畢業(yè)設計（論文）利用活動目錄實現(xiàn)企業(yè)網(wǎng)的安全管理

1、利用活動目錄實現(xiàn)企業(yè)網(wǎng)的安全管理畢業(yè)設計說明書課題名稱：利用活動目錄實現(xiàn)企業(yè)網(wǎng)的安全管理專 業(yè) 系：信息系網(wǎng)絡專業(yè) 班級名稱：網(wǎng)絡071 學生姓名： 指導老師： 完成日期：2009年12月畢 業(yè) 設 計 任 務 書指導老師： 一、畢業(yè)設計課題名稱利用活動目錄實現(xiàn)企業(yè)網(wǎng)的安全管理二、畢業(yè)設計任務1、目的與性質(zhì)畢業(yè)設計的主要目的是培養(yǎng)學生綜合運用所學的知識與技能分析與解決問題的能力，并鞏固和擴大學生的課堂知識。畢業(yè)設計要求學生學會查閱、使用各種專業(yè)資料、網(wǎng)上資源，并以嚴肅認真、深入研究的工作作風完成設計任務，促使學生向綜合應用型人才轉變。隨著信息社會的網(wǎng)絡化，網(wǎng)絡應用領域不斷擴大，提供的服務不斷增

2、多，網(wǎng)絡安全涉及的領域和技術也越來越復雜。強大且一致的安全服務對企業(yè)網(wǎng)絡而言是必不可少的。管理用戶驗證和訪問控制的工作往往單調(diào)乏味且容易出錯?；顒幽夸浖羞M行管理并加強了與組織機構的商業(yè)過程一致、且基于角色的安全性。要求學生學會網(wǎng)絡操作系統(tǒng)的配置與使用，掌握運用活動目錄對企業(yè)網(wǎng)的安全進行分析與設計，并實施行之有效的安全管理。2、硬件環(huán)境：硬件環(huán)境：企、事業(yè)單位，機關、學校等單位具備使用中的計算機網(wǎng)絡系統(tǒng)lan（一般要求在lan上設計、測試和運行）、vlan、vpn運行環(huán)境：window xp，window 2k3或以上版本3、軟件環(huán)境操作系統(tǒng)：windows server 2003、linux

3、網(wǎng)絡協(xié)議：tcp/ip網(wǎng)絡安全相關軟、硬件：殺毒軟件、防火墻、入侵檢測系統(tǒng)等4、設計內(nèi)容：根據(jù)網(wǎng)絡安全的不同層次要求，依照模塊化的思想，分析企、事業(yè)單位，機關、學校等現(xiàn)存信息系統(tǒng)所存在的安全隱患，并提出相應的解決方案。通過運用活動目錄使用以下方法增強企業(yè)網(wǎng)的安全性： 改進了密碼的安全性和管理 通過向網(wǎng)絡資源提供單一的集成、高性能且對終端用戶透明的安全服務。 保證桌面系統(tǒng)的功能性 通過根據(jù)終端用戶角色鎖定桌面系統(tǒng)配置來防止對特定客戶主機操作進行訪問，例如軟件安裝或注冊項編輯。 加速電子商務的部署 通過提供對安全的internet標準協(xié)議和身份驗證機制的內(nèi)建支持，如kerberos, 公開密鑰基礎

4、設施（pki）和安全套接字協(xié)議層（ssl）之上的輕便目錄訪問協(xié)議（ldap）。 緊密的控制安全性 通過對目錄對象和構成他們的單獨數(shù)據(jù)元素設置訪問控制特權。5、畢業(yè)設計的主要任務：1 網(wǎng)絡安全的現(xiàn)狀及其應用情況分析2 安全方案目標 3 安全需求4 風險分析 5 基于ad的企業(yè)網(wǎng)安全應用方案的設計5.1活動目錄邏輯結構的設計5.1.1域結構的設計5.1.2 ou結構的設計5.1.3域控制器的規(guī)劃5.1.4服務器、客戶機的規(guī)劃5.2活動目錄物理結構的設計5.2.1站點結構的設計5.2.2全局編目服務器（gc）的設計5.2.3活動目錄數(shù)據(jù)庫復制的規(guī)劃5.3安全規(guī)劃5.3.1服務器的安全5.3.2客戶機

