向黨中央看齊--深刻理解安全策略關係

時間 2020-01-16

原文原文鏈接

在咱們成功的建立了一個國家以後，要保證全部加入本國際國民的權利，咱們要經過什麼樣的手段來實現呢？地球上的國家大部分都是依靠不斷健全的法律手段來完成的。在windows域環境中，爲域中的用戶、計算機、共享及打印資源等等對象所提供的安全措施，對應的也是依靠域環境中的安全策略來完成的！

剛過完年，一位朋友（成都某產業園孵化器的網絡管理員）打電話，口氣很急：大哥，趕忙幫幫忙！十萬火急。

問完緣由才知道，這位朋友的公司使用域環境，爲了保證企業數據安全，剛剛設置了安全策略，可是設置完成之後，實際獲得的並非本身想要的效果，三改兩改的本身也不知道是改了哪裏，如今領導和同事們反映要還原成原來的設置，可是本身也一籌莫展。情急之下，撥通了個人電話。。。。。。通話18分鐘後問題解決，這位友人感慨萬千。

形成這位朋友陷入困境的罪魁禍首，正式我們今天要和你們一塊兒分析的安全策略關係。

下面咱們來看看安全策略的種類：

1、本地安全策略（策略影響對象：隻影響本機）

2、域控制器安全策略（策略影響對象：隻影響域控制器【DC】）

3、域安全策略（策略影響對象：影響整個域）

上面三種安全策略分別能夠作什麼，如何來提供企業IT環境的安全，具體怎麼作，若是一塊兒使用他們的關係又應該如何處理呢？

先說第一條：本地安全策略

在win2003中打開：開始-程序-管理工具-本地安全策略

會發現裏面有這麼5項：

一、賬戶策略：

a 密碼策略

密碼的複雜性程度：（一旦啓用，密碼必須符合這樣的要求：「A」大寫字母「a」小寫字母「.」特殊字符「1」數字 4種元素種任選三種的組合。）

密碼長度最小值：（默認設置7位）

密碼最長使用期限：（默認42天，超過42天密碼過賬戶將不能登錄，42天到期時間前用戶必須更改密碼，才能正常使用本身的賬戶。這裏主要是用來強制用戶按期修改本身的密碼，以增強賬戶的安全性）

密碼最短使用期限：（微軟想的很周到，用戶必須按期修改密碼，可是某些用戶平凡的更改密碼會給服務器帶來工做負擔，怎麼辦？用這個選項來限制用戶一個密碼必須使用夠幾天後才能再次更改。）

強制密碼歷史：（有了以上的幾種措施，貌似已經達到了咱們的要求，可是若是用戶第一次改的密碼是123.com第二次改的密碼仍是第三次仍是，這樣重複性的密碼就使得咱們前面的設置前功盡棄了，如何解決呢？強制密碼歷史會幫助咱們記住用戶所用過的密碼，當用戶再次使用密碼歷史離記錄的密碼時，這個密碼將會不可用。）

可還原的加密存儲密碼：建議不要輕易啓用，主要是給第三方應用軟件提供相關的用戶執行權限的。

b 賬戶鎖定策略

賬戶鎖定閾值：咱們去ATM機上連續好幾回輸錯密碼，就會出現咱們最不想要的情況：吞卡。那麼具體是幾回呢？咱們的閾值是多少，那麼你能夠出錯的機會就是多少。

賬戶鎖定時間：當咱們的卡被ATM吞了之後，站在提款機旁邊等3天，ATM看你態度不錯，就把卡吐出來給你了？這樣的事情應該不會發生吧，呵呵。咱們是要去聯繫銀行的，對應着咱們的管理員用戶。而銀行的鎖定時間是永遠，因此只能聯繫銀行，等管理員來給你解鎖。

復位賬戶鎖定計數器：一樣取錢，第一次輸錯密碼是在3天前，錯了之後我拔卡走人了，接下來3天后我又輸錯了，拔卡走人。那麼第三天的時候我輸錯密碼，是算輸錯了一次呢仍是兩次呢？，這個累計時間就取決於這個數值。

二、本地策略：

a審覈策略：顯示在日誌-安全性中（經過事件查看器進行查看）。

登陸事件	審覈全部計算機用戶的登陸和註銷事件
對象訪問	審覈用戶訪問某個對象的事件，例如文件、文件夾、註冊表項、打印機等
帳戶管理	審覈計算機上的每個賬戶管理事件，包括：建立、更改或刪除用戶賬戶或組；重命名、禁用或啓用用戶賬戶；設置或更改密碼
目錄服務訪問	審覈用戶訪問活動目錄對象的事件
系統事件	審覈用戶從新啓動或關閉計算機時或者對系統安全或安全日誌有影響的事件

