第五講 應用管理摸板和審核策略

1、第5講 應用管理模板和審核策略課程導入當前計算機面臨哪些安全問題?Windows Server 2003 有哪些安全功能?如何實現(xiàn)計算機的安全策略?第5講 應用管理模板和審核策略課程內容Windows Server 2003 安全概述使用安全模板保護計算機測試計算機安全策略配置審核安全日志管理Windows Server 2003 安全概述 用戶權利用戶權利與權限分配給內置組的用戶權利分配用戶權利課堂練習 分配用戶權利用戶權利用戶權限的范例用戶權利與權限用戶權利：系統(tǒng)上的行為權限：對象上的行為備份分配給內置組的用戶權利內置本地組：AdministratorsBackup OperatorsPo

2、wer UsersRemote Desktop UsersUsers內置容器中的組：Account OperatorsAdministratorsBackup OperatorsPre-Windows 2000 Compatible AccessPrint OperatorsServer Operators用戶容器中的組：Domain AdminsEnterprise Admins分配用戶權利演示：如何手工分配用戶權限課堂練習 分配用戶權利目的：移除用戶權利，然后測試是否移除成功添加用戶權利，然后測試是否添加成功場景: 你是Nwtraders公司的系統(tǒng)管理員，你準備通過禁用“Users”組用戶

3、從本地到你的計算機來測試用戶權利分配。測試成功后，你需要把本地登錄權限分配給“Users”組用戶。 第5講 應用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護計算機測試計算機安全策略配置審核安全日志管理使用安全模板保護計算機安全策略安全模板安全模板設置創(chuàng)建自定義安全模板導入安全模板課堂練習 使用安全模板保護計算機安全策略安全模板模板描述默認安全設置 (Setup security.inf)指定缺省安全設置域控制器默認安全設置 (DC security.inf)針對域控制器指定缺省安全設置從默認安全設置更新（security.inf）兼容 (Compatws.

4、inf)針對用戶組啟用最大應用程序兼容性來修改權限和注冊表設置安全 (Securedc.inf 和 Securews.inf)加強安全設置（定義了至少可能影響應用程序兼容性的增強安全設置）高級安全 (Hisecdc.inf 和 Hisecws.inf)在安全設置中增加了限制系統(tǒng)根目錄安全 (Rootsec.inf)為系統(tǒng)驅動器根目錄定義權限安全模板設置安全模板： 設置安全設置范例創(chuàng)建自定義安全模板演示：自定義安全模板創(chuàng)建新的安全模板導入安全模板演示：導入安全模板到本地計算機導入安全模板到組策略對象課堂練習 使用安全模板保護計算機目的：創(chuàng)建安全模板導入安全模板到組策略對象場景： 你是Nwtrad

5、ers公司的系統(tǒng)管理員，你需要自定義一個安全模板,名為“Glasgow” ，并將向組策略對象“Glasgow Restricted Users”導入這個安全模板，實現(xiàn)公司的安全策略。 第5講 應用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護計算機測試計算機安全策略配置審核安全日志管理測試計算機安全策略“安全配置和分析”工具測試計算機安全課堂練習 測試計算機安全“安全配置和分析”工具模板設置實際設置與模板不匹配的設置測試計算機安全 演示：演示使用安全配置工具來分析計算機安全課堂練習 測試計算機安全目的：創(chuàng)建自定義安全模板利用自定義安全模板分析計算機上的安全設

6、置場景： 你是Nwtraders公司的系統(tǒng)管理員，需要在成員服務器上實現(xiàn)以下安全設置：密碼必須不少于10個字符登錄過程中必須顯示一個對話框，告知用戶未經授權的訪問將被系統(tǒng)禁止。禁用被設置為手動啟動的“Alerter”服務。第5講 應用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護計算機測試計算機安全策略配置審核安全日志管理配置審核審核審核策略需要審核的事件類型制定審核策略的原則啟用審核策略啟用文件和文件夾審核課堂練習 啟用文件和文件夾審核啟用 Active Directory 對象審核課堂練習 啟用組織單位審核配置審核的最佳實踐審核審核通過記錄服務器或工作站

7、上安全日志中的事件的選擇類型，來跟蹤用戶和操作系統(tǒng)的行為審核啟用創(chuàng)建基線判斷威脅和攻擊判斷危險防范將來的危險審核對象訪問、賬戶管理、用戶登錄和注銷內容?時間？人物？審核結果?審核策略審核策略判斷安全事件并報告給網絡管理員設置審核策略跟蹤成功或失敗事件最小化對資源未授權的訪問維護記錄活動事件存儲在安全日志中 需要審核的事件類型賬戶登錄賬戶管理目錄服務訪問登錄對象訪問策略改變權限使用過程跟蹤系統(tǒng)事件制定審核策略的原則決定計算機安全審核是否開啟決定哪些事件需要審核決定審核成功或失敗事件決定是否需要跟蹤經常查看安全日志啟用審核策略演示：在本地計算機上配置審核策略在域或組織單位配置審核策略課堂練習 啟用

8、文件和文件夾審核目的：啟用文件和文件夾審核場景： 你是Nwtraders公司的系統(tǒng)管理員，人力資源部經理打電話給你,告訴你有人正在刪除一些文件.他想知道是哪些用戶刪除了文件.你需要在服務器上為“HR-Reports”文件夾啟用審核功能。課堂練習 啟用組織單位審核目的：在組織單位上啟用審核場景： 你是Nwtraders公司的系統(tǒng)管理員，你擔心有人在”IT TEST ”組織單位中添加和刪除用戶、計算機以及組等對象。你準備配置一個審核策略來審核“IT TEST ”組織單位中這些對象成功和失敗的創(chuàng)建與刪除操作。 配置審核的最佳實踐審核目錄服務訪問類別成功事件審核對象訪問目錄類別成功事件審核系統(tǒng)類別成功