5、和用戶帳號的安全5.3.3網(wǎng)絡的安全5.4活動目錄的擴展問題5.5 安全技術的研究發(fā)展趨勢 三、畢業(yè)設計要求完成所有的安全內(nèi)容的分析與應用，并在指定服務器上現(xiàn)場演示。編寫畢業(yè)設計說明書（畢業(yè)論文）。參加畢業(yè)答辯四、畢業(yè)設計過程及進度計劃畢業(yè)設計課題的制定6月1日6月 5 日布置任務書6月8日7月 4 日熟悉課題 7月5日8月 31日網(wǎng)絡安全服務器的安裝與調(diào)試9月1日9月 20日網(wǎng)絡安全解決方案9月21日10月5日網(wǎng)絡安全解決方案的應用 10月6日 10月20日運行調(diào)試 10月21日11月5日編寫畢業(yè)設計說明書 11月6日12月10日論文答辯 （時間統(tǒng)一安排）五、畢業(yè)設計論文格式要求畢業(yè)設計說明

6、書的寫作要求畢業(yè)設計說明書是對設計進行解釋與說明的書面材料，并主要由指導教師及有關專家、技術人員閱讀，應規(guī)范、簡潔，述說流暢清楚，論據(jù)充分。應在講述原理后，以原理指導方案，詳述方案具體的技術實現(xiàn)方法，對實現(xiàn)過程所遇問題與解決辦法應進行解釋，對設計過程須引用的資料（資源）應作說明，對方案的最終實現(xiàn)效果進行評估。設計書的頁數(shù)應在40頁左右（a4紙，標四號字），打印裝訂成冊。結構畢業(yè)設計說明書應由以下幾部分組成：緒論：由三個內(nèi)容組成：課題名稱；設計目的及意義；設計項目技術發(fā)展簡介；設計的基本原理及各總模型介紹。目錄：畢業(yè)設計說明書各部分內(nèi)容。設計介紹：本方案的數(shù)據(jù)庫結構、數(shù)據(jù)庫表的關聯(lián)關系、功能模塊

7、、程序流程圖等。正文：畢業(yè)設計說明書的核心部分，占據(jù)主要篇幅。結束語：對設計中所做的工作進行評價，可對設計的不足或問題作出討論，或對未來技術及改進發(fā)表展望。附錄及參考文獻：將篇幅較大的表格、附圖等材料附于設計說明書末。列出使用的主要參考書及網(wǎng)上資源的網(wǎng)址。六、畢業(yè)設計答辯程序及準備要求1、答辯程序（1）介紹畢業(yè)設計情況及本人主要完成的設計內(nèi)容，時間為5分鐘；（2）答辯老師提出2-3個問題，由答辯人回答，回答問題時間為10分鐘。2、準備要求（1）答辯時必須提供光盤、畢業(yè)設計論文或報告；（2）準備好個人講述提綱，制作ppt。七、畢業(yè)設計評分標準序號考核內(nèi)容考核比例1明確畢業(yè)設計課題要求，正確進行功

8、能模塊的劃分5%2兩次分析報告10%3畢業(yè)設計期間組織紀律性強，無遲到、早退、缺課現(xiàn)象5%4小組協(xié)作精神強，所有的小組成員在規(guī)定時間內(nèi)完成要求的任務。5%5認真書寫畢業(yè)設計論文，設計方案合理50%6回答問題正確25%合計100%八、其他1、參考資料2、指導教師的聯(lián)系方式：e-mail： xesuxn 聯(lián)系電話qq：5688609目 錄前言1第一章 中小型企業(yè)網(wǎng)絡現(xiàn)狀11.1 中小型企業(yè)網(wǎng)絡現(xiàn)狀11.2 中小型企業(yè)網(wǎng)絡安全解決方案1第二章 活動目錄的概述12.1 活動目錄的概念12.2 活動目錄的特點12.3 活動目錄的作用12.4 活動目錄的安裝1第三章 基于ad企業(yè)

