《毕业设计(论文)-利用活动目录实现企业网的安全管理.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)-利用活动目录实现企业网的安全管理.doc(33页珍藏版)》请在三一文库上搜索。
1、利用活动目录实现企业网的安全管理毕业设计说明书课题名称:利用活动目录实现企业网的安全管理专 业 系:信息系网络专业 班级名称:网络071 学生姓名: 指导老师: 完成日期:2009年12月毕 业 设 计 任 务 书指导老师: 一、毕业设计课题名称利用活动目录实现企业网的安全管理二、毕业设计任务1、目的与性质毕业设计的主要目的是培养学生综合运用所学的知识与技能分析与解决问题的能力,并巩固和扩大学生的课堂知识。毕业设计要求学生学会查阅、使用各种专业资料、网上资源,并以严肃认真、深入研究的工作作风完成设计任务,促使学生向综合应用型人才转变。随着信息社会的网络化,网络应用领域不断扩大,提供的服务不断增
2、多,网络安全涉及的领域和技术也越来越复杂。强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。要求学生学会网络操作系统的配置与使用,掌握运用活动目录对企业网的安全进行分析与设计,并实施行之有效的安全管理。2、硬件环境:硬件环境:企、事业单位,机关、学校等单位具备使用中的计算机网络系统LAN(一般要求在LAN上设计、测试和运行)、VLAN、VPN运行环境:Window XP,Window 2K3或以上版本3、软件环境操作系统:Windows Server 2003、Linux
3、网络协议:TCP/IP网络安全相关软、硬件:杀毒软件、防火墙、入侵检测系统等4、设计内容:根据网络安全的不同层次要求,依照模块化的思想,分析企、事业单位,机关、学校等现存信息系统所存在的安全隐患,并提出相应的解决方案。通过运用活动目录使用以下方法增强企业网的安全性: 改进了密码的安全性和管理 通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。 保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作进行访问,例如软件安装或注册项编辑。 加速电子商务的部署 通过提供对安全的Internet标准协议和身份验证机制的内建支持,如Kerberos, 公开密钥基础
4、设施(PKI)和安全套接字协议层(SSL)之上的轻便目录访问协议(LDAP)。 紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。5、毕业设计的主要任务:1 网络安全的现状及其应用情况分析2 安全方案目标 3 安全需求4 风险分析 5 基于AD的企业网安全应用方案的设计5.1活动目录逻辑结构的设计5.1.1域结构的设计5.1.2 OU结构的设计5.1.3域控制器的规划5.1.4服务器、客户机的规划5.2活动目录物理结构的设计5.2.1站点结构的设计5.2.2全局编目服务器(GC)的设计5.2.3活动目录数据库复制的规划5.3安全规划5.3.1服务器的安全5.3.2客户机
5、和用户帐号的安全5.3.3网络的安全5.4活动目录的扩展问题5.5 安全技术的研究发展趋势 三、毕业设计要求完成所有的安全内容的分析与应用,并在指定服务器上现场演示。编写毕业设计说明书(毕业论文)。参加毕业答辩四、毕业设计过程及进度计划毕业设计课题的制定6月1日6月 5 日布置任务书6月8日7月 4 日熟悉课题 7月5日8月 31日网络安全服务器的安装与调试9月1日9月 20日网络安全解决方案9月21日10月5日网络安全解决方案的应用 10月6日 10月20日运行调试 10月21日11月5日编写毕业设计说明书 11月6日12月10日论文答辩 (时间统一安排)五、毕业设计论文格式要求毕业设计说明
6、书的写作要求毕业设计说明书是对设计进行解释与说明的书面材料,并主要由指导教师及有关专家、技术人员阅读,应规范、简洁,述说流畅清楚,论据充分。应在讲述原理后,以原理指导方案,详述方案具体的技术实现方法,对实现过程所遇问题与解决办法应进行解释,对设计过程须引用的资料(资源)应作说明,对方案的最终实现效果进行评估。设计书的页数应在40页左右(A4纸,标四号字),打印装订成册。结构毕业设计说明书应由以下几部分组成:绪论:由三个内容组成:课题名称;设计目的及意义;设计项目技术发展简介;设计的基本原理及各总模型介绍。目录:毕业设计说明书各部分内容。设计介绍:本方案的数据库结构、数据库表的关联关系、功能模块
