鄭州鐵路職業技術學院教案首頁序號：4授課班級信息安全22A1信息安全22A2授課日期3.113.15出勤情況全勤全勤課程名稱網絡系統安全運行與維護教學類型一體化教學復習舊課引入新課復習使用EFS加強windows文件系統安全引入新課：默認安裝完操作系統后，本地的安全策略并沒有進行設置，這樣對數據本身及通過網絡來訪問數據的安全來說并不是特別安全，引入課程：使用本地安全策略加強windows主機的整體防御教學目標了解本地安全策略的使用方法配置本地安全策略講授要點教學設計講授要點：禁止枚舉賬號指派本地用戶權利設置IP安全策略配置密碼安全策略教學設計：復習上節內容回顧上節內容，使用文件系統加密加強windows文件系統安全任務引入Windows系統中提供了一個類似防火墻的安全策略：IP安全策略，可以針對本地環境進行配置，以便更加安全的保護終端及數據知識講授通過理論講授和實驗演示法，講解通過設置本地安全策略等加強windows主機的整體防御課堂總結重點難點解決方法重點：1.枚舉賬號2.本地安全策略3.密碼安全難點：IP安全策略解決方法：實驗演示法、項目教學法課后作業完成實驗任務，提交實驗報告課后總結IP安全策略是一個給予通訊分析的策略，它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補了傳統TCP/IP設計上的"隨意信任"重大安全漏洞，可以實現更仔細更精確的TCP/IP安全，也就是說，當我們配置好IP安全策略后，就相當于擁有了一個免費，但功能完善的個人防火墻。鄭州鐵路職業技術學院教師教案第4-PAGE15頁使用本地安全策略加強windows主機的整體防御教學過程步驟主要內容教學組織復習1.禁止枚舉賬號2.指派本地用戶權利3.設置IP安全策略4.配置密碼安全策略5分鐘復習上節課中的理論知識，為本節實驗做好準備實驗操作〖步驟1〗創建系統賬戶第一步：創建多個Windows用戶帳戶在PC1上創建bob、Mary、Tim三個用戶，如圖：新建bob賬號新建Mary賬號新建Tim賬號第二步：創建Windows用戶組在PC1上創建Sales、Manager、Engineer三個用戶組，如圖建立Sales組建立Manager組建立Engineer組第三步：將不同用戶加入到不同的用戶組中將bob、Mary、Tim分別加入Sales、Manager、Engineer三個用戶組中，如圖把bob加入Sales組把Mary加入Manager組把Tim加入Engineer組〖步驟2〗設置本地策略第一步：禁止枚舉賬號打開PC1的控制面板——管理工具——本地安全策略——本地策略——安全選項：啟用下圖兩個選項，如圖所示。禁止枚舉賬號雙擊停用的網絡訪問：不允許SAM賬戶賬戶和共享的匿名枚舉，選擇啟用。如圖所示配置策略這樣我們就啟動了“禁用枚舉賬號”第二步：指派本地用戶權利打開PC1的控制面板——管理工具——本地安全策略——本地策略——用戶權利指派：設置“從網絡訪問此計算機”，只加入sales組設置“拒絕從網絡訪問此計算機”，加入manager組設置“關閉系統”，加入engineer組第三步：IP策略首先我們登陸PC2，打開命令提示符窗口，輸入telnet10.1.1.1445，可以看到可以連接到PC1的445端口，表示PC1的445端口已經打開并且可以連接。如圖所示。測試PC1的445端口（1）測試PC1的445端口（2）打開PC1的控制面板——管理工具——本地安全策略——本地策略——IP安全策略：單擊右鍵新建IP安全策略，如圖所示。新建IP安全策略點擊創建IP安全策略，進入IP安全策略向導界面。如圖所示。IP安全策略向導（1）點擊【下一步】，進入下圖：鍵入名稱：屏蔽本地445端口，單擊【下一步】，如圖所示：IP安全策略向導（2）配置安全通信請求，如圖所示。IP安全策略向導（3）完成IP安全策略向導，如圖所示。IP安全策略向導（4）點擊完成返回本地安全策略頁面，右鍵單擊IP安全策略，選擇管理IP篩選器表和篩選器操作，如圖所示。管理IP篩選器表盒篩選器操作（1）進入配置頁面，如圖所示。管理IP篩選器表和篩選器操作（2）在上圖中點擊添加，進入下面頁面：修改名稱，再點擊添加按鈕，如圖所示。建立IP篩選器列表點擊【下一步】，進入到IP篩選器向導，如圖所示。配置IP通信源在源地址標簽中選擇任何IP地址。點擊【下一步】，進入到ip通信目標設置頁面，如圖所示。圖2-23設置目標地址目標地址選擇我的IP地址，點擊【下一步】，設置目標端口，如圖所示。設置目標端口點擊【下一步】，進入到設置IP協議端口界面，如圖所示。設置IP協議端口點擊完成進入返回下圖。如圖所示。返回管理IP篩選器界面從上圖進入到“管理篩選器操作”標簽，如圖所示。管理篩選器操作點擊添加按鈕，進入篩選器操作向導，如圖所示。篩選器操作向導（1）添加篩選器操作名稱，如圖所示。圖設置名稱和描述點擊【下一步】，進入到篩選器操作行為界面，選擇阻止，點擊【下一步】，如圖所示。篩選器操作行為完成篩選器操作向導點擊完成按鈕。重新回到本地安全策略界面，在ip安全策略的右側，可以看到我們剛才新建的屏蔽本地445端口策略。在此上點擊右鍵，選擇屬性。如圖所示。進入設定的IP安全策略屬性頁面屏蔽445端口策略屬性標簽點擊添加按鈕，進入安全規則向導，如圖所示。安全規則向導（1）這里選擇“此規則不建立隧道”，如圖所示。安全規則向導（2）選擇隧道選擇所有網絡連接，如果所示。配置網絡類型選擇屏蔽445端口，如圖所示。選擇“屏蔽445端口”選擇“拒絕445”，如圖所示選擇篩選器操作點擊【下一步】，完成配置。完成配置這樣我們就完成了IP策略的配置。下面我們來激活此策略。右鍵單擊此策略，選擇指派。如圖所示。指派IP安全策略激活了此策略，我們在下面步驟三中來驗證此策略。第四步：密碼安全在安全設置標簽的賬戶策略——密碼策略中設置密碼策略：如圖所示。密碼策略啟動密碼必須符合復雜性要求密碼長度最小值設定為8位密碼最長使用期限設定為默認的42天密碼最短使用期限為1天強制密碼歷史建議設置為至少3次激活用戶還原的加密來儲存密碼〖步驟3〗驗證測試第一步：安全策略驗證指派用戶權利利用PC2遠程桌面登陸到PC1上。填入bob用戶進入到PC1，發現bob用戶可以登錄到PC1上。同樣利用Mary用戶無法登陸到PC1上。Tim賬號登陸后發現Tim無法關閉PC1系統。IP安全策略利用PC2上的命令提示符工具來驗證IP安全策略。在命令提示符上輸入telnet10.1.1.1445，觀察狀態，發現無法進行連接（做IP策略之前可以登錄，見IP策略配置），如圖所示。測試連接3）用