1、戀愛(ài)雖易, 婚姻不易, 且行且珍惜,第2章 網(wǎng)絡(luò)操作系統(tǒng)安全,3,2020年9月13日星期日,實(shí)驗(yàn),1. 密碼重設(shè)盤,2. 實(shí)驗(yàn)三 word講解,3.在軟件限制策略中實(shí)現(xiàn)下列要求： 配置路徑 C：WindowsSystem32calc的安全級(jí)別為“不允許”,4.在軟件限制策略中實(shí)現(xiàn)下列要求： 配置路徑 C：Windows的安全級(jí)別為“不允許” ?,第 1 章,4,2020年9月13日星期日,2.3.3 安全模板,系統(tǒng)安全策略眾多， Windows系統(tǒng)下，大部分的安全設(shè)置默認(rèn)處于打開狀態(tài)，需要關(guān)閉某些可能引起安全隱患的設(shè)置。普通用戶無(wú)法制定出安全的策略，為此微軟提供了安全模板進(jìn)行安全配置。,1.

2、 為什么引入安全模板？,安全模板是一種快速配置安全選項(xiàng)的辦法，它能夠根據(jù)要求自動(dòng)批量設(shè)定所有與安全有關(guān)的配置。,第 1 章,5,2020年9月13日星期日,2.3.3 安全模板,Microsoft Windows Server 2003 包括幾個(gè)預(yù)定義的安全模板，可供您用來(lái)提高網(wǎng)絡(luò)上的安全級(jí)別?？梢酝ㄟ^(guò)使用 Microsoft 管理控制臺(tái) (MMC) 中的“安全模板”來(lái)修改安全模板以滿足您的要求。,2. 預(yù)定義的安全模板,存儲(chǔ)在如下目錄： ”%systemroot%”SecurityTemplates,第 1 章,6,2020年9月13日星期日,2.3.3 安全模板,7,2020年9月13日星

3、期日,2.3.3 安全模板,打開方法： “開始”“運(yùn)行”-mmc,8,2020年9月13日星期日,2.3.3 安全模板,9,2020年9月13日星期日,2.3.3 安全模板,10,2020年9月13日星期日,2.3.3 安全模板,11,2020年9月13日星期日,Setup security.inf 模板是在安裝過(guò)程中創(chuàng)建的，它與特定的計(jì)算機(jī)有關(guān)。根據(jù)安裝是全新安裝還是升級(jí)安裝，不同計(jì)算機(jī)的 Setup security.inf 模板也各不相同。Setup security.inf 表示在安裝操作系統(tǒng)的過(guò)程中應(yīng)用的默認(rèn)安全設(shè)置，包括對(duì)系統(tǒng)驅(qū)動(dòng)器的根的文件權(quán)限。它可以用于服務(wù)器和客戶機(jī)，但不能應(yīng)

4、用到域控制器。也可以將此模板的某些部分用于災(zāi)難恢復(fù)。,（1）默認(rèn)安全 (Setup security.inf),2. 預(yù)定義的安全模板,12,2020年9月13日星期日,此模板是在服務(wù)器提升為域控制器時(shí)創(chuàng)建的。它反映了文件、注冊(cè)表和系統(tǒng)服務(wù)的默認(rèn)安全設(shè)置。如果您重新應(yīng)用此模板，這些設(shè)置將設(shè)置為默認(rèn)值。但是，該模板可能會(huì)覆蓋由其他程序創(chuàng)建的新文件、注冊(cè)表項(xiàng)和系統(tǒng)服務(wù)的權(quán)限。,（2）域控制器默認(rèn)安全 (DC security.inf),2. 預(yù)定義的安全模板,13,2020年9月13日星期日,此模板依照大多數(shù)不屬于 Windows Logo Program for Software（Windows

