计算机网络技术基础-王立征-项目17 本地安全策略.pptx

项目17 本地安全策略;服务器的安全威胁主要来自本地登录访问和通过网络的远程访问，为此， 2016 系统通过内置一系列的安全策略和软件防火墙来监管和防范访问者。虽然 2016 进行了初始的安全策略设置，但与实际的防范要求相比还有较大差距。为了降低网络攻击的威胁，保障服务器的安全，我们可以通过以下措施来加固服务器：对 2016 系统安装最新的补丁程序，以修复系统自身的漏洞和错误；设置账户策略以防止密码被盗；添加审核策略来跟踪资源访问者；启动并配置 2016 自带的防火墙，对进、出服务器的数据包进行筛选。;掌握账户策略、审核策略的安全设置。掌握用户权限分配、安全选项的设置。掌握 防火墙入站和出站规则的配置。;账户策略审核策略用户权限分配的设置安全选项的设置高级安全防火墙的设置;账户策略;入侵者最基本的攻击方式就是破解系统的密码， 可通过密码策略来提高密码破解的难度。1.密码策略的设置主要包括提高密码复杂性、增加密码长度、增加密码更换频率等。

提示：密码复杂性包含了一下三个方面的要求：密码中的符号不能包含用户名中超过两个以上的连续字符；密码长度至少为6个字符；密码中至少包含A~Z、a~z、0~9、特殊字符（如！、$、、#、%）四类字符中的三类。;密码策略设置步骤如下：步骤一：按下“WIN+R”组合键，打开“运行”命令窗口，输入.msc，进入组策略设置。步骤二：依次选择【计算机配置】-【设置】-【安全设置】-【账户策略】对话框。步骤三：展开“账户策略”下的“密码策略”窗口，双击“密码必须符合复杂性要求”，打开“密码必须符合复杂性要求 属性”对话框，选择“已启用”单选按钮，启动密码复杂性策略，单击“确定”按钮;步骤四：双击“密码长度最小值”，在打开的属性对话框中设置密码必须至少包含多少个字符。此处可为0~14，0（默认值）表示用户可以没有密码.步骤五：双击“密码最短使用期限”，在打开的属性对话框中设置密码自从上次应用后距离下次更改密码的最短时间（可为0~998天），期限未到前，用户不得变更密码。0（默认值）表示用户可随时变更密码。;步骤六：双击“密码最长使用期限”，在打开的属性对话框中设置密码使用的最长时间（可为0~999天），默认值为0天，表示密码永不过期。

最佳设置范围为30~90天。用户在登录时，若密码最长使用期限已到，则系统会要求用户更改密码，如图17-3所示。步骤七：双击“强制密码历史”，在打开的属性对话框中设置是否要保存用户以前使用过的旧密码，以便决定用户在更改密码时是否可以重复使用旧密码（可为0~24）。0（默认值）表示不保存密码历史记录，用户在更改密码时，可以将其设置为以前使用过的任何一个旧密码。如设置为3，表示保存密码记录，且用户的新密码不可与前三次使用过的旧密码相同。;提示：密码最短使用期限必须小于密码最长使用期限。除非密码最长使用期限设置为0，那么密码最短使用期限可设置为0~998的任意值。步骤八：双击“用可还原的加密来储存密码”，打开属性对话框，在“已禁用”情况下，存储的用户密码只有操作系统能够读取，如果允许某些应用程度也能读取用户的密码，以便验证用户身份，则该项策略需要重启，但是系统的安全性将大大降低。;2.账户锁定策略的设置账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。 2016系统在默认情况下，为方便用户，没有启用账户锁定策略。