7、、程序流程图等。正文:毕业设计说明书的核心部分,占据主要篇幅。结束语:对设计中所做的工作进行评价,可对设计的不足或问题作出讨论,或对未来技术及改进发表展望。附录及参考文献:将篇幅较大的表格、附图等材料附于设计说明书末。列出使用的主要参考书及网上资源的网址。六、毕业设计答辩程序及准备要求1、答辩程序(1)介绍毕业设计情况及本人主要完成的设计内容,时间为5分钟;(2)答辩老师提出2-3个问题,由答辩人回答,回答问题时间为10分钟。2、准备要求(1)答辩时必须提供光盘、毕业设计论文或报告;(2)准备好个人讲述提纲,制作PPT。七、毕业设计评分标准序号考核内容考核比例1明确毕业设计课题要求,正确进行功
8、能模块的划分5%2两次分析报告10%3毕业设计期间组织纪律性强,无迟到、早退、缺课现象5%4小组协作精神强,所有的小组成员在规定时间内完成要求的任务。5%5认真书写毕业设计论文,设计方案合理50%6回答问题正确25%合计100%八、其他1、参考资料http:/ 联系电话:13907338990 QQ:5688609目 录前言1第一章 中小型企业网络现状11.1 中小型企业网络现状11.2 中小型企业网络安全解决方案1第二章 活动目录的概述12.1 活动目录的概念12.2 活动目录的特点12.3 活动目录的作用12.4 活动目录的安装1第三章 基于AD企业网安全物理结构的设计13.1 站点结构
9、的设计13.2 全局编目服务器(GC)的设计13.3 活动目录数据库复制的规划1第四章 基于AD企业网安全逻辑结构的设计14.1 域结构的设计14.2 OU结构的设计14.3 域控制器的规划24.4 客户机的规划2第五章 安全规划15.1服务器的安全15.1.1 配置文件服务器15.1.2 配置打印服务器25.1.3 配置代理服务器25.2 客户机和用户帐号的安全25.3 设置漫游配置文件45.4 限制用户使用非法软件55.5 应用组策略部署防火墙软件65.6 委派控制用户管理任务75.7 通过kerberos和IPSec实现企业环境保护8第六章 测试1第七章 结束语1参考文献1前言在信息化飞
10、速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。对于中小企业用户的局域网来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少。本文通过介
11、绍活动目录管理方案解决中小型企业网络的安全问题,在活动目录中利用域来实现企业的集中管理以及通过活动目录的一些安全策略来管理企业的人员,服务器,客户端,如:软件限制策略,强密码策略,组策略等,来保障和解决中小型企业的网络安全问题。关键字:中小型企业、活动目录、管理第一章 中小型企业网络现状1.1 中小型企业网络现状根据有关统计资料,我国中小企业约有1100万家,中小企业占到了企业总数的99以上。由于中小企业业务流程大多处于混乱状态,要依靠先进的信息系统在市场竞争中降低运营风险。可以说,信息化是中小企业迎接新经济的挑战,提高企业运作效率、降低经营管理成本、把握新的商业机会的必由之路。虽然一方面,网
12、络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性面对严峻的网络安全形势,信息安全防护越来越受到企业的重视,众多企业也在投入大量资金进行网络安全产品的采购和部署。目前,国内大中型企业由于信息化起步早、资金和技术力量充足、管理制度较为完善,因此信息安全体系成熟度也相对较高,但众多中小企业的信息安全状况却十分令人担忧。1.2 中小型企业网络安全解决方案目前市场上有很多厂商也提出了众多解决方案,这些方案以硬件防火墙为主体,集成了防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护
