計算機網(wǎng)絡安全技術(shù) 課件 第二章 Windows 操作系統(tǒng)安全配置

第二章Windows操作系統(tǒng)安全配置2.1認識Windows操作系統(tǒng)2.1.1什么是Windows操作系統(tǒng)Windows是美國微軟公司以圖形用戶界面（GUI）為基礎(chǔ)研發(fā)的操作系統(tǒng)，主要運用于計算機、智能手機等設(shè)備，共有普通版本、服務器版本（WindowsServer）、手機版本（WindowsPhone等）、嵌入式版本（WindowsCE等）等子系列，是全球應用最廣泛的操作系統(tǒng)之一。2.1.2WindowsServer2016概述

WindowsServer2016是微軟公司專門為服務器提供的一款圖形化操作系統(tǒng)，可以幫助信息部門的IT人員來搭建網(wǎng)站、應用程序服務及虛擬化云服務等。WindowsServer2016具有強大的管理功能和安全措施來簡化網(wǎng)站的部署與服務器的管理，能夠改善資源可用性、降低成本、保護企業(yè)應用程序和數(shù)據(jù)的安全，使運維人員更加輕松地管理服務器和維護應用程序。2.1.3WindowsServer2016版本W(wǎng)indowsServer2016分為3個版本：1.DatacenterEdition（數(shù)據(jù)中心版）2.StandardEdition（標準版）3.EssentialsEdition（基本版）2.2用戶和組的安全管理用戶是具有登錄系統(tǒng)和訪問資源權(quán)限的個人賬戶。在WindowsServer2016中，每個用戶都有一個唯一的用戶名和密碼，這些信息用于登錄系統(tǒng)。用戶可以被授權(quán)訪問特定的文件、文件夾、共享資源、應用程序、設(shè)備等。管理員可以通過設(shè)置訪問權(quán)限來對用戶進行管理。2.2.1用戶安全管理1．修改Administrator賬戶名稱WindowsServer2016內(nèi)置了兩個可供使用的用戶賬戶。Administrator（系統(tǒng)管理員）：Administrator賬戶擁有最高的權(quán)限，用戶可以使用此賬戶來管理計算機。Guest（來賓）：它是供沒有賬戶的用戶臨時使用的，只有很少的權(quán)限，可以更改名稱，但是無法被刪除。此賬戶默認是被禁用的，如果沒有禁用，則可以手動禁用此賬戶。左鍵“開始”圖標，在彈出的快捷菜單中選擇“運行”命令，打開“運行”窗口，輸“gpedit.msc”，單擊“確定”按鈕。打開“本地組策略編輯器”窗口，依次選擇“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”選項。在右側(cè)找到“賬戶：重命名系統(tǒng)管理員賬戶”選項并右擊，在彈出的快捷菜單中選擇“屬性”命令，彈出“賬戶：重命名系統(tǒng)管理員賬戶屬性”對話框。輸入新的賬戶名稱，單擊“確定”按鈕。2．禁用Guest賬戶左鍵“開始”圖標，在彈出的快捷菜單中選擇“計算機管理”命令，打開“計算機管理”窗口。選擇“計算機管理（本地）”→“本地用戶和組”→“用戶”→“Guest”選項，右擊，在彈出的快捷菜單中選擇“屬性”命令。彈出“Guest屬性”對話框，勾選“賬戶已禁用”復選框。3．設(shè)置用戶賬戶密碼右擊“開始”圖標，在彈出的快捷菜單中選擇“計算機管理”命令，打開“計算機管理”窗口。選擇“計算機管理（本地）”→“本地用戶和組”→“用戶”→“User”選項（以User賬戶為例），右擊，在彈出的快捷菜單中選擇“設(shè)置密碼”命令。彈出“為User設(shè)置密碼”對話框，輸入新密碼，單擊“確定”按鈕。4．創(chuàng)建密碼盤密碼盤的工作原理如下。（1）硬件層面：密碼盤需要支持硬件虛擬化和安全啟動功能。（2）安全啟動：當服務器啟動時，密碼盤會啟動安全啟動功能，驗證操作系統(tǒng)和啟動文件的完整性，并確保它們沒有被篡改。（3）安全運行環(huán)境：密碼盤創(chuàng)建一個安全的虛擬化環(huán)境，用于存儲用戶憑據(jù)和加密密鑰。這個環(huán)境是隔離的，不受主操作系統(tǒng)的影響。（4）認證和加密：當用戶登錄時，密碼盤將用戶憑據(jù)傳遞給安全運行環(huán)境中的身份驗證服務。如果憑據(jù)正確，則密碼盤返回一個加密密鑰，用于保護用戶憑據(jù)。（5）訪問控制：密碼盤會根據(jù)用戶的訪問權(quán)限，限制用戶對虛擬化環(huán)境中憑據(jù)的訪問我們可以使用可移動磁盤（以U盤為例）來制作密碼重置盤。在計算機上插入已經(jīng)格式化的U盤，登錄賬戶之后，左鍵“開始”圖標，在彈出的快捷菜單中選擇“控制面板”命令。