9、網(wǎng)安全物理結構的設計13.1 站點結構的設計13.2 全局編目服務器（gc）的設計13.3 活動目錄數(shù)據(jù)庫復制的規(guī)劃1第四章 基于ad企業(yè)網(wǎng)安全邏輯結構的設計14.1 域結構的設計14.2 ou結構的設計14.3 域控制器的規(guī)劃24.4 客戶機的規(guī)劃2第五章 安全規(guī)劃15.1服務器的安全15.1.1 配置文件服務器15.1.2 配置打印服務器25.1.3 配置代理服務器25.2 客戶機和用戶帳號的安全25.3 設置漫游配置文件45.4 限制用戶使用非法軟件55.5 應用組策略部署防火墻軟件65.6 委派控制用戶管理任務75.7 通過kerberos和ipsec實現(xiàn)企業(yè)環(huán)境保護8第六章 測試1第

10、七章 結束語1參考文獻1前言在信息化飛速發(fā)展的今天，計算機網(wǎng)絡得到了廣泛應用，但隨著網(wǎng)絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全措施。對于中小企業(yè)用戶的局域網(wǎng)來說網(wǎng)絡結構不太復雜，主機數(shù)量不太多

11、，服務器提供的服務相對較少。本文通過介紹活動目錄管理方案解決中小型企業(yè)網(wǎng)絡的安全問題，在活動目錄中利用域來實現(xiàn)企業(yè)的集中管理以及通過活動目錄的一些安全策略來管理企業(yè)的人員，服務器，客戶端，如：軟件限制策略，強密碼策略，組策略等，來保障和解決中小型企業(yè)的網(wǎng)絡安全問題。關鍵字：中小型企業(yè)、活動目錄、管理第一章 中小型企業(yè)網(wǎng)絡現(xiàn)狀1.1 中小型企業(yè)網(wǎng)絡現(xiàn)狀根據(jù)有關統(tǒng)計資料，我國中小企業(yè)約有1100萬家，中小企業(yè)占到了企業(yè)總數(shù)的99以上。由于中小企業(yè)業(yè)務流程大多處于混亂狀態(tài)，要依靠先進的信息系統(tǒng)在市場競爭中降低運營風險?？梢哉f，信息化是中小企業(yè)迎接新經(jīng)濟的挑戰(zhàn)，提高企業(yè)運作效率、降低經(jīng)營管理成本、把握

12、新的商業(yè)機會的必由之路。雖然一方面，網(wǎng)絡化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴充性。另一方面，也正是由于具有這些特點增加了網(wǎng)絡信息系統(tǒng)的不安全性面對嚴峻的網(wǎng)絡安全形勢，信息安全防護越來越受到企業(yè)的重視，眾多企業(yè)也在投入大量資金進行網(wǎng)絡安全產(chǎn)品的采購和部署。目前，國內(nèi)大中型企業(yè)由于信息化起步早、資金和技術力量充足、管理制度較為完善，因此信息安全體系成熟度也相對較高，但眾多中小企業(yè)的信息安全狀況卻十分令人擔憂。1.2 中小型企業(yè)網(wǎng)絡安全解決方案目前市場上有很多廠商也提出了眾多解決方案，這些方案以硬件防火墻為主體，集成了防病毒、防火墻、

13、信息加密、入侵檢測、安全認證、核心防護等領域，能夠提供的安全保障較為全面。但從其應用范圍來看，這些方案大多數(shù)面向的是銀行、證券、電信、政府等行業(yè)用戶和大型企業(yè)用戶，相比較而言，針對中小企業(yè)的安全解決方案寥寥無幾，內(nèi)容也主要是防病毒軟件和軟件防火墻。大多品質(zhì)過硬的專業(yè)級的硬件防火墻，由于價格高昂，在中小企業(yè)應用較少。而本文利用活動目錄中的域實現(xiàn)企業(yè)的集中管理以及通過活動目錄的一些安全策略來管理管理企業(yè)的人員，服務器，客戶端，如：利用軟件限制策略控制計算機上運行的程序保護計算機環(huán)境，利用組策略來實現(xiàn)不同用戶的不同管理等技術來保障和解決中小型企業(yè)的網(wǎng)絡安全問題。這種管理方式不僅方便安全而且資金消耗小

