol（活动目录默认共享文件夹）。步骤（2）在【Active Directory用户和计算机】中，右击，选择【属性】命令，打开【属性】对话框，切换到【组策略】选项卡，新建组策略对象，命名为software。步骤（3）选择software，单击【编辑】按钮，打开【组策略编辑器】对话框，展开【软件安装】项，右击【软件安装】，选择【属性】命令，打开【软件安装属性】对话框，在【默认程序包位置】文本框中输入“计算机名共享文件夹名”，单击【确定】按钮。步骤（4）右击【软件安装】，选择【新建】|【程序包】命令，在【打开】对话框中，选择Adminpak.msi文件。运行GPUpdate/force更新命令安全策略。步骤（5）在工作站中使用【添加/删除程序】窗口中的【添加新程序】按钮，选择【从网络添加程序】下的Windows Server 2003管理工具包（Adminpak.msi）程序进行安装。,综合实训案例7,1.安全配置和分析Windows Server 2003系统提供的【安全配置和分析】管理工具，它的主要作用是对本地系统的安全性进行分析和配置。“安全分析”可以根据系统提供的不同级别的安全模板对当前系统的安全设置进行分析，从而找出系统安全的薄弱环节。“安全配置”可以用于直接配置本地系统的安全性。利用个人数据库，可以导入由“安全模板”创建的安全模板，并将这些模板应用于本地计算机，这将立即使用模板中指定的级别配置系统安全性，从而轻松地掌控系统的安全。2.安全模板安全配置提供了可以应用的预配置的安全设置组，它是将除“Internet协议”安全和公用密钥策略之外的所有安全属性组织在一起以便于安全管理。每个模板都是基于文本的.inf 文件，这些文件位于系统根目录的SecurityTemplates。,8.5 安全配置和分析,8.5.1【安全配置和分析】管理工具,默认的安全模板按不同的安全级别分为兼容、安全或高级安全设置三类。,8.5 安全配置和分析,8.5.1【安全配置和分析】管理工具,查看安全模板的操作步骤：在打开mmc控制台窗口中，添加管理单元【安全模板】，在此可以查看各种安全模板的配置。定义安全模板的操作步骤：在打开的【安全模板】控制台，右键单击要存储新模板的文件夹，单击【新加模板】命令，在【模板名】中键入新建安全模板的名称，在【描述】中键入新安全模板的说明，然后单击【确定】按钮。,使用【安全配置和分析】工具配置本地计算机安全的方法有两种：使用命令提示符（secedit.exe）和MMC控制台（见下例）。具体操作步骤：,8.5 安全配置和分析,8.5.2使用安全配置和分析工具,1.打开【安全配置和分析】单击【开始】|【运行】|输入mmc，打开mmc控制台，单击【文件】|【添加/删除管理单元】，打开【添加/删除管理单元】对话框，单击【添加】按钮，选择【安全配置和分析】，单击【添加】按钮，单击【关闭】按钮，单击【确定】按钮，完成【安全配置和分析】管理单元的添加。,2.打开数据库在控制台窗口中，右击【安全配置和分析】管理单元，选择【打开数据库】命令，弹出【打开数据库】对话框，如果是首次对系统进行安全性分析，需要新建一个数据库，在【文件名】文本框中为新建的数据库输入一个名称，然后单击【打开】按钮。,8.5 安全配置和分析,8.5.2使用安全配置和分析工具,3.选择安全模板 弹出【导入模板】框，选择安全模板文件（如Securews.inf），同时选择【导入之前清除这个数据库】选择框，单击【确定】按钮，完成模板导入。,8.5 安全配置和分析,8.5.2使用安全配置和分析工具,4.安全分析右击【安全配置和分析】项，选择【立即分析计算机】命令，弹出【进行分析】对话框，指定保存错误日志文件的路径，单击【确定】按钮，开始系统安全机制的分析进程。5.查看安全分析结果安全分析结束后，展开【安全配置和分析】各项，在右格中，通过项目中显示的可视化的图标可以查看哪些安全设置与系统建议的安全级别是否匹配。