规划配置实现和部署安全客户端计算机基线

《规划配置实现和部署安全客户端计算机基线》由会员分享，可在线阅读，更多相关《规划配置实现和部署安全客户端计算机基线（45页珍藏版）》请在装配图网上搜索。

1、第第8章章 规划、配置、实现和部署规划、配置、实现和部署安全客户端计算机基线安全客户端计算机基线第第1章章 规划和配置授权和身份验证策略规划和配置授权和身份验证策略第第2章章 安装、配置和管理证书颁发机构安装、配置和管理证书颁发机构第第3章章 配置、部署和管理证书配置、部署和管理证书第第4章智能卡证书的规划、实现和故障诊断章智能卡证书的规划、实现和故障诊断第第5章章 加密文件系统的规划、实现和故障排除加密文件系统的规划、实现和故障排除第第6章章 规划、配置和部署安全的成员服务器基线规划、配置和部署安全的成员服务器基线第第7章章 为服务器角色规划、配置和部署安全基线为服务器角色规划、配置和部署安

2、全基线第第8章章 规划、配置、实现和部署安全客户端计算机基线规划、配置、实现和部署安全客户端计算机基线第第9章章 规划和实现软件更新服务规划和实现软件更新服务第第10章章 数据传输安全性的规划、部署和故障排除数据传输安全性的规划、部署和故障排除第第11章章 部署配置和管理部署配置和管理SSL第第12章章 规划和实施无线网络的安全措施规划和实施无线网络的安全措施第第13章章 保护远程访问安全保护远程访问安全网络安全的实现和管理网络安全的实现和管理以以Windows Server 2003和和ISA Server 2004为例为例 网络安全的实现和管理网络安全的实现和管理以以Windows Ser

3、ver 2003和和ISA Server 2004为例为例 第第14章章 Microsoft ISA Server 概述概述第第15章章 安装和维护安装和维护 ISA Server第第16章章 允许对允许对 Internet 资源的访问资源的访问第第17章章 配置配置 ISA Server 作为防火墙作为防火墙第第18章章 配置对内部资源的访问配置对内部资源的访问第第19章章 集成集成 ISA Server 2004和和Microsoft Exchange Server第第20章章 高级应用程序和高级应用程序和Web筛选筛选第第21章章 为远程客户端和网络配置虚拟专用网络访问为远程客户端和网络

4、配置虚拟专用网络访问第第22章章 实现缓存实现缓存第第23章章 监视监视ISA Server2004第第 8 章章 规划、配置和部署安全的客户端计规划、配置和部署安全的客户端计算机基线算机基线规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线配置和部署客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略规划和实现软件限制策略为移动客户端实现安全为移动客户端实现安全规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线客户端计算机基线客户端计算机基线 为保护客户端安全预定义的安全模板为保护客户端安全预定义的安全模板Microsoft Windows XP 安全指南模板

5、安全指南模板管理模板管理模板管理模板和安全模板的区别管理模板和安全模板的区别添加和删除管理模板添加和删除管理模板Microsoft Office 模板模板规划客户端计算机基线的指导方针规划客户端计算机基线的指导方针8.1 规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线客户端计算机基线客户端计算机基线所有客户端计算机都应该有自己的所有客户端计算机都应该有自己的基线安全基线安全策略策略其他安全设置其他安全设置(管理模板等管理模板等)添加.adm 模板以便进一步保护计算机避免受到来自用户的威胁 使用 SYSKEY 调整事件日志文件的大小 保护计算机抵御未授权的或未知代码的访问 保护便携

6、式计算机防止偷窃 重命名 Guest 和 Administrator 账户 8.1.1 客户端计算机基线客户端计算机基线为保护客户端安全预定义的安全模板为保护客户端安全预定义的安全模板模板模板描述描述兼容兼容(Compatws.inf)会更改授予 Users 组的缺省文件和注册表权限新的权限与不属于 Windows Logo Program for Software 的大多数应用程序的要求一致安全安全(Securews.inf)高安全高安全(hisecws.inf)定义了对应用程序兼容性的影响可能最小的增强安全设置(仅发出NTLMV2响应、拒绝LM)例如，安全模板定义了强度更高的密码、锁定和审

7、核设置高安全：启用smb、LDAP签名等8.1.2 为保护客户端安全预定义的安全模板为保护客户端安全预定义的安全模板Microsoft Windows XP 安全指南模板安全指南模板模板模板描述描述企业客户端企业客户端 企业客户端 Desktop.inf企业客户端 Laptop.inf高安全性高安全性高安全性 Desktop.inf高安全性 Laptop.inf独立环境独立环境遗留的企业 Account.inf遗留的企业客户端 Desktop.inf遗留的企业客户端 Laptop.inf遗留的高安全性 Account.inf遗留的高安全性 Desktop.inf遗留的高安全性 Laptop.i