14、，很適合在中小型企業(yè)當中運用。第二章 活動目錄的概述2.1 活動目錄的概念活動目錄是一個分布式的目錄服務。它存儲著網(wǎng)絡上各種對象的有關信息，并使該信息易于管理員和用戶查找及使用。activedirectory目錄服務使用結構化的數(shù)據(jù)存儲作為目錄信息的邏輯層次結構的基礎。2.2 活動目錄的特點l 方便的組織資源：活動目錄將目錄組織成能夠存儲大量對象的容器， 因此活動目錄能夠隨著組織機構的擴大而增長。 l 集中管理和分散管理相結合：利用活動目錄工具能夠對活動目錄中所有的資源進行統(tǒng)一管理，還可以根據(jù)不同用戶的需要進行分散管理。l 資源訪問的分級管理：通過登錄認證和對目錄中對象的訪問控制，安全性和活動

15、目錄緊密地集成在一起。2.3 活動目錄的作用l 信息的安全性大大增強 l 引入基于策略的管理，使系統(tǒng)的管理更加明朗l 具有很強的可擴展性和可伸縮性 2.4 活動目錄的安裝1.活動目錄安裝前的準備必須保證已經(jīng)有一臺機器安裝了windows2000 server 或者windows2003 server，且至少有一個ntfs分區(qū)， 而且已經(jīng)為tcp/ip 配置了dns協(xié)議，并且dns服務支持srv記錄和動態(tài)更新協(xié)議。其次是要規(guī)劃好整個系統(tǒng)的域結構l 驗證操作系統(tǒng)的版本信息：選擇“開始”菜單或按 ctrl+alt+del 組合鍵l 驗證用戶權限：要執(zhí)行活動目錄的安裝必須對計算機具有管理權限， 一般來

16、說都是由管理員組的用戶賬號來執(zhí)行活動目錄的安裝。按 ctrl+alt+del 組合鍵可以查看當前登錄的用戶身份。l 驗證計算機的磁盤分區(qū)及剩余空間情況：在“計算機管理”控制臺下單擊“磁盤管理”l tcpip 協(xié)議及 dns 的配置：在“internet 協(xié)議(tcpip)屬性”對話框中為計算機設置 ip 地址、子網(wǎng)掩碼及dns 服務器地址，如果該域的 dns 服務器不是本機， 那么在此應該把 dns 服務器的地址指向網(wǎng)絡中維護該區(qū)域的 dns 服務器。 如果網(wǎng)絡中沒有其他的 dns 服務器，想讓這臺計算機既作為dc 又充當dns 服務器，那么此處可以把dns 指向自己或者什么都不做，活動目錄安

17、裝向導會提示如何來做。2. 下面是一臺裝有windows server 2003 的計算機上安裝活動目錄的過程：1) 在“運行”框中輸入dcpromo2) 顯示“域控制器類型”對話框，指定該服務器要擔當?shù)慕巧?。選擇“新域的域控制器”單選按鈕。3) 顯示“創(chuàng)建一個新域”對話框，選擇要創(chuàng)建的域的類型，選擇“在新林中的域”單選按鈕。4) 打開“新的域名”對話框，在文本框中輸入新建域的dns全名。5) 顯示“數(shù)據(jù)庫和日志文件夾”對話框。在指定放置 active directory數(shù)據(jù)庫和日志文件的位置， 可以通過單擊“瀏覽”按鈕來選擇合適的位置（基于最佳性能和可恢復性的考慮，最好將活動目錄的數(shù)據(jù)庫和日

18、志保存在不同的硬盤上）。6) 顯示“目錄服務還原模式的管理密碼”對話框，輸入還原模式密碼。（還原模式密碼是在 active directory 出現(xiàn)故障進行恢復時需要驗證的密碼）7) 安裝后 active directory需要重新啟動計算機才能生效8) 要刪除活動目錄，在“運行”框中輸入dcpromo，然后單擊“確定”按鈕，打開“active directory安裝向導”對話框，并根據(jù)向導進行刪除。第三章 基于ad企業(yè)網(wǎng)安全物理結構的設計3.1 站點結構的設計天一玩具股份有限公司全體員工人數(shù)是150人，因為整個公司的資源對象不多，所以采用單站點結構實現(xiàn)了整個公司的it架構管理。在dc1上打開

