9.系统安全策略和审核.ppt

1、密码策略主要包含： a、密码必须符合复杂性要求：启用此策略后，用户账户使用的密码必须符合复杂性的要求。复杂性是指密码中必须包含大写字母、小写字母、数字和特殊符号以上4个类别中的3个的字符。 b、密码长度最小值：该安全设置确定用户账户的密码可以包含的最少字符个数。设置范围0～14，将字符数设置为0，表示不需要密码。 c、密码最长使用期限：指密码使用的最长时间，单位为天。设置范围0～9999，默认设置为42天，如果设置为0天则代表密码永不过期。 d、密码最短使用期限：指应用密码后，到再一次更改密码的最短时间，单位为天。设置为0～998，默认值为0代表可以随时更改密码。 e、强制密码历史：指多少个最近使用过的密码不允许再使用。设置范围在0～24之间，默认值为0，代表可以随意使用过去使用的密码。 2、账户锁定策略主要包含： a、账户锁定阈值：指用户输入几次错误的密码后，将用户账户锁定。设置范围0～999之间，默认值为0，代表不锁定账户。 b、账户锁定时间：指当用户账户被锁定后，多少分钟后自动解锁。设置范围0～99999分钟，0代表必须有管理员手动解锁。 c、复位账户锁定计数器：指用户由于输入密码错误开始计数时，计数器保持的时间，当时间过后，计数器将复位为0。 3、启用审核策略中的审核对象访问策略，并刷新策略； 添加文件夹的审核项目； 用户访问文件夹； 使用事件查看器。 拒绝从网络访问此计算机－工作组－把everyone添加进来就可以拒绝了 通过终端服务拒绝登陆－添加用户即可 未登陆之前就可以关机 * * * * * WINDOWS SERVER 2003系统管理 Windows Server 2003 概述 安装及配置Windows Server 2003 配置Windows Server 2003网络 本地用户与组的管理 文件管理系统 磁盘系统管理 打印服务管理 灾难恢复 系统安全策略与审核 配置Internet访问 《Windows Server 2003系统管理》课程结构 Windows Server 2003系统管理 第9章 系统安全策略与审核 掌握帐户策略 掌握审核策略（事件查看器） 理解用户权限分配 理解安全选项 什么是安全 安全就是保护计算机系统中的硬件和软件资源不被未经授权的非法用户盗取和利用 设备安全 系统安全 服务安全 数据安全 通讯安全 Windows Server 2003 安全特性 内置安全防火墙 默认情况下禁用所有不必要的服务 增强安全策略 IIS6.0代码全部重写 更严格的对象控制权限 自动更新服务 本地安全策略 本地安全策略影响本计算机的安全设置 本地安全策略主要包含 帐户策略 本地策略 … … 开始 ? 管理工具 ? 本地安全策略 开始 ? 运行 ? secpol.msc 密码策略 密码必须符合复杂性要求 密码长度最小值 密码最长使用期限,0表示永不过期，最大999 密码最短使用期限,0表示随时可以更改,如果非0，指N天后可以更改 强制密码历史,指多少个最近使用的密码不被允许使用,0-24之间 用可还原的加密来存储密码,有的应用程序需要访问密码,但有安全风险，一般不必打开 账户锁定策略 账户锁定阈值,几次无效登陆后 账户锁定时间 复位账户锁定计数器，账户恢复可以登陆的时间 账户策略 账户策略（续） 帐户策略举例 在计算机上要让账户的密码长度最小为8 账户如果连续3次输错密码就会被锁定 步骤 1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【账户策略】|【密码策略】 2）双击“密码长度最小值”，输入“8” 3）在【账户锁定策略】中，双击“账户锁定阈值”，输入“3” 4）更改管理员账户administrator密码，检验能否将密码修改成小于8位长度的密码 5）退出系统，使用普通账户登录，故意输错密码3次，该账户就会被锁定 审核策略 在安全日志中记录登录用户的操作事件 用户权限分配 关闭系统 更改系统时间 拒绝本地登录 允许在本地登录 安全选项 控制和操作系统安全相关的设置 本地策略 用户权限分配举例 作为服务器的计算机不能让普通用户交互式登录（在本地登录） 步骤 1）单击【开始】|【程序】|【管理工具】|【本地安全策略】，展开【本地策略】|【用户权限分配】 2）双击“允许在本地登录”，删除“Power Users”和“Users” 3）退出系统，使用普通账户登录，检验能否登录 本地策略（续） 安全选项举例 在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete后)，必须阅读公司使用计算机的注意事项 步骤: 1）展开【本地策略】|【安全选项】 2）在以下选项中输入提示信息 交互式登录：用户试图登录时消息标题 交互式登录：用户试