Windows Server操作系統(tǒng)維護與管理（第三版）課件：系統(tǒng)安全管理技術(shù)

系統(tǒng)安全管理技術(shù)教學(xué)重點

●組策略的安全設(shè)置操作●設(shè)置安全的審核策略●創(chuàng)建軟件限制策略●使用本地組策略配置系統(tǒng)安全11.1

組策略的安全設(shè)置操作11.1.1任務(wù)1：理解組策略1.組策略的類型WindowsServer2016中的組策略包含應(yīng)用程序配置組策略、文件配置組策略、腳本組策略、管理模板組策略和安全組策略等5種類型。2.組策略對象組策略對象(GPO,GroupPolicyObject),用于存儲組策略配置信息的集合。3.組策略容器組策略容器(GPC,GroupPolicyContainer),是一個存儲組策略對象屬性的活動目錄對象。4.組策略模板組策略模板(GPT,GroupPolicyTemplate),是在每個域控制器上創(chuàng)建的、用以存儲組策略對象的文件夾子集。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作1.創(chuàng)建組策略對象創(chuàng)建組策略對象按以下步驟進(jìn)行:步驟1:選擇“服務(wù)器管理器|工具|組策略管理”,出現(xiàn)圖11-1所示的“組策略管理”窗口。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作1.創(chuàng)建組策略對象創(chuàng)建組策略對象按以下步驟進(jìn)行:步驟2:在要創(chuàng)建組策略對象(GPO)的林和域中,選擇“組策略對象”結(jié)點,并在其上單擊鼠標(biāo)右鍵,選擇“新建”命令,打開“新建GPO”對話框,如圖11-2所示。步驟3:在此對話框中,輸入指定的新GPO的名稱,然后單擊“確定”按鈕。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作2.編輯組策略對象步驟1:啟動“組策略管理”工具,展開“組策略對象”結(jié)點步驟2:選中指定要編輯的組策略對象,雙擊鼠標(biāo)左鍵,在指定的組策略對象上單擊鼠標(biāo)右鍵,出現(xiàn)圖11-3所示的“組策略管理編輯器”窗口,即可進(jìn)行編輯和應(yīng)用操作。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作3.向組策略對象添加注釋向組策略對象添加注釋的具體步驟如下:步驟1:打開組策略管理控制臺,展開“組策略對象”結(jié)點。步驟2:右鍵單擊要添加注釋的組策略對象,然后單擊“編輯”按鈕。步驟3:在“組策略管理編輯器”窗口的“操作”菜單中的“屬性”命令,如圖11-4所示。步驟4:在“注釋”選項卡中,輸入該組策略對象的說明描述信息。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作4.搜索組策略對象搜索組策略對象的具體操作步驟如下:步驟1:啟動組策略管理控制臺(GPMC)工具,在其控制臺樹中,展開要在其中搜索組策略對象(GPO)的域所在的林結(jié)點,雙擊“域”后,鼠標(biāo)右鍵單擊該域,在快捷菜單中執(zhí)行“搜索”命令,出現(xiàn)如圖11-5所示的“搜索組策略對象”對話框。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作4.搜索組策略對象步驟2:在“搜索組策略對象”對話框中的“搜索此域中的GPO”下拉框中,選擇一個域或選擇“在此林中顯示的所有域”。步驟3:在“搜索項”下拉框中,選擇搜索所基于的對象類型。步驟4:在“條件”下拉框中,選擇要在搜索中使用的條件。步驟5:在“值”下拉框中,選擇或指定要用于篩選搜索的值,然后單擊“添加”按鈕。步驟6:重復(fù)步驟4和5,直到完成所有搜索條件的定義,然后單擊“搜索”按鈕。步驟7:返回搜索結(jié)果后,執(zhí)行下列操作之一:●若要保存搜索結(jié)果,單擊“保存結(jié)果”,然后在“保存GPO搜索結(jié)果”對話框中為保存的結(jié)果指定文件名,然后單擊“保存”按鈕。●若要導(dǎo)航到搜索到的GPO,在搜索結(jié)果列表中雙擊該GPO。●若要清除搜索結(jié)果,單擊“清除”按鈕。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作5.刪除組策略對象刪除組策略對象的具體操作步驟如下:步驟1:在組策略管理控制臺(GPMC)控制臺樹中,在包含要刪除的組策略對象(GPO)的林和域中,雙擊“組策略對象”。步驟2:選中欲要刪除的組策略對象GPO,單擊鼠標(biāo)右鍵,選擇快捷菜單中的“刪除”命令,出現(xiàn)如圖11-6所示提示信息窗口。步驟3:確認(rèn)刪除時,單擊“確定”按鈕即可完成。11.2