19、 “active directory 站點和服務”可以查看到tianyi的站點。如圖3-1所示圖 3-13.2 全局編目服務器（gc）的設計當下是單域環(huán)境，為了保證用戶登錄和查找活動目錄的速度，除了域控制器作為缺省的gc使用外，額外域控制器dc2也要指定為gc。3.3 活動目錄數(shù)據(jù)庫復制的規(guī)劃l 更改通知的方式:如果a1上創(chuàng)建了一個帳號test，則它會15秒后通知a2,然后3秒后通知a3、再3秒后通知a4。如果a2收到通知后就會從a1把數(shù)據(jù)要過來寫到自己的數(shù)據(jù)庫中。l 緊急復制:如密碼修改、帳戶鎖定策略等。修改后就馬上聯(lián)系復制伙伴。沒有時間延遲l 每隔1小時復制:檢查是否有數(shù)據(jù)復制遺漏。第四章

20、 基于ad企業(yè)網(wǎng)安全邏輯結構的設計4.1 域結構的設計1.背景分析根據(jù)網(wǎng)絡規(guī)模以及集中管理和結構簡單,我們采用單域的結構，域名為。與多域結構相比，實現(xiàn)了網(wǎng)絡資源的集中管理。并保證了管理上的簡單性和低成本。在域內(nèi)部按照部門名稱劃分ou，即創(chuàng)建4個組織單元，分別是：行政部，人事部，工程部，財務部，用與存儲和管理各個部門的用戶帳戶，組，以及打印機。整個域結構與公司管理結構相匹配可以實現(xiàn)公司資源的層次管理。為保證可靠性，需要安裝2臺域控制器。如圖4-1所示：圖 4-12. 創(chuàng)建windows域在dc1上執(zhí)行命令”dcpromo”安裝ad，提升為域控制器。為該公司創(chuàng)建一個新域。域名為。在安裝ad的過程中

21、安裝dns服務。保障域名解析服務正常運行。為了保證域的可靠性，和高效性。需要安裝第二臺域控制器。安裝完域控制器之后，分別將其他的計算機加入該域。4.2 ou結構的設計1.為了匹配公司的管理模型，在域內(nèi)按照部門名稱劃分組織單位（ou）,即創(chuàng)建4個組織單位，分別是：行政部、人事部、工程部、財務部。將來創(chuàng)建各個部門的用戶帳戶和組屬于各個部門ou。使用ad活動目錄里的【active directory 用戶和計算機】工具創(chuàng)建部門ou。結果如圖4-2所示圖 4-2 2.創(chuàng)建用戶賬戶和組使用【active directory 用戶和計算機】工具在各個部門的ou中分別為該部門員工創(chuàng)建唯一的域用戶賬戶，帳戶名

22、為員工的姓名的拼音。域用戶帳戶在下次登錄時更改密碼。為每個部門創(chuàng)建全局組，將同部門的員工帳戶分別加入各個部門的全局組。4.3 域控制器的規(guī)劃l 域控制器的數(shù)量:在天一架設兩臺域控制器（假定的名字為tianyi1和tianyi2）l 操作主機的角色:在tianyi上保留架構操作主機、域命名操作主機、pdc模擬器、rid master、結構操作主機轉移到tianyi2上。4.4 客戶機的規(guī)劃在各部門的ou中分別為該部門員工創(chuàng)建唯一的域用戶賬戶，賬戶名為員工姓名的拼音，所有客戶端計算機都加入到域中。在一般情況下，所有用戶都使用域用戶帳號登錄，用戶以前使用本地帳號時的配置文件要保留。第五章 安全規(guī)劃5

