資源描述:
《組策略管理安全ppt課件.ppt》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�、第7章使用組策略實(shí)施安全性章節(jié)概述第1節(jié):配置安全策略第2節(jié):實(shí)施細(xì)粒度密碼策略第3節(jié):限制組成員身份以及對軟件的訪問第4節(jié):使用安全模板管理安全性第1節(jié):配置安全策略安全策略默認(rèn)域安全策略帳戶策略本地策略網(wǎng)絡(luò)安全策略高級安全Windows防火墻演示:附加安全設(shè)置的概述演示:默認(rèn)域控制器安全策略安全策略默認(rèn)域安全策略為域提供帳戶策略����;默認(rèn)情況下,其他設(shè)置都未配置用于提供將影響整個域的安全設(shè)置作為最佳做法���,使用域策略提供安全設(shè)置。使用單獨(dú)的GPO提供其他類型的設(shè)置域默認(rèn)域安全策略帳戶和安全設(shè)置帳戶策略描述密碼帳戶鎖定Kerberos策略強(qiáng)制密碼歷史:24個密碼最長密碼期限:42天最短密碼期
2��、限:1天最短密碼長度:7個字符復(fù)雜密碼:啟用使用可逆加密存儲密碼:禁用鎖定時間:未定義鎖定閾值:0次無效登錄嘗試復(fù)位帳戶鎖定失?�。何炊x帳戶策略的組成:只能應(yīng)用在域級帳戶策略可減少暴力破解帳戶密碼的威脅����。本地策略運(yùn)行Windows2000及更高版本的每臺計算機(jī)都有作為本地組策略一部分的安全策略ü當(dāng)域策略和本地策略沖突時��,域策略將覆蓋本地策略ü在工作組中����,必須配置本地安全策略來提供安全性ü可以通過本地組策略分配本地權(quán)限ü安全選項控制計算機(jī)安全性的很多不同方面ü本地策略決定用戶或服務(wù)帳戶的安全選項。網(wǎng)絡(luò)安全策略分離WindowsXP和WindowsVista的無線策略üWindowsVist
3�����、a策略包含更多針對無線網(wǎng)絡(luò)的選項üWindowsVista無線策略可拒絕對無線網(wǎng)絡(luò)的訪問ü可以通過組策略配置802.1x身份驗(yàn)證ü只有WindowsVista和更高版本可接收有線網(wǎng)絡(luò)策略ü定義WindowsVista和WindowsXP客戶端無線連接的可用網(wǎng)絡(luò)和身份驗(yàn)證方法�����,以及WindowsVista和WindowsServer2008客戶端的LAN身份驗(yàn)證����。WindowsXPWindowsVista無線有線僅無線WindowsXPWindowsVista僅無線GPO高級安全Windows防火墻支持篩選傳入流量和外發(fā)流量ü用于高級設(shè)置配置ü提供集成的防火墻篩選和IPSec保護(hù)設(shè)置ü允許
4�、針對各種條件(如用戶����、組以及TCP和UDP端口)的規(guī)則配置ü提供網(wǎng)絡(luò)位置感知的配置文件ü可導(dǎo)入或?qū)С霾呗渊够谥鳈C(jī)的有狀態(tài)防火墻,根據(jù)其配置允許或阻止網(wǎng)絡(luò)流量���。WindowsServer2008InternetLAN防火墻防火墻規(guī)則控制入站和出站流量演示:附加安全設(shè)置的概述在本演示中����,你將看到如何配置附加安全設(shè)置�。演示:默認(rèn)域控制器安全策略在本演示中,你將看到默認(rèn)域控制器策略設(shè)置�。為域控制器提供一層額外的安全性ü允許配置很多用戶權(quán)利ü提供啟用的審核ü第2節(jié):實(shí)施細(xì)粒度密碼策略細(xì)粒度密碼策略實(shí)施細(xì)粒度密碼策略的方式實(shí)施細(xì)粒度密碼策略的步驟演示:實(shí)施細(xì)粒度密碼策略細(xì)粒度密碼策略管理員組經(jīng)理組
5、最終用戶組密碼更改:7天密碼更改:14天密碼更改:30天細(xì)粒度密碼策略允許同一個域中存在多個密碼策略�����。實(shí)施細(xì)粒度密碼策略的方式實(shí)施PSO時的注意事項:“密碼設(shè)置容器”和“密碼設(shè)置對象”是新的架構(gòu)對象類üPSO只能應(yīng)用于用戶或全局組ü可通過ADSIEdit或LDIFDE創(chuàng)建PSOüPSO有以下可用的設(shè)置:密碼策略帳戶鎖定策略PSO鏈接優(yōu)先順序?qū)嵤┘?xì)粒度密碼策略的步驟影子組可用于將PSO應(yīng)用于尚無相同的全局組成員身份的所有用戶用戶或組可以有多個與之鏈接的PSO優(yōu)先順序?qū)傩杂糜诮鉀Q沖突優(yōu)先順序值越低�,優(yōu)先級越高直接鏈接到用戶對象的PSO覆蓋鏈接到用戶全局組的PSO如果沒有PSO�,那么常規(guī)域帳戶
6、策略生效演示:實(shí)施細(xì)粒度密碼策略在本演示中��,你將看到如何創(chuàng)建和應(yīng)用PSO��。第3節(jié):限制組成員身份以及對軟件的訪問受限制組成員身份演示:配置受限制的組成員的身份軟件限制策略配置軟件限制策略的選項演示:配置軟件限制策略受限制組成員身份組策略可按如下方法控制組成員身份:對于本地計算機(jī)上的任何組��,將GPO應(yīng)用于包含該計算機(jī)帳戶的OU對于ADDS中的任何組����,將GPO應(yīng)用于域控制器演示:配置受限制的組成員的身份在本演示中�,你將看到如何配置受限制的組成員的身份����。軟件限制策略標(biāo)識并控制客戶端計算機(jī)上的軟件的策略驅(qū)動機(jī)制限制軟件安裝和病毒的機(jī)制由兩部分組成的組件:有三個選項的默認(rèn)規(guī)則:不受限、基本和不允許
7���、默認(rèn)規(guī)則的例外配置軟件限制策略的選項證書規(guī)則檢查應(yīng)用程序的數(shù)字簽名在需要限制Win32應(yīng)用程序和ActiveX內(nèi)容時使用Internet區(qū)域規(guī)則控制如何訪問Internet區(qū)域在高安全性環(huán)境中用于控制對Web應(yīng)用程序的訪問哈希規(guī)則用于采用文件的MD5或SHA1哈希來確認(rèn)真實(shí)性用于允許或禁止某些文件版本運(yùn)行路徑規(guī)則在限制文件路徑時使用當(dāng)存在同一個應(yīng)用程序的多個文件時使用當(dāng)SRP較嚴(yán)格時至關(guān)重要演示:配置軟件限制策略在本演示中,你將看到
