先决条件 – 安全强化
总结 本节介绍如何限制使用 JIMS 的系统帐户的访问。
准备部署
定义要安装 JIMS 的服务器。创建服务帐户,使 JIMS 能够从定义的目录服务和身份创建者中读取。如果使用 PC 探测,则必须为其创建服务帐户。
设置 JIMS – 身份感知网络
按照以下步骤设置 JIMS 以提供身份感知网络:
- 定义服务帐户和实施点凭据。
- 安装 JIMS。
- 配置 JIMS 以连接到所有 Active Directory 服务。
- 配置 JIMS 以使用您选择的身份创建者。
- 配置所需的集成,例如 Juniper Secure Edge 或 Security Director Cloud 等。
- 将所有 SRX 系列防火墙注册到 JIMS 中。
配置有限权限用户帐户
请为新用户帐户执行以下步骤:
- 从“开始”菜单中选择 Active Directory 用户和计算机。
- 导航至林中的 Users 容器。
- 右键单击“用户”并选择新用户。
- 指定描述性的名字和中间名称或任何 Windows 2000 用户名。
- 根据贵组织的密码策略指定密码。
- 清除“用户下次登录时必须更改密码”复选框。
- 选中用户无法更改密码复选框。
- 选中“密码永不过期”复选框。
将有限权限用户帐户添加到 Active Directory 组
将每个新用户帐户添加到 Active Directory 组:
- 选择内置选项。
- 选择事件日志读取者组并添加JIMS-EventLogRemoteAccess帐户。
- 选择分布式 COM 用户组并添加JIMS-PC-Probe帐户。
- 选择远程管理用户组并添加JIMS-PC-Probe帐户。
- 选择域管理员组并添加JIMS-PC-Probe帐户。
为有限权限用户帐户定义组策略
要为每个新用户帐户定义组策略:
- 从“开始”菜单中选择“组策略管理”。
- 在“组策略管理器”选项卡/窗口中,选择林和默认域策略。右键单击默认域策略并选择编辑。
- 选择“计算机配置>策略> Windows 设置>安全设置>组策略>用户权限分配。
- 选择“拒绝本地登录”,选择“定义这些策略设置”,然后添加新用户帐户。
- 选择“拒绝通过 Remote Desktop Services 登录”,选择“定义这些策略设置”。,然后添加新用户帐户。
- 选择“拒绝通过终端服务登录”,选择“定义这些策略设置”,然后添加新用户帐户。
- 选择“拒绝登录作为批作业”,选择“定义这些策略设置”,然后添加新用户帐户。
- 选择“拒绝登录即服务”,选择“定义这些策略设置”,然后添加新用户帐户。