Windows-2008安全管理实战ppt课件
合集下载
Windows系统安全管理精品PPT课件
18
添加/删除帐户
Win2000/XP下
管理工具—计算机管理—本地用户和组
15
解读SID
颁发机构代码, Windows 2000总
为5
SID S-1-5-21-15070098-500
修订版 本编号
子颁发机构代码, 共有4个;具有
唯一性
著名的SID
相对标示符 RID,一般为
常数
❖S-1-1-0 Everyone ❖S-1-2-0 Interactive用户 ❖S-1-3-0 Creator Owner ❖S-1-3-1 Creator Group令牌Leabharlann 通过SID标示账号对象以及所属的组
SID S-1-5-21-15070098-500
令牌 User=S-1-21- S-1-5-21-15070098-500 Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544
信息安全技术培训 ©2007
5、Windows下的几个系统命令
6、安全基本配置
信息安全技术培训 ©2007
4
什么是漏洞?
什么是漏洞?
信息安全技术培训 ©2007
5
什么是IPC问题
什么IPC? IPC(Interprocess communications
IPC$空会话连接!!
管理共享(C$、d$、Admin$)!!
信息安全技术培训 ©2007
信息安全技术培训 ©2007
7
IPC攻击演示
E:\>net use \\testPC\ipc$ “” /user:”” E:\>net view \\testPC 结果:获得testPC主机共享资源列表 Continue…… E:\>net use y: \\testPC\share “xxx” /user:”xxxx” 结果:testPC主机的share目录被映射为Y盘
Windows Server 2008系统管理ch15-综合应用案例简明教程PPT课件
9. DHCP服务器的配置 主机NetBIOS名:dd; 域名:; 主机域名:; 地址池:192.168.89.1-192.168.89.199; 自动分配:其他服务器的IP地址; DHCP服务器的安装、配置方法详见第7章; DHCP服务器的测试:将客户端主机PCA和PCB的IP地址 和DNS地址恢复成自动获得,参考第7章,若主机PCA能 访问以上任一服务器,说明DHCP服务器配置成功。
6. 终端服务器的配置 主机NetBIOS名:wft; 域名:; 主机域名:; 终端服务器的安装、配置方法详见第12章; 终端服务器的测试:参考第12章,一名客户端主 机用户访问终端服务器的资源,若能在授权范围 内访问资源,说明终端服务器配置成功。
•7. Web服务器的配置 •主机NetBIOS名:wef; •域名:; •主机域名:; •Web服务器的安装、配置方法详见第1章、第8章 ; •Web服务器的测试:参考第8章,一名客户端主 机用户通过IE浏览器和“http://192.168.89.200”访 问Web服务器,若能访问Web服务器上存放的网 页,说明Web服务器配置成功。
• • • • •
4. WSS服务器的配置 主机NetBIOS名:wft; 域名:; 主机域名:; WSS服务器的安装、配置方法详见第1章、第3 章; • WSS服务器的测试:参考第3章,两名客户端主 机用户访问WSS站点共享的资源,若能在授权 范围内访问资源,说明WSS服务器配置成功。
10. 邮件服务器的配置 主机NetBIOS名:wef; 域名:DC.cห้องสมุดไป่ตู้m; 主机域名:; 邮件服务器的安装、配置方法详见第10章; 邮件服务器的测试:参考第10章,若主机PCA能 访问以上邮件服务器,说明邮件服务器配置成功 。
网络操作系统(Windows Server 2008)课件(共13单元)项目2、管理本地用户与组账户
28
任务四、管理本地组账户
图2-19 用户属性
29
任务四、管理本地组账户
【操作步骤】
(2)在弹出的属性对话框中,切换到“隶属于”选项 卡中,可以将用户添加到其它用户组中,单击“添加 ”按钮,在弹出的对话框中,单击“高级”按钮图220所示。
(3)在弹出的对话框中单击“立即查找”按钮,系统 将浏览当前计算机中所有的用户组,并在“搜索结果 ”中显示,可以选择要将当前用户加入到的组(可选 择多个组),选择之后单击“确定”按钮,如图2-21 所示。
25
任务四、管理本地组账户
【操作步骤】
1.新建组账户 (1)打开“计算机管理”,定位到“系统工具”→“
本地用户和组”→“组”,在右侧的窗格中,可以查 看本地内置的所有组账户,如图2-16所示。 (2)在空白处鼠标右击,在弹出的快捷菜单中选择“ 新建组”,如图2-17所示。 (3)在随后弹出的“新建组”对话框中,输入“组名 ”(必须输入),以及“描述信息”(根据需要输入 ),设置完成之后单击“创建”按钮,如图2-18所示 。
26
任务四、管理本地组账户
图2-16 系统内置组账户
图2-17 新建组
27
图2-18 创建组账户
任务四、管理本地组账户
【操作步骤】
2.将用户添加到组 (1)打开“计算机管理”,定位到“系统工具
”→“本地用户和组”→“用户”,在右侧窗格 中鼠标右击之前创建的用户slxx,在弹出的快捷菜 单中单击“属性”,如图2-19所示。
32
任务四、管理本地组账户
图2-22 选择用户完成
图2-23 添加组
33
The End
Thank you!
34
,在弹出的对话框中,定位到“系统工具”→“ 本地用户和组”→“用户”,可以看到操作系统 内置的本地账户,如图2-1所示。
任务四、管理本地组账户
图2-19 用户属性
29
任务四、管理本地组账户
【操作步骤】
(2)在弹出的属性对话框中,切换到“隶属于”选项 卡中,可以将用户添加到其它用户组中,单击“添加 ”按钮,在弹出的对话框中,单击“高级”按钮图220所示。
(3)在弹出的对话框中单击“立即查找”按钮,系统 将浏览当前计算机中所有的用户组,并在“搜索结果 ”中显示,可以选择要将当前用户加入到的组(可选 择多个组),选择之后单击“确定”按钮,如图2-21 所示。
25
任务四、管理本地组账户
【操作步骤】
1.新建组账户 (1)打开“计算机管理”,定位到“系统工具”→“
本地用户和组”→“组”,在右侧的窗格中,可以查 看本地内置的所有组账户,如图2-16所示。 (2)在空白处鼠标右击,在弹出的快捷菜单中选择“ 新建组”,如图2-17所示。 (3)在随后弹出的“新建组”对话框中,输入“组名 ”(必须输入),以及“描述信息”(根据需要输入 ),设置完成之后单击“创建”按钮,如图2-18所示 。
26
任务四、管理本地组账户
图2-16 系统内置组账户
图2-17 新建组
27
图2-18 创建组账户
任务四、管理本地组账户
【操作步骤】
2.将用户添加到组 (1)打开“计算机管理”,定位到“系统工具
”→“本地用户和组”→“用户”,在右侧窗格 中鼠标右击之前创建的用户slxx,在弹出的快捷菜 单中单击“属性”,如图2-19所示。
32
任务四、管理本地组账户
图2-22 选择用户完成
图2-23 添加组
33
The End
Thank you!