13、等领域,能够提供的安全保障较为全面。但从其应用范围来看,这些方案大多数面向的是银行、证券、电信、政府等行业用户和大型企业用户,相比较而言,针对中小企业的安全解决方案寥寥无几,内容也主要是防病毒软件和软件防火墙。大多品质过硬的专业级的硬件防火墙,由于价格高昂,在中小企业应用较少。而本文利用活动目录中的域实现企业的集中管理以及通过活动目录的一些安全策略来管理管理企业的人员,服务器,客户端,如:利用软件限制策略控制计算机上运行的程序保护计算机环境,利用组策略来实现不同用户的不同管理等技术来保障和解决中小型企业的网络安全问题。这种管理方式不仅方便安全而且资金消耗小,很适合在中小型企业当中运用。第二章
14、活动目录的概述2.1 活动目录的概念活动目录是一个分布式的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。ActiveDirectory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。2.2 活动目录的特点l 方便的组织资源:活动目录将目录组织成能够存储大量对象的容器, 因此活动目录能够随着组织机构的扩大而增长。 l 集中管理和分散管理相结合:利用活动目录工具能够对活动目录中所有的资源进行统一管理,还可以根据不同用户的需要进行分散管理。l 资源访问的分级管理:通过登录认证和对目录中对象的访问控制,安全性和活动目录紧密地集成在一起。2.3 活动目录
15、的作用l 信息的安全性大大增强 l 引入基于策略的管理,使系统的管理更加明朗l 具有很强的可扩展性和可伸缩性 2.4 活动目录的安装1.活动目录安装前的准备必须保证已经有一台机器安装了windows2000 Server 或者windows2003 Server,且至少有一个NTFS分区, 而且已经为TCP/IP 配置了DNS协议,并且DNS服务支持SRV记录和动态更新协议。其次是要规划好整个系统的域结构l 验证操作系统的版本信息:选择“开始”菜单或按 Ctrl+Alt+Del 组合键l 验证用户权限:要执行活动目录的安装必须对计算机具有管理权限, 一般来说都是由管理员组的用户账号来执行活动目
16、录的安装。按 ctrl+Alt+Del 组合键可以查看当前登录的用户身份。l 验证计算机的磁盘分区及剩余空间情况:在“计算机管理”控制台下单击“磁盘管理”l TCPIP 协议及 DNS 的配置:在“Internet 协议(TCPIP)属性”对话框中为计算机设置 IP 地址、子网掩码及DNS 服务器地址,如果该域的 DNS 服务器不是本机, 那么在此应该把 DNS 服务器的地址指向网络中维护该区域的 DNS 服务器。 如果网络中没有其他的 DNS 服务器,想让这台计算机既作为DC 又充当DNS 服务器,那么此处可以把DNS 指向自己或者什么都不做,活动目录安装向导会提示如何来做。2. 下面是一台
17、装有Windows Server 2003 的计算机上安装活动目录的过程:1) 在“运行”框中输入dcpromo2) 显示“域控制器类型”对话框,指定该服务器要担当的角色。选择“新域的域控制器”单选按钮。3) 显示“创建一个新域”对话框,选择要创建的域的类型,选择“在新林中的域”单选按钮。4) 打开“新的域名”对话框,在文本框中输入新建域的DNS全名。5) 显示“数据库和日志文件夹”对话框。在指定放置 Active Directory数据库和日志文件的位置, 可以通过单击“浏览”按钮来选择合适的位置(基于最佳性能和可恢复性的考虑,最好将活动目录的数据库和日志保存在不同的硬盘上)。6) 显示“目
18、录服务还原模式的管理密码”对话框,输入还原模式密码。(还原模式密码是在 Active Directory 出现故障进行恢复时需要验证的密码)7) 安装后 Active Directory需要重新启动计算机才能生效8) 要删除活动目录,在“运行”框中输入dcpromo,然后单击“确定”按钮,打开“Active Directory安装向导”对话框,并根据向导进行删除。第三章 基于AD企业网安全物理结构的设计3.1 站点结构的设计天一玩具股份有限公司全体员工人数是150人,因为整个公司的资源对象不多,所以采用单站点结构实现了整个公司的IT架构管理。在DC1上打开 “Active Directory