,6.配置系统安全机制右击项目分析结果中的不匹配策略，单击【属性】命令，修改此策略，修改完后进行重新分析直到满意为止。右击【安全配置和分析】项，选择【立即配置计算机】命令，并在【配置系统】对话框中指定保存错误日志文件的路径，单击【确定】按钮，开始系统安全机制的配置进程，完成配置。,8.5 安全配置和分析,8.5.2使用安全配置和分析工具,安全配置向导（SCW）是Windows Server 2003 SP1系统新增的一个安全配置工具。根据指定服务器执行的角色，SCW可以指导您完成安全策略的创建。创建策略之后，不但可以对其进行编辑，而且可以将其应用于一个或多个配置相似的服务器，也可取消已应用的策略。,8.6 安全配置向导,安装与启动【安全配置向导】默认情况下，Windows Server 2003操作并不安装安全配置向导，用户需要通过【添加/删除Windows组件】来手工安装安全配置向导。安装步骤：打开【控制面板】窗口，双击【添加或删除程序】图标，打开【添加或删除Windows组件】对话框，单击【下一步】按钮，打开【Windows组件向导】对话框，选中【安全配置向导】选项，单击【下一步】按钮，就能轻松完成SCW组件的安装。要启动SCW：单击【开始】|【程序】|【管理工具】|【安全配置向导】命令。或在【运行】对话框中输入SCW命令。,1.新建一个“安全策略”新建一个“安全策略”，安全策略信息被保存在.XML的文件中的，它的默认存储位置是“c:windowssecuritymsscwpolicies”。可以根据不同需要，创建多个“安全策略”文件，每次应用一个。启动【安全配置向导】，弹出【欢迎使用安全配置向导】对话框，单击【下一步】按钮，进入【配置操作】窗口，第一次使用SCW，要选择【创建新的安全策略】单选按钮，单击【下一步】按钮，开始配置安全策略。,8.6.2 利用【安全配置向导】配置“安全策略”,8.6 安全配置向导,2.轻松配置“角色”在【选择服务器】对话框中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址，单击【下一步】按钮，【安全配置向导】会处理安全配置数据库。单击【下一步】按钮，进入【基于角色的服务配置】对话框。单击【下一步】按钮，进入【选择服务器角色】配置框，选择服务器角色，单击【下一步】按钮，进入【选择客户端功能】对话框，选择你所需的客户端功能来配置Windows Server 2003服务器支持的“客户端功能”。,8.6.2 利用【安全配置向导】配置“安全策略”,8.6 安全配置向导,单击【下一步】按钮，进入【选择管理和其它选项】对话框，选择需要的Windows 2003系统提供的管理和服务功能，单击【下一步】按钮，还要配置一些Windows 2003系统的额外服务，这些额外服务一般都是第三方软件提供的服务。进入到【处理未指定的服务】对话框，选择【不更改此服务的启用模式】单选项，最后进入到【确认服务更改】对话框，对你的配置进行最终确认后，就完成了基于角色的服务配置。,8.6.2 利用【安全配置向导】配置“安全策略”,8.6 安全配置向导,3.配置网络安全 单击【下一步】，进入【网络安全】框，单击【下一步】按钮，进入【打开端口并允许应用程序】对话框，开放所需的端口（要切记“最小化”原则），最后确认端口配置。4.注册表设置 单击【下一步】，分别进入【要求SMB安全签名】、【出站身份验证方法】、【入站身份验证方法】等设置窗口。通过严格的设置，就能最大限度保证Windows Server 2003服务器的安全运行。5.启用【审核策略】单击【下一步】，打开【系统审核策略】配置对话框，合理选择审核目标。6.增强IIS安全单击【下一步】，弹出【Internet信息服务】配置对话框，这样IIS服务器的安全性就大大增强。