作為網絡管理員，必須熟悉網絡安全保護的各種策略環節以及可以采取的安全措施。這樣才能合理地進行安全管理，使得網絡和計算機處于安全保護的狀態。項目背景項目7系統與數據的安全管理項目7系統與數據的安全管理知識目標了解：網絡安全、安全策略的含義；WindowsServer2003的安全管理機制熟悉：安全策略、安全模板、安全模式的應用掌握：常見安全策略的配置，安全模板的創建與導入，備份和還原數據的方法步驟名，Windows防火墻的配置能力目標會進行賬戶策略、審核策略的安全設置會進行用戶權限分配、安全選項的安全設置能基于域和OU使用安全模板批量進行安全設置會對磁盤數據和系統狀態等重要信息進行備份和還原能運用制定備份任務計劃，實現重要數據的自動備份會使用“安全模式”修復系統會進行Windows防火墻的配置教學目標7.2

項目知識準備網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄漏，系統連續可靠正常地運行，網絡服務不中斷。WindowsServer2003的安全性貫穿于許多系統服務功能中，涉及網絡、密碼學、認證、CA中心、文件加密等多方面。

7.2.1網絡安全的含義與特征7.2

項目知識準備7.2.2

WindowsServer2003安全管理機制身份驗證——它用于確認嘗試登錄訪問網絡資源的用戶的身份，即控制哪些用戶能夠登錄到服務器。訪問控制——規定了訪問發起者(如用戶、進程、服務等)對訪問對象(需要保護的資源)的訪問權限。安全策略——規定了用戶在使用計算機、運行應用程序和訪問網絡等方面的行為約束規則本地安全策略:實現本地計算機的安全。包括帳戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略。域控制器安全策略:實現域控制器的安全。域安全策略:實現整個域的安全。組策略:實現整個網絡的安全。7.2

項目知識準備7.2.2

WindowsServer2003安全管理機制審核——就是把發生的事件按照預先設定的方式記錄下來以供檢查和分析。數據保護——數據存儲：加密文件系統(EFS)；數據恢復：RAID、ntbackup、安全模式、故障恢復控制臺；數據傳輸：IAS、IPSec和FIPS加密、SSL和IAS/RADIUS認證；數據使用：數字簽名技術、憑證管理器、ICF軟件防火墻公鑰結構——通過使用公鑰加密技術，對電子交易中涉及每一方的合法性進行驗證和身份驗證

域信任——允許用戶對其他域上的資源進行身份驗證。Windows防火墻——一種基于軟件的監控狀態篩選防火墻,它通過檢查傳入的數據包并將其與一組規則進行比較,從而決定是否讓數據包進入到服務器或網絡。7.3項目實施任務7-1帳戶策略的安全設置1.密碼策略設置步驟如下：任務7-1帳戶策略的安全設置2.帳戶鎖定策略的設置賬戶鎖定是指在某些情況下（如賬戶受到采用密碼詞典或暴力破解方式等），為保護該賬戶的安全而將此賬戶進行鎖定，使其在一定時間內不能再次使用，從而使破解失敗。設置賬戶鎖定策略的步驟如下：任務7-2審核策略的安全設置

審核就是通過在計算機的安全日志中記錄選定類型的事件來跟蹤用戶和操作系統的活動。配置審核策略就是確定把哪些事件寫入計算機的安全日志中。設置步驟：任務7-3用戶權限分配的安全設置用戶權限是允許用戶在計算機系統或域中執行的任務。有兩種類型的用戶權限：登錄權限控制為誰授予登錄計算機的權限以及他們的登錄方式，比如拒絕本地登錄、允許本地登錄等；特權控制對計算機上系統范圍的資源的訪問，比如關閉系統、更改系統時間等。任務7-3用戶權限分配的安全設置用戶權限名稱說明從網絡訪問此計算機默認情況下任何用戶均可從網絡訪問計算機，根據實際需要可以撤銷某組賬戶從網絡訪問的權限。拒絕從網絡訪問這臺計算機有些用戶只在本地使用，不允許通過網絡訪問此計算機，就可以將此用戶加入到該策略中。允許在本地登錄此登錄權限確定了可交互式登錄到該計算機的用戶，通過在連接的鍵盤上按Ctrl+Alt+Del組合鍵啟動登錄，該操作需要用戶擁有此登錄權限。另外，一些能使用戶進行登錄的服務或管理應用程序可能也需要此登錄權限。拒絕本地登錄此安全設置確定阻止哪些用戶登錄到該計算機。如果一個賬戶同時受上述策略的制約，則此策略設置將取代允許本地登錄策略。關閉系統讓普通用戶具有關閉計算機的權限。任務7-3用戶權限分配的安全設置用戶權限分配的設置步驟如下：任務7-4“安全選項”的安全設置在“安全選項”中的安全策略，是一些和操作系統安全有關的設置。下表列出了幾個常用的安全選項：安全選項名稱說明關機：允許系統在未登錄前關機正常情況下，只有登錄系統后具有權限的用戶才能關機，如果有時需要在未登錄前關機，可將此策略啟用賬戶：使用空白密碼的本地賬戶只允許進行控制臺登錄密碼為空的用戶不能通過網絡訪問此計算機，此策略禁用后，密碼為空的用戶將不會受到限制。交互式登錄：用戶試圖登錄時消息文字該安全設置指定用戶登錄時顯示的文本消息。使用該文本通常作用是用于警告。例如警告用戶登錄后哪些操作不被允許等。網絡訪問：不允許SAM賬戶和共享的匿名枚舉禁止通過共享會話猜測管理員系統口令賬戶：來賓賬戶狀態禁用來賓賬戶任務7-4“安全選項”的安全設置“安全選項”的設置步驟如下：：任務7-5使用安全模板批量進行安全設置1.認識WindowsServer2003的安全模板安全模板是經過配置的安全設置的集合。Win2K3提供了滿足不同安全級別的預定義“安全模板”，存放在%SystemRoot%\security\templates文件夾中。9個默認安全模板，各模板包括的安全設置項目都是一樣的，只是根據不同的安全級別有不同設置值。任務7-5使用安全模板批量進行安全設置2．創建自定義的安全模板任務7-5使用安全模板批量進行安全設置3．將自定義安全模板應用于計算機任務7-6備份與還原磁盤數據備份數據的目標是還原丟失的數據備份和還原數據時需要合理地設置權限數據備份

