实验9 Windows Server2016安全配置与恢复在线视频

9.6 实验9 Windows Server2016安全配置与恢复

Windows Server 2016是微软的一个服务器操作系统，尽管其安全性能比其他系统的安全性能高许多，但为了增强系统的安全，必须要进行安全配置，并在系统遭到破坏时能恢复原有系统和数据。

9.6.1 实验目的

（1）熟悉Windows Sever 2016操作系统的安全配置过程及方法；

（2）掌握Windows Sever 2016操作系统的恢复要点及方法。

9.6.2 实验要求

1．实验设备

本实验以Windows Sever 2016操作系统作为实验对象，所以，需要一台主机并且安装有Windows Sever 2016操作系统。Microsoft在其网站上公布使用Windows Server 2016的设备需求，基本配置如表9-1所示。

2．注意事项

1）预习准备。由于本实验内容是对Windows Sever 2016操作系统进行安全配置，需要提前熟悉Windows Sever 2016操作系统的相关操作。

2）注重内容的理解。随着操作系统的不断翻新，本实验是以Windows Sever 2016操作系统为实验对象，对于其它操作系统基本都有类似的安全配置，但为配置方法或安全强度会有区别，所以需要理解其原理，作到安全配置及系统恢复“心中有数”。

3）实验学时。本实验大约需要2个学时（90-120分钟）完成。

9.6.3 实验内容及步骤

1.本地用户管理和组

操作步骤：新建账户“secretary”和用户组“日常工作”，“日常工作”组具有“Network Configuration Operators”的权限，并 secretary添加到“日常工作”组中。

1）新建账户：“开始”→“管理工具”→“计算机管理”，弹出窗口，展开“本地用户和组”，右键单击“用户”，新建“secretary”账户。

2）管理账户：右键单击账户，可以设置密码、删除账号或重命名；右键单击账户，选择“属性”，在“隶属于”选项卡中将secretary账户添加到Backup Operations组和Net Configuration Operators组中，即为secretary账户授予Backup Operations组和Net Configuration Operators组的权限。

3）新建本地组：右键单击“组”，窗口，填写组名和描述信息，并选择“添加”，将secretary添加到日常工作组中，这样，日常工作组也具有Backup Operations组和Net Configuration Operators组的权限。

2．本地安全策略

操作步骤：在本地安全策略中分别设置密码策略、账户锁定策略、审核登录时间策略和审核对象访问策略。

1）密码策略设置：“开始”→“管理工具”→“本地安全策略”→“账户策略”→“密码策略”，启动密码复杂性策略；设置“密码长度最小值”为“8”个字符；密码最长使用期限为“30”天。

2）账户锁定策略设置：“开始”→“管理工具”→“本地安全策略”→“账户策略”→“账户锁定策略”，设置账户锁定时间为“5”分钟；账户锁定阈值为“3”次。

3）账户锁定策略设置：“开始”→“管理工具”→“本地安全策略”→“本地策略”→“审核策略”，审核登录策略设置为“失败”；审核对象策略设置为“失败”。

3．NTFS权限

操作步骤：首先要取消“通知”文件夹的父项继承的权限，之后分配Administrators组（经理）完全控制的权限、日常工作组（秘书）除了删除权限以外各权限和Users组（其他人员）只读权限。

1）取消文件夹的父项继承的权限：右键单击“通知”文件夹，选择“属性”命令→ “安全”标签→“高级”→“更改权限”，打开高级安全设置窗口，添加日常工作组和Users组到列表中，分别选择两组，取消“包括可从该对象的父项继承的权限”选项。删除继承权后，任何用户对该文件夹都无访问权限，只有该对象的所有者可分配权限。

2）经理权限：右键单击“通知”文件夹，选择“属性”命令→ “安全”标签→“高级”→“更改权限”→“高级”→“添加”，添加经理的Administrator账户，点击“确定”后打开“通知的权限项目”窗口，选择“允许”→“完全控制”。

3）秘书权限：在“通知的高级安全设置”窗口中继续添加日常工作组，点击“确定”后打开“通知的权限项目”窗口，选择“允许”→“创建文件/写入数据”。

4）其他用户权限：在“通知的高级安全设置”窗口中继续添加Users组，点击“确定”后打开“通知的权限项目”窗口，选择“允许”→“列出文件夹/读取数据”。

4．数据备份和还原

操作步骤：首先要在系统中安装Backup功能组件，所有员工的工作日志是按照每天一个文件夹存放，这样可以每周五对该周日志进行一次性备份。

5. 组策略应用

操作步骤：前提是多用户应用域统一管理，首先要建立一个组策略对象，名为“共享资源”，之后链接组策略对象。

     （注：详见视频及指定教材“同步实验”）