34
,在弹出的对话框中,定位到“系统工具”→“ 本地用户和组”→“用户”,可以看到操作系统 内置的本地账户,如图2-1所示。
WindowsServer2008管理技术探讨.ppt
Unified experience for server roles and features
• Initial Configuration Tasks
– Exposes the tasks necessary to complete setup and get the server operational
• Additional management features
– Search and filter on settings – Add comments to individual GPOs and settings – Create Starter GPOs for easier reuse of administrative settings
EnterpriseEnterprise-class desktop management
• Granular administrative control
– Robust delegation model – Role-based administration – Change request approval
• Powerful object manipulation
– All objects are strongly typed—no more parse and pray – Objects can be directly manipulated on the command line – Pipe together multiple cmdlets to tackle complex problems
Windows Server 2003
Improvements in viewer and infrastructure
《Windows Server 2008》课件——用户管理
三 创建和管理用户帐户
➢创建用户帐户 ➢管理用户帐户
1 .创建用户帐户
2. 管理用户帐户
➢关闭用户帐户 ➢删除用户帐户 ➢更改用户名 ➢改变用户口令 ➢管理用户属性 ➢用户配置文件
启用用户帐户: net user 用户名 /active:yes
禁用用户帐户: net user 用户名 /active:no
1. 用户帐户命名规则
➢ 用户名应为1到20个字符 ➢ 用户名不能与指定计算机上存放的所有其它用户
名或组名相同 ➢ 用户名不能包含下列字符:* ∧ [] : ; | = , + ?
<> " ➢ 用户名不能只由句点和空格组成
2. 密码规则
➢ 试图登录Windows 2008r2r2时,系统将核对用 户提供的密码
删除用户帐户: net user用户名 /del
查询用户信息
net user 用户名 更改用户密码
net user 用户名 新密码
➢ 复制账户:
3、高级操作
Sam:local/sam/sam/domains/account/user/names F权利,
C
PART THREE
总
结
1.掌握用户管理 2.掌握本地组管理 3.熟悉组的作用 4.熟悉用户帐号的作用 5.了解工作组和域的区别,SAM数据库与身份验证
一、账户分类
➢ 本地账户
➢ 本地用户和组创建 ➢ 保存于SAM数据库+注册表 ➢ 本地验证(lusrmgr.msc)
➢ 域账户
➢ AD用户和计算机 ➢ 保存于DC上 ➢ 服务器验证
Sam位置:Windows/system32/config
二 规划用户帐户
Windows 2008服务管理实战
3
本章结构
IIS性能监视 IIS7.0高级应用 IIS性能优化 IIS安全加固
Windows 2008 服务管理实战
配置多域间访问
站点到站点VPN简介 站点到站点VPN 实现站点到站点VPN
4
IIS7.0高级应用
IIS7.0性能监视 IIS7.0性能优化 IIS7.0安全加固
5
案例1:监视Web服务器性能
优化前后的性能对比
教员演示操作过程
11
案例2:优化Web服务器性能
学员练习:
在IIS7.0中配置HTTP压缩 在IIS7.0中配置输出缓存 优化前后的性能对比
15分钟内完成
12
案例3:加强Web服务器的安全性
BENET公司的Web服务器经常受到来自Internet 的破坏和攻击。公司要求管理员设法加强Web服 务器安全性,防止黑客攻击和破坏
BENET公司的Web服务器响应速度越来越慢,管 理员希望监视Web,找出影响服务器性能的原因
6
案例1:监视Web服务器性能
配置失败请求跟踪 配置日志记录 监视工作进程和当前正在执行的请求
教员演示操作过程
7
案例1:监视Web服务器性能
学员练习:
配置失败请求跟踪 配置日志记录 监视工作进程和当前正在执行的请求
教员演示操作过程
28
案例4:管理多域网络环境
配置林信任
教员演示操作过程
29
案例4:管理多域网络环境
跨域访问资源
将被信任域的账户加入到本域的全局组 将被信任域的全局组加入到信任域的本地组 给信任域的本地域组设置权限 完成以上设置,被信任域的账户可以访问信任域的资 源
教员演示操作过程
30
WINDOWS 2008配置与管理 课件-1
陈学平 重庆电子工程职业学院
项目2 域控制器的 安装与管理
• 2.1任务名称 活动目录的 安装及部署 • 1.活动目录简介 • Windows Server 2008有两 种网络环境:工作组和域, 默认是工作组网络环境。
陈学平 重庆电子工程职业学院
任务实施1 域控制 器的安装
