当前位置:首页 >> 服务器 >> Win2003 >> 内容

windows server 2003安全策略关系

时间:2015/5/19 20:49:03 作者:徐汉涛 来源:www.xuhantao.com 浏览:

安全策略的种类:
 
一、本地安全策略(策略影响对象:只影响本机)
 
二、域控制器安全策略(策略影响对象:只影响域控制器【DC】)
 
三、域安全策略(策略影响对象:影响整个域)

我们先来了解下本地安全策略、域控制器安全策略 和域安全策略 三着之间的微妙关系。
 
a.成员计算机和域的设置项冲突时,域安全策略生效:
   成员机上设置的本地安全策略与域安全策略设置冲突的时候,域安全策略生效。就像一个市的某一项法规和国家的一项法规相互冲突了,那么谁的生效呢?在地球上,毫无疑问,舍小求大同,国家的法规生效。
 

b.域控制器和域的设置项冲突时,域控制器安全策略生效:
   当域控制器安全策略和域安全策略冲突时,域控制器的生效。就像国家政策和首都的政策冲突了,而首都又是皇城根,自古以来都是有一定特权的,所以首都的政策生效。
有了组策略这把钥匙,再加上GPMC这辆跑车。

 

下面我们来看看本地安全策略和域控制器安全策略之间的关系。
 
 
win2003中打开:开始-程序-管理工具-本地安全策略
 
会发现里面有这么5项:


一、本地策略:
a审核策略  :显示在日志-安全性中(通过事件查看器进行查看)。
登录事件
审核所有计算机用户的登录和注销事件
对象访问
审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等
账户管理
审核计算机上的每一个帐户管理事件,包括:创建、更改或删除用户帐户或组; 重命名、禁用或启用用户帐户;设置或更改密码
目录服务访问
审核用户访问活动目录对象的事件
系统事件
审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件

b用户权利指派
2003系统中有一些系统一安装好就自动创建的本地组:内置组,详细如下:
Administrators   具有完全控制权限,并且可以向其他用户分配用户权利和访问控制权限

Backup Operators  加入该组的成员可以备份和还原服务器上的所有文件(企业应用中对特定的需要经常做备份操作的用户,可以加入改组进行管理)

Guests  拥有一个在登录时创建的临时配置文件,在注销时该配置文件将被删除

Network Configuration Operators  可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址

Power Users  该组具有创建用户账户和组账户的权利,可以在 Power Users 组、Users 组和   Guests  组中添加或删除用户,但是不能管理Administrators组成员 可以创建和管理共享资源。

Print Operators  可以管理打印机

Users  可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器 用户不能共享目录或创建本地打印机 
 
 
c安全选项
在 win03系统中启用远程桌面的时候,如果默认情况下不为administrator 设置密码,在进行远程桌面登陆操作的时候会提示“由于帐户限制不允许您登陆”当时就郁闷了。脑子离不断在问:为什么?为什么? 最终给自己的administrator帐户设置完密码后,马上就可以登陆了! 那么为什么设置完密码就可以登陆了,为什么非要给我们的administrator帐户设置密码才能远程桌面登陆呢?
在本地安全策略的安全选项中可以得到很好的解释:
这里的倒数第三项:使用空密码的本地帐户只允许控制台登陆,默认情况是启用的,这句话的意思就是使用空密码只允许从计算机本地登陆!禁用这一项我们用空密码就能远程桌面了,但是处于安全考虑,不建议关闭本项。
 
二、帐户策略:
a 密码策略
           密码的复杂性程度:(一旦启用,密码必须符合这样的要求:“A”大写字母   “a”小写字母  “.”特殊字符    “1”数字  4种元素种任选三种的组合。)
           密码长度最小值:(默认设置7位)
           密码最长使用期限:(默认42天,超过42天密码过帐户将不能登陆,42天到期时间前用户必须更改密码,才能正常使用自己的帐户。这里主要是用来强制用户定期修改自己的密码,以加强帐户的安全性)
           密码最短使用期限:(用户必须定期修改密码,但是某些用户平凡的更改密码会给服务器带来工作负担,用这个选项来限制用户一个密码必须使用够几天后才能再次更改。)   
            强制密码历史:(如果用户第一次改的密码是123.com第二次改的密码还是第三次还是,这样重复性的密码就使得我们前面的设置前功尽弃了,强制密码历 史会帮助我们记住用户所用过的密码,当用户再次使用密码历史离记录的密码时,这个密码将会不可用。)
             可还原的加密存储密码:不要轻易启用,主要是给第三方应用软件提供相关的用户执行权限的。
 
b 帐户锁定策略
             帐户锁定阈值:如去ATM机上连续好几次输错密码,就会出现吞卡。那么具体是几次呢?阈值是多少,那么可以出错的机会就是多少。
             帐户锁定时间:
             复位帐户锁定计数器:同样取钱,第一次输错密码是在3天前,错了以后我拔卡走人了,接下来3天后我又输错了,拔卡走人。那么第三天的时候我输错密码,是算输错了一次呢还是两次呢?,这个累计时间就取决于这个数值。

 
 
3、IP安全策略
 
通过本地安全策略我们可以为当前的服务器制定周密的安全策略来保证服务器的安全性。
 
当我们在使用windows系统时,经常存在空密码,弱密码,甚至在企业内会出现员工试探别人密码的现象。如果对内不加防范,商业机密盗窃等等 行为将会一发不可收拾。千里之堤毁于蚁穴,对内的安全防范,以及安全意识的提高,我们可以通过密码策略和帐户锁定策略这种强硬的手段来执行。
 
上面我们把本地安全策略做以详细的解释,下面我们接着看“域控制器安全策略”,当一台普通的 win03服务器被咱们dcpromo以后,升级成了DC,那么会发现:本地安全策略不见了,而出现了域控制器安全策略 和 域安全策略 。那么一起来看看域控制器安全策略 和 本地安全策略 的关系先:其实在DCpromo后本地安全策略换了一个马甲变成了 域控制器安全策略 虽然马甲换了,但是影响的对象还是当前的这台机器,只不过从一台普通的服务器变成了域控制器。(本地安全策略影响非DC 域控制器安全策略影响DC)
 
域控制器安全策略的策略项中比本地安全策略多了一项:帐户策略中的 Kerberos (与域用户账户的登录有关,用来实现对域用户登陆进行票据管理的。就像我们买的电影票,今天买的当天的电影票,一旦到了明天,这张电影票就过期作废了,看不成电影了。相对域用户的票据过期后,就不能再正常登陆域了,除非再买张电影票。)

4、公钥策略
 
5、软件限制策略
 
 
 
 

  • 上一篇:Windows2003 上配置VPN学习实例
  • 下一篇:没有了
  • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 涛涛知识分享网(www.xuhantao.com) © 2019 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 备案号:蒙ICP备15000590号