8、nf8.1.3 Microsoft Windows XP 安全指南模板安全指南模板管理模板管理模板使用管理模板（使用管理模板（.adm）文件来配置）文件来配置 Windows XP 注注册表中的设置册表中的设置 Windows XP Service Pack 1 管理模板：管理模板：System.adm：定义用户环境的系统设置 Inetres.adm：定义IE设置 Conf.adm：定义NetMeeting设置 Wmplayer.adm：定义Media Player设置 Wuau.adm：定义Windows Update设置8.1.4 管理模板管理模板管理模板和安全模板的区别管理模板和安全模板

9、的区别安全模板安全模板管理模板管理模板只能用于计算机的安全配置 计算机与用户两者均可用，主要是针对特定的应用程序的配置可以使用“安全模板”管理单元简单的编辑不存在特殊的编辑工具，因此可以用文本编辑器编辑这些模板只包含某些特定安全设置，不能增加或删除配置选项。默认情况下包含一定的注册表设置，但是可以被修改为允许通过 GPO 的任何注册表配置设置 每个模板都是单独的文件，通常与在配置的安全性级别相关 可以从 GPO 中添加或删除多个模板。每个模板都控制一定的注册表区域 应用它们之前应该将它们存储在安全的位置 在 GPO 中添加或配置模板时，会自动将模板复制到 Sysvol，并复制到所有域控制器 8

10、.1.5 管理模板和安全模板的区别管理模板和安全模板的区别安全模板默认位置安全模板默认位置:%windir%securitytemplates管理模板默认位置管理模板默认位置:%windir%inf添加和删除管理模板添加和删除管理模板演示：演示：添加和删除管理模板添加和删除管理模板8.1.6 添加和删除管理模板添加和删除管理模板Microsoft Office 模板模板能能为连接到网络的为连接到网络的 Microsoft Office 用户全局设置策略用户全局设置策略 在在 Office 中的一些管理模板：中的一些管理模板：Access11.adm：Access2003模板 Excel11.a

11、dm：Excell2003模板 FP11.adm：FrontPage2003模板 GAL11.adm：Clip Organizer2003模板(剪贴图管理器)INF11.adm：InfoPath 2003模板 PUB11.adm：Publisher 2003模板 PPT11.adm：WORD11.adm：OUTLK11.adm：ONENT11.adm：OneNote2003模板 OFFICE11.ADM：Office 2003 General模板8.1.7 Microsoft Office 模板模板这些模板在这些模板在Office Resource kit中中规划客户端计算机基线的指导方针规划

12、客户端计算机基线的指导方针规划客户端计算机基线：规划客户端计算机基线：确定确定 OU 结构结构（示例（示例P181页）页）确定合适的安全模板确定合适的安全模板确定合适的管理模板确定合适的管理模板确定其他的安全设置（如重命名一些特殊帐号确定其他的安全设置（如重命名一些特殊帐号等）等）8.1.8 规划客户端计算机基线的指导方针规划客户端计算机基线的指导方针实验实验8-1 安装安装 Office Resource Kit 模板模板安装 Microsoft Office Resource Kit 并加载管理模板8.1.9 实验实验8-1 安装安装 Office Resource Kit 模板模板第第

13、8 章章 规划、配置和部署安全的客户端计算机基线规划、配置和部署安全的客户端计算机基线规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线配置和部署客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略规划和实现软件限制策略为移动客户端实现安全为移动客户端实现安全配置和部署客户端计算机基线配置和部署客户端计算机基线组策略环回处理模式组策略环回处理模式启用环回处理的方式启用环回处理的方式重命名客户端计算机上的重命名客户端计算机上的 Administrator 和和 Guest 账账户的方式户的方式配置和部署客户端计算机基线的指导方针配置和部署客户端计算机基线的指导方针8.2 配

14、置和部署客户端计算机基线配置和部署客户端计算机基线组策略环回处理模式组策略环回处理模式使用组策略的环回处理特性来进行计算机对象单独使用组策略的环回处理特性来进行计算机对象单独的位置对他们应用策略的位置对他们应用策略 环回处理环回处理 替换环回 合并环回8.2.1 组策略环回处理模式组策略环回处理模式启用环回处理的方式启用环回处理的方式演示：演示：启用环回处理的方式启用环回处理的方式8.2.2 启用环回处理的方式启用环回处理的方式重命名客户端计算机上的重命名客户端计算机上的 Administrator 和和 Guest 账户的账户的方式方式演示：演示：重命名客户端计算机上的重命名客户端计算机上的