設(shè)置安全的審核策略11.2.1任務(wù)1：理解審核策略安全審核對于任何企業(yè)系統(tǒng)來說都是極其重要的,因為只能使用審核日志來說明是否發(fā)生了違反安全的事件。如果通過其他某種方式檢測到入侵,正確的審核設(shè)置所生成的審核日志將包含此次入侵的重要信息。本任務(wù)將介紹如何設(shè)置應(yīng)用于審核的各種設(shè)置,并提供幾個常見任務(wù)所創(chuàng)建的審核事件范例。每當(dāng)用戶執(zhí)行了指定的某些操作,審核日志就會記錄一個審核項,可以審核操作中的成功嘗試和失敗嘗試。11.2項目二：設(shè)置安全的審核策略11.2.2任務(wù)2：審核設(shè)置項1.審核賬戶登錄事件“審核賬戶登錄事件”用于確定是否對用戶在另一臺計算機上登錄或注銷的每個實例進(jìn)行審核,該計算機記錄了審核事件,并用來驗證賬戶。2.審核賬戶管理“審核賬戶管理”設(shè)置用于確定是否對計算機中的每個賬戶管理事件進(jìn)行審核。賬戶管理事件的示例包括以下內(nèi)容:●

創(chuàng)建、修改或刪除用戶賬戶或組?！?/p>

重命名、禁用或啟用用戶賬戶。●

設(shè)置或修改密碼。11.2

設(shè)置安全的審核策略11.2.2任務(wù)2：審核設(shè)置項3.審核目錄服務(wù)訪問“審核目錄服務(wù)訪問”用于確定是否對訪問活動目錄對象的事件進(jìn)行審核,該對象指定了自身的系統(tǒng)訪問控制列表(SACL)。SACL是用戶和組的列表,針對這些用戶或組的操作將在基于Windows的網(wǎng)絡(luò)中進(jìn)行審核。4.審核登錄事件“審核登錄事件”設(shè)置用于確定用戶在記錄審核事件的計算機上登錄、注銷或建立網(wǎng)絡(luò)連接的每個實例進(jìn)行審核。如果正在域控制器上記錄成功的賬戶登錄審核事件,工作站登錄嘗試將不生成登錄審核。只有域控制器自身的交互式登錄和網(wǎng)絡(luò)登錄嘗試才生成登錄事件。5.審核對象訪問此安全設(shè)置確定是否審核用戶訪問指定其自身系統(tǒng)訪問控制列表(SACL)對象,如文件、文件夾、注冊表項及打印機等。11.2項目二：設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作1.自動報警思路由于WindowsServer2016系統(tǒng)的自動報警功能只基于某個特定的系統(tǒng)事件才能啟用運行,不過WindowsServer2016系統(tǒng)在默認(rèn)狀態(tài)下不會自動記錄登錄服務(wù)器失敗的事件,為此我們應(yīng)該先修改系統(tǒng)的審核策略,確保對登錄服務(wù)器失敗行為進(jìn)行審核。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作2.任務(wù)審核登錄失敗操作由于WindowsServer2016系統(tǒng)的日志功能在默認(rèn)狀態(tài)下不會自動記錄服務(wù)器登錄失敗操作,因此必須先對這種操作進(jìn)行安全審核,服務(wù)器系統(tǒng)才會對系統(tǒng)登錄失敗操作進(jìn)行日志記錄。在對服務(wù)器登錄失敗操作進(jìn)行審核時,可按照如下具體步驟操作:步驟1:系統(tǒng)管理員administrator登錄系統(tǒng),在命令文本框中,輸入命令secpol.msc,打開如圖11-10所示的本地安全策略列表窗口。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作2.任務(wù)審核登錄失敗操作步驟2:在控制臺目錄樹中,依次展開“本地策略”、“審核策略”,選中“審核登錄事件”,打開如圖11-11所示的審核登錄事件屬性窗口,勾選“失敗”選項。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作3.