上接 《创建windows域---深入理解域概念》
在我们成功的创建了一个国家之后,要保证所有加入本国际国民的权利,我们要通过什么样的手段来实现呢?地球上的国家大部分都是依靠不断健全的法律手段来完成的。在windows域环境中,为域中的用户、计算机、共享及打印资源等等对象所提供的安全措施,对应的也是依靠域环境中的安全策略来完成的!
刚过完年,一位朋友(成都某产业园孵化器的网络管理员)打电话,口气很急:大哥,赶紧帮帮忙!十万火急。
问完原因才知道,这位朋友的公司使用域环境,为了保证企业数据安全,刚刚设置了安全策略,但是设置完成以后,实际得到的并不是自己想要的效果,三改两改的自己也不知道是改了哪里,现在领导和同事们反映要还原成原来的设置,但是自己也束手无策。情急之下,拨通了我的电话。。。。。。通话18分钟后问题解决,这位友人感慨万千。
造成这位朋友陷入困境的罪魁祸首,正式咱们今天要和大家一起分析的安全策略关系。
下面我们来看看安全策略的种类:
一、本地安全策略(策略影响对象:只影响本机)
二、域控制器安全策略(策略影响对象:只影响域控制器【DC】)
三、域安全策略(策略影响对象:影响整个域)
上面三种安全策略分别可以做什么,如何来提供企业IT环境的安全,具体怎么做,如果一起使用他们的关系又应该如何处理呢?
先说第一条:本地安全策略
在win2003中打开:开始-程序-管理工具-本地安全策略
会发现里面有这么5项:
1、帐户策略:
a 密码策略
密码的复杂性程度:(一旦启用,密码必须符合这样的要求:“A”大写字母 “a”小写字母 “.”特殊字符 “1”数字 4种元素种任选三种的组合。)
密码长度最小值:(默认设置7位)
密码最长使用期限:(默认42天,超过42天密码过帐户将不能登陆,42天到期时间前用户必须更改密码,才能正常使用自己的帐户。这里主要是用来强制用户定期修改自己的密码,以加强帐户的安全性)
密码最短使用期限:(微软想的很周到,用户必须定期修改密码,但是某些用户平凡的更改密码会给服务器带来工作负担,怎么办?用这个选项来限制用户一个密码必须使用够几天后才能再次更改。)
强制密码历史:(有了以上的几种措施,貌似已经达到了我们的要求,但是如果用户第一次改的密码是123.com第二次改的密码还是第三次还是,这样重复性的密码就使得我们前面的设置前功尽弃了,如何解决呢?强制密码历史会帮助我们记住用户所用过的密码,当用户再次使用密码历史离记录的密码时,这个密码将会不可用。)
可还原的加密存储密码:建议不要轻易启用,主要是给第三方应用软件提供相关的用户执行权限的。
b 帐户锁定策略
帐户锁定阈值:我们去ATM机上连续好几次输错密码,就会出现我们最不想要的状况:吞卡。那么具体是几次呢?我们的阈值是多少,那么你可以出错的机会就是多少。
帐户锁定时间:当我们的卡被ATM吞了以后,站在提款机旁边等3天,ATM看你态度不错,就把卡吐出来给你了?这样的事情应该不会发生吧,呵呵。我们是要去联系银行的,对应着我们的管理员用户。而银行的锁定时间是永远,所以只能联系银行,等管理员来给你解锁。
复位帐户锁定计数器:同样取钱,第一次输错密码是在3天前,错了以后我拔卡走人了,接下来3天后我又输错了,拔卡走人。那么第三天的时候我输错密码,是算输错了一次呢还是两次呢?,这个累计时间就取决于这个数值。
2、本地策略:
a审核策略
:显示在日志-安全性中(通过事件查看器进行查看)。
登录事件
|
审核所有计算机用户的登录和注销事件
|
对象访问
|
审核用户访问某个对象的事件,例如文件、文件夹、注册表项、
打印机等
|
账户管理
|
审核计算机上的每一个帐户管理事件,包括:创建、更改或删除用户帐户或组; 重命名、禁用或启用用户帐户;设置或更改密码
|
目录服务访问
|
审核用户访问活动目录对象的事件
|
系统事件
|
审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件
|
b用户权利指派( 要搞清楚这个策略需要回顾一下工作组中内置组的知识点先)
我们通过对windows server 2003工作组模型的学习,得知2003系统中有一些系统一安装好就自动创建的本地组:内置组,详细如下:
Administrators 具有完全控制权限,并且可以向其他用户分配用户权利和访问控制权限
Backup Operators 加入该组的成员可以备份和还原服务器上的所有文件( 企业应用中对特定的需要经常做备份操作的用户,可以加入改组进行管理)
Guests 拥有一个在登录时创建的临时配置文件,在注销时该配置文件将被删除
Network Configuration Operators 可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址
Power Users 该组具有创建用户账户和组账户的权利,可以在 Power Users 组、Users 组和 Guests 组中添加或删除用户,但是不能管理Administrators组成员 可以创建和管理共享资源( 这个组可以理解为:一群之下【administrators之下】,万群之上【其他组之上】的内置组,美其名曰:丞相组)
Print Operators 可以管理打印机
Users 可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器 用户不能共享目录或创建本地打印机
上面这些内置组,为什么会有这样的权利呢?答案在我们的“用户权利指派”具体的选项里,这个时候你会恍然大悟:哦!原来那些内置组的权限划分都是从这个策略项中设置的!那我自己通过设置策略项起不是可以对系统中的组或者用户权限设置进行DIY?