b用戶權利指派（要搞清楚這個策略須要回顧一下工做組中內置組的知識點先）

咱們經過對windows server 2003工做組模型的學習，得知2003系統中有一些系統一安裝好就自動建立的本地組：內置組,詳細以下：

Administrators 具備徹底控制權限，而且能夠向其餘用戶分配用戶權利和訪問控制權限

Backup Operators 加入該組的成員能夠備份和還原服務器上的全部文件（企業應用中對特定的須要常常作備份操做的用戶，能夠加入改組進行管理）

Guests 擁有一個在登陸時建立的臨時配置文件，在註銷時該配置文件將被刪除

Network Configuration Operators 能夠更改 TCP/IP 設置並更新和發佈 TCP/IP 地址

Power Users 該組具備建立用戶帳戶和組帳戶的權利，能夠在 Power Users 組、Users 組和 Guests 組中添加或刪除用戶，可是不能管理Administrators組成員能夠建立和管理共享資源（這個組能夠理解爲：一羣之下【administrators之下】，萬羣之上【其餘組之上】的內置組，美其名曰：丞相組）

Print Operators 能夠管理打印機

Users 能夠執行一些常見任務，例如運行應用程序、使用本地和網絡打印機以及鎖定服務器用戶不能共享目錄或建立本地打印機

上面這些內置組，爲何會有這樣的權利呢？答案在咱們的「用戶權利指派」具體的選項裏，這個時候你會恍然大悟：哦！原來那些內置組的權限劃分都是從這個策略項中設置的！那我本身經過設置策略項起不是能夠對系統中的組或者用戶權限設置進行DIY？

是的！沒錯！

c安全選項

咱們在win03系統中啓用遠程桌面的時候，若是默認狀況下不爲administrator 設置密碼，在你進行遠程桌面登錄操做的時候會提示「因爲賬戶限制不容許您登錄」不少同窗當時就鬱悶了。腦子離不斷在問：爲何？爲何？最終給本身的administrator賬戶設置完密碼後，立刻就能夠登錄了！那麼爲何設置完密碼就能夠登錄了，爲何非要給咱們的administrator賬戶設置密碼才能遠程桌面登錄呢？

在本地安全策略的安全選項中咱們能夠獲得很好的解釋：

這裏的倒數第三項：使用空密碼的本地賬戶只容許控制檯登錄，默認狀況是啓用的，這句話的意思就是使用空密碼只容許從計算機本地登錄！禁用這一項咱們用空密碼就能遠程桌面了，可是處於安全考慮，不建議關閉本項。

三、公鑰策略

四、軟件限制策略

五、IP安全策略

經過本地安全策略咱們能夠爲當前的服務器制定周密的安全策略來保證服務器的安全性。

當咱們在使用windows系統時，常常存在空密碼，弱密碼，甚至在企業內會出現員工試探別人密碼的現象。若是對內不加防範，商業機密盜竊等等行爲將會一發不可收拾。千里之堤毀於蟻穴，對內的安全防範，以及安全意識的提升，咱們能夠經過密碼策略和賬戶鎖定策略這種強硬的手段來執行。

上面咱們把本地安全策略作以詳細的解釋，下面咱們接着看「域控制器安全策略」，當一臺普通的win03服務器被我們dcpromo之後，升級成了DC，那麼我們你們會發現：本地安全策略不見了，而出現了域控制器安全策略和域安全策略。那麼我們一塊兒來看看域控制器安全策略和本地安全策略的關係先：其實在DCpromo後本地安全策略換了一個馬甲變成了域控制器安全策略雖然馬甲換了，可是影響的對象仍是當前的這臺機器，只不過從一臺普通的服務器變成了域控制器。（本地安全策略影響非DC 域控制器安全策略影響DC）

域控制器安全策略的策略項中比本地安全策略多了一項：賬戶策略中的 Kerberos （與域用戶帳戶的登陸有關，用來實現對域用戶登錄進行票據管理的。就像咱們買的電影票，今天買的當天的電影票，一旦到了明天，這張電影票就過時做廢了，看不成電影了。相對域用戶的票據過時後，就不能再正常登錄域了，除非再買張電影票。）

已上是本地安全策略和域控制器安全策略之間的關係，下面咱們來看看：本地安全策略、域控制器安全策略和域安全策略三着之間的微妙關係。

a. 成員計算機和域的設置項衝突時，域安全策略生效：

成員機上設置的本地安全策略與域安全策略設置衝突的時候，域安全策略生效。就像一個市的某一項法規和國家的一項法規相互衝突了，那麼誰的生效呢？在地球上，毫無疑問，舍小求大同，國家的法規生效。

b. 域控制器和域的設置項衝突時，域控制器安全策略生效：

當域控制器安全策略和域安全策略衝突時，域控制器的生效。就像國家政策和首都的政策衝突了，而首都又是皇城根，自古以來都是有必定特權的，因此首都的政策生效。因此如今北漂的知識青年欲增不減啊呵呵。

好了這就是這三者之間的關係，關係搞清楚了，再去作設置管理IT環境就駕輕就熟了。

技術的累積就是財富的累積，

而技術的累積是須要依靠知識的承前啓後來完成的

咱們須要的不是興趣，不是執着的信念，而是對技術的信仰

2008年03月16日晨9:14

於交大網絡學校辦公室