• 上面我们介绍了安装活动目 录的情形,我们演示情况1 的安装过程,因为这种比较 常用。 • (1)首先我们准备一台安 装了Windows Server 2008 企业版的计算机,计算机名 为WIN-1HERN4IUB98。 接着为这台计算机配置静态 IP,并把DNS服务器IP地址 指向自己,备用DNS服务器 是联通宽带上网的DNS地址 ,如果是电信的宽带则配置 为61.128.128.68,
陈学平 重庆电子工程职业学院
任务实施1 虚拟机 的安装及配置
• 1、虚拟机软件的安装 • 我们此处介绍的虚拟机的版 本为VMWare7.0,安装过 程从略。一路直接单击“下 一步”即可。
图1-12虚拟机完成界面
陈学平 重庆电子工程职业学院
• 在这个界面中,描述的虚拟 机的设置等选项,我们可以 单击“打开虚拟机电源”, 则会启动该虚拟机,然后从 镜像文件进行引导,完成操 作系统的安装。
陈学平 重庆电子工程职业学院
• 当出现下面的错误时,请先 检查两台计算机台是否连通 。 • 出现了错误提示,如图2-29 所示。
图2-29 出现错误提示 我们首先要检查局域网是否连通,在 两台计算机分别运行中输入CMD命令 ,然后分别输入ping 命令,
陈学平 重庆电子工程职业学院
ping对方计算机的IP地址,直到 连通为止,如图2-30所示。
WINDOWS 2008配置 与管理
项目2 域控制器的 安装与管理
• 2.1任务名称 活动目录的 安装及部署 • 1.活动目录简介 • Windows Server 2008有两 种网络环境:工作组和域, 默认是工作组网络环境。
陈学平 重庆电子工程职业学院
任务实施1 域控制 器的安装
• 上面我们介绍了安装活动目 录的情形,我们演示情况1 的安装过程,因为这种比较 常用。 • (1)首先我们准备一台安 装了Windows Server 2008 企业版的计算机,计算机名 为WIN-1HERN4IUB98。 接着为这台计算机配置静态 IP,并把DNS服务器IP地址 指向自己,备用DNS服务器 是联通宽带上网的DNS地址 ,如果是电信的宽带则配置 为61.128.128.68,
陈学平 重庆电子工程职业学院
任务实施1 虚拟机 的安装及配置
• 1、虚拟机软件的安装 • 我们此处介绍的虚拟机的版 本为VMWare7.0,安装过 程从略。一路直接单击“下 一步”即可。
图1-12虚拟机完成界面
陈学平 重庆电子工程职业学院
• 在这个界面中,描述的虚拟 机的设置等选项,我们可以 单击“打开虚拟机电源”, 则会启动该虚拟机,然后从 镜像文件进行引导,完成操 作系统的安装。
陈学平 重庆电子工程职业学院
• 当出现下面的错误时,请先 检查两台计算机台是否连通 。 • 出现了错误提示,如图2-29 所示。
图2-29 出现错误提示 我们首先要检查局域网是否连通,在 两台计算机分别运行中输入CMD命令 ,然后分别输入ping 命令,
陈学平 重庆电子工程职业学院
ping对方计算机的IP地址,直到 连通为止,如图2-30所示。
WINDOWS 2008配置 与管理
《Windows-Server-2008》课件——服务基础
基本要求是服务器和客户机走不同的网关但走同一个DNS,我们 有2个网段,想用一台机器发出去,单然两台机器处于不同物理 网段。 • 3、当机器的IP都配置完毕以后呢,我们还想实现linux和Windows 的共享,因为毕竟放在Windows下的文件容易找一些,同时呢我 们还希望买一台打印机,局域网里的所有机器都可以用他来打印。
A
PART ONE
重难点分析
• 掌握网络中常见服务的应用 • 常见服务的基本配置方法
重点
• 常见服务的基本配置方法
B
PART TWO
课程讲解
服务简介
➢Tcp/ip配置 ➢DHCP ➢网络共享 ➢打印共享 ➢安全
➢WEB服务 ➢FTP服务 ➢电子邮件 ➢防火墙 ➢路由器 ➢VPN
实际应用-需求(1)
实际应用-需求(3)
• 4、我们的企业还想做个网页发布出去,因为比较WEB宣 传成本比较低
• 5、我们企业的内部资料想放在一个机器上,这样的大家 用的时候可以从上面去拿,同时我们也可以把我们的资 料很轻松的提交到说要提交的地方
• 6、为了方便我们员工内部的交流,也为了处理事情的的 方便,我们需要给没个员工一个邮箱地址,让他们很方 面的交流
现在我们的企业要构建一个局域网,设备配置(局域网组建维 护与设计)以及完成、线路(局域网组建维护与设计)也布设完 成,只剩下服务器没有配置,需求如下你要是管理员的话。你该 怎么办呢?
实际应用-需求(2)
• 1、为一些核心机器设置合适的IP、DNS、网关、主机名。 • 2、我们单位现在有500台机器,假设静态IP服务实现 • 2、通过假设DHCP服务实现 • 3、通过假设共享服务实现 • 4、通过假设DNS服务实现 • 5、通过假设iis服务实现 • 6、通过假设serv-u服务实现 • 7、通过假设MAIL服务实现
A
PART ONE
重难点分析
• 掌握网络中常见服务的应用 • 常见服务的基本配置方法
重点
• 常见服务的基本配置方法
B
PART TWO
课程讲解
服务简介
➢Tcp/ip配置 ➢DHCP ➢网络共享 ➢打印共享 ➢安全
➢WEB服务 ➢FTP服务 ➢电子邮件 ➢防火墙 ➢路由器 ➢VPN
实际应用-需求(1)
实际应用-需求(3)
• 4、我们的企业还想做个网页发布出去,因为比较WEB宣 传成本比较低
• 5、我们企业的内部资料想放在一个机器上,这样的大家 用的时候可以从上面去拿,同时我们也可以把我们的资 料很轻松的提交到说要提交的地方
• 6、为了方便我们员工内部的交流,也为了处理事情的的 方便,我们需要给没个员工一个邮箱地址,让他们很方 面的交流
现在我们的企业要构建一个局域网,设备配置(局域网组建维 护与设计)以及完成、线路(局域网组建维护与设计)也布设完 成,只剩下服务器没有配置,需求如下你要是管理员的话。你该 怎么办呢?