;设置账户锁定策略的步骤如下：步骤一：按下“WIN+R”组合键，打开“运行”命令窗口，输入.msc，进入组策略设置。步骤二：依次选择【计算机配置】-【设置】-【安全设置】-【账户策略】对话框。步骤三：展开“账户策略”下的“账户锁定策略”窗口，双击“账户锁定阈值”，在打开的属性对话框中设置用户输入几次错误密码后将被系统自动锁定。设置范围为0~999。默认为0，表示不锁定账户。如果设置5次，单击确定按钮后弹出“建议的数值改动”提示框，单击“确定”按钮。步骤四：在“账户锁定阈值”设置完毕后，“账户锁定时间”“重置账户锁定计数器”都会被激活（此前，这两项均不能设置）。双击“账户锁定时间”，在打开的属性对话框中设置账户被锁定多少分钟后将自动解锁。设置范围为0~99999，单位为分钟，若设置为0分钟，代表永久锁定，不能自动解锁，必须由系统管理员手动解锁。步骤五：双击“重置账户锁定计数器”，在打开的属性对话框中设置从最近一次用户登录失败开始计时，经过多长时间计数器会自动归零。“锁定计数器”用来记录用户登录失败的次数，其起始值为0，若用户登录失败，则锁定计数器加1，若登录成功，则锁定计数器归零。

若锁定计数器的值等于账户锁定阈值，则该账户被锁定。;审核策略;配置审核策略就是确定把哪些事件写入计算机的安全日志中，以便跟踪用户和操作系统的活动。 2016的所有审核策略均默认为“无审核”状态，需要手动开启。常用审核策略如下表。;“审核对象访问访问”为例。说明用户访问某个文件夹的审核策略的配置步骤：步骤一：按下“WIN+R”组合键，打开“运行”命令窗口，输入.msc，进入组策略设置。步骤二：依次选择【计算机配置】-【设置】-【安全设置】-【本地策略】-【审核策略】。步骤三：在【审核策略】右侧窗格中双击【审核对象访问】，打开【审核对象访问 属性】对话框，若想审核成功和失败的访问，则勾选“成功”和“失败”复选键，单击“确定”按钮。;步骤四：打开待配置的文件夹（如“测试目录”）-右击该文件打开【测试目录 属性】-单击【安全】选项卡-单击【高级】按钮-打开【测试目录的高级安全设置】窗口，单击【审核】选项卡-单击【添加】按钮，打开【测试目录 的审核项目】窗口-单击【选择主体】链接。;步骤六：验证、查看审核结果。注销账号-使用被审核的用户（如）登录系统并在“测试目录”文件夹中删除一个子文件夹或文件-注销当前用户，重新用登录系统-依次单击【开始】-【服务器管理器】-【工具】-【事件查看器】，打开【事件查看器】窗口-在左窗格中展开【日志】-单击【安全】节点-在右窗格中找到并双击审核到的事件日志，此后，可以看到刚才删除文件的操作已被详细记录在此。

;用户权限分配的设置;用户权限分配是用户在计算机系统或域中执行某项任务的能力。如：从本地登录系统、更改系统时间、关闭系统、从网络访问此计算机等。下面以“从网络访问此计算机”为例，说明用户权限分配的设置过程：进入【本地策略】窗口-单击【用户权限分配】-在展开的右侧窗格中双击【从网络访问此计算机】，打开【从网络访问此计算机 属性】对话框。;用户权限分配的设置;安全选项的设置;安全选项的设置;安全???项的设置;高级安全防火墙的设置; 2016 内置的防火墙支持双向保护，即可以对入栈、出站的数据包进行规则匹配检查，从而决定是否让数据包传入或传出。配置防火墙的过程，主要就是配置入站、出站规则的过程。1.更改网络位置的配置文件在默认情况下，三种网络位置（域网络、专用网络和公用网络）都是阻止入站连接和允许出站；连接，网络管理员可以根据需要进行更改，其操作如下图：;在【入站连接】和【出站连接】的下位按钮中可选的设置项目有：【阻止（默认值）】：阻止没有在防火墙规则中明确允许连接到所以连接。在入站连接中为默认值。【阻止所有连接】：阻止全部连接，不论是否在防火墙规则中明确允许的连接。