19、站点和服务”可以查看到tianyi的站点。如图3-1所示图 3-13.2 全局编目服务器(GC)的设计当下是单域环境,为了保证用户登录和查找活动目录的速度,除了域控制器作为缺省的GC使用外,额外域控制器DC2也要指定为GC。3.3 活动目录数据库复制的规划l 更改通知的方式:如果A1上创建了一个帐号test,则它会15秒后通知A2,然后3秒后通知A3、再3秒后通知A4。如果A2收到通知后就会从A1把数据要过来写到自己的数据库中。l 紧急复制:如密码修改、帐户锁定策略等。修改后就马上联系复制伙伴。没有时间延迟l 每隔1小时复制:检查是否有数据复制遗漏。第四章 基于AD企业网安全逻辑结构的设计4.
20、1 域结构的设计1.背景分析根据网络规模以及集中管理和结构简单,我们采用单域的结构,域名为。与多域结构相比,实现了网络资源的集中管理。并保证了管理上的简单性和低成本。在域内部按照部门名称划分ou,即创建4个组织单元,分别是:行政部,人事部,工程部,财务部,用与存储和管理各个部门的用户帐户,组,以及打印机。整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。为保证可靠性,需要安装2台域控制器。如图4-1所示:图 4-12. 创建Windows域在dc1上执行命令”dcpromo”安装AD,提升为域控制器。为该公司创建一个新域。域名为。在安装AD的过程中安装DNS服务。保障域名解析服务正常运
21、行。为了保证域的可靠性,和高效性。需要安装第二台域控制器。安装完域控制器之后,分别将其他的计算机加入该域。4.2 OU结构的设计1.为了匹配公司的管理模型,在域内按照部门名称划分组织单位(ou),即创建4个组织单位,分别是:行政部、人事部、工程部、财务部。将来创建各个部门的用户帐户和组属于各个部门ou。使用AD活动目录里的【Active Directory 用户和计算机】工具创建部门ou。结果如图4-2所示图 4-2 2.创建用户账户和组使用【Active Directory 用户和计算机】工具在各个部门的ou中分别为该部门员工创建唯一的域用户账户,帐户名为员工的姓名的拼音。域用户帐户在下次登
22、录时更改密码。为每个部门创建全局组,将同部门的员工帐户分别加入各个部门的全局组。4.3 域控制器的规划l 域控制器的数量:在天一架设两台域控制器(假定的名字为tianyi1和tianyi2)l 操作主机的角色:在tianyi上保留架构操作主机、域命名操作主机、PDC模拟器、RID Master、结构操作主机转移到tianyi2上。4.4 客户机的规划在各部门的OU中分别为该部门员工创建唯一的域用户账户,账户名为员工姓名的拼音,所有客户端计算机都加入到域中。在一般情况下,所有用户都使用域用户帐号登录,用户以前使用本地帐号时的配置文件要保留。第五章 安全规划5.1服务器的安全5.1.1 配置文件服
23、务器1) 通过一台专用的文件服务器存储公共文件以及员工的工作文档 2) 配置共享权限和NTFS权限 3) 权限的配置应遵循AGDLP规则4) 启用磁盘配额5) 制定备份策略,按任务计划自动执行6) 通过一台专用的文件服务器存储公共文件以及员工的文档。7) 文件服务器的c:盘容量为10G安装操作系统和软件。D:盘容量大于1T,并采用ntfs文件系统,在d:盘的一个文件夹“software“存放公共的文件。常用的软件和公司的规章制度。另一个文件夹”share“存放部门和员工的工作文档。8) 在d:”share”文件夹下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹,并通过网络映射,映射到每
24、个帐户的机器上,配置共享权限和ntfs权限。保障文件只被授权的用户访问。9) 权限的设置应该遵循AGDLP(用户加入到安全全局组,再将相应的全局组加入到本地组,然后给本地组赋予权限)。避免直接给用户授权。具体:文件夹名共享权限NTFS权限D:softwareEveryone读取Everyone读取D:shareEveryone完全控制Everyone列出文件夹目录,总经理完全控制D:share行政部无全局组行政读取、本部门经理和总经理完全控制D:share人事部无全局组人事读取、本部门经理和总经理完全控制D:share工程部无全局组工程读取、本部门经理和总经理完全控制D:share销售部无全局