打開“控制面板”窗口，選擇“用戶賬戶”→“創(chuàng)建密碼重置盤”選項，打開“忘記密碼向?qū)А贝翱凇螕簟跋乱徊健卑粹o，選擇密碼密鑰盤。單擊“下一步”按鈕，輸入新密碼。2.2.2組安全管理組是一組用戶的集合，每個用戶可以屬于一個或多個組。在WindowsServer2016中，有一些內(nèi)置的組，如Administrators、Users、Guests。在WindowsServer2016中對組進行安全管理的操作如下。單擊“開始”圖標→“服務器管理器”→“服務器管理器”→“儀表板”→“工具”→“計算機管理”→“本地組策略編輯器”→“本地用戶和組”→“組”→“新建組”。在儀表板選項卡中選擇“工具”→“本地安全策略”→“本地安全策略”→“本地策略”→“用戶權(quán)限分配”→“關(guān)閉系統(tǒng)”雙擊→“關(guān)閉系統(tǒng)屬性”對話框。選擇“本地安全設(shè)置”→“本地安全設(shè)置”→選擇相應的用戶或組→“添加用戶或組”，這樣被添加的組就自動擁有了該項策略的權(quán)限了。2.3文件系統(tǒng)安全配置2.3.1設(shè)置文件權(quán)限右擊需要設(shè)置權(quán)限的文件→“屬性”→“安全”→打開“安全”選項卡。單擊“高級”按鈕→“高級安全設(shè)置”→“添加”→“選擇主體”文字鏈接→“選擇用戶或組”→輸入要選擇的對象名稱→“檢查名稱”→“確定”→彈出權(quán)限項目對話框→選擇分配給用戶的權(quán)限。2.3.2設(shè)置文件夾權(quán)限用戶可以對文件夾進行的操作，包括列出文件夾內(nèi)的文件名、在文件夾內(nèi)創(chuàng)建文件等。NTFS為每個文件夾提供了一個訪問控制列表。選中需要設(shè)置權(quán)限的文件夾并右擊→選擇“屬性”命令→打開文件夾屬性對話框→單擊“安全”→“編輯”。如果需要編輯系統(tǒng)權(quán)限，則可以單擊屬性對話框中“安全”選項卡的“高級”按鈕。2.3.3文件加密文件加密可以保護敏感數(shù)據(jù)，防止未經(jīng)授權(quán)的用戶訪問和查看文件內(nèi)容。右擊需要加密的文件或文件夾→選擇“屬性”命令→單擊“常規(guī)”選項卡→“高級”按鈕→彈出“高級屬性”對話框→勾選“加密內(nèi)容以便保護數(shù)據(jù)”復選框→單擊“確定”按鈕。2.4服務安全配置和加固2.4.1服務安全配置1．開啟系統(tǒng)自動更新功能使用Win+R組合鍵打開“運行”窗口→輸入“gpedit.msc”→“確定”→“本地組策略編輯器”→“計算機配置”→“管理模板”→“Windows組件”→“Windows更新”→“設(shè)置”→雙擊“配置自動更新”。打開“配置自動更新”窗口→“已啟用”→“選項”列表框中可以配置其他屬性→右擊“開始”→“以管理員身份運行”→打開“管理員：WindowsPowerShell”→執(zhí)行“gpupdate/force”命令，使設(shè)置生效。2．開啟系統(tǒng)防火墻WindowsServer2016內(nèi)置了一個名為Windows防火墻的功能，它可以幫助管理員保護服務器不受來自網(wǎng)絡的未經(jīng)授權(quán)的訪問和攻擊。左鍵“開始”→“控制面板”→“系統(tǒng)和安全”→“檢查防火墻狀態(tài)”→“啟用或關(guān)閉Windows防火墻”→“自定義設(shè)置”→“專用網(wǎng)絡設(shè)置和公用網(wǎng)絡設(shè)置”→“啟用Windows防火墻”。專用網(wǎng)絡設(shè)置和公用網(wǎng)絡設(shè)置的區(qū)別主要在于它們適用的網(wǎng)絡環(huán)境及它們的默認安全級別。專用網(wǎng)絡設(shè)置：專用網(wǎng)絡指的是在組織內(nèi)部使用的受信任網(wǎng)絡，例如公司內(nèi)部網(wǎng)絡或內(nèi)部數(shù)據(jù)中心的網(wǎng)絡。公用網(wǎng)絡設(shè)置：公用網(wǎng)絡指的是在公共場所使用的不受信任的網(wǎng)絡，例如咖啡店、機場或公共圖書館的網(wǎng)絡。3．配置防火墻規(guī)則1）入站規(guī)則2）出站規(guī)則3）程序規(guī)則4）安全組規(guī)則5）認證規(guī)則6）邊界規(guī)則4．開啟IE增強安全配置啟用IE增強的安全配置后，服務器的IE瀏覽器將只能訪問白名單中的網(wǎng)站。單擊“開始”→“服務器管理器”→“儀表板”→“配置此本地服務器”→“IE增強的安全配置”→“啟用”→在彈出的“InternetExplorer增強的安全配置”對話框中根據(jù)需求設(shè)置管理員和用戶是否啟用InternetExplorer增強的安全配置。2.4.2服務安全加固RemoteRegistryService是WindowsServer2016中的一項服務，它允許用戶通過網(wǎng)絡遠程訪問計算機上的注冊表。主要作用有以下幾個方面。1．遠程管理2．集中管理3．故障排除2.5本地安全策略2.5.1賬戶策略配置賬戶策略用于控制用戶登錄失敗的次數(shù)和時間，從而防止攻擊者暴力破解密碼。“開始”圖標→“服務器管理器”→“儀表板”→“工具”→“計算機管理”→“本地組策略編輯器”→“本地計算機策略”→“計算機配置”→“Windows設(shè)置”→

