回顾:
本地安全策略
1)打开本地安全策略-secpol.msc
2)本地安全策略主要包含
账户策略
本地策略
3)账户策略
密码策略
账户锁定策略
注:administrator账户不可以删除,可以禁用,不受账户锁定策略的影响
4)本地策略
审核策略
用户权限分配
安全选项
今日内容
1:账户安全加固
1)定期检查可疑账户,尤其是administrator成员
2)administrator改名,设置复杂密码
3)administrator禁用,新建普通用户加入administrators组
4)启用不显示最后的用户名(本地安全策略-本地策略-安全选项)
5)命令查看账户
(dos界面输入net user查看)
6)注册表查看用户
运行-regedit(打开注册表)
HKEY_LOCAL_MACHINE\SAM\SAM(右击SAM-权限-添加administrator完全控制权限,F5刷新)
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
(如没有出现Account把Domains也加入管理员用户)
2:共享安全加固
1)查看所有共享
net share
2)删除默认共享
net share c$ /delete
net share admin$ /delete
net share ipc$ /delete(注:不要大那么多空格,一个就行不然会失败)
注:本方法停止默认共享,立即生效,但重启系统够,默认共享自动恢复
HKEY_LOCAL_MACHINE\SYSEM\CurrentControlset\Services\LanmanServer\Parameters新建DWORD(32)值,并命名为AutoShareServer,双击AutoShareServer将键值改为0
3:Windows服务加固
1)运行-services.msc(打开服务管理器)
关闭共享服务(server),所有共享无法使用
启动类型:禁用
Server
ip helper
Print spooler
TCP/IP Netbios helper(注:看自己是否不用再禁用)
4: 域
工作组是一种环境,计算机默认所属工作WORKGROUP
工作组环境特点:
地位平等、管理分散、没有实现集中管理
用户本地创建、本地存储、本地登录且只能登录本地一台计算机
1)域:将来自于网络中的多台计算机以逻辑的方式组织到一起,实现了集中管理的环境我们将这种环境称为域
2)管理控制作用的服务器(域控制器:简称“DC”)
每个域至少有一台域控制器
3)活动目录(简称AD)
集中管理
便捷的网络资源访问
扩展性
5:实现域环境
1)升级域控的条件
具有本地administrator管理员权限
具有足够的磁盘空间
tcp/ip配置(ip地址、子网掩码)
需要有DNS服务器支持
操作系统版本必须为Windows server版
本地磁盘至少有一个NTFS文件系统的分区
2)配置Windows server2016网络地址
ip:192.168.1.20
掩码:255.255.255.0
首选DNS:127.0.0.1
3)安装AD活动目录
管理-添加角色和功能-三个下一步-Active Directory域服务-添加功能-三个下一步-安装
4)将此服务器提升为域控制器
左侧点击AD DS 右上角更多-将此服务器提升为域控制器
5)Active Directory域服务配置向导
添加新林-根域名输入ntd.com-下一步-输入目录服务还原模式的密码-一路下一步-安装
6)检查系统环境
重启-登录系统-右击此电脑-属性-此时看到现在环境为语-关机创建快照
7)win10客户端主机加入域
win10 客户端主机右击桌面此电脑-
属性-高级系统设置-计算机名-更改-隶属于点击域-输入ntd.com-输入win2016的administrator用户及密码-确定-确定-重启
6:域用户管理
1)打开活动目录
工具-Active Directory用户和计算机
运行-dsa.msc
2)创建域用户
ntd.com-users-右侧空白右击新建用户
验证新建的域用户win10客服端主机登录
注:域用户账户有显示名和登录名
显示名当前容器唯一,登录名域中唯一
3)配置域用户属性
登录时间:右击域用户名-属性-账户-登录时间
登录到:右击域用户-属性-账户-登录到
账户过期:右击域用户-属性-账户-账户过期
7:组织单位(OU)
1)容器:有效组织活动目录中的对象
2)OU的设计方式
基于部门的OU
基于地理位置OU
基于对象的OU
基于混合的OU
验证:创建OU
删除OU查看提示
查看-高级功能
右击将要删除的OU-属性-对象-取消防止意外删除的勾选
右击将要删除的OU-删除
8:域环境组策略的配置(GDO)
1)组策略(一组策略的集和)
可以统一修改系统、设置程序
调整桌面环境、安全设置、自动执行脚本、软件分发
2)组策略的设置对象
班 制度
默认班级管理制度
默认老师制度
域 策略
默认域策略(Default Domain Policy)
默认控制器策略(Default Domain Controllers Policy)
验证:禁止域用户更改桌面背景
工具-组策略管理
右击 Default Domain Policy-编辑-用户配置-策略-管理模板-控制面板-个性化设置-双击阻止更改桌面背景-启用
域用户在客户端主机登录,验证能否更改桌面背景
9:域环境组策略的应用规则
1)策略的继承
继承:默认下级容器继承上级容器的组策略
运行-dsa.msc
创建OU并命名为CW,在CW的OU中创建新用户zz,zz账户在win10客户端主机登录,验证不能更改桌面背景
2)阻止继承
下级容器可以阻止继承上级容器的组策略
工具-组策略管理
右击cw-阻止继承
zz账户在win10客户端主机登录,验证能更改桌面背景
3)强制继承
上级容器强制下级应用上级容器的组策略
右击Default Domain Policy-强制继承
zz账户在win10客户端主机登录,验证不能更改桌面背景
注:上级配置强制继承,下级再阻止继承无效