數據數據數據

數據被毀壞還原

數據

數據任務7-6備份與還原磁盤數據1．備份數據任務7-6備份與還原磁盤數據備份數據的類型：【正常】：正常備份用于復制所有選定的文件，并且在備份后標記每個文件（即清除存檔屬性）。使用正常備份，只需備份文件或磁帶的最新副本就可以還原所有文件。通常，在首次創建備份集時執行一次正常備份。【副本】：副本備份可以復制所有選定的文件，但不將這些文件標記為已經備份（不清除存檔屬性）。如果要在正常和增量備份之間備份文件，復制是很有用的，因為它不影響其他備份操作。【增量】：增量備份僅備份自上次正常或增量備份以來創建或更改的文件。它將文件標記為已經備份（即清除存檔屬性）。如果將正常和增量備份結合使用，需要具有上次的正常備份集和所有增量備份集才能還原數據。【差異】：差異備份用于復制自上次正常或增量備份以來所創建或更改的文件。它不將文件標記為已經備份（不清除存檔屬性）。如果要執行正常備份和差異備份的組合，則還原數據將需要上次已執行過正常備份和差異備份。【每日】：每日備份用于復制執行每日備份的當天修改過的所有選定文件。備份的文件將不會標記為已經備份（不清除存檔屬性）。任務7-6備份與還原磁盤數據2.還原數據任務7-7備份與還原系統狀態當選擇備份某個域控制器的系統狀態時，主要包含以下幾項：ActiveDirectory（非域控制器時無該項）啟動文件COM+類注冊數據庫注冊表系統卷(SYSVOL)（非域控制器時無該項）任務7-7備份與還原系統狀態在域控制器上備份系統狀態的過程如下：任務7-8制定備份任務計劃利用備份任務計劃，可以實現按期自動備份工作。例如，公司服務器上的各業務部門的日常工作文檔，需要定期做正常備份和差異備份。每星期日00：30做正常備份，星期二到星期五22：00做差異備份。任務7-8制定備份任務計劃過程如下：任務7-9使用“安全模式”修復系統進入安全模式:在啟動計算機自動自檢完成后進入圖形界面之前，按F8鍵，會出現Windows高級選項菜單。任務7-9使用“安全模式”修復系統【安全模式】：只啟動最基本的服務和驅動程序。不加載網絡驅動程序，依賴網絡的服務則被設置為手工啟動，常用于修復由于出現了與網絡服務有關的故障而使計算機無法啟動的情況。【帶網絡連接的安全模式】：啟動最基本的服務和驅動程序，增加了網絡連接功能。當需要網絡支持，并且可以肯定網絡驅動程序沒有引起故障的時候。【帶命令行提示的安全模式】：啟動最基本的服務和驅動程序，禁用了網絡連接。啟動后，屏幕出現命令行提示符，用cmd.exe代替了通常使用的explorer.exe。使用此模式，可以對因為explorer出現故障而造成操作系統無法啟動進行調試。【啟用啟動日志】：同時將由系統加載或沒有加載成功的所有驅動程序和服務記錄到ntbtlog.txt文件中，該文件對于確定系統啟動問題的準確原因很有用。【啟用VGA模式】：當安裝了使Windows不能正常啟動的顯示卡驅動程序時，可選該模式進行修復。【最后一次的正確配置】：使用最后一次可以正常進入操作系統的配置來啟動系統.只在配置不正確時使用,但該選項不能解決驅動程序或文件損壞所導致的問題。【目錄服務還原模式】：適用于還原域控制器上的SYSVOL目錄和ActiveDirectory目錄服務。【調試模式】：啟動系統后，同時將調試信息通過串行電纜發送到其他計算機。任務7-10Windows防火墻的配置防火墻是通過檢查傳入的數據包并將其與一組規則進行比較,從而決定是否讓數據包進入到服務器或網絡的功能組件。Windows防火墻工作在服務器的與外界連接的網絡適配器、DSL適配器或者撥號調制解調器等接口上。防火墻將哪些數據包拒之門外,又允許哪些數據包通過,則取決于防火墻的配置。任務7-10Windows防火墻的配置1．啟動/停止Windows防火墻任務7-10Windows防火墻的配置2．防火墻服務的設置1)添加“例外”程序或服務任務7-10Windows防火墻的配置2．防火墻服務的設置2)標準服務的設置任務7-10Windows防火墻的配置2．防火墻服務的設置3)非標準服務的設置任務7-10Windows防火墻的配置3．防火墻安全日志設置任務7-10Windows防火墻的配置3.ICMP設置項目7系統與數據的安全管理項目知識準備網絡安全的含義與特征WindowsServer2003安全管理機制項目實施帳戶策略的安全設置密碼策略的設置賬