15、 Administrator 和和 Guest 账账户的方式户的方式8.2.3重命名客户端计算机上的重命名客户端计算机上的 Administrator 和和 Guest 账户的方式账户的方式配置和部署客户端计算机基线的指导方针配置和部署客户端计算机基线的指导方针配置和部署客户端计算机基线：配置和部署客户端计算机基线：使用最佳实践来配置使用最佳实践来配置 NTFS使用最佳实践使用最佳实践存储存储模板模板为配置为配置其他安全设置其他安全设置选择合适的方法选择合适的方法为为部署客户端计算机基线部署客户端计算机基线选择选择合适的方法合适的方法（一般通过组策略来实现）（一般通过组策略来实现）使用最佳实践

16、使用最佳实践部署安全和管理模板部署安全和管理模板调整事件日志文件的大小以捕捉足够的数据调整事件日志文件的大小以捕捉足够的数据8.2.4 配置和部署客户端计算机基线的指导方针配置和部署客户端计算机基线的指导方针实验实验8-2 为环回模式配置管理模板为环回模式配置管理模板为环回模式配置管理模板8.2.5 实验实验8-2 为环回模式配置管理模板为环回模式配置管理模板第第 8 章章 规划、配置和部署安全的客户端计算机基线规划、配置和部署安全的客户端计算机基线规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线配置和部署客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略规划和实现软

17、件限制策略为移动客户端实现安全为移动客户端实现安全规划和实现软件限制策略规划和实现软件限制策略软件限制策略的用途软件限制策略的用途标识软件的规则标识软件的规则软件限制策略选项软件限制策略选项规划和实现软件限制策略的最佳实践规划和实现软件限制策略的最佳实践创建规则的方法创建规则的方法8.3 规划和实现软件限制策略规划和实现软件限制策略软件限制策略的用途软件限制策略的用途软件限制策略软件限制策略:控制软件在系统中的运行能力控制软件在系统中的运行能力允许用户在多用户计算机上仅运行特定文件允许用户在多用户计算机上仅运行特定文件决定可在计算机中添加受信任的发布者的用户决定可在计算机中添加受信任的发布者的

18、用户（证（证书）书）控制软件限制策略是影响到所有用户还是计算机上控制软件限制策略是影响到所有用户还是计算机上的某些用户的某些用户8.3.1 软件限制策略的用途软件限制策略的用途标识软件的规则标识软件的规则规则规则描述描述哈希规则哈希规则 当用户尝试打开软件程序时，程序的哈希就会与软件限制策略的哈希规则中的现有哈希进行比较 证书规则证书规则 创建证书规则标识软件，然后根据安全级别允许或不允许软件运行 路径规则路径规则 可以通过使用文件路径和设置路径规则的安全级别为不受限制不受限制来创建路径规则（含注册表路径）Internet 区区域规则域规则 标识那些来自 Internet Explorer 所

19、指定的区域的软件（限制这些区域的（限制这些区域的MSI软件的安装）软件的安装）8.3.2 标识软件的规则标识软件的规则打开证书规则打开证书规则软件限制策略选项软件限制策略选项选项选项描述描述DLL 检查检查 启用 DLL 检查能提高安全性，因为病毒的主要目标是可执行文件和某些指定的目标 DLL 防止软件限防止软件限制策略应用制策略应用于本地管理于本地管理员员允许管理员运行所有应用程序 将文件类型将文件类型指定为可执指定为可执行行只应用于“指派的文件类型属性指派的文件类型属性”对话框所列的文件类型 受信任的发受信任的发布者布者启用了证书规则后，软件限制策略会检查证书吊销列表8.3.3 软件限制策

20、略选项软件限制策略选项软件限制策略选项软件限制策略选项8.3.3 软件软件限制策略选项限制策略选项规划和实现软件限制策略的最佳实践规划和实现软件限制策略的最佳实践为软件为软件限制策略创建一个独立的组策略对象限制策略创建一个独立的组策略对象如果遇到应用的策略设置的问题，在如果遇到应用的策略设置的问题，在安全模式下重安全模式下重新启动新启动 Windows在定义在定义“不被允许不被允许”默认设置时的使用提醒默认设置时的使用提醒为获得最佳的安全性，可以为获得最佳的安全性，可以连同软件限制策略使用连同软件限制策略使用访问控制列表访问控制列表在对域应用策略设置之前在在对域应用策略设置之前在测试测试环境中