23、.1服務器的安全5.1.1 配置文件服務器1) 通過一臺專用的文件服務器存儲公共文件以及員工的工作文檔 2) 配置共享權限和ntfs權限 3) 權限的配置應遵循agdlp規(guī)則4) 啟用磁盤配額5) 制定備份策略，按任務計劃自動執(zhí)行6) 通過一臺專用的文件服務器存儲公共文件以及員工的文檔。7) 文件服務器的c:盤容量為10g安裝操作系統(tǒng)和軟件。d:盤容量大于1t，并采用ntfs文件系統(tǒng)，在d:盤的一個文件夾“software“存放公共的文件。常用的軟件和公司的規(guī)章制度。另一個文件夾”share“存放部門和員工的工作文檔。8) 在d:”share”文件夾下為每個部門建立文件夾，部門文件夾下創(chuàng)建每個

24、員工的文件夾，并通過網(wǎng)絡映射，映射到每個帳戶的機器上，配置共享權限和ntfs權限。保障文件只被授權的用戶訪問。9) 權限的設置應該遵循agdlp(用戶加入到安全全局組，再將相應的全局組加入到本地組，然后給本地組賦予權限)。避免直接給用戶授權。具體：文件夾名共享權限ntfs權限d:softwareeveryone讀取everyone讀取d:shareeveryone完全控制everyone列出文件夾目錄，總經(jīng)理完全控制d:share行政部無全局組行政讀取、本部門經(jīng)理和總經(jīng)理完全控制d:share人事部無全局組人事讀取、本部門經(jīng)理和總經(jīng)理完全控制d:share工程部無全局組工程讀取、本部門經(jīng)理和總

25、經(jīng)理完全控制d:share銷售部無全局組銷售讀取、本部門經(jīng)理和總經(jīng)理完全控制d:share財務部無全局組財務讀取、本部門經(jīng)理和總經(jīng)理完全控制d:share行政部某員工文件夾無全局組行政讀取、員工自己、本部門經(jīng)理和總經(jīng)理完全控制在文件服務器上，普通員工最大的使用空間為100mb，部門經(jīng)理最大的使用權限為1000mb，總經(jīng)理的使用空間不限制。5.1.2 配置打印服務器l 在打印服務器printsvr1上添加本地打印機a、b、c并共享 l 在打印服務器printsvr2上添加本地打印機a、b并共享l 配置優(yōu)先級和適當?shù)拇蛴嘞?l 在其他計算機上完成打印客戶端配置（添加網(wǎng)絡打印機）具體：服務器名打印

26、機共享名優(yōu)先級打印權限printsvr1a90總經(jīng)理打印printsvr1b50財務部經(jīng)理打印printsvr1c全局組財務打印printsvr2a50部門經(jīng)理打印printsvr2b1everyone打印5.1.3 配置代理服務器代理服務器的專用連接的ip設置為,公共連接與adsl線路連通，ip地址從isp動態(tài)獲得,在isa上安裝代理服務器軟件isa server并激活http代理，端口為默認值80,在其他計算機上的ie瀏覽器中配置代理服務器客戶端. 實現(xiàn)共享上網(wǎng)5.2 客戶機和用戶帳號的安全1.限制用戶能登錄的計算機在域環(huán)境下，一個域用戶帳戶默認是可以登錄到域中任意

27、一臺計算機的（dc除外），這樣為用戶提供了方便。因為假設用戶正在使用的計算機出現(xiàn)故障了，需要維修，那么該用戶可以用他自己的域用戶帳戶在其它計算機上登錄域，繼續(xù)完成自己未完成的工作，繼續(xù)使用域中的資源而不會受到影響，但工作組卻沒有提供這樣的方便。但是如果要限制用戶只能使用某些計算機來登錄域，可以通過設置用戶帳戶的屬性來實現(xiàn)。打開要進行限制的用戶帳戶的屬性，找到“帳戶”選項卡，點擊“登錄到”按鈕。如圖5-1所示。圖 5-1在打開的“登錄工作站”對話框中，可以看到默認的設置是用戶可以登錄到“所有計算機”，要進行限制，選擇“下列計算機”單選按鈕，并在“計算機名”文本框內(nèi)輸入只允許用戶在其上登錄的計算機

