作为网络管理员，必须熟悉网络安全保护的各种策略环节以及可以采取的安全措施。这样才能合理地进行安全管理，使得网络和计算机处于安全保护的状态。项目背景第8章系统与数据的安全管理

第8章系统与数据的安全管理了解：安全、安全策略的含义熟悉：安全策略、安全模板、安全模式的应用掌握：常见安全策略的配置，安全模板的创建与导入，备份和还原数据的方法步骤本章学习目的

8.1安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。WindowsServer2003的安全性贯穿于许多系统服务功能中，涉及网络、密码学、认证、CA中心、文件加密等多方面。8.1.1安全的含义

8.1安全概述8.1.2WindowsServer2003安全管理机制身份验证——它用于确认尝试登录访问网络资源的用户的身份，即控制哪些用户能够登录到服务器。访问控制——规定了访问发起者(如用户、进程、服务等)对访问对象(需要保护的资源)的访问权限。安全策略——规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则审核——就是把发生的事件按照预先设定的方式记录下来以供检查和分析。数据保护——数据存储：加密文件系统(EFS)；数据恢复：RAID、ntbackup、安全模式、故障恢复控制台；数据传输：IAS、IPSec和FIPS加密、SSL和IAS/RADIUS认证；数据使用：数字签名技术、凭证管理器、ICF软件防火墙公钥结构——通过使用公钥加密技术，对电子交易中涉及每一方的合法性进行验证和身份验证域信任——允许用户对其他域上的资源进行身份验证。

8.2安全策略8.2.1安全策略概述安全策略（securitypolicy）是配置在一台或多台计算机上的用于保护计算机或网络上的资源的规则，即安全策略是影响计算机安全性能的安全配置的组合。4种类型的安全策略：本地安全策略：实现本地计算机的安全。包括账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。域控制器安全策略：实现域控制器的安全。域安全策略：实现整个域的安全。组策略：实现整个网络的安全。

8.2安全策略8.2.2密码策略密码策略设置步骤如下：

8.2安全策略8.2.3账户锁定策略账户锁定是指在某些情况下（如账户受到采用密码词典或暴力破解方式等），为保护该账户的安全而将此账户进行锁定，使其在一定时间内不能再次使用，从而使破解失败。设置账户锁定策略的步骤如下：

8.2安全策略8.2.4审核策略审核就是通过在计算机的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。配置审核策略就是确定把哪些事件写入计算机的安全日志中。设置步骤：

8.2安全策略8.2.5用户权限分配用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限控制为谁授予登录计算机的权限以及他们的登录方式，比如拒绝本地登录、允许本地登录等；特权控制对计算机上系统范围的资源的访问，比如关闭系统、更改系统时间等。

8.2安全策略8.2.5用户权限分配用户权限名称说明从网络访问此计算机默认情况下任何用户均可从网络访问计算机，根据实际需要可以撤销某组账户从网络访问的权限。拒绝从网络访问这台计算机有些用户只在本地使用，不允许通过网络访问此计算机，就可以将此用户加入到该策略中。允许在本地登录此登录权限确定了可交互式登录到该计算机的用户，通过在连接的键盘上按Ctrl+Alt+Del组合键启动登录，该操作需要用户拥有此登录权限。另外，一些能使用户进行登录的服务或管理应用程序可能也需要此登录权限。拒绝本地登录此安全设置确定阻止哪些用户登录到该计算机。如果一个账户同时受上述策略的制约，则此策略设置将取代允许本地登录策略。关闭系统让普通用户具有关闭计算机的权限。

8.2安全策略8.2.5用户权限分配用户权限分配的设置步骤如下：

8.2安全策略8.2.6安全选项在“安全选项”中的安全策略，是一些和操作系统安全有关的设置。下表列出了几个常用的安全选项：安全选项名称说明关机：允许系统在未登录前关机正常情况下，只有登录系统后具有权限的用户才能关机，如果有时需要在未登录前关机，可将此策略启用账户：使用空白密码的本地账户只允许进行控制台登录密码为空的用户不能通过网络访问此计算机，此策略禁用后，密码为空的用户将不会受到限制。交互式登录：用户试图登录时消息文字该安全设置指定用户登录时显示的文本消息。使用该文本通常作用是用于警告。例如警告用户登录后哪些操作不被允许等。网络访问：不允许SAM账户和共享的匿名枚举禁止通过共享会话猜测管理员系统口令