【允许（默认值）】：允许连接，但在防火墙规则中有明确阻止的连接除外。在出站连接中为默认值。;2.入站规则的添加与设置默认情况下，防火墙阻止所有传入流量，除非是对计算机（请求的流量）以前的传出请求的响应，或者创建了用于允许该流量的特别允许规则。例如，若使用内置的IIS组件搭建了Web服务器，系统会自动添加和启用该服务对应的默认端口为TCP 8080的“万维网服务（HTTP流入量）”的入站规则。但是，若将Wed服务的端口更改为非默认的TCP 8080端口或者安装的是第三方的Web服务软件（如 Web软件），则需要配置用户自定义入站规则，以支持网络用户能访问该Web服务器。;步骤一：进入【高级安全防火墙】窗口-在左窗格中单击【入站规则】-在右窗格中单击【新建规则】;步骤二：在打开的【规则类型】对话框中选择【端口】-单击【下一步】-打开【协议和端口】对话框，选择【TCP】单选按钮-选择【特定本地端口】单选按钮并在其编辑框内输入“8080”-单击【下一步】按钮。步骤三：打开【操作】对话框，选择【允许连接】-单击【下一步】按钮-打开【配置文件】对话框，勾选【域】【专用】【公用】（表明本规则在三种可能的网络位置均可以生效）-单击【下一步】按钮-打开【名称】对话框，在【名称】编辑框中输入“内网用户Web入站”-在【描述（可选）】编辑框内输入描述信息-单击【完成】按钮。

;步骤四：系统返回【高级安全防火墙】窗口，右击新建的入站规则-在弹出的快捷菜单中单击【属性】。;步骤五：打开【内网用户Web入站 属性】对话框，单击【作用域】选项卡-在【本地IP地址】区域内选择【下列IP地址】-单击【添加】按钮-弹出【IP地址】对话框，在【此IP地址或子网】编辑框中输入允许的IP地址（如/24）-单击【确定】按钮两次，如图17-19所示。;3.出站规则的添加与设置默认情况下，高级安全防火墙不阻止出去的流量（但阻止标准服务以异常方式进行通信的服务强化规则除外）。用户可以针对数据包的协议、端口等创建出站规则，以阻止指定服务的出站流量。如：阻止当前服务器主机（IP地址为）访问其他Web服务器。由于 2016中有64位和32位两个IE浏览器程序[程序位置为“%%\ \”和“%（x86）%\ \”]，所以，此处要分别建立两条出站规则来阻止两个程序的出站。;步骤一：进入【高级安全防火墙】窗口-在左窗格中右击【出站规则】，在弹出的快捷菜单中选择【新建规则】菜单项-打开【规则类型】对话框，单击【程序】单选按钮-单击【下一步】按钮;步骤二：在打开的【程序】对话框中选择【此程序路径】单选按钮并在其编辑框内输入或通过【浏览】按钮选择程序的路径“%%\ \.exe”-单击【下一步】按钮;步骤三：打开【操作】对话框，选择【阻止连接】-单击【下一步】按钮;步骤四：打开【配置文件】对话框，勾选【域】【专用】【公用】-单击【下一步】按钮。

打开【名称】对话框，在【名称】编辑框中输入“阻止64位IE出站”-单击【完成】按钮;步骤五：重复步骤二~步骤四，创建阻止32位IE浏览器程序执行的出站规则。步骤六：访问测试。在启用上述两条规则的基础上，测试能否外出访问其他Web网站。测试结果如图所示。;通过学习本项目，我们掌握了保护本地系统安全的设置策略。通过账户策略设置密码复杂度、账户锁定策略来保护系统账户安全；通过配置审核策略确定安全日志的记录能容，以便跟踪用户和操作系统的活动；通过用户权限分配实现不同用户的精细化管理，明确授权界限。通过定义防火墙的出站入站规则，实现数据流动的可控性。从不同层面提高了系统的安全性。保护计算机系统需要针对不同的层次、不同的角度的各种策略和规则配合实现。我们的社会是最复杂的系统，社会的和谐稳定需要更加科学系统的法律法规、公序良德的支撑。作为新时代青年，应该遵纪守法，积极支持以《宪法》为基础的社会主义法治国家建设。;2021-9-26