Windows Server操作系统维护与管理（第三版）课件：系统安全管理技术

系统安全管理技术教学重点

●组策略的安全设置操作●设置安全的审核策略●创建软件限制策略●使用本地组策略配置系统安全11.1

组策略的安全设置操作11.1.1任务1：理解组策略1.组策略的类型WindowsServer2016中的组策略包含应用程序配置组策略、文件配置组策略、脚本组策略、管理模板组策略和安全组策略等5种类型。2.组策略对象组策略对象(GPO,GroupPolicyObject),用于存储组策略配置信息的集合。3.组策略容器组策略容器(GPC,GroupPolicyContainer),是一个存储组策略对象属性的活动目录对象。4.组策略模板组策略模板(GPT,GroupPolicyTemplate),是在每个域控制器上创建的、用以存储组策略对象的文件夹子集。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作1.创建组策略对象创建组策略对象按以下步骤进行:步骤1:选择“服务器管理器|工具|组策略管理”,出现图11-1所示的“组策略管理”窗口。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作1.创建组策略对象创建组策略对象按以下步骤进行:步骤2:在要创建组策略对象(GPO)的林和域中,选择“组策略对象”结点,并在其上单击鼠标右键,选择“新建”命令,打开“新建GPO”对话框,如图11-2所示。步骤3:在此对话框中,输入指定的新GPO的名称,然后单击“确定”按钮。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作2.编辑组策略对象步骤1:启动“组策略管理”工具,展开“组策略对象”结点步骤2:选中指定要编辑的组策略对象,双击鼠标左键,在指定的组策略对象上单击鼠标右键,出现图11-3所示的“组策略管理编辑器”窗口,即可进行编辑和应用操作。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作3.向组策略对象添加注释向组策略对象添加注释的具体步骤如下:步骤1:打开组策略管理控制台,展开“组策略对象”结点。步骤2:右键单击要添加注释的组策略对象,然后单击“编辑”按钮。步骤3:在“组策略管理编辑器”窗口的“操作”菜单中的“属性”命令,如图11-4所示。步骤4:在“注释”选项卡中,输入该组策略对象的说明描述信息。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作4.搜索组策略对象搜索组策略对象的具体操作步骤如下:步骤1:启动组策略管理控制台(GPMC)工具,在其控制台树中,展开要在其中搜索组策略对象(GPO)的域所在的林结点,双击“域”后,鼠标右键单击该域,在快捷菜单中执行“搜索”命令,出现如图11-5所示的“搜索组策略对象”对话框。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作4.搜索组策略对象步骤2:在“搜索组策略对象”对话框中的“搜索此域中的GPO”下拉框中,选择一个域或选择“在此林中显示的所有域”。步骤3:在“搜索项”下拉框中,选择搜索所基于的对象类型。步骤4:在“条件”下拉框中,选择要在搜索中使用的条件。步骤5:在“值”下拉框中,选择或指定要用于筛选搜索的值,然后单击“添加”按钮。步骤6:重复步骤4和5,直到完成所有搜索条件的定义,然后单击“搜索”按钮。步骤7:返回搜索结果后,执行下列操作之一:●若要保存搜索结果,单击“保存结果”,然后在“保存GPO搜索结果”对话框中为保存的结果指定文件名,然后单击“保存”按钮。●若要导航到搜索到的GPO,在搜索结果列表中双击该GPO。●若要清除搜索结果,单击“清除”按钮。11.1组策略的安全设置操作11.1.2任务2：组策略的管理操作5.删除组策略对象删除组策略对象的具体操作步骤如下:步骤1:在组策略管理控制台(GPMC)控制台树中,在包含要删除的组策略对象(GPO)的林和域中,双击“组策略对象”。步骤2:选中欲要删除的组策略对象GPO,单击鼠标右键,选择快捷菜单中的“删除”命令,出现如图11-6所示提示信息窗口。步骤3:确认删除时,单击“确定”按钮即可完成。11.2