9、和失敗事件審核在域控制器上策略改變類別成功或失敗事件審核賬戶管理類別成功和失敗事件審核登錄類別成功事件審核域控制器上賬戶登錄類別的成功事件設置合適的安全日志大小第5講 應用管理模板和審核策略Windows Server 2003 安全概述使用安全模板保護計算機測試計算機安全策略配置審核安全日志管理安全日志管理日志文件常見安全事件管理安全日志文件管理安全日志文件信息查看安全日志事件課堂練習 管理日志文件信息日志文件應用程序安全系統(tǒng)目錄服務文件復制服務事件查看器日志類型：常見安全事件登錄事件描述Event ID 528成功登錄Event ID 529不成功登錄的嘗試Event ID 539嘗試登錄

10、鎖定的賬戶文件擁有關系事件描述Event ID 578擁有者的改變安全日志事件描述Event ID 517安全日志被清除關閉事件描述Event ID 513系統(tǒng)關閉管理安全日志文件停止：C0000244 審核失敗 未能生成安全審核問題解決原因：設置了如果無法記錄安全審核則立即關閉系統(tǒng)如果啟用該安全設置，則無論什么原因，只要系統(tǒng)無法記錄安全審核，就會終止系統(tǒng)如果安全日志已滿并且無法改寫現(xiàn)有條目，同時還啟用了該安全選項，則會顯示標題出現(xiàn)的問題問題解決：以管理員身份登錄將日志存檔（可選）清除日志重新設置該安全設置管理安全日志文件信息 演示：通過使用“計算機管理”管理安全日志文件通過組策略管理安全日志

11、文件查看安全日志事件演示：安全日志文件篩選安全日志文件查看課堂練習 管理日志文件信息目的：配置安全日志屬性驗證事件被記錄到安全日志文件場景： NWtraders公司的網絡安全小組告訴你，“Glasgow”服務器上的安全日志文件需要設置以下屬性：日志文件的最大長度為30016KB。覆蓋操作設置為“不覆蓋事件（手動清除日志）”還要求你查看安全日志文件，確定共享文件夾“C:HR Reports” 的安全事件是否記入日志。 回顧學習完本章后，將能夠：能夠進行審核策略設置能夠熟練配置日志相關選項能夠查看安全日志能夠排除日志設置中常見問題隨堂練習1 你是公司的網絡管理員。網絡包含兩個屬于一個林的兩個活動目

12、錄域構成。每個域的功能級別為Windows 2000 混合。你的工程部有3000名員工。工程人員用戶是不同全局組的成員。公司計劃開設一個新的辦公室讓工程人員測試產品。新辦公室需要連接到公司的網絡。你要確保工程部的新用戶賬戶具有使用遠程訪問訪問網絡的權限。你要使管理花費最少。首先你創(chuàng)建了工程部用戶的模板賬戶。你還需要哪兩步操作？修改設計架構，選中office和street的“索引活動目錄中的屬性”復選框修改設計架構，選中組屬性的“索引活動目錄中的屬性”復選框手動在每個新創(chuàng)建的用戶賬戶中添加允許“遠程訪問”權限手動添加新創(chuàng)建的用戶賬戶的組關系將組關系信息添加到模板賬戶中在模板賬戶中添加允許“遠程訪

13、問”權限隨堂練習2 你是活動目錄域的管理員。網絡中只有一個域，所有服務器安裝Windows Server 2003系統(tǒng)。你安裝了一臺新的服務器Server6。你在Server6上安裝應用程序。由于Server6的NTFS權限控制過于嚴格，程序無法啟動。你使用應用程序生產商提供模板修改NTFS權限。但在安裝了一個更新后。該應用程序再次不能使用。你要恢復到原來的系統(tǒng)安全級別。你應當將哪個模板導入Server6的本地安全策略？A. Syssetup.inf 模板. B. Profsec.inf 模板. C. Defltsv.inf 模板. D. Netserv.inf 模板隨堂練習3 你是活動目錄域

14、的管理員。網絡中只有一個域，所有服務器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機安裝Windows XP Professional。一個員工的計算機的一個分區(qū)使用NTFS分區(qū)。他在計算機上創(chuàng)建了Data.doc文件。他想要共享該文件。他分配給域用戶安全組該文件的讀權限。他將文件移動到共享文件夾File1 中。File1的權限為Users組-讀權限，Managers組-修改權限。另一位經理試圖編輯文件時，提示錯誤信息。你應當如何做？選擇文件夾File1的“Replace permission entries on all child objects with entries

15、 shown here that apply to child objects”選項選擇文件夾File1的“Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here”選項。使用Secedit.exe導入模板Rootsec.inf使用Secedit.exe導入模板Hisecws.inf隨堂練習4 你是活動目錄域的管理員。網絡中只有一個域，所有服務器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機

16、安裝Windows XP Professional。你在一臺名為Server2的Windows Server 2003計算機上安裝了軟件更新服務（SUS）。你想要所有的客戶計算機從Server2下載更新。你決定修改默認域策略組組策略對象（GPO）設置Sever2作為所有計算機的SUS服務器。當你打開默認域策略組組策略對象發(fā)現(xiàn)沒有Windows Update設置。你需要導入哪一個管理模板？A. conf.admB. GAL11.admC. wuau.admD. inf11.adm隨堂練習5 你是活動目錄域的管理員。網絡中只有一個域，所有服務器安裝Windows Server 2003系統(tǒng)。所有的客戶計算機安裝Windows XP Professional。所有的客戶計算機對象存儲在Client組織單位中?？蛻粲嬎銠C從Microsoft的網站上下載安全補丁。你在一臺名