5、 軟件徽標(biāo)計(jì)劃）的程序的要求，更改被授予“Users”組成員的默認(rèn)文件權(quán)限和注冊(cè)表權(quán)限。兼容模板還刪除“Power Users”組的所有成員。 注意：不要對(duì)域控制器應(yīng)用兼容模板。,（3）兼容 (Compatws.inf),2. 預(yù)定義的安全模板,14,2020年9月13日星期日,安全模板定義最不可能對(duì)程序兼容性產(chǎn)生影響的增強(qiáng)安全設(shè)置。例如，定義加強(qiáng)的密碼、鎖定和審核設(shè)置。 Windows Server 2003 中有兩個(gè)預(yù)定義的安全模板：用于工作站的 Securews.inf 和用于域控制器的 Securedc.inf。,（4）安全 (Secure*.inf),2. 預(yù)定義的安全模板,第 1

6、章,15,2020年9月13日星期日,高安全模板還指定了安全模板沒(méi)有定義的其他限制，例如執(zhí)行身份驗(yàn)證所需的加密級(jí)別和簽名以及安全通道上的數(shù)據(jù)交換和服務(wù)器消息塊 (SMB) 客戶端和服務(wù)器之間的數(shù)據(jù)交換。,（5）高度安全 (hisec*.inf),2. 預(yù)定義的安全模板,16,2020年9月13日星期日,2.3.3 安全模板,17,2020年9月13日星期日,2.3.3 安全模板,18,2020年9月13日星期日, 帳戶策略：控制密碼策略、鎖定策略、Kerberos 策略。 本地策略：控制審核策略、用戶權(quán)利指派、安全 選項(xiàng)。 事件日志：控制事件日志設(shè)置和NT的事件查看器 的行為。,點(diǎn)擊任意一個(gè)安

7、全模板，右邊的窗格顯示出可以利 用該安全模板控制的安全選項(xiàng)類別：,2. 預(yù)定義的安全模板,19,2020年9月13日星期日, 受限制的組：控制哪些用戶能夠或者不能夠進(jìn)入各種本地組。 系統(tǒng)服務(wù)：?jiǎn)?dòng)、關(guān)閉各種系統(tǒng)服務(wù)，控制哪些用戶有權(quán)修改系統(tǒng)服務(wù)的啟動(dòng)方式。 注冊(cè)表：控制修改或查看各個(gè)注冊(cè)鍵的權(quán)限，啟用注冊(cè)鍵的修改審核功能。 文件系統(tǒng)：控制文件夾、文件的NTFS授權(quán)。,2. 預(yù)定義的安全模板,20,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,21,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,任意選擇一路徑：,22,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,23,2020

8、年9月13日星期日,3. 創(chuàng)建新的安全模板,24,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,25,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,26,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,27,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,28,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,29,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,30,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,31,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,32,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,33,2020年9月13日星期日,

9、3. 創(chuàng)建新的安全模板,34,2020年9月13日星期日,3. 創(chuàng)建新的安全模板,35,2020年9月13日星期日,4. 應(yīng)用安全模板,“開始”-“運(yùn)行”-鍵入 mmc，“文件” 菜單上，單擊“添加/刪除管理單元”，單擊添加“安全配置和分析”。,36,2020年9月13日星期日,4. 應(yīng)用安全模板,37,2020年9月13日星期日,4. 應(yīng)用安全模板,38,2020年9月13日星期日,4. 應(yīng)用安全模板,輸入新數(shù)據(jù)庫(kù)名，隨便命名,39,2020年9月13日星期日,4. 應(yīng)用安全模板,選擇要導(dǎo)入的模板，simple.inf,40,2020年9月13日星期日,4. 應(yīng)用安全模板,41,2020年9月13日星期日,4. 應(yīng)用安全模板,42,2020年9月13日星期日,4. 應(yīng)用安全模板,43,2020年9月13日星期日,4. 應(yīng)用安全模板,44,2020年9月13日星期日,4. 應(yīng)用安全模板,45,2020年9月13日星期日,4. 應(yīng)用安全模板,分析狀態(tài)標(biāo)記如下: 1.紅色的“X”表明與基本配置有差異。 2.綠色的“復(fù)選標(biāo)記”表明與基本配置一致。 3.沒(méi)有圖標(biāo)表明模板中不包含安全屬性，因此不分析。 例如，“密碼必須符合復(fù)雜性要求”策略，在安全數(shù)據(jù)庫(kù)中的策略為“啟用”，而在本地的系統(tǒng)設(shè)置為“停用