实际应用-需求(2)
• 1、为一些核心机器设置合适的IP、DNS、网关、主机名。 • 2、我们单位现在有500台机器,假设静态IP服务实现 • 2、通过假设DHCP服务实现 • 3、通过假设共享服务实现 • 4、通过假设DNS服务实现 • 5、通过假设iis服务实现 • 6、通过假设serv-u服务实现 • 7、通过假设MAIL服务实现
Windows2008 Server系统管理与网络管理课件1(Windows Server 2008安装与基本配置)
2.Windows Server 2008的特点
(1)可操作性 • 用户可以打开“我的电脑”管理文件和文件夹,可以在“开 始”菜单中打开各种应用程序,也可以在“控制面板”中进 行各种系统设置。除了熟悉的GUI界面以外,Windows Server 2008内置了许多向导程序,向导程序可以帮助用户 完成复杂的服务器配置,使操作过程简单化,例如安装活动 目录(Active Directory)、配置Web服务器、备份恢复文 件等。DNS的配置向导如图1.1所示。
• Windows Server 2008和早期的服务器操作系统相 比,无论是安全性还是稳定性,都有了相当大的提 高,功能也更加强大。Windows Server 2008有多 个版本,分别适用于不同的网络,为了更好地发挥 网络的功能,应根据不同的网络选择不同版本的操 作系统。虽然Windows Server 2008的安装和使用 非常简单,安装过程无需设置计算机名、选择授权 模式、设置网络连接等,但是,安装之后应该设置 各种基本参数,如计算机名、IP地址等,以便日后 更好地管理和使用。本章主要介绍Windows Server 2008的基本知识、安装方法及基本配置, 重点介绍Windows Server 2008的全新安装方法及 系统基本配置。
Windows Server 2008新特性(续)
(11)BitLocker驱动器加密
• BitLocker驱动器加密是Windows Server 2008中一 个重要的新功能,可以保护服务器、工作站和移动计 算机。BitLocker可以对磁盘驱动器的内容加密,防 止未经授权的用户绕过文件系统和系统保护,或者对 存储在受保护驱动器上的文件进行脱机查看。
• (5)安全性。Windows Server 2008提供了一系列新 的和改进的安全技术,增加了对操作系统的保护,为企 业的运营和发展奠定了坚实的基础。通过减少内核攻击 面的安全创新思路(如PatchGuard),使服务器环境 更安全、更稳定。
网络操作系统(Windows Server 2008)课件(共13单元)项目4文件系统管理和磁盘管理
29
任务二、NTFS压缩与加密文件系统
图4-22 加密文件选项
图4-23 加密文件夹选项
30
任务三、管理与使用共享文件夹
【任务引入】
通过共享文件夹可以将文件共享给网络上的其他用户 ,无论文件夹位于NTFS、FAT或FAT32磁盘内,都 可以被设置为共享文件夹,然后通过共享权限来设 置用户的访问权限。
31
任务三、管理与使用共享文件夹
【任务分析】
新建和管理共享文件夹需要权限,隶属于Administra tors组的用户具有将文件夹设置为共享文件夹的权 限。
32
任务三、管理与使用共享文件夹
【操作步骤】
(1)新建共享文件夹 打开计算机,本例选取自建文件夹C:\case,选择要创建
的文件夹右击,选择“共享”→“特定用户”,输入需 要共享的用户或组名,单击“添加”,然后选取合适的 权限,单击“共享”,完成后的对话框如图4-24所示 。 (2)停止共享与更改权限 要停止文件共享,可以通过如图4-25所示,右击共享文件 夹,选择“共享”,在如图4-26的对话框中选择“停 止共享”。
本项目将介绍通过文件系统管理和NTFS磁盘管理,来 实现对计算机中文件的管理和数据共享。
3
任务一、设置NTFS权限
【任务引入】
Windows Server 2008的文件系统首选NTFS,用户 必须对NTFS磁盘内的文件或者数据拥有适当权限 ,才能访问这些资源。
4
任务一、设置NTFS权限
【任务分析】
8
任务一、设置NTFS权限
图4-3 选择用户、计算机或组
图4-4 查找用户、计算机或组
9
任务一、设置NTFS权限
【操作步骤】
1.分配文件权限 (4)如图4-5所示,为完成设置后的对话框,jackie和
任务二、NTFS压缩与加密文件系统
图4-22 加密文件选项
图4-23 加密文件夹选项
30
任务三、管理与使用共享文件夹
【任务引入】
通过共享文件夹可以将文件共享给网络上的其他用户 ,无论文件夹位于NTFS、FAT或FAT32磁盘内,都 可以被设置为共享文件夹,然后通过共享权限来设 置用户的访问权限。
31
任务三、管理与使用共享文件夹
【任务分析】
新建和管理共享文件夹需要权限,隶属于Administra tors组的用户具有将文件夹设置为共享文件夹的权 限。
32
任务三、管理与使用共享文件夹
【操作步骤】
(1)新建共享文件夹 打开计算机,本例选取自建文件夹C:\case,选择要创建
的文件夹右击,选择“共享”→“特定用户”,输入需 要共享的用户或组名,单击“添加”,然后选取合适的 权限,单击“共享”,完成后的对话框如图4-24所示 。 (2)停止共享与更改权限 要停止文件共享,可以通过如图4-25所示,右击共享文件 夹,选择“共享”,在如图4-26的对话框中选择“停 止共享”。
本项目将介绍通过文件系统管理和NTFS磁盘管理,来 实现对计算机中文件的管理和数据共享。
3
任务一、设置NTFS权限
【任务引入】
Windows Server 2008的文件系统首选NTFS,用户 必须对NTFS磁盘内的文件或者数据拥有适当权限 ,才能访问这些资源。
4
任务一、设置NTFS权限
【任务分析】
8
任务一、设置NTFS权限
图4-3 选择用户、计算机或组
图4-4 查找用户、计算机或组
9
任务一、设置NTFS权限
【操作步骤】
1.分配文件权限 (4)如图4-5所示,为完成设置后的对话框,jackie和
Windows Server 2008系统管理ch14-Windows Server 2008安全防护简明教程PPT课件
•
•
防火墙配置——出站规 则