創(chuàng)建登錄失敗事件步驟1:系統(tǒng)管理員登錄系統(tǒng),在“服務(wù)管理器|工具”中打開“事件查看器”,如圖11-12所示。步驟2:在控制臺樹中,展開“Windows日志”,打開“安全”結(jié)點,查看登錄狀況的日志記錄。此時可看到一個事件ID為4625的審核記錄,雙擊該事件記錄,從圖11-13所示的窗口中可以看到登錄服務(wù)器的相關(guān)信息,這說明服務(wù)器登錄失敗事件已經(jīng)創(chuàng)建成功了。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作4.附加自動報警任務(wù)在附加自動報警任務(wù)計劃時,可以按照如下步驟來進(jìn)行:步驟1:按照前面操作步驟找到事件ID為4624的審核記錄,右鍵單擊該記錄選項,從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令,打開如圖11-14所示的創(chuàng)建基本任務(wù)向?qū)υ捒颉?1.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作4.附加自動報警任務(wù)步驟2:根據(jù)向?qū)崾驹O(shè)置目標(biāo)任務(wù)的名稱,在這里將該任務(wù)名稱取為“服務(wù)器登錄報警”,單擊“下一步”按鈕。步驟3:在“登錄特定事件時”窗口中,單擊“下一步”按鈕。步驟4:出現(xiàn)如圖11-15所示的操作對話框,WindowsServer2016系統(tǒng)已經(jīng)棄用了“發(fā)送電子郵件”和“顯示消息”功能，這里選擇“啟動程序”。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動報警的操作4.附加自動報警任務(wù)步驟5:單擊“下一步”按鈕,如圖11-16所示設(shè)置需要運行的程序位置及其相關(guān)參數(shù)。步驟6:單擊“下一步”按鈕,打開“完成”對話框,選擇“當(dāng)單擊(完成)時,打開此任務(wù)屬性的對話框”復(fù)選框,單擊“完成”按鈕,打開圖11-17所示的事件屬性窗口。11.3軟件限制策略設(shè)置實現(xiàn)11.3.1任務(wù)1：創(chuàng)建軟件限制策略創(chuàng)建軟件限制策略的操作,可參照如下步驟進(jìn)行:步驟1:在“服務(wù)器管理器|工具”中執(zhí)行“本地安全策略”工具,選中“軟限制策略”,單擊鼠標(biāo)右鍵,在快捷菜單中執(zhí)行“創(chuàng)建軟件限制策略”命令,如圖11-18所示。11.3軟件限制策略設(shè)置實現(xiàn)11.3.1任務(wù)1：創(chuàng)建軟件限制策略步驟2:單擊“安全級別”選項,可以更改默認(rèn)的安全級別。此時,可以看到默認(rèn)安全級別是不受限的。步驟3:選中“其他規(guī)則”,單擊鼠標(biāo)右鍵,如圖11-19所示。11.3軟件限制策略設(shè)置實現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作這里將舉例說明禁止運行軟件的操作方法,如禁止運行計算器軟件、禁止運行“C:\test”目錄下的程序。步驟1:在“開始”|“Windows所有附件”,在“計算器”軟件上單擊鼠標(biāo)右鍵打開所在位置,在快捷菜單中選擇“屬性”命令,如圖11-20所示。11.3軟件限制策略設(shè)置實現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作步驟2:打開計算器屬性對話框,在“目標(biāo)”文本框中單擊鼠標(biāo)右鍵,選擇“復(fù)制”,即復(fù)制計算器軟件的完整存放位置。步驟3:打開“本地安全策略”管理工具,展開“軟件限制策略”,在“其他規(guī)則”結(jié)點上單擊鼠標(biāo)右鍵,執(zhí)行快捷菜單中的“新建哈希規(guī)則”命令。