“安全設(shè)置”→“賬戶策略”→“密碼策略”→右側(cè)可以設(shè)置關(guān)于賬戶密碼的一些策略，左側(cè)“賬戶鎖定策略”選項可以設(shè)置賬戶鎖定時間等策略。2.5.2本地策略配置“開始”圖標→“服務器管理器”→“儀表板”→“工具”→“計算機管理”→“本地組策略編輯器”→“本地計算機策略”→“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”。“審核策略”包含“審核登錄事件”“審核對象訪問”等策略?！坝脩魴?quán)限分配”包含“備份文件和目錄”“創(chuàng)建符號鏈接”“創(chuàng)建全局對象”等策略?！鞍踩x項”包含與交互式登錄、關(guān)機等相關(guān)的策略。設(shè)置本地策略的注意事項：（1）在設(shè)置密碼策略時，需要確保密碼長度、復雜度等符合實際需求和安全要求。（2）在設(shè)置賬戶鎖定策略時，需要根據(jù)實際情況來選擇合適的鎖定閾值和鎖定時長，以確保系統(tǒng)安全和用戶體驗的平衡。（3）在檢查設(shè)置是否生效時，可以根據(jù)實際需要選擇不同的方法和工具，以確保策略生效并能及時發(fā)現(xiàn)和處理相關(guān)安全事件。2.6域和活動目錄安全管理1．安裝ActiveDirectory服務（域控制器）WindowsServer2016中的ActiveDirectory是一種目錄服務，它是基于LDAP（LightweightDirectoryAccessProtocol）的一種分布式數(shù)據(jù)庫系統(tǒng)。ActiveDirectory用于管理網(wǎng)絡中的用戶、組、計算機和其他資源，并提供集中化的認證和授權(quán)機制，從而實現(xiàn)對網(wǎng)絡資源的安全訪問和管理。2.6.1域和域控制器安全策略配置“開始”圖標→“服務器管理器”→“儀表板”→“添加角色和功能”→“添加角色和功能向?qū)А薄跋乱徊健薄斑x擇安裝類型”→“基于角色或基于功能的安裝”→“下一步”→“選擇目標服務器”→“從服務器池中選擇服務器”→“下一步”→“選擇服務器角色”→勾選“ActiveDirectory域服務”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務器角色”→“下一步”→“選擇服務器角色”→勾選“ActiveDirectory域服務”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務器角色”→“下一步”→“選擇功能”、“ActiveDirectory域服務”使用默認選項→“確認安裝所選內(nèi)容”→“安裝”→“關(guān)閉”按鈕回到“儀表板”→“通知”→“將此服務器提升為域控制器”→“ActiveDirectory域服務配置向?qū)А薄疤砑有铝帧薄案蛎敝休斎搿啊?，→“下一步”→“域控制器選項”→鍵入目錄服務還原模式（DSRM）密碼→“下一步”→其他窗口中使用默認選項即可→“安裝”→自動重啟。在WindowsServer2016中，ActiveDirectory主要有以下幾個特點：1）集中化的用戶管理2）集中化的認證和授權(quán)機制3）統(tǒng)一的命名空間4）可擴展性和可定制性5）支持分布式管理6）安全性和穩(wěn)定性2．域安全策略配置域安全策略是一種安全性設(shè)置，用于保障域中計算機的安全。它是一組規(guī)則和設(shè)置，定義了域中所有計算機的安全策略和配置，并指定了哪些用戶和組可以訪問計算機和域資源?！伴_始”圖標→“Windows管理工具”→“組策略管理”→“林：”→“域”→“”→“DefaultDomainPolicy”→“編輯”注意事項：（1）隸屬于域的任何一臺計算機都會受到域安全策略的影響。（2）隸屬于域的計算機，如果本地安全策略的配置與域安全策略的配置有沖突，則以域安全策略的配置優(yōu)先，也就是說本地安全策略自動無效。（3）當域安全策略的配置發(fā)生變化時，這些策略需要應用到本地計算機后才對本地計算機有效。2.6.2活動目錄安全管理活動目錄（ActiveD