25、组销售读取、本部门经理和总经理完全控制D:share财务部无全局组财务读取、本部门经理和总经理完全控制D:share行政部某员工文件夹无全局组行政读取、员工自己、本部门经理和总经理完全控制在文件服务器上,普通员工最大的使用空间为100MB,部门经理最大的使用权限为1000MB,总经理的使用空间不限制。5.1.2 配置打印服务器l 在打印服务器Printsvr1上添加本地打印机a、b、c并共享 l 在打印服务器Printsvr2上添加本地打印机a、b并共享l 配置优先级和适当的打印权限 l 在其他计算机上完成打印客户端配置(添加网络打印机)具体:服务器名打印机共享名优先级打印权限Printsvr
26、1a90总经理打印Printsvr1b50财务部经理打印Printsvr1c全局组财务打印Printsvr2a50部门经理打印Printsvr2b1Everyone打印5.1.3 配置代理服务器代理服务器的专用连接的IP设置为192.168.10.8,公共连接与ADSL线路连通,IP地址从ISP动态获得,在isa上安装代理服务器软件isa server并激活HTTP代理,端口为默认值80,在其他计算机上的IE浏览器中配置代理服务器客户端. 实现共享上网5.2 客户机和用户帐号的安全1.限制用户能登录的计算机在域环境下,一个域用户帐户默认是可以登录到域中任意一台计算机的(DC除外),这样为用户提
27、供了方便。因为假设用户正在使用的计算机出现故障了,需要维修,那么该用户可以用他自己的域用户帐户在其它计算机上登录域,继续完成自己未完成的工作,继续使用域中的资源而不会受到影响,但工作组却没有提供这样的方便。但是如果要限制用户只能使用某些计算机来登录域,可以通过设置用户帐户的属性来实现。打开要进行限制的用户帐户的属性,找到“帐户”选项卡,点击“登录到”按钮。如图5-1所示。图 5-1在打开的“登录工作站”对话框中,可以看到默认的设置是用户可以登录到“所有计算机”,要进行限制,选择“下列计算机”单选按钮,并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。如果有必要,可以
28、添加多台计算机。完成后,该用户只能在指定的计算机上登录,而不能在未指定的计算机上登录到域。2. 公司对员工的帐户需求l 员工一人一个帐户l 所有帐户集中存储管理l 按部门管理帐户l 密码不能为简单密码,如12345678等l 对个别员工试探别人密码的行为要有所防范l 员工的权限级别有3种:总经理、部门经理、普通员工,他们在访问网络资源时权限不同3. 强密码策略在这里提供的密码策略和帐户锁定策略对于我们保障帐户的安全性起到了非常大的作用。密码必须符合复杂性要求,这一项要求一般受到策略影响的主机上创建帐户的时候,或者修改帐户密码的时候就会受到这个策略的限制,它的密码必须满足以下的策略,这样才能加强
29、密码的安全性。密码策略:l 长度至少有8个字符l 不包含用户名、姓名或公司姓名l 不包含完整字典词汇l 与先前密码大不相同l 包含全部四组类型字符:az、AZ、09、非字母特殊字符5.3 设置漫游配置文件1.漫游配置文件的优点:漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中(文件服务器),当用户登录时,系统会自动去寻找该服务器,并找到属于该用户的配置文件,然后加载。这时,无论用户在什么地方登录,该用户都可以使用同一个配置文件,在任何一台计算机登录所获得的工作环境都是一样的。同时,由于所有用户的配置文件集中保存在同一台服务器中,所以也方便了管理员进行集中的备份,保证数据的安全
30、。2.为用户设置漫游配置文件:首先要找一台专用的文件服务器,在该服务器中建立一个文件夹并共享,共享权限设置everyone写入权限。然后选择一个用户,打开属性对话框,找到“配置文件”选项卡。在“配置文件路径”中填入上面建立的共享文件夹的UNC路径,并在该路径后跟该用户的用户名,以便于把该用户的配置文件存放在以用户名命名的子文件夹里。这时该用户在域中任一台计算机上登录,该用户的工作环境都是一样的。如图5-4所示。图 5-45.4 限制用户使用非法软件1.软件限制策略的管理目的:l 软件限制策略可以控制计算机上运行的程序,以使保护计算机环境不会受到不可信代码的攻击。l 阻止任何文件在本地计算机、组