21、全面测试新环境中全面测试新策略设置策略设置根据安全组中的根据安全组中的成员身份筛选成员身份筛选用户策略设置用户策略设置8.3.4 规划和实现软件限制策略的最佳实践规划和实现软件限制策略的最佳实践创建规则的方法创建规则的方法演示：演示：演示如何创建规则演示如何创建规则哈希哈希证书证书路径路径区域区域8.3.5 创建规则的方法创建规则的方法创建规则的方法创建规则的方法Gpupdate 语法：语法：gpupdate/Target:Computer|User/Force/Wait:Value/Logoff/Boot/SyncGpupdate 功能：功能：立即更新策略并在命令行中指定某些选项立即更新策略

22、并在命令行中指定某些选项8.3.5 创建规则的方法创建规则的方法实验：配置软件限制策略实验：配置软件限制策略目的：目的：教师根据现有学校特点，请学生选择适当的软件限制策略，同时进行配置第第 8 章章 规划、配置和部署安全的客户端计算机基线规划、配置和部署安全的客户端计算机基线规划和实现安全客户端计算机基线规划和实现安全客户端计算机基线配置和部署客户端计算机基线配置和部署客户端计算机基线规划和实现软件限制策略规划和实现软件限制策略为移动客户端实现安全为移动客户端实现安全为移动客户端实现安全为移动客户端实现安全对移动客户端的威胁对移动客户端的威胁在移动客户端上保护硬件的最佳实践在移动客户端上保护硬

23、件的最佳实践在移动客户端上保护操作系统安全的最佳实践在移动客户端上保护操作系统安全的最佳实践为移动客户端更改启动密码的方法为移动客户端更改启动密码的方法在移动客户端上保护数据安全的最佳实践在移动客户端上保护数据安全的最佳实践8.4为移动客户端实现安全为移动客户端实现安全对移动客户端的威胁对移动客户端的威胁威胁威胁描述描述数据丢失和被盗数据丢失和被盗 便携式计算机和新型便携设备被盗的危险都比非便携设备要高 在有线或无线会话上在有线或无线会话上窃听窃听电子邮件头和内容都是以明文的形式发送的 最终用户破坏最终用户破坏 可能蓄意或偶然造成对计算机的损坏8.4.1 对移动客户端的威胁对移动客户端的威胁在

24、移动客户端上保护硬件的最佳实践在移动客户端上保护硬件的最佳实践使用安全的线缆使用安全的线缆使用警报使用警报使用跟踪设备使用跟踪设备使用安全线缆将便携式计算机固定在桌子或其他不可移动的物体上(扩展坞扩展坞)接近警告是两位一体的系统，一个设备连接到移动客户端而另一个设备由用户携带(超出一定的距离就会报警超出一定的距离就会报警)设备可以在敏感便携式计算机被偷或者放错地方时定位它们的确切位置（GPS）8.4.2 在移动客户端上保护硬件的最佳实践在移动客户端上保护硬件的最佳实践在移动客户端上保护操作系统安全的最佳实在移动客户端上保护操作系统安全的最佳实践践确保客户端计算机上运行的操作系统更新了最新的更新

25、和修补确保客户端计算机上运行的操作系统更新了最新的更新和修补程序程序(及时打补丁及时打补丁)使用凭据管理程序创建一个使用凭据管理程序创建一个单点登录单点登录解决方案解决方案当客户端计算机远离域环境的保护时，应该启用当客户端计算机远离域环境的保护时，应该启用 ICF（Internet 连接连接防火墙防火墙)禁用禁用 IrDA 端口端口 使用使用 SYSKEY 来保护本地来保护本地 SAM 数据库数据库 8.4.3 在移动客户端上保护操作系统安全的最佳实践在移动客户端上保护操作系统安全的最佳实践为移动客户端更改启动密码的方法为移动客户端更改启动密码的方法演示：演示：为移动客户端更改启动密码的方法为

26、移动客户端更改启动密码的方法8.4.4 为移动客户端更改启动密码的方法为移动客户端更改启动密码的方法SYSKEY在移动客户端上保护数据安全的最佳实践在移动客户端上保护数据安全的最佳实践使用使用 EFS 和和 NTFS加密脱机文件加密脱机文件使用户能加密个别文件和文件夹使用户能加密个别文件和文件夹即使攻击者通过安装新的操作系统来绕过系统安即使攻击者通过安装新的操作系统来绕过系统安全保护，加密的文件仍然是机密的全保护，加密的文件仍然是机密的Windows XP Professional，可以加密脱机文件数据，可以加密脱机文件数据库来保护所有本地缓存的文档不被偷窃库来保护所有本地缓存的文档不被偷窃8