设置安全的审核策略11.2.1任务1：理解审核策略安全审核对于任何企业系统来说都是极其重要的,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含此次入侵的重要信息。本任务将介绍如何设置应用于审核的各种设置,并提供几个常见任务所创建的审核事件范例。每当用户执行了指定的某些操作,审核日志就会记录一个审核项,可以审核操作中的成功尝试和失败尝试。11.2项目二：设置安全的审核策略11.2.2任务2：审核设置项1.审核账户登录事件“审核账户登录事件”用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核,该计算机记录了审核事件,并用来验证账户。2.审核账户管理“审核账户管理”设置用于确定是否对计算机中的每个账户管理事件进行审核。账户管理事件的示例包括以下内容:●

创建、修改或删除用户账户或组。●

重命名、禁用或启用用户账户。●

设置或修改密码。11.2

设置安全的审核策略11.2.2任务2：审核设置项3.审核目录服务访问“审核目录服务访问”用于确定是否对访问活动目录对象的事件进行审核,该对象指定了自身的系统访问控制列表(SACL)。SACL是用户和组的列表,针对这些用户或组的操作将在基于Windows的网络中进行审核。4.审核登录事件“审核登录事件”设置用于确定用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的账户登录审核事件,工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。5.审核对象访问此安全设置确定是否审核用户访问指定其自身系统访问控制列表(SACL)对象,如文件、文件夹、注册表项及打印机等。11.2项目二：设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作1.自动报警思路由于WindowsServer2016系统的自动报警功能只基于某个特定的系统事件才能启用运行,不过WindowsServer2016系统在默认状态下不会自动记录登录服务器失败的事件,为此我们应该先修改系统的审核策略,确保对登录服务器失败行为进行审核。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作2.任务审核登录失败操作由于WindowsServer2016系统的日志功能在默认状态下不会自动记录服务器登录失败操作,因此必须先对这种操作进行安全审核,服务器系统才会对系统登录失败操作进行日志记录。在对服务器登录失败操作进行审核时,可按照如下具体步骤操作:步骤1:系统管理员administrator登录系统,在命令文本框中,输入命令secpol.msc,打开如图11-10所示的本地安全策略列表窗口。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作2.任务审核登录失败操作步骤2:在控制台目录树中,依次展开“本地策略”、“审核策略”,选中“审核登录事件”,打开如图11-11所示的审核登录事件属性窗口,勾选“失败”选项。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作3.创建登录失败事件步骤1:系统管理员登录系统,在“服务管理器|工具”中打开“事件查看器”,如图11-12所示。步骤2:在控制台树中,展开“Windows日志”,打开“安全”结点,查看登录状况的日志记录。此时可看到一个事件ID为4625的审核记录,双击该事件记录,从图11-13所示的窗口中可以看到登录服务器的相关信息,这说明服务器登录失败事件已经创建成功了。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作4.附加自动报警任务在附加自动报警任务计划时,可以按照如下步骤来进行:步骤1:按照前面操作步骤找到事件ID为4624的审核记录,右键单击该记录选项,从弹出的快捷菜单中执行“将任务附加到此事件”命令,打开如图11-14所示的创建基本任务向导对话框。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作4.附加自动报警任务步骤2:根据向导提示设置目标任务的名称,在这里将该任务名称取为“服务器登录报警”,单击“下一步”按钮。步骤3:在“登录特定事件时”窗口中,单击“下一步”按钮。步骤4:出现如图11-15所示的操作对话框,WindowsServer2016系统已经弃用了“发送电子邮件”和“显示消息”功能，这里选择“启动程序”。11.2