出站规则明确允许或者明确拒绝来自 与规则条件匹配的计算机的通信。例如, 可以将规则配置为明确阻止出站通信通过 防火墙到达某一台计算机,但允许同样的 通信到达其他计算机。默认情况下允许出 站通信,因此必须创建出站规则来阻止通 信。
防火墙配置——入站规 则
入站规则明确允许或者明确阻止与规 则条件匹配的通信。例如,可以将规则配 置为明确允许受IPSec保护的远程桌面通信 通过防火墙,但阻止不受IPSec保护的远程 桌面通信。默认情况下将阻止入站通信, 若要允许通信,必须先创建相应的入站规 则。在没有适用的入站规则的情况下,也 可以对具有高级安全性的Windows防火墙 所执行的操作进行配置。
防火墙配置——规则的 状态设置
管理员可以通过两种方式启用或禁用 防火墙规则:windows防火墙控制台和 netsh命令。在高级安全windows防火墙控 制台中,首先选择“入站规则”或“出站 规则”,然后右击相应规则,从弹出的快 捷菜单中选择“禁用规则”或者“启用规 则”选项,即可更改其运行状态。
漏洞类型
• 0day漏洞:危害最大,只有少数人掌握 • 1day漏洞:危害很大,但是可利用时间 比较短 • 陈旧漏洞:只要管理员及时升级系统即 可避免出现问题
修补漏洞——手动升级
管理员可以直接访问微软公司的update 网站,通过页面上提供的检查程序检查系 统是否需要安装升级程序,管理员还可以 有选择地安装升级程序。这种方法适用于 随时查找新的更新。
防火墙配置——配置对 象
在高级防火墙中,各种规则都是针对 一定的对象而设置的,可以使设置的对象 包括网络端口,网络协议和可以访问网络 的应用程序。因此在高级防火墙中,管理 员可以从各种角度来实现安全配置。
windows-server-2008-系统管理与网络管理-01章-课件(ppt文档)
图1.14 选择经典「开始」菜单
图1.15 设置高级「开始」菜单选项
任务2 Windows Server 2008的工作环境配置
任务实施
3.更改计算机名 更改计算机名称,具体步骤如下。 以本地管理员身份登录到计算机上,依次单击“开始→设置→控制面板→系 统”,打开“系统属性”对话框,如图1.16所示,显示计算机系统版本及基 本硬件信息。选择“计算机名”选项卡,如图1.17所示。单击“更改”按钮 ,出现“计算机名称更改”对话框,可以根据需要,输入新的计算机名以及 加入新的域。
项目1 Windows Server 2003的安装
实训准备
(1)网络环境:已建好100Mbit/s的以太网,包含交换机、 超五类(或五类)UTP直通线若干、3台以上数量的计算机( 数量可以根据学生人数安排)。 (2)计算机配置:CPU为Intel Pentium4以上,内存不小于 1GB,硬盘剩余空间不小于20GB。 (3)软件:Windows Server 2003安装光盘或ISO镜像文 件、VMware Workstation 10.0虚拟机软件。
(2)熟悉Windows Server 2003安装的条件及注意 事项。
(3)掌握Windows Server 2003的安装过程以及系 统的启动和登录。
(4)掌握Windows Server 2003的基本工作环境配 置方法。
项目1 Windows Server 2003的安装
项目任务
任务1 Windows Server 2003的安装 任务2 Windows Server 2003的工作环境配置
任务实施
2.设置经典菜单
依次单击“开始→设置→控制面板→任务栏和「开始」菜单”,打开“任务 栏和「开始」菜单属性”对话框,选择“「开始」菜单”选项卡,再选择“ 经典「开始」菜单”,如图1.14所示。 单击“自定义”按钮,出现“自定义经典「开始」菜单”对话框,在“高级 「开始」菜单选项”列表框中选择“扩展控制面板”和“显示管理工具”, 如图1.15所示。
Windows安全高级应用-PPT08-V1.0
StarWind的IP地址和端口 号 确认三个设备的状态都为已连接 StarWind上创建的三个镜像设备
17/31
创建一个群集
输入服务器名称,单击“浏览”按钮
此IP地址为群集IP地址 和内部办公网络在一个网段 查看详细的测试报告
18/31
设置网卡在群集中的作用
19/31
由于MSDTC服务不需要存储很多数 据磁,盘此配处置的时IP可地以址选为择内一网个IP相地对址较小的
172.168.10.10 192.168.10.11 10.10.10.2
172.168.10.11 192.168.10.12 10.10.10.3
172.168.10.12
用途 DNS服务器和域控制器
iSCSI连接 网络通信 心跳线
iSCSI连接 网络通信 心跳线
iSCSI连接
VM网卡模式 Host-only
共享总线或 iSCSI连接
节点1
存储设备 心跳线
共享总线或 iSCSI连接
节点2
用户
6/31
7/31
8/31
不管哪种仲裁模式,都要求节点能访问公用数据
9/31
服务种类 最多节点数 存储设备
Windows Server 2008
故障转移群集 SQL Server、Exchange、文件和打印服务 8(X64平台支持16) 需要
172.168.10.10 DNS、活动目录
iSCSI连接
节点1
SQL服务器1 IP地址:192.168.10.11 StarWind地址:172.168.10.11 心跳线:10.0.0.2
存储设备
划分三个磁盘空间 iSCSI连接
心跳线
节点2
17/31
创建一个群集
输入服务器名称,单击“浏览”按钮
此IP地址为群集IP地址 和内部办公网络在一个网段 查看详细的测试报告
18/31
设置网卡在群集中的作用
19/31
由于MSDTC服务不需要存储很多数 据磁,盘此配处置的时IP可地以址选为择内一网个IP相地对址较小的
172.168.10.10 192.168.10.11 10.10.10.2
172.168.10.11 192.168.10.12 10.10.10.3
172.168.10.12
用途 DNS服务器和域控制器
iSCSI连接 网络通信 心跳线
iSCSI连接 网络通信 心跳线
iSCSI连接
VM网卡模式 Host-only
共享总线或 iSCSI连接
节点1
存储设备 心跳线
共享总线或 iSCSI连接
节点2
