《网络安全的实现和管理.ppt》由会员分享,可在线阅读,更多相关《网络安全的实现和管理.ppt(42页珍藏版)》请在三一办公上搜索。
1、第6章规划、配置和部署安全的成员服务器基线,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章 数据传输安全性的规划、部署和故障排除第11章 部署配置和管理SSL第12章 规划和实施无线网络的安全措施第13章 保
2、护远程访问安全,网络安全的实现和管理-以Windows Server 2003和ISA Server 2004为例,第14章 MICROSOFT ISA SERVER 概述第15章 安装和维护 ISA Server第16章 允许对 Internet 资源的访问第17章 配置 ISA Server 作为防火墙第18章 配置对内部资源的访问第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高级应用程序和Web筛选第21章 为远程客户端和网络配置虚拟专用网络访问第22章 实现缓存第23章 监视ISA Server2004,第6章:规划、配置和
3、部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,成员服务器基线概述,受信计算基维护受信计算基的要求安全基线元素建立安全基线的指导方针,6.1 成员服务器基线概述,受信计算基,它包括组织的计算环境中所有元素的详细安全性要求 受信计算基的安全机制:包含硬件、软件、Includes hardware,software,固件、和流程它是组织的安全策略,受信计算基,维护受信计算基的要求,6.1.2 维护受信计算基的要求,安全基线元素,安全基线:实现了一台特定计算机上的受信计算基组件 安全基线包含:服务和应用程序设置操作系统组件的配置权
4、限和权利分配管理规程,6.1.3 安全基线元素,建立安全基线的指导方针,6.1.4 建立安全基线的指导方针,第6章:规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,规划安全的成员服务器基线,为服务器规划安全基线的指导方针预定义的安全模板Windows Server 2003 中的安全性环境其他安全模板保存安全模板的最佳实践其他安全设置管理组设计的最佳实践,6.2 规划安全的成员服务器基线,为每个角色使用模板,创建 OU 结构,确定多项操作系统要求,仅授予必需的权限,使用组策略以应用模板,监视基线,6.2.1 为服
5、务器规划安全基线的指导方针,为服务器规划安全基线的指导方针,预定义的安全模板,6.2.2 预定义的安全模板,预定义的安全模板,6.2.2 预定义的安全模板,6.2.3 Windows Server 2003 中的安全性环境,Windows Server 2003 中的安全性环境,其他安全模板,6.2.4 其他安全模板,保存安全模板的最佳实践,发生以下情形时,需要保存安全模板,确保在生产环境中使用的安全模板保存在一个只有负责实施组策略的管理员才能访问到的位置 指定一台域控制器来保存安全模板的主副本,以避免版本控制问题 确保只有管理员才拥有编辑和查看安全模板内容的权限,6.2.5 保存安全模板的最
6、佳实践,其他安全设置,控制惟一安全组的权利保护公开账户配置服务账户使用 NTSF 设置禁用错误报告配置系统时间,6.2.6 其他安全设置,管理组设计的最佳实践,需要设计管理组的情形:,根据组中的管理员将执行的任务创建 Active Directory 服务管理员组 将特殊权限分配给 Active Directory 数据管理员 达到资源管理简易性和资源组织复杂性之间的平衡 确保对管理员进行背景调查,6.2.7 管理组设计的最佳实践,目的:定可确保域中的新旧操作系统之间兼容性的最佳方式,6.2.8 实验6-1:规划安全的成员服务器基线,实验6-1:规划安全的成员服务器基线,第6章:规划、配置和部
7、署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,配置其他安全设置,手工将安全组添加到“用户权限分配”重命名域中和服务器上的 Administrator 和 Guest 账户时间同步过程配置时间同步,6.3 配置其他安全设置,演示:演示如何手工将安全组添加到“用户权限分配”,6.3.1 手工将安全组添加到“用户权限分配”,手工将安全组添加到“用户权限分配”,重命名域中和服务器上的 Administrator 和 Guest 账户,演示如何重命名域中和服务器上的 Administrator 和 Guest 账户,创建一个新的组策略
8、对象配置组策略设置来更改帐户名称,6.3.2 重命名域中和服务器上的 Administrator 和 Guest 账户,时间同步过程,6.3.3 时间同步过程,配置时间同步,演示如何配置时间同步,创建时间服务器列表配置服务器使用时间服务器列表,6.3.4 配置时间同步,实验6-2:配置时间服务,目的:在域中配置时间服务,6.3.5 实验6-2:配置时间服务,第6章:规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,部署安全模板,部署安全模板的方式使用组策略在域环境中部署安全模板在独立的计算机上部署安全模板使用脚本部
9、署安全模板部署安全模板的最佳实践,6.4 部署安全模板,部署安全模板的方式,6.4.1 部署安全模板的方式,演示:演示如何使用组策略在域环境中部署安全模板,6.4.2 使用组策略在域环境中部署安全模板,使用组策略在域环境中部署安全模板,演示:演示在独立的计算机上部署安全模板,本地安全策略安全配置分析工具,6.4.3 在独立的计算机上部署安全模板,在独立的计算机上部署安全模板,使用脚本部署安全模板,演示:演示如何使用脚本部署安全模板,6.4.4 使用脚本部署安全模板,部署安全模板的最佳实践,部署安全模板:,如果没有经过测试,不要使用预定义的安全模板 跟踪计算机上所用的系统服务 将 Secedit
10、.exe 命令行工具用于频繁分析 为进行分析创建多个分开的安全数据库,6.4.5 部署安全模板的最佳实践,第6章:规划、配置和部署安全的成员服务器基线,成员服务器基线概述 规划安全的成员服务器基线 配置其他安全设置部署安全模板安全模板故障诊断,安全模板故障诊断,解决与应用组策略有关的问题解决不期望的安全设置问题解决系统策略问题,6.5 安全模板故障诊断,分析问题流程,6.5.1 解决与应用组策略有关的问题,解决与应用组策略有关的问题,分析多个 GPO 将多个模板应用到系统时会导致不期望的安全设置分析流程,6.5.2 解决不期望的安全设置问题,解决不期望的安全设置问题,解决不期望的安全设置问题,
11、最佳实践验证想要应用的策略没有受阻验证在 Active Directory 中的较高级别设置的不覆盖策略是否已经设置为“不覆盖”。如果同时使用了“不覆盖”和“阻止”,“不覆盖”优先验证用户或计算机不属于任何“应用组策略”权限被设置为“拒绝”的安全组验证用户或计算机至少属于一个“应用组策略”权限被设置为“允许”的安全组验证用户或计算机至少属于一个“读取”权限被设置为“允许”的安全组,6.5.2 解决不期望的安全设置问题,解决系统策略问题,系统系统策略未能成功应用到系统的原因:是否正确命名了策略文件 是否将.pol 文件存放在了正确的文件夹中 继承问题,6.5.3 解决系统策略问题,练习 1规划安全的成员服务器基线练习 2实施预定义的安全模板练习 3创建并实施定制的安全模板练习 4在非域成员的服务器上实施安全模板,6.6 实验 6-3:规划、配置和部署成员服务器基线,实验 6-3:规划、配置和部署成员服务器基线,回顾,学习完本章后,将能够:了解安全基线和成员服务器基线的重要性规划安全的成员服务器基线配置附加安全设置部署安全模板,
