当前位置:
文档之家› 第十讲(一)域的安全策略讲解
第十讲(一)域的安全策略讲解
帐户策略设置需求
域账户密码长度至少7个字符 密码符合复杂性要求 密码至少30天修改一次 设置密码锁定策略:输入5次密码不正确就锁定该用户帐 户 1)单击【开始】|【程序】|【管理工具】|【域安全策略】 2)设置【账户策略】的【密码策略】和【账户锁定策略】 3)设置完毕,刷新域安全策略 4)修改某个账户的密码,验证密码策略是否起作用 5)使用某个域账户登录,故意输错密码,看几次后账户 被锁定
应用举例
三种安全策略的关系
域安全策 略
域帐户策略应用 审核文件及文件夹
本地安全策略
本地安全策略影响本计算机的安全设置 本地安全策略主要包含
帐户策略 本地策略
账户策略2-1
密Байду номын сангаас策略
密码必须符合复杂性要求 密码长度最小值 密码最长使用期限 密码最短使用期限 强制密码历史 用可还原的加密来存储密码
实施步骤
阶段练习
背景
某些员工设置密码长度很短,而且不符合复杂 性要求 密码很久也不修改 有时会发生非法用户试探员工密码
目标
密码策略设置 账户锁定策略设置 密码策略的验证 账户锁定策略验证 如何给账户解锁
审核文件及文件夹
审核策略 审核文件及文件夹 事件查看器
阶段总结
本地安全策略主要包含账户策略和本地策略 密码策略包含哪些选项 账户锁定策略哪些选项 本地策略有哪几部分
域控制器安全策略2-1
域控制器安全策略与 本地安全策略的区别
影响的计算机 前者影响DC 后者影响非DC 打开方式 【域控制器安全策 略】 【本地安全策略】 帐户策略中有何异同 前者有Kerberos策 略 与域用户账户的登 录有关
账户锁定策略
账户锁定阈值 账户锁定时间 复位账户锁定计数器
账户策略2-2
帐户策略举例
在独立的计算机上要让账户的密码长度最小为8,账户如果连 续3次输错密码就会被锁定
步骤
1)单击【开始】|【程序】|【管理工具】|【本地安全策略】, 展开【账户策略】|【密码策略】 2)双击“密码长度最小值”,输入“8” 3)在【账户锁定策略】中,双击“账户锁定阈值”,输入“3” 4)在【开始】|【运行】中,输入“gpupdate”刷新本计算机 的本地安全策略(或者重启计算机) 5)更改管理员账户administrator密码,检验能否将密码修改 成小于8位长度的密码 6)退出系统,使用普通账户登录,故意输错密码3次,该账户 就会被锁定
域安全策略3-1
可以影响整个域中的计算机的安全设置 打开方式
【域安全策略】
帐户策略
密码策略 帐户锁定策略 Kerberos 策略
本地策略
域安全策略3-2
三种安全策略的关系
成员计算机和域的设置项冲突时,域安全策略生效 域控制器和域的设置项冲突时,域控制器安全策略生效 本地安全策略 域控制器安全策略 域安全策略
域控制器安全策略2-2
域控制器安全策略应用举例
某个普通域账户需要在DC上登录
步骤
1)打开【域控制器安全策略】|【安全 设置】|【本地策 略】|【用户权限分配】,双击【允许在本地登录】,添加 需要在DC上登录的用户帐户 2)刷新域控制器安全策略 3)验证该普通用户能否在DC上登录
安全策略
本章目标
本章应用域的安全策略,加强了域环境安全 性
理解本地安全策略 理解域控制器安全策略 理解域安全策略 掌握密码策略 掌握账户锁定策略 掌握审核策略
本章结构
密码策略 帐户策略 本地安全策略 本地策略 安全策 略 概念 域控制器安全策略 帐户锁定策略 审核策略 用户权限分配 安全选项
本地策略3-1
审核策略
是否在安全日 志中记录登录 用户的操作事 件
用户权限分配
如关闭系统 更该系统时间 拒绝本地登录 允许在本地登 录
安全选项
控制一些和操 作系统安全相 关的设置
本地策略3-2
用户权限分配举例
作为服务器的计算机不能让普通用户交互式登录(在本 地登录)
审核策略
常用审核策略
审核事件
账户登录事 件
说明
审核域用户从域中的计算机登录时,域控制器收到的验证 信息
登录事件
对象访问 账户管理
审核所有计算机用户的登录和注销事件
审核用户访问某个对象的事件,例如文件、文件夹、注册 表项、打印机等 审核计算机上的每一个帐户管理事件,包括:创建、更改 或删除用户帐户或组; 重命名、禁用或启用用户帐户;设 置或更改密码
本地策略3-3
安全选项举例
在独立的计算机上要让用户在登录前(Ctrl+Alt+Delete 后),必须阅读公司使用计算机的注意事项
步骤:
1)展开【本地策略】|【安全选项】 2)在以下选项中输入提示信息 交互式登录:用户试图登录时消息标题 交互式登录:用户试图登录时消息文字 3)刷新本地安全策略 4)验证
目录服务访 问
系统事件
审核用户访问活动目录对象的事件
审核用户重新启动或关闭计算机时或者对系统安全或安全 日志有影响的事件
审核文件及文件夹
步骤
启用对象访问审核策略 设置需要审核 的文件或文件夹
步骤:
1)单击【开始】|【程序】|【管理工具】|【本地安全 策略】,展开【本地策略】|【用户权限分配】 2)双击“允许在本地登录”,删除“Power Users”和 “Users” 3)在【开始】|【运行】中,输入“gpupdate”刷新本 计算机的本地安全策略(或者重启计算机) 4)退出系统,使用普通账户登录,检验能否登录
域
Computers
FILESVR1 FILESVR2 Domain Controllers DC1 DC2
域安全策略3-3
举例验证
以本地选项的设置项为例 交互式登录:用户试图登录时消息标题 交互式登录:用户试图登录时消息文字
演示
成员计算机与域的对比 域控制器与域的对比
域账户策略应用