用户
6/31
7/31
8/31
不管哪种仲裁模式,都要求节点能访问公用数据
9/31
服务种类 最多节点数 存储设备
Windows Server 2008
故障转移群集 SQL Server、Exchange、文件和打印服务 8(X64平台支持16) 需要
172.168.10.10 DNS、活动目录
iSCSI连接
节点1
SQL服务器1 IP地址:192.168.10.11 StarWind地址:172.168.10.11 心跳线:10.0.0.2
存储设备
划分三个磁盘空间 iSCSI连接
心跳线
节点2
项目3windowsserver2008基本管理.ppt
访问,如网络各项文件、目录和打印队列等;(2)筛选组策略;(3) 创建电子邮件分配列表等。
计算机网络与配置项目化教程
项目实施
三、用户组的分类
(1)按作用域分组的用户组 按作用域对用户组进行分类,分别为本地组账户和域中创建组账户。
创建在本地的组账户:可以在Windows Server 2008/2003/2000/NT独立 服务器或成员服务器、Windows XP、Windows NT Workstation等非域控制 器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据 库(SAM)内。本地组只能在本地机使用,它有两种类型:用户创建的组 和系统内置的组(后面将详细介绍Windows Server 2008的内置组)。
也可以启动“本地用户和组”的管理界面。
计算机网络与配置项目化教程
项目实施
四、创建和管理本地用户
(2)创建本地用户 (3)查看与设置本地用户属性
新建用户账户后,管理员要对账户做进一步的设置,通过设置账户属性来完 成的。本地用户“属性”包括常规、隶属于、配置文件、环境、会话、远程控 制、终端服务配置文件与接入等9项。 (4)删除账户
计算机网络与配置项目化教程
项目实施
八、本地安全策略(续)
在创建用户帐户的过程中,我们使用了本地安全策略,配置了帐户密码的复 杂度。本地安全策略是windows server 2008中的系统安全管理工具。
2、本地安全策略的组成 本地安全策略由以下项目组成:帐户策略、本地策略、高级安全WINDOWS防 火墙、公钥策略、应用程序控制策略等。每一策略中又包含许多子项目。
创建在域的组账户:该账户创建在Windows Server 2008的域控制器上, 组账户的信息被存储在Active Directory数据库中,这些组能够被使用在 整个域中的计算机上。 计算机网络与配置项目化教程
计算机网络与配置项目化教程
项目实施
三、用户组的分类
(1)按作用域分组的用户组 按作用域对用户组进行分类,分别为本地组账户和域中创建组账户。
创建在本地的组账户:可以在Windows Server 2008/2003/2000/NT独立 服务器或成员服务器、Windows XP、Windows NT Workstation等非域控制 器的计算机上创建本地组。这些组账户的信息被存储在本地安全账户数据 库(SAM)内。本地组只能在本地机使用,它有两种类型:用户创建的组 和系统内置的组(后面将详细介绍Windows Server 2008的内置组)。
也可以启动“本地用户和组”的管理界面。
计算机网络与配置项目化教程
项目实施
四、创建和管理本地用户
(2)创建本地用户 (3)查看与设置本地用户属性
新建用户账户后,管理员要对账户做进一步的设置,通过设置账户属性来完 成的。本地用户“属性”包括常规、隶属于、配置文件、环境、会话、远程控 制、终端服务配置文件与接入等9项。 (4)删除账户
计算机网络与配置项目化教程
项目实施
八、本地安全策略(续)
在创建用户帐户的过程中,我们使用了本地安全策略,配置了帐户密码的复 杂度。本地安全策略是windows server 2008中的系统安全管理工具。
2、本地安全策略的组成 本地安全策略由以下项目组成:帐户策略、本地策略、高级安全WINDOWS防 火墙、公钥策略、应用程序控制策略等。每一策略中又包含许多子项目。
创建在域的组账户:该账户创建在Windows Server 2008的域控制器上, 组账户的信息被存储在Active Directory数据库中,这些组能够被使用在 整个域中的计算机上。 计算机网络与配置项目化教程
《Windows-Server-2008》课件——磁盘管理
21/Slide numbers
本章总结(cont.)
➢ 基本磁盘可以转换成动态磁盘,并且保持数 据无损。只有将所有卷删除后,才能将动态 磁盘转换为基本磁盘。
➢ 动态磁盘可以建立简单卷、跨区卷、带区卷、 镜像卷和RAID5卷。
➢ 镜像卷和RAID5卷是容错卷,并且需要多块 硬盘实现。
➢ 简单卷可以转换成跨区卷或者镜像卷。
8/Slide numbers
动态磁盘的优势
➢ 兼容性W-2008/W-2008r2 /Windows XP ➢ 以卷为单位,无多少限制 ➢ 卷可以扩展和转换 ➢ 支持容错 ➢ 可以随时调整空间大小,而且不一定是连续的
9/Slide numbers
动态磁盘的获得
➢ 可在不影响数据存储的情况下将基本磁盘转 换为动态磁盘
➢ 分区被转换为简单卷 ➢ 动态磁盘可被转换为基本磁盘
➢ 磁盘配置和数据将丢失 ➢ 转换前应备份数据
10/Slide numbers
➢ 简单卷 ➢ 跨区卷 ➢ 镜像卷 ➢ 带区卷 ➢ RAID-5卷
11/Slide numbers
动态磁盘的分类
创建简单卷 ➢ 单个磁盘上的空间 ➢ 只能在动态磁盘上创建 ➢ 可使用 NTFS, FAT, 或 FAT32 文件系统 ➢ 可以被扩展、镜像 (NTFS文件系统)
可以远程管理计算机的磁盘。
23/Slide numbers
实验目标
➢ 能在基本磁盘上建立主分区、扩展分区和逻 辑分区
➢ 能够将基本磁盘升级为动态磁盘 ➢ 在动态磁盘上建立各种动态卷 ➢ 扩展简单卷和跨区卷 ➢ 能够连接到远程计算机上并进行远程管理
24/Slide numbers
目标图示
➢ 两台或三台计算机为一组 ➢ 大部分操作在本地计算机完成 ➢ 远程磁盘管理需要多台计算机合作完成 ➢ 磁盘操作需要 Backup Operators 组或 Administrators
本章总结(cont.)