设置安全的审核策略11.2.3任务3：登录服务器失败系统自动报警的操作4.附加自动报警任务步骤5:单击“下一步”按钮,如图11-16所示设置需要运行的程序位置及其相关参数。步骤6:单击“下一步”按钮,打开“完成”对话框,选择“当单击(完成)时,打开此任务属性的对话框”复选框,单击“完成”按钮,打开图11-17所示的事件属性窗口。11.3软件限制策略设置实现11.3.1任务1：创建软件限制策略创建软件限制策略的操作,可参照如下步骤进行:步骤1:在“服务器管理器|工具”中执行“本地安全策略”工具,选中“软限制策略”,单击鼠标右键,在快捷菜单中执行“创建软件限制策略”命令,如图11-18所示。11.3软件限制策略设置实现11.3.1任务1：创建软件限制策略步骤2:单击“安全级别”选项,可以更改默认的安全级别。此时,可以看到默认安全级别是不受限的。步骤3:选中“其他规则”,单击鼠标右键,如图11-19所示。11.3软件限制策略设置实现11.3.2任务2：配置软件限制策略的操作这里将举例说明禁止运行软件的操作方法,如禁止运行计算器软件、禁止运行“C:\test”目录下的程序。步骤1:在“开始”|“Windows所有附件”,在“计算器”软件上单击鼠标右键打开所在位置,在快捷菜单中选择“属性”命令,如图11-20所示。11.3软件限制策略设置实现11.3.2任务2：配置软件限制策略的操作步骤2:打开计算器属性对话框,在“目标”文本框中单击鼠标右键,选择“复制”,即复制计算器软件的完整存放位置。步骤3:打开“本地安全策略”管理工具,展开“软件限制策略”,在“其他规则”结点上单击鼠标右键,执行快捷菜单中的“新建哈希规则”命令。步骤4:打开图11-21所示的“新建哈希规则”对话框,单击“浏览”按钮,在“打开”对话框中,按Ctrl+V组合键将刚才复制的存放位置“%windir%\system32\calc.exe“粘贴到其中,然后单击“打开”按钮。11.3软件限制策略设置实现11.3.2任务2：配置软件限制策略的操作步骤5:在图11-21中,选择“安全级别”为“不允许的”,单击“确定”按钮即可完成对计算器软件的禁止运行操作。步骤6:在“其他规则”中,执行“新建路径规则”对话框,这里输入路径“C:\test”,安全级别选中“不允许的”,如图11-22所示,单击“确定”按钮。步骤7:重启计算机,软件限制策略配置才能生效。11.4

利用本地组策略进行系统安全配置11.4.1任务1：关闭自动播放现在越来越多的病毒程序利用系统的自动播放功能进行传播,如果关闭了系统的自动播放,也就相当于阻断了病毒程序的一条传播途径。步骤1:在“命令提示符”中输入gpedit.msc命令,打开本地组策略编辑器。步骤2:依次展开“本地计算机策略|计算机配置|管理模板|Windows组件|自动播放策略”结点,双击“关闭自动播放”选项,如图11-23所示。11.4

利用本地组策略进行系统安全配置11.4.1任务1：关闭自动播放步骤3:在“关闭自动播放”设置窗口中,选中“已启用”单选按钮,单击“下一个设置”按钮;在不设置“始终执行此操作”复选框中,选中“已启用”,单击“下一个设置”按钮;在“自动运行的默认行为”窗口中,选中“已启用”,在“默认自动运行行为”下拉框中,选择“不执行任何自动运行命名”,单击“确定”按钮即可。11.4

利用本地组策略进行系统安全配置11.4.2任务2：禁止用户使用注册表编辑工具禁止用户使用注册表编辑工具,能够防止用户更改系统注册表。具备操作步骤如下。步骤1:在“命令提示符”窗口中输入gpedit.msc命令,打开本地组策略编辑器。步骤2:依次展开“本地计算机策略|用户配置|管理模板|系统”结点,在右边详细信息窗口中,选中“阻止访问注册表编辑工具”选项,双击鼠标左键,打开如图11-24所示的对话框。步骤3:选中“已启用”单选按钮,单击“确定”按钮,即可完成注册表编辑工具被禁用。11.4

利用本地组策略进行系统安全配置11.4.3任务3：禁止用户运行特定程序步骤1:在“本地策略编辑器”工具窗口中,依次展开“本地计算机策略|用户配置|管理模板|系统”结点,选择“不运行指定的Windows应用程序”项,双击鼠标左键,打开如图11-25所示的对话框。11.4

利用本地组策略进行系统安全配置11.4.3任务3：禁止用户运行特定程序步骤2:选择“已启用”单选按钮,然后依次单击“显示|添加”,如图11-26所示,可添加欲禁止的程序名称(如禁止绘画工具程序mspaint.exe),单击“确定”按钮即可。11.4

利用本地组策略进行系统安全配置11.4.4任务4：禁止恶意程序入侵步骤1:以系统管理员账户(如Administrator)登录系统,在“命令提示符”窗口中,输入gpedit.msc命令,打开本地组策略编辑器工具。步骤2:在组策略编辑窗口左侧,依次展开“计算机配置|管理模板|Windows组件|InternetExplorer|安全功能|限制文件下载”结点,