31、织单元、站点或域中运行。l 在多用户计算机上,仅允许用户运行特定的文件l 确定谁可以向计算机中添加受信任的发布服务器。l 控制软件限制策略是影响计算机上的所有用户,还是只影响一些用户2. 在“组策略编辑器”中依次打开“计算机配置”“Windows设置”“安全设置”,右击“软件限制策略”,选择“创建软件限制策略”命令。然后选中“软件限制策略”,可以看到如图5-5所示图 5-55.5 应用组策略部署防火墙软件1. 软件部署阶段、软件维护阶段、软件删除阶段l 软件部署阶段:软件准备好了以后,就可以利用组策略来设置软件部署点,并指定软件部署的方式,使计算机启动或用户激活应用程序时进行软件安装。l 软件
32、维护阶段:软件也可能需要经常打补丁或升级。利用组策略来维护软件可以实现在不通知用户的情况下自动完成软件的升级等操作。l 软件删除阶段:通过设置组策略可以把那些不需要继续使用的软件删除掉,也不必通知用户。2. 应用组策略部署防火墙在Windows2003客户机(具有管理员权限)的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件添加/删除管理单元”,添加“组策略对象编辑器”。在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”。在防火墙的设置中进行下面的设置:l
33、 保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。l 不允许例外:未配置;这个可以让客户机自行安排。l 定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。l 允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。l 允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。l 允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。l 允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。l 允许远程桌面例外:已禁用;即关
34、闭客户机可以接受基于远程桌面的连接请求功能。l 允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。l 阻止通知:已禁用。l 允许记录日志:未配置;允许记录通信并配置日志文件设置。l 阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。l 定义端口例外:已启用;按照TCP和UDP端口指定例外通信。l 允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。5.6 委派控制用户管理任务活动目录提供给我们灵活的委派控制,我们通过灵活的委派控制可以向适当的用户或组指派一定范围的管理任务,将管理任务分散开来,也可以使组织内的组更多的灵活
35、的控制本地资源。如图:整个域中的三个OU,我们分别把Admini1,Admini2,Admini3,进行控制权限的委派,从而将我们的管理权限进行分散,一个是实现了降低管理的债荷,实现了更多的组控制本地的资源把相应的域:行政部,人事部,工程部,销售部,财务部委派到各部门的负责人管理任务:l 创建、删除以及管理用户账户l 读取所有用户信息l 修改组成员身份l 管理组策略链接5.7 通过kerberos和IPSec实现企业环境保护1.Kerberos实现身份验证Kerberos是一种非常安全的身份验证协议,比NTLM、LM安全性上有了很大的提升,可以实现不仅是服务器对客户端的一种验证而且还可以实现客