步驟4:打開圖11-21所示的“新建哈希規(guī)則”對話框,單擊“瀏覽”按鈕,在“打開”對話框中,按Ctrl+V組合鍵將剛才復(fù)制的存放位置“%windir%\system32\calc.exe“粘貼到其中,然后單擊“打開”按鈕。11.3軟件限制策略設(shè)置實現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作步驟5:在圖11-21中,選擇“安全級別”為“不允許的”,單擊“確定”按鈕即可完成對計算器軟件的禁止運行操作。步驟6:在“其他規(guī)則”中,執(zhí)行“新建路徑規(guī)則”對話框,這里輸入路徑“C:\test”,安全級別選中“不允許的”,如圖11-22所示,單擊“確定”按鈕。步驟7:重啟計算機,軟件限制策略配置才能生效。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.1任務(wù)1：關(guān)閉自動播放現(xiàn)在越來越多的病毒程序利用系統(tǒng)的自動播放功能進(jìn)行傳播,如果關(guān)閉了系統(tǒng)的自動播放,也就相當(dāng)于阻斷了病毒程序的一條傳播途徑。步驟1:在“命令提示符”中輸入gpedit.msc命令,打開本地組策略編輯器。步驟2:依次展開“本地計算機策略|計算機配置|管理模板|Windows組件|自動播放策略”結(jié)點,雙擊“關(guān)閉自動播放”選項,如圖11-23所示。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.1任務(wù)1：關(guān)閉自動播放步驟3:在“關(guān)閉自動播放”設(shè)置窗口中,選中“已啟用”單選按鈕,單擊“下一個設(shè)置”按鈕;在不設(shè)置“始終執(zhí)行此操作”復(fù)選框中,選中“已啟用”,單擊“下一個設(shè)置”按鈕;在“自動運行的默認(rèn)行為”窗口中,選中“已啟用”,在“默認(rèn)自動運行行為”下拉框中,選擇“不執(zhí)行任何自動運行命名”,單擊“確定”按鈕即可。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.2任務(wù)2：禁止用戶使用注冊表編輯工具禁止用戶使用注冊表編輯工具,能夠防止用戶更改系統(tǒng)注冊表。具備操作步驟如下。步驟1:在“命令提示符”窗口中輸入gpedit.msc命令,打開本地組策略編輯器。步驟2:依次展開“本地計算機策略|用戶配置|管理模板|系統(tǒng)”結(jié)點,在右邊詳細(xì)信息窗口中,選中“阻止訪問注冊表編輯工具”選項,雙擊鼠標(biāo)左鍵,打開如圖11-24所示的對話框。步驟3:選中“已啟用”單選按鈕,單擊“確定”按鈕,即可完成注冊表編輯工具被禁用。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.3任務(wù)3：禁止用戶運行特定程序步驟1:在“本地策略編輯器”工具窗口中,依次展開“本地計算機策略|用戶配置|管理模板|系統(tǒng)”結(jié)點,選擇“不運行指定的Windows應(yīng)用程序”項,雙擊鼠標(biāo)左鍵,打開如圖11-25所示的對話框。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.3任務(wù)3：禁止用戶運行特定程序步驟2:選擇“已啟用”單選按鈕,然后依次單擊“顯示|添加”,如圖11-26所示,可添加欲禁止的程序名稱(如禁止繪畫工具程序mspaint.exe),單擊“確定”按鈕即可。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.4任務(wù)4：禁止惡意程序入侵步驟1:以系統(tǒng)管理員賬戶(如Administrator)登錄系統(tǒng),在“命令提示符”窗口中,輸入gpedit.msc命令,打開本地組策略編輯器工具。步驟2:在組策略編輯窗口左側(cè),依次展開“計算機配置|管理模板|Windows組件|InternetExplorer|安全功能|限制文件下載”結(jié)點,