M1-5 使用安全审计加强Windows主机的安全维护

1、网络安全运行与维护网络安全运行与维护模块一Windows桌面系统安全管理与维护总体概述总体概述v 总体概述v 某企业局域网络中有300台办公用计算机，每台终端电脑安装了Windows系统，在日常工作中，每台电脑组成的网络需要进行文件共享及文件权限分配，每个不同的用户有着不同的权限级别，另外在局域网中，为了使系统健康快速的运行，在每台电脑中启用了防火墙，设定了桌面系统运行的策略，并针对每个文件及文件夹都设置了加密措施，这些措施保证了在企业局域网中，每类人员有着自己的权限，可以访问不同级别的加密文件，运行在不同的策略级别上，所以，在此企业中，必须设置一下策略来实现上述目标：v 加强windows主

2、机网络安全访问权限的管理v 使用防火墙规则提高windows桌面系统的防御v 使用文件系统加密加强windows文件系统安全v 使用本地安全策略加强windows主机的整体防御v 使用安全审计加强Windows主机的安全维护能力单元能力单元5使用安全审计加强使用安全审计加强Windows主主机的安全维护机的安全维护任务描述任务描述v 本任务将介绍如何通过使用安全审计及查看来加强Windows主机安全。主要通过以下2种方法实现：v 事件查看器v 性能日志及警报任务分析任务分析v 随着网络内的环境越来越复杂，企业对数据及桌面系统的安全越来越重视。那么如何监控桌面系统是每个企业解决的网络问题之一。v

3、 Windows桌面系统默认就提供了一套这样的系统。本任务将学习：v 如何查看事件查看器v 事件查看器中的数据类型有哪些v 性能计时器中的日志如何查看v 如何设定日志警报功能相关知识相关知识v 事件查看器v 在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助您预测潜在的系统问题。任务实施任务实施拓扑结构拓扑结构任

4、务实施任务实施实施步骤实施步骤v 步骤步骤1 事件查看器事件查看器v 第一步：信息类型v 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“事件查看器”。任务实施任务实施实施步骤实施步骤(cont.)v 第二步：分析信息、警告、错误信息v 事件标题事件标题v 事件标题包含以下关于事件的信息： 任务实施任务实施实施步骤实施步骤(cont.)此日志表示在2010年2月4日2点43分56秒时，发现DHCP服务的一个警告，事件ID为1007，表示在Virtualxp-50904主机上没有找到DHCP服务器，从而获得了一个APIPA地址（自动私有IP地址）169.25

5、4.194.202.从此日志可以看出，本地这台主机是一台DHCP客户端，由于启动时没有找到DHCP服务器，即DHCP服务器当机或者无法响应，从而本主机为了可以进行数据通信，自动分配了一个私有IP地址。任务实施任务实施实施步骤实施步骤(cont.)v 步骤步骤2 性能日志和警报性能日志和警报v 第一步：新建警报v 1）单击开始，指向程序，指向管理工具，然后单击性v 2）双击性能日志和警报，然后单击警报。v 3）在详细信息窗格中，双击警报。右键单击警报，建立新警报。v 4）在注释框中，键入适当的注释描述该警报，然后单击添加。 任务实施任务实施实施步骤实施步骤(cont.)v 步骤步骤2 性能日志和

6、警报性能日志和警报v 第一步：新建警报v5）对于要添加到日志中的每个计数器或计数器组，请执行下列步骤： 若要从运行性能日志和警报服务的计算机上监视计数器，请单击使用本地计算机计数器。或者，若要监视特定计算机，而不管该服务在哪里运行，请单击从计算机选择计数器，然后指定您要监视的计算机的名称。 v6）在性能对象下，单击要监视的对象。 v7）在性能计数器下，单击一个或多个要监视的计数器。 v8）在添加了相应的计数器后，单击关闭。 在将触发警报，如果值是框中，指定低于或超过，然后在限制框中指定触发警报的值。 在数据采样间隔下，为更新间隔指定间隔值和度量单位。通过使用操作和计划选项卡完成警报的配置。任务实施任务实施实施步骤实施步