实现管理模板和审核策略

1、第七章第七章: 实现管理模板实现管理模板和审核策略和审核策略 概述概述Windows Server 2003的安全性概述的安全性概述使用安全模板保护计算机使用安全模板保护计算机 测试计算机的安全策略测试计算机的安全策略 配置审核配置审核 管理安全日志管理安全日志 7.1 Windows Server 2003的安全性概述的安全性概述 什么是用户权利？什么是用户权利？ 用户权利与权限的比较用户权利与权限的比较 分配给内置组的用户权利分配给内置组的用户权利 如何分配用户权利如何分配用户权利 什么是用户权利？什么是用户权利？ 用户权利举例用户权利举例用户权利与权限的比较用户权利与权限的比较 用户权利

2、用户权利:作用于系统作用于系统权限权限: 作用于对象作用于对象分配给内置组的用户权利分配给内置组的用户权利 内置本地组内置本地组:AdministratorsBackup OperatorsPower UsersRemote Desktop UsersUsersBuiltin容器中的组容器中的组:Account OperatorsAdministratorsBackup OperatorsPre-Windows 2000 Compatible AccessPrint OperatorsServer OperatorsUsers容器中的组容器中的组:Domain AdminsEnterprise

3、 Admins如何分配用户权利如何分配用户权利 教师将演示如何分配用户权利教师将演示如何分配用户权利7.2 使用安全模板保护计算机使用安全模板保护计算机 什么是安全策略？什么是安全策略？ 什么是安全模板？什么是安全模板？ 什么是安全模板的设置？什么是安全模板的设置？ 如何建立定制的安全模板如何建立定制的安全模板 如何导入安全模板如何导入安全模板 什么是安全策略？什么是安全策略？ 什么是安全模板？什么是安全模板？ 模板模板说明说明Default Security (Setup security.inf)指定默认的安全设置Domain Controller Default Security (DC

4、 security.inf)为域控制器指定从Setup security.inf更新的默认安全设置Compatible (Compatws.inf)为Users组修改权限和注册表设置，使之具有最大的应用程序兼容能力Secure (Securedc.inf and Securews.inf)对很少影响应用程序兼容性的安全设置进行增强Highly Secure (Hisecdc.inf and Hisecws.inf)提高在安全设置方面的限制System Root Security (Rootsec.inf)为系统驱动器的根目录设置权限 什么是安全模板的设置？什么是安全模板的设置？ 安全模板安全模

5、板: 设置安全设置安全安全设置的例子安全设置的例子如何建立定制的安全模板如何建立定制的安全模板 教师将演示如何教师将演示如何:定制一个预先定义的安全模板定制一个预先定义的安全模板 建立一个新的安全模板建立一个新的安全模板 如何导入安全模板如何导入安全模板 教师将演示如何教师将演示如何:把安全模板导入一台计算机把安全模板导入一台计算机 把安全模板导入一个把安全模板导入一个GPO 7.3 测试计算机的安全策略测试计算机的安全策略 什么是什么是Security Configuration and Analysis工具？工具？ 如何分析计算机的安全如何分析计算机的安全 什么是什么是Security C

6、onfiguration and Analysis工具工具？ 模板中的设置模板中的设置实际的设置实际的设置与模板不匹配的设与模板不匹配的设置置如何分析计算机的安全如何分析计算机的安全 教师将演示如何使用教师将演示如何使用Security Configuration and Analysis分析一台计算机的安全设置分析一台计算机的安全设置7.4 配置审核配置审核 什么是审核？什么是审核？ 审核的事件类型审核的事件类型 如何启用审核策略如何启用审核策略 如何启用对文件和文件夹的审核如何启用对文件和文件夹的审核 如何启用对活动目录对象的审核如何启用对活动目录对象的审核 配置审核的最佳实践配置审核的最

7、佳实践 什么是审核？什么是审核？ 审核是指对用户和操作系统的行为进行跟踪，并把跟踪审核是指对用户和操作系统的行为进行跟踪，并把跟踪的结果记录在计算机的安全日志中的结果记录在计算机的安全日志中 发生了什么事发生了什么事?什么时候什么时候?谁做的谁做的?结果是什么结果是什么?审核的事件类型审核的事件类型 Account LogonAccount ManagementDirectory Service AccessLogonObject AccessPolicy ChangePrivilege UseProcess TrackingSystem如何启用审核策略如何启用审核策略 教师将演示如何教师将演

8、示如何:在本地计算机上设置审核策略在本地计算机上设置审核策略 在域或组织单元上设置审核策略的步骤在域或组织单元上设置审核策略的步骤 如何启用对文件和文件夹的审核如何启用对文件和文件夹的审核 教师将演示如何启用对文件和文件夹的审核教师将演示如何启用对文件和文件夹的审核如何启用对活动目录对象的审核如何启用对活动目录对象的审核 教师将演示如何教师将演示如何:委派一个帐号进行审核委派一个帐号进行审核 启用对组织单元的审核启用对组织单元的审核 配置审核的最佳实践配置审核的最佳实践 审核成功的审核成功的directory service access事件事件 审核成功的审核成功的object access

9、事件事件 审核成功的和失败的审核成功的和失败的system事件事件 在域控制器上审核成功的和失败的在域控制器上审核成功的和失败的policy change事件事件 审核成功的和失败的审核成功的和失败的account management 事件事件 审核成功的审核成功的logon事件事件 在域控制器上审核成功的在域控制器上审核成功的account logon事件事件 为安全日志设置合适的尺寸为安全日志设置合适的尺寸 7.5 管理安全日志管理安全日志 什么是日志文件？什么是日志文件？ 常见的安全事件常见的安全事件 与管理安全日志文件有关的任务与管理安全日志文件有关的任务 如何管理安全日志文件信息如

10、何管理安全日志文件信息 如何查看安全日志事件如何查看安全日志事件 什么是日志文件？什么是日志文件？ ApplicationSecuritySystemDirectory serviceFile Replication service在在Event Viewer中可用的日志中可用的日志:常见的安全事件常见的安全事件 登录登录事件说明事件说明事件事件ID 528成功的登录事件事件ID 529失败的登录企图事件事件ID 539试图使用一个被锁定的帐号登录文件所有权文件所有权事件说明事件说明事件事件ID 578更改文件的所有权安全日志安全日志事件说明事件说明事件事件ID 517清除安全日志关机关机事件说明事件说明事件事件ID 513系统关机与管理安全日志文件有关的任务与管理安全日志文件有关的任务 如何管理安全日志文件信息如何管理安全日志文件信