第14章_Windows_Server_2008的安全管理.ppt

习题 14 14.1 简述组策略的概念。 14.2 试着创建一组策略对象，并将此组策略对象应用到Active Directory域中。 14.3 Windows Server 2008的审核策略包含哪几种？ 14.4 试着更改几项审核策略，并在安全日志中查看相应的记录。 14.5 通过对默认安全模板（setup security.inf）的安全设置进行适当修改，创建为一个新的安全模板（newsecurity.inf），并将其策略导入应用到域的组策略对象中。 14.6 提高Windows Server 2008的安全可以从哪些方面着手？ 实训14 安全模板的创建和应用 14.1 根据已有安全模板创建一个新的模板，命名为tmpsec。 14.2 修改tmpsec模板安全策略，并保存。 14.3 新建一组策略，命名为tmpGPO。 14.4 将tmpsec模板应用到组策略tmpGPO中。 说明：本书实训正如前言所述，对照正文即可进行上机实践，因此本书实训的处理方式和具体操作步骤请读者参照正文。 * * * * * * * * * * 14.2 审核 在“管理工具”中的“本地安全策略”可以打开本地审核策略。接下来以本地安全审核策略的配置过程为例介绍其配置方法。 （1）选择“开始 |管理工具 |本地安全策略”，弹出如图14.25所示界面，依次选中“安全设置 | 本地策略 | 审核策略”，将展开具体的审核策略。 图14.25 本地安全设置 14.2 审核 （2）在图14.25的右侧的窗口中，双击某个策略显示出其设置，如双击审核登录事件，将弹出如图14.26所示的对话框。可以审核成功登录事件，也可以跟踪失败的登录事件以便跟踪非授权使用系统的企图。 图14.26 “审核登录事件属性”对话框 14.2 审核 （3）选择“成功”或“失败”或两者都选，然后确定，配置完成。这样每次用户的登录或注销事件都能在事件查看器的“安全性”中看到审核的记录。 如果要审核对给定文件夹或文件对象的访问，可通过如下方法设置： （1）打开“Windows资源管理器”并定位该文件夹（如“C:\Windows”文件夹）或文件，用右键选择“属性”，弹出其属性界面。 （2）单击“安全”选项卡，然后单击“高级”按钮，如图14.27所示，则可打开“高级安全设置”对话框。 14.2 审核 图14.27 Windows文件夹安全属性 14.2 审核 （3）在“高级安全设置”对话框中选中“审核”选项卡显示审核属性，然后单击“编辑”按钮，在接下来的对话框中单击“添加”按钮，如图14.28所示。 图14.28 Windows文件夹的高级安全设置 14.2 审核 （4）选择所要审核的用户、计算机或组，输入要选择的对象名称，如“Administrators”，单击“确定”按钮，如图14.29所示。 （5）系统弹出审核项目的对话框，列出了被选中对象的可审核的事件，包括“完全控制”或“遍历文件夹/运行文件”、“读取属性”、“写入属性”、“删除”等权限，如图14.30所示。 （6）定义完对象的审核策略后，关闭对象的属性窗口，审核将立即开始生效。 图14.29 选择用户、计算机或组 图14.30 Windows文件夹的审核项目 14.3 安全记录 14.3.1 认识Windows Server 2008安全记录 可以在事件查看器查看到很多事件日志，包括应用程序日志、安全日志、系统日志、目录服务日志、DNS服务日志和文件复制服务日志等。通过查看这些事件，管理员可以了解系统和网络的情况，也能跟踪安全事件。当系统出现故障问题时，可以通过日志记录进行查错或恢复系统。 安全事件是记录关于审核的结果，打开计算机的审核功能后，计算机或用户的行为会触发系统安全记录事件。例如，管理员删除域中的用户账户，会触发系统写入目录服务访问策略事件记录；修改一个文件内容，会触发系统写入对象访问策略事件记录。 14.3 安全记录 14.3.2 查看安全记录 只要做了审核策略，被审核的事件都会被记录到安全记录中，可以通过事件查看器查到每一条安全记录。选择“开始| 管理工具 | 事件查看器”或者在命令行中输入eventvwr.msc命令，便可打开“事件查看器”控制台查看安全记录，如图14.32所示。 图14.32 事件查看器 14.3 安全记录 安全记录的内容包括： 类型：包括审核成功或失败。 日期：事件发生的日期。 时间：事件发生的时间。 来源：事件种类，安全事件为Security。 分类：审核策略，例如登录/注销、目录服务访问、账户登录等。 事件：指定事件标识符，标明事件ID，为整数值。 用户：触发事件的用户名称。 计算机：指定事件发生的计算机名称，一般是本地计算机名称。 事件ID可以用来识