完成以上几步配置后，进入到保存安全策略对话框，单击【下一步】，弹出【安全策略文件名】框，为你配置的安全策略起个名字，单击【下一步】，弹出【应用安全策略】框，选择【现在应用】选项，使配置的安全策略立即生效。,8.6.2 利用【安全配置向导】配置“安全策略”,8.6 安全配置向导,启用Windows防火墙的方法是：右击【网上邻居】，选择【属性】命令，打开【网络连接】窗口，右击要保护的本地连接，选择【属性】命令，弹出【本地连接属性】对话框，打开【高级】选项卡，单击【Windows防火墙】栏中的【设置】按钮，打开【Windows防火墙】选项卡，单击【启用】按钮，启用Windows防火墙。,8.7 Windows Server 2003防火墙,8.7.1 启用Windows防火墙,标准服务的设置：以提供标准Web服务（默认80端口）为例，操作步骤：在【Windows防火墙】对话框，单击【高级】选项卡，在【网络连接设置】框中，选中要设置防火墙的本地连接，单击【设置】按钮，弹出【高级设置】对话框，在【服务】选项卡中选择【Web服务（HTTP）】复选框，单击【确定】按钮。,8.7 Windows Server 2003防火墙,8.7.2 防火墙服务设置,非标准服务的设置：为了使用非默认端口提供服务，如使用8080提供WWW服务。要在【高级设置】对话框中，单击【添加】按钮，出现【服务设置】对话框，在【服务描述】填入WWW、【服务所使用的计算机名或IP地址】、端口号，并选择所使用的协议，最后单击【确定】按钮。设置ICMP协议 ICMP即Internet控制信息协议，我们最常用的ping就是用的ICMP协议，默认情况下，Windows防火墙禁用了应用该协议的信息请求，如果想ping通本机，需要在【高级设置】对话框中，单击ICMP标签，在打开的选项卡中，选中【允许传入响应请求】项即可。设置安全日志在【高级设置】对话框中，单击【安全日志记录】框中的【设置】按钮，弹出【日志设置】对话框。选择【记录被丢弃的数据包】和【记录成功的连接】两项，并设置日志文件名即可。,8.7 Windows Server 2003防火墙,8.7.2 防火墙服务设置,对网络层的安全性有3个公认的指标：身份验证、完整性和机密性。【Internet协议安全（IPSec）】是一种开放标准的框架结构，通过使用加密安全服务以确保Internet协议（IP）网络上进行保密而安全的通信。IPSec的工作原理是：在进行数据交换之前，先相互验证双方的计算机的身份，之后在两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密传送。通过这三个步骤，可以保证网络的通信安全，即使数据中途被截获，因为截获者不知道加密的密钥也就无从了解数据的内容。下面以禁止他人Ping自己的主机为案例介绍配置系统IP安全策略的操作步骤。1.添加IP安全策略单击【开始】|【程序】|【管理工具】|【本地安全策略】命令，打开【本地安全策略】对话框，选中【IP 安全策略，在本地计算机】项。,8.8 IP安全设置,8.8.1 IP安全,2.创建IP安全策略右击右窗格空白处，选择【创建IP安全策略】命令，弹出【IP安全策略向导】对话框，单击【下一步】，弹出【IP安全策略名称】页，在【名称】和【描述】文本框中输入“禁止Ping”单击【下一步】，则弹出【安全通信请求】页，选中【激活默认相应规则】复选框，单击【下一步】，弹出【默认响应规则身份验证方法】页中选择【此字符串保护密钥交换】单选按钮，然后在下面的文字框中任意输入一段字符串，如“禁止Ping”，单击【下一步】，单击【完成】完成新的IP安全策略的创建。,8.8 IP安全设置,8.8.1 IP安全,3.编辑IP安全策略属性（1）右击新建IP安全策略，选择【属性】命令，弹出【禁止Ping属性】对话框中，单击【添加】按钮，弹出“安全规则向导”对话框，单击【下一步】按钮，进入【隧道终结点】页，选择【此规则不指定隧道】单选按钮，单击【下一步】按钮，进入