➢ 基本磁盘可以转换成动态磁盘,并且保持数 据无损。只有将所有卷删除后,才能将动态 磁盘转换为基本磁盘。
➢ 动态磁盘可以建立简单卷、跨区卷、带区卷、 镜像卷和RAID5卷。
➢ 镜像卷和RAID5卷是容错卷,并且需要多块 硬盘实现。
➢ 简单卷可以转换成跨区卷或者镜像卷。
8/Slide numbers
动态磁盘的优势
➢ 兼容性W-2008/W-2008r2 /Windows XP ➢ 以卷为单位,无多少限制 ➢ 卷可以扩展和转换 ➢ 支持容错 ➢ 可以随时调整空间大小,而且不一定是连续的
9/Slide numbers
动态磁盘的获得
➢ 可在不影响数据存储的情况下将基本磁盘转 换为动态磁盘
➢ 分区被转换为简单卷 ➢ 动态磁盘可被转换为基本磁盘
➢ 磁盘配置和数据将丢失 ➢ 转换前应备份数据
10/Slide numbers
➢ 简单卷 ➢ 跨区卷 ➢ 镜像卷 ➢ 带区卷 ➢ RAID-5卷
11/Slide numbers
动态磁盘的分类
创建简单卷 ➢ 单个磁盘上的空间 ➢ 只能在动态磁盘上创建 ➢ 可使用 NTFS, FAT, 或 FAT32 文件系统 ➢ 可以被扩展、镜像 (NTFS文件系统)
可以远程管理计算机的磁盘。
23/Slide numbers
实验目标
➢ 能在基本磁盘上建立主分区、扩展分区和逻 辑分区
➢ 能够将基本磁盘升级为动态磁盘 ➢ 在动态磁盘上建立各种动态卷 ➢ 扩展简单卷和跨区卷 ➢ 能够连接到远程计算机上并进行远程管理
24/Slide numbers
目标图示
➢ 两台或三台计算机为一组 ➢ 大部分操作在本地计算机完成 ➢ 远程磁盘管理需要多台计算机合作完成 ➢ 磁盘操作需要 Backup Operators 组或 Administrators
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域控制器 Windows 2008网络策略服务器 DHCP服务器 DNS服务器 Windows Vista客户机
案例3:通过NAP加强企业网安全
实验准备:
使用三台计算机完成本实验: 计算机DC01,IP地址为192.168.100.1,充当
域控制器和DNS服务器 计算机NPS01,IP地址为192.168.100.2,充当
本章结构
Windows 2008 安全管理实战
2008安全设置 数据加密和数据保护
部署NAP服务 PKI高级应用 配置RODC
NAP简介 部署NAP服务
RODC简介 配置RODC
Windows 2008安全设置
Windows 2008安全配置向导
为了简化安全配置过程,Windows 2008提供 了安全配置向导
在域控制器中安装“Active Directory证书服务” 以UserB登录域控制器,建立一个空文件夹,
在文件夹中建立一个教文员演本示文操作件过。程 将建立的文件 夹及文件加密
案例4:设置加密恢复代理
申请证书:
以财务主管的帐户UserA登录域 建立MMC管理控制台,添加“证书”工具,申
案例2:保证文件服务器数据安全
BENET公司的网络中有一台文件服务器, 该服务器的E:\Data文件夹中保存了大量机 密文档,为了防止这些文件外泄,公司要 求禁止无关人员取读、复制和修改这些文 件
案例2:保证文件服务器数据安全
加密E:\Data文件夹,使用不同用户访问该 文件夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
案例3:通过NAP加强企业网安全
BENET公司的网络是一个Windows域,域 名为。域中所有客户机通过一台 DHCP服务器动态获得IP地址。为了加强安 全性,管理员希望只有启用了Windows防 火墙的计算机能访问网络,否则不能访问
案例3:通过NAP加强企业网安全
环境要求:
在Client01计算机中关闭防火墙,再次检查网 络配置(子网掩码为255.255.255.255,说明网 络不正常)
案例3:通过NAP加强企业网安全
学员练习:
实验环境准备 配置活动目录域 安装网络策略服务器 配置网络策略服务器 安装和配置DHCP服务器 配置组40分策钟略内完成 测试实验效果
BENET3.0第一学期课程
第六章 Windows 2008安全管理实战
内容回顾
如何监视Web服务器性能? 如何优化Web服务器性能? 如何加强Web服务器安全性? 如何实现站点到站点VPN?
技能展示
掌握安全策略的配置 掌握加密和数据保护的应用 掌握部署NAP服务 掌握PKI高级应用 掌握RODC的配置
案例3:通过NAP加强企业网安 全
安装和配置DHCP服务器:
在NPS01计算机安装和配置DHCP服务器
教员演示操作过程
案例3:通过NAP加强企业网安 全
配置组策略:
通过AD组策略配置Client01客户机
教员演示操作过程
案例3:通过NAP加强企业网安 全
测试实验效果:
在Client01计算机中启用防火墙,该计算机能 够从DHCP服务器获得IP地址
PKI高级应用
加密恢复代理简介
使用EFS加密文件后,默认情况下,只有加密 者本人能打开加密文件
通过设置加密恢复代理,可以让指定用户打开 别人加密的文件
案例4:设置加密恢复代理
为了保证公司财务数据的保密性,BENET 公司财务部要求每个员工对自己所涉及的 数据加密
为了防止员工离职后加密数据无法打开, 公司希望财务部主管可以打开别人加密的 文件
案例1:加强Windows 2008系统安全性
BENET公司有一台计算机中保存了许多重 要文件。管理员发现经常有人试图访问这 些文件。为了保证该计算机的安全,管理 员打算对这台计算机进行安全设置
案例1:加强Windows 2008系统安全性
运行“scபைடு நூலகம்”命令,启动安全配置向导 新建安全策略,进行安全配置
案例4:设置加密恢复代理
准备实验环境:
建立Windows域,域名为。在活动 目录中建立财务部组织单位,名称为 Finance_OU。在OU中分别为财部主管、财务 部员工B、财务部员工C建立帐户UserA、 UserB、UserC。并将这三个账户加入Domain Admins组
教员演示操作过程
案例2:保证文件服务器数据安全
学员练习:
加密E:\Data文件夹,使用不同用户访问该文件 夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
10分钟内完成
部署NAP服务
NAP服务简介
为了保证企业网安全,企业通常要在局域网中 推行一定的安全策略,这可以通过NAP技术实 现
NAP不是防范网络攻击的技术,而是用于维护 计算机健康,在网络中推行安全策略的一种手 段
请证书
教员演示操作过程
案例4:设置加密恢复代理 导出刚刚申请的证书:
教员演示操作过程
案例4:设置加密恢复代理 在域控制器上设置组策略:
为计算机Client01配置静态IP,加入 域
教员演示操作过程
案例3:通过NAP加强企业网安 全
安装网络策略服务器:
在NPS01计算机上安装网络策略服务器
教员演示操作过程
案例3:通过NAP加强企业网安 全
配置网络策略服务器:
在NPS01计算机上配置网络策略服务器
教员演示操作过程
DHCP服务器和NPS服务器 计算机Client01,充当客户机,自动获得IP地址
案例3:通过NAP加强企业网安全
配置活动目录域:
在计算机DC01中安装活动目录域服务和DNS 服务,并将该计算机配置为域控制器,域名为
将计算机NPS01加入域,成为成员 服务器
教员演示操作过程
案例1:加强Windows 2008安全性
学员练习:
运行“scw”命令,启动安全配置向导 新建安全策略,进行安全配置
10分钟内完成
数据加密和数据保护
EFS简介
EFS全称为加密文件系统,可以为系统中的文 件提供加密保护
EFS的加密过程是完全透明的,加密后不会影 响用户访问文件
案例3:通过NAP加强企业网安全
实验准备:
使用三台计算机完成本实验: 计算机DC01,IP地址为192.168.100.1,充当
域控制器和DNS服务器 计算机NPS01,IP地址为192.168.100.2,充当
本章结构
Windows 2008 安全管理实战
2008安全设置 数据加密和数据保护
部署NAP服务 PKI高级应用 配置RODC
NAP简介 部署NAP服务
RODC简介 配置RODC
Windows 2008安全设置
Windows 2008安全配置向导
为了简化安全配置过程,Windows 2008提供 了安全配置向导
在域控制器中安装“Active Directory证书服务” 以UserB登录域控制器,建立一个空文件夹,
在文件夹中建立一个教文员演本示文操作件过。程 将建立的文件 夹及文件加密
案例4:设置加密恢复代理
申请证书:
以财务主管的帐户UserA登录域 建立MMC管理控制台,添加“证书”工具,申
案例2:保证文件服务器数据安全
BENET公司的网络中有一台文件服务器, 该服务器的E:\Data文件夹中保存了大量机 密文档,为了防止这些文件外泄,公司要 求禁止无关人员取读、复制和修改这些文 件
案例2:保证文件服务器数据安全
加密E:\Data文件夹,使用不同用户访问该 文件夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
案例3:通过NAP加强企业网安全
BENET公司的网络是一个Windows域,域 名为。域中所有客户机通过一台 DHCP服务器动态获得IP地址。为了加强安 全性,管理员希望只有启用了Windows防 火墙的计算机能访问网络,否则不能访问
案例3:通过NAP加强企业网安全
环境要求:
在Client01计算机中关闭防火墙,再次检查网 络配置(子网掩码为255.255.255.255,说明网 络不正常)
案例3:通过NAP加强企业网安全
学员练习:
实验环境准备 配置活动目录域 安装网络策略服务器 配置网络策略服务器 安装和配置DHCP服务器 配置组40分策钟略内完成 测试实验效果
BENET3.0第一学期课程
第六章 Windows 2008安全管理实战
内容回顾
如何监视Web服务器性能? 如何优化Web服务器性能? 如何加强Web服务器安全性? 如何实现站点到站点VPN?
技能展示
掌握安全策略的配置 掌握加密和数据保护的应用 掌握部署NAP服务 掌握PKI高级应用 掌握RODC的配置
案例3:通过NAP加强企业网安 全
安装和配置DHCP服务器:
在NPS01计算机安装和配置DHCP服务器
教员演示操作过程
案例3:通过NAP加强企业网安 全
配置组策略:
通过AD组策略配置Client01客户机
教员演示操作过程
案例3:通过NAP加强企业网安 全
测试实验效果:
在Client01计算机中启用防火墙,该计算机能 够从DHCP服务器获得IP地址
PKI高级应用
加密恢复代理简介
使用EFS加密文件后,默认情况下,只有加密 者本人能打开加密文件
通过设置加密恢复代理,可以让指定用户打开 别人加密的文件
案例4:设置加密恢复代理
为了保证公司财务数据的保密性,BENET 公司财务部要求每个员工对自己所涉及的 数据加密
为了防止员工离职后加密数据无法打开, 公司希望财务部主管可以打开别人加密的 文件
案例1:加强Windows 2008系统安全性
BENET公司有一台计算机中保存了许多重 要文件。管理员发现经常有人试图访问这 些文件。为了保证该计算机的安全,管理 员打算对这台计算机进行安全设置
案例1:加强Windows 2008系统安全性
运行“scபைடு நூலகம்”命令,启动安全配置向导 新建安全策略,进行安全配置
案例4:设置加密恢复代理
准备实验环境:
建立Windows域,域名为。在活动 目录中建立财务部组织单位,名称为 Finance_OU。在OU中分别为财部主管、财务 部员工B、财务部员工C建立帐户UserA、 UserB、UserC。并将这三个账户加入Domain Admins组
教员演示操作过程
案例2:保证文件服务器数据安全
学员练习:
加密E:\Data文件夹,使用不同用户访问该文件 夹
备份密钥(导出密钥) 恢复密钥(导入密钥)
10分钟内完成
部署NAP服务
NAP服务简介
为了保证企业网安全,企业通常要在局域网中 推行一定的安全策略,这可以通过NAP技术实 现
NAP不是防范网络攻击的技术,而是用于维护 计算机健康,在网络中推行安全策略的一种手 段
请证书
教员演示操作过程
案例4:设置加密恢复代理 导出刚刚申请的证书:
教员演示操作过程
案例4:设置加密恢复代理 在域控制器上设置组策略:
为计算机Client01配置静态IP,加入 域
教员演示操作过程
案例3:通过NAP加强企业网安 全
安装网络策略服务器:
在NPS01计算机上安装网络策略服务器
教员演示操作过程
案例3:通过NAP加强企业网安 全
配置网络策略服务器:
在NPS01计算机上配置网络策略服务器
教员演示操作过程
DHCP服务器和NPS服务器 计算机Client01,充当客户机,自动获得IP地址
案例3:通过NAP加强企业网安全
配置活动目录域:
在计算机DC01中安装活动目录域服务和DNS 服务,并将该计算机配置为域控制器,域名为
将计算机NPS01加入域,成为成员 服务器
教员演示操作过程
案例1:加强Windows 2008安全性
学员练习:
运行“scw”命令,启动安全配置向导 新建安全策略,进行安全配置
10分钟内完成
数据加密和数据保护
EFS简介
EFS全称为加密文件系统,可以为系统中的文 件提供加密保护
EFS的加密过程是完全透明的,加密后不会影 响用户访问文件