27、.4.4 在移动客户端上保护数据安全的最佳实践在移动客户端上保护数据安全的最佳实践实验实验 8-3：规划、实现、配置和部署安全客户端计算机基线：规划、实现、配置和部署安全客户端计算机基线1.为客户端计算机规划安全模板为客户端计算机规划安全模板2.为客户端计算机实现安全模板为客户端计算机实现安全模板3.实现软件限制策略实现软件限制策略8.5 实验实验 8-3：规划、实现、配置和部署安全客户端计算机基线：规划、实现、配置和部署安全客户端计算机基线回顾回顾学习完本章后，将能够：学习完本章后，将能够：规划安全的客户端计算机基线配置和部署客户端计算机基线在客户端计算机上规划和实现软件限制策略在移动计算机

28、上实现安全性随堂练习随堂练习 1假设你是假设你是 的安全管理员。网络由一个叫做的安全管理员。网络由一个叫做 的单一活动目录域组成。所有服务器运行的单一活动目录域组成。所有服务器运行 Windows Server 2003。客户机运行。客户机运行 Windows XP Professional。S 有时会遇到故障，因为受到以有时会遇到故障，因为受到以Microsoft Visual Basic 脚本版本文件形式进入网络的恶意脚本版本文件形式进入网络的恶意Internet 病毒入侵。病毒入侵。你检查了一些客户机，发现你检查了一些客户机，发现 VBS 文件是通过文件是通过 Microsoft Out

29、look，即时消息传递工具，或者是对等网络文件共，即时消息传递工具，或者是对等网络文件共享程序下载的。享程序下载的。你需要阻止用户运行你需要阻止用户运行 VBS 文件，不管这些文件是以何文件，不管这些文件是以何种形式到达客户机的。种形式到达客户机的。随堂练习随堂练习 1（续）（续）你该怎么做？你该怎么做？A使用软件限制策略禁止所有未被授权的脚本。使用软件限制策略禁止所有未被授权的脚本。B使用管理模板，确保使用管理模板，确保 Outlook 和和 Internet Explorer 在在受限制站点安全区域。受限制站点安全区域。C使用集中登录脚本，把每个计算机上的使用集中登录脚本，把每个计算机上的

30、 Wscript.exe 文件重命名为包含一个不可执行的扩展名的文件。文件重命名为包含一个不可执行的扩展名的文件。D使用文件系统安全策略为使用文件系统安全策略为 Wscript.exe 文件分配拒绝文件分配拒绝-执行权限。执行权限。随堂练习随堂练习 2假设你是假设你是 shixun 的安全管理员。网络由一个叫做的安全管理员。网络由一个叫做 的单一活动目录域组成。所有服务器运行的单一活动目录域组成。所有服务器运行 Windows Server 2003。客户机运行。客户机运行 Windows XP Professional。你使用组策略对象（你使用组策略对象（GPOs）和脚本一起管理网络。脚）和

31、脚本一起管理网络。脚本文件名有本文件名有.vbs 文件扩展名。并且脚本存储在文件扩展名。并且脚本存储在 shixun1 服务器的一个叫做服务器的一个叫做 Scripts 的共享文件夹中。的共享文件夹中。用户报告说他们有时会运行通过用户报告说他们有时会运行通过 e-mail 和和 Internet 接收接收到的脚本，甚至这些脚本可以引起客户机出现问题，到的脚本，甚至这些脚本可以引起客户机出现问题，而且经常删除或更改文件。你发现这些脚本有而且经常删除或更改文件。你发现这些脚本有.wsh，.wsf，.vbs，或者，或者.vbe 文件扩展名。你决定使用软件限文件扩展名。你决定使用软件限制策略来阻止未被

32、授权脚本的使用。制策略来阻止未被授权脚本的使用。你需要为网络配置一个软件限制策略。你想在不影响你需要为网络配置一个软件限制策略。你想在不影响网络管理情况下来实现这个目标。网络管理情况下来实现这个目标。随堂练习随堂练习 2（续）（续）在你的软件限制策略里，应该包括哪三种规则？在你的软件限制策略里，应该包括哪三种规则？（每个正确答案代表部分解决方法。选择三个）（每个正确答案代表部分解决方法。选择三个）A.一个拒绝接受一个拒绝接受*.vb?文件的路径规则。文件的路径规则。B.一个拒绝接受一个拒绝接受 *.ws?文件的路径规则。文件的路径规则。C.一个允许本地内部区域的受信任站点。一个允许本地内部区域的受信任站点。D.一个拒绝一个拒绝 Internet 区域的受信任站点。区域的受信任站点。E.一个允许一个允许 testking1scripts*.vb?文件的路径规则。文件的路径规则。