28、名并點擊“添加”按鈕。如果有必要，可以添加多臺計算機。完成后，該用戶只能在指定的計算機上登錄，而不能在未指定的計算機上登錄到域。2. 公司對員工的帳戶需求l 員工一人一個帳戶l 所有帳戶集中存儲管理l 按部門管理帳戶l 密碼不能為簡單密碼，如12345678等l 對個別員工試探別人密碼的行為要有所防范l 員工的權限級別有3種：總經(jīng)理、部門經(jīng)理、普通員工，他們在訪問網(wǎng)絡資源時權限不同3. 強密碼策略在這里提供的密碼策略和帳戶鎖定策略對于我們保障帳戶的安全性起到了非常大的作用。密碼必須符合復雜性要求，這一項要求一般受到策略影響的主機上創(chuàng)建帳戶的時候，或者修改帳戶密碼的時候就會受到這個策略的限制，它

29、的密碼必須滿足以下的策略，這樣才能加強密碼的安全性。密碼策略：l 長度至少有8個字符l 不包含用戶名、姓名或公司姓名l 不包含完整字典詞匯l 與先前密碼大不相同l 包含全部四組類型字符：az、az、09、非字母特殊字符5.3 設置漫游配置文件1.漫游配置文件的優(yōu)點：漫游配置文件是指把用戶的配置文件集中存放在網(wǎng)絡中的某個專用服務器中（文件服務器），當用戶登錄時，系統(tǒng)會自動去尋找該服務器，并找到屬于該用戶的配置文件，然后加載。這時，無論用戶在什么地方登錄，該用戶都可以使用同一個配置文件，在任何一臺計算機登錄所獲得的工作環(huán)境都是一樣的。同時，由于所有用戶的配置文件集中保存在同一臺服務器中，所以也方便

30、了管理員進行集中的備份，保證數(shù)據(jù)的安全。2.為用戶設置漫游配置文件：首先要找一臺專用的文件服務器，在該服務器中建立一個文件夾并共享，共享權限設置everyone寫入權限。然后選擇一個用戶，打開屬性對話框，找到“配置文件”選項卡。在“配置文件路徑”中填入上面建立的共享文件夾的unc路徑，并在該路徑后跟該用戶的用戶名，以便于把該用戶的配置文件存放在以用戶名命名的子文件夾里。這時該用戶在域中任一臺計算機上登錄，該用戶的工作環(huán)境都是一樣的。如圖5-4所示。圖 5-45.4 限制用戶使用非法軟件1.軟件限制策略的管理目的：l 軟件限制策略可以控制計算機上運行的程序，以使保護計算機環(huán)境不會受到不可信代碼的

31、攻擊。l 阻止任何文件在本地計算機、組織單元、站點或域中運行。l 在多用戶計算機上，僅允許用戶運行特定的文件l 確定誰可以向計算機中添加受信任的發(fā)布服務器。l 控制軟件限制策略是影響計算機上的所有用戶，還是只影響一些用戶2. 在“組策略編輯器”中依次打開“計算機配置”“windows設置”“安全設置”，右擊“軟件限制策略”，選擇“創(chuàng)建軟件限制策略”命令。然后選中“軟件限制策略”，可以看到如圖5-5所示圖 5-55.5 應用組策略部署防火墻軟件1. 軟件部署階段、軟件維護階段、軟件刪除階段l 軟件部署階段：軟件準備好了以后，就可以利用組策略來設置軟件部署點，并指定軟件部署的方式，使計算機啟動或用

32、戶激活應用程序時進行軟件安裝。l 軟件維護階段：軟件也可能需要經(jīng)常打補丁或升級。利用組策略來維護軟件可以實現(xiàn)在不通知用戶的情況下自動完成軟件的升級等操作。l 軟件刪除階段：通過設置組策略可以把那些不需要繼續(xù)使用的軟件刪除掉，也不必通知用戶。2. 應用組策略部署防火墻在windows2003客戶機（具有管理員權限）的“運行”欄中輸入“mmc”命令并回車，在打開的“控制臺”窗口中，依次單擊“文件添加/刪除管理單元”，添加“組策略對象編輯器”。在彈出的“歡迎使用組策略向導”界面中，點擊“瀏覽”按鈕并在“瀏覽組策略對象”窗口中的空白處單擊鼠標右鍵，在彈出的菜單中選擇“新建”，并命名為“firewall