36、户端对服务器的一种验证,可以实现这种双向的验证,同时Kerberos符合国际的一些标准,Kerberos给我们提供很强的安全性同时也提供了很强的灵活性和兼容性2.用IPSec抵御网络攻击使用IPSec可以显著地减少或防范下面几种网络攻击:l Sniffer:Sniffer可以读取数据包中的任何信息,因此对抗Sniffer,最有效的方法就是对数据进行加密。 IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性 l 数据篡改:IPSec用密钥为每个IP包生成一个数字检查和,该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改,都会改变检查和,从而可以让接收方得知包在传输过
37、程中遭到了修改。 l 身份欺骗,盗用口令,应用层攻击:IPSec的身份交换和认证机制不会暴露任何信息,不给攻击者有可趁之机,双向认证在通信系统之间建立信任关系,只有可信赖的系统才能彼此通信。 l 拒绝服务攻击:IPSec使用IP包过滤法,依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护,哪些数据流可以被允许通过,哪些需要拦截。l IPSec组策略:用于配置IPSec安全服务,这些策略为大多数现有网络中不同类别的数据流提供了各种级别的保护。针对个人用户、工作组、应用系统、域、站点或跨国企业等不同的安全要求,网络安全管理员可以配置多种 IPSec 策略以分别满足其需求。例如
38、Windows 2000的 IPSec 策略管理,既可以在Active Directory中为域成员集中定义IPSec策略,也可以为非域成员定义IPSec本地计算机策略。第六章 测试1强密码策略测试:以人事部新建用户“李四”在强密码策略中应用为例。 (1)强密码策略的配置,如图6-1所示。图6-1(2)当创建用户时没有满足密码复杂性的要求,会出现如图6-2所示。图6-22. 应用组策略部署防火墙测试 在DC服务器中打开Active Directory 用户和计算机右击点击属性再点击组策略,在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了(如图6-3所示)到了这一步,可
39、以看出整个设置是成功的。而此后,域中任何一台计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此, Windows防火墙配置操作就成功完成了。图6-33. 限制用户使用非法软件(1)以哈希规则为例,限制一个叫jdsetup6.5.exe的软件,当用某个用户去使用这个软件时,出现如图6-4所示。图6-4第七章 结束语毕业设计是三年学习中的最后一次实践,在完成毕业设计的过程中,我可以对三年里对所学的知识进行巩固、补充、总结。尤其在技能方面和动手方面,通过这次实践使我得到了更大的突破。在这次实践中,我做的是利用活动目录实现企业网的安全管理。虽然在以往的学习中对于活动
40、目录接触得不是很多,但在这几个月里,通过自己不断的查找资料,归纳总结,以及老师的指导和同学们的帮助,成绩还是显著的。在这次毕业设计过程中,让我了解到了网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题 ,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。同时也让我领略到了活动目录在网络安全中所处的重要地位。我想基于活动目录的解决方案将是今后一段时期内发展的重要方向,相信利用活动目录实现企业网的安全管理的美好愿望将会得到实现。在整个设计中是谢老师给予不倦的指导和诸多宝贵的意见,在此特别感谢谢老师,并且要感谢三年来各位任课老师的认真负责,使我能够很好的掌握和运用专业知识,才能在设计中得以体现。正是有了他们的悉心帮助和支持,才使我的毕业论文工作顺利完成,在此向湖南铁道职业技术学院信息工程系的全体老师表示由衷的谢意。感谢他们三年来的辛勤栽培。参考文献1 Windows Server 2003 Active Directory 配置指南 戴有炜 著2 Windows Server 2003活动目录实战指南 刘晓辉,王淑江 著3 企业活动目录部署方案 谢树新 著4 http:/ http:/ http:/ http:/