是的!没错!
c安全选项
我们在win03系统中启用远程桌面的时候,如果默认情况下不为administrator 设置密码,在你进行远程桌面登陆操作的时候会提示“由于帐户限制不允许您登陆”很多同学当时就郁闷了。脑子离不断在问:为什么?为什么? 最终给自己的administrator帐户设置完密码后,马上就可以登陆了! 那么为什么设置完密码就可以登陆了,为什么非要给我们的administrator帐户设置密码才能远程桌面登陆呢?
在本地安全策略的安全选项中我们可以得到很好的解释:
这里的倒数第三项:使用空密码的本地帐户只允许控制台登陆,默认情况是启用的,这句话的意思就是使用空密码只允许从计算机本地登陆!禁用这一项我们用空密码就能远程桌面了,但是处于安全考虑,不建议关闭本项。
3、公钥策略
4、软件限制策略
5、IP安全策略
通过本地安全策略我们可以为当前的服务器制定周密的安全策略来保证服务器的安全性。
当我们在使用windows系统时,经常存在空密码,弱密码,甚至在企业内会出现员工试探别人密码的现象。如果对内不加防范,商业机密盗窃等等行为将会一发不可收拾。千里之堤毁于蚁穴,对内的安全防范,以及安全意识的提高,我们可以通过密码策略和帐户锁定策略这种强硬的手段来执行。
上面我们把 本地安全策略做以详细的解释,下面我们接着看“ 域控制器安全策略”,当一台普通的win03服务器被咱们dcpromo以后,升级成了DC,那么咱们大家会发现: 本地安全策略 不见了,而出现了 域控制器安全策略 和 域安全策略 。那么咱们一起来看看域控制器安全策略 和 本地安全策略 的关系先:其实在DCpromo后本地安全策略换了一个马甲变成了 域控制器安全策略 虽然马甲换了,但是影响的对象还是当前的这台机器,只不过从一台普通的服务器变成了域控制器。(本地安全策略影响非DC 域控制器安全策略影响DC)
域控制器安全策略的策略项中比本地安全策略多了一项:帐户策略中的
Kerberos (与域用户账户的登录有关,用来实现对域用户登陆进行票据管理的。就像我们买的电影票,今天买的当天的电影票,一旦到了明天,这张电影票就过期作废了,看不成电影了。相对域用户的票据过期后,就不能再正常登陆域了,除非再买张电影票。)
已上是本地安全策略和域控制器安全策略之间的关系,下面我们来看看: 本地安全策略、域控制器安全策略 和域安全策略 三着之间的微妙关系。
a. 成员计算机和域的设置项冲突时,域安全策略生效:
成员机上设置的本地安全策略与域安全策略设置冲突的时候,域安全策略生效。就像一个市的某一项法规和国家的一项法规相互冲突了,那么谁的生效呢?在地球上,毫无疑问,舍小求大同,国家的法规生效。
b. 域控制器和域的设置项冲突时,域控制器安全策略生效:
当域控制器安全策略和域安全策略冲突时,域控制器的生效。就像国家政策和首都的政策冲突了,而首都又是皇城根,自古以来都是有一定特权的,所以首都的政策生效。所以现在北漂的知识青年欲增不减啊 呵呵。
好了这就是这三者之间的关系,关系搞清楚了,再去做设置管理IT环境就得心应手了。
技术的累积就是财富的累积,
而技术的累积是需要依靠知识的承前启后来完成的
我们需要的不是兴趣,不是执着的信念,而是对技术的信仰
2008年03月16日 晨9:14
于交大网络学校办公室