33、”。在防火墻的設置中進行下面的設置：l 保護所有網(wǎng)絡連接:已啟用;這樣才能強制要求客戶機啟用windows防火墻，不受客戶機本地策略的影響。l 不允許例外:未配置;這個可以讓客戶機自行安排。l 定義程序例外:已啟用;即按照程序文件名定義例外通信，這樣可以集中配置機房中允許運行的網(wǎng)絡程序等。l 允許本地程序例外:已禁用;如果禁用則windows防火墻的“例外”設置部分將呈灰色。l 允許遠程管理例外:已禁用;如果不允許客戶機進行遠程管理，那么請禁用。l 允許文件和打印機共享例外:已禁用;如果某些客戶機有共享資源需要應用，那么應該啟用。l 允許icmp例外:已禁用;如果希望使用ping命令，則必須啟

34、用。l 允許遠程桌面例外:已禁用;即關閉客戶機可以接受基于遠程桌面的連接請求功能。l 允許upnp框架例外:已禁用;即禁止客戶機接收垃圾的upnp方面的消息。l 阻止通知:已禁用。l 允許記錄日志:未配置;允許記錄通信并配置日志文件設置。l 阻止對多播或廣播請求的單播響應:已啟用;即放棄因多播或廣播請求消息而收到的單播數(shù)據(jù)包。l 定義端口例外:已啟用;按照tcp和udp端口指定例外通信。l 允許本地端口例外:已禁用;即禁止客戶機管理員進行端口的“例外”配置。5.6 委派控制用戶管理任務活動目錄提供給我們靈活的委派控制，我們通過靈活的委派控制可以向適當?shù)挠脩艋蚪M指派一定范圍的管理任務，將管理任務

35、分散開來，也可以使組織內(nèi)的組更多的靈活的控制本地資源。如圖：整個域中的三個ou，我們分別把admini1,admini2,admini3,進行控制權限的委派，從而將我們的管理權限進行分散，一個是實現(xiàn)了降低管理的債荷，實現(xiàn)了更多的組控制本地的資源把相應的域：行政部，人事部，工程部，銷售部，財務部委派到各部門的負責人管理任務：l 創(chuàng)建、刪除以及管理用戶賬戶l 讀取所有用戶信息l 修改組成員身份l 管理組策略鏈接5.7 通過kerberos和ipsec實現(xiàn)企業(yè)環(huán)境保護1.kerberos實現(xiàn)身份驗證kerberos是一種非常安全的身份驗證協(xié)議，比ntlm、lm安全性上有了很大的提升，可以實現(xiàn)不僅是服

36、務器對客戶端的一種驗證而且還可以實現(xiàn)客戶端對服務器的一種驗證，可以實現(xiàn)這種雙向的驗證，同時kerberos符合國際的一些標準，kerberos給我們提供很強的安全性同時也提供了很強的靈活性和兼容性2.用ipsec抵御網(wǎng)絡攻擊使用ipsec可以顯著地減少或防范下面幾種網(wǎng)絡攻擊：l sniffer：sniffer可以讀取數(shù)據(jù)包中的任何信息，因此對抗sniffer，最有效的方法就是對數(shù)據(jù)進行加密。 ipsec的封裝安全載荷esp協(xié)議通過對ip包進行加密來保證數(shù)據(jù)的私密性 l 數(shù)據(jù)篡改：ipsec用密鑰為每個ip包生成一個數(shù)字檢查和，該密鑰為且僅為數(shù)據(jù)的發(fā)送方和接收方共享。對數(shù)據(jù)包的任何篡改，都會改變檢查和，從而可以讓接收方得知包在傳輸過程中遭到了修改。 l 身份欺騙，盜用口令，應用層攻擊：ipsec的身份交換和認證機制不會暴露任何信息，不給攻擊者有可趁之機，雙向認證在通信系統(tǒng)之間建立信任關系，只有可信賴的系統(tǒng)才能彼此通信。 l 拒絕服務攻擊：ipsec使用ip包過濾法，依據(jù)ip地址范圍、協(xié)議、甚至特定的協(xié)議端口號來決定哪些數(shù)據(jù)流需要受到保護，哪些數(shù)據(jù)流可以被允許通過，哪些需要攔截。l ipsec組策略：用于配置ipsec