Download
1 / 21
210 likes | 337 Views
第 10 章 系统安全管理. 用安全策略来保护桌面和系统服务 审核对系统资源的访问. 10.1 用安全策略来保护桌面和系统服务. 实施安全策略 修改安全设置 使用安全模板 创建自定义安全模板 分析安全性. Internet 服务管理器. 配置本地系统策略来实施安全策略. 事件查看器. 授权. 组策略. 域控制器安全策略. 性能. 路由和远程访问. Server Extensions 管理器. 服务. 附件. Telnet 服务器管理. 管理工具. 启动. Internet Explorer. Outlook Express.
E N D
第10章 系统安全管理 • 用安全策略来保护桌面和系统服务 • 审核对系统资源的访问
10.1 用安全策略来保护桌面和系统服务 • 实施安全策略 • 修改安全设置 • 使用安全模板 • 创建自定义安全模板 • 分析安全性
Internet 服务管理器 配置本地系统策略来实施安全策略 事件查看器 授权 组策略 域控制器安全策略 性能 路由和远程访问 Server Extensions 管理器 服务 附件 Telnet 服务器管理 管理工具 启动 Internet Explorer Outlook Express 配置组策略来实施安全策略 10.1.1 实施安全策略
重点: 如何配置本地安全策略; 注意: 对于域控制器,本地安全策略不起作用; 安全设置定义了系统的安全相关操作。通过对 Active Directory 中组策略对象的使用,系统管理员可以集中应用保护企业系统所要求的安全级别; 确定包括多台计算机的组策略对象的设置时,必须考虑给定站点、域或单位的组织和功能特征。例如,销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。
账户策略 配置密码和账户策略 本地策略 配置审核,用户权限以及安全选项 公钥策略 配置加密数据恢复代理和受信任的证书颁发公司等 IP 安全策略 在网络上配置 Internet 协议安全 事件日志 配置应用程序日志及系统日志和安全日志的大小、访问和保留参数 受限制的组 设置组作为安全策略中的一部分进行跟踪和管理 系统服务 对于计算机上正在运行的服务配置安全和启动设置 注册表 通过修改注册表键值来配置安全性 文件系统 对特定文件路径配置安全性 10.1.2修改安全设置
重点: 安全配置配置选项都有哪些; 注意: 计划和实现计算环境的安全性之前,应该熟悉一些基本的 Windows 2003 安全性概念 ; 参考: 网际协议安全 (IPSec) 是: 安全组网的长期指导; 对专用网络和 Internet 攻击的主动保护,同时保持易用性; 一套基于加密术的保护服务以及安全协议; 端对端的安全性。惟一必须了解 IPSec 保护的计算机就是通讯的发送方和接收方; 保护工作组、局域网计算机、域客户和服务器、距离很远的分公司、Extranet、漫游客户以及远程管理计算机之间通讯的能力。
定义了Windows2003 的默认安全级别 • 降低了缺省安全设置,使得用户不必成为Power Users 组成员就可运行没经过Windows 2003 认证的应用程序 • 为操作系统中权限没有覆盖到的区域提供了增强的安全性 兼容 基本 安全 高度安全 • 高度安全的安全模板是提供给基于Windows 2003 计算机的,并且该计算机所在的网络中的所有计算机都基于Windows 2003 10.1.3 使用安全模板
创建自定义安全模板 将“安全模板” 管理单元添加到Microsoft 管理控制台(MMC) 选择模板开始自定义 配置新策略设置 保存新设置 10.1.4 创建自定义安全模板
重点: 如何创建自定义安全模板; 参考: 安全模板概述 Windows 2003 提供了使用“安全模板”管理单元方式定义安全性的集中式方法; 它是单个点的项,在此处可以查看、调整所有范围的系统安全性,并将它应用到本地计算机或导入到“组策略”对象中; 安全模板不引入新的安全参数,它简单地将所有现有的安全属性组织到一个位置以简化安全性管理; 当对安全配置和分析管理单元使用时,安全模板也可以用作安全分析的基本配置;
分析数据库 (.sdb 文件) 当前的 计算机设置 模板 (.inf 文件) 10.1.5 分析安全性
重点: 掌握安全分析功能; 注意: 注意不同颜色的图标; 图中有效设置在以后的日常使用中至关重要; 参考: 计算机安全性分析: 计算机上的操作系统和应用程序的状态是动态的。例如,可能要求暂时更改安全等级以允许立即解决管理或网络问题;此更改常常不被恢复。这意味着计算机不能再满足企业安全性的要求; 常规分析作为企业风险管理程序的一部分,允许管理员跟踪并确保在每台计算机上有足够的安全级。分析是高度明确的,分析结果提供了关于系统所有的,有关安全方面的信息。这允许管理员调整安全级别,并且最重要的是,检测在系统长期运行过程中出现的任何安全故障; 安全配置和分析允许快速复查安全分析结果。推荐当前系统设置、图标或注释用于突出显示当前设置与建议的安全级别不匹配的任何区域。安全配置和分析也提供了解决分析显示的任何矛盾的功能。
10.2 审核对系统资源的访问 • 审核介绍 • 选择要审核的事件 • 规划审核策略 • 设置审核策略 • 审核对资源的访问
重点: 掌握安全审核相关内容; 注意: 安全审核是 Windows 2003 的一项功能,负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。例如失败的登录尝试就是一个应该被审核的事件的范例; 参考: 应该被审核的最普通的事件类型包括: 访问对象,例如文件和文件夹; 用户和组账户的管理; 用户登录以及从系统注销。
时间查看器 User1 登录失败 拒绝访问 打印成功 登录成功或失败 使用资源 10.2.1 审核介绍 • 审核跟踪计算机上用户和操作系统的活动 • 审核项包括执行的操作、执行该操作的用户、事件的成功或失败 • 审核策略定义了Windows 2003 会记录的安全事件的类型 • 设置审核策略来跟踪事件成功还是失败,将非授权使用资源的风险消除或降到最低 ,维持记录用户或管理员的活动 • 在事件查看器中查看安全日志
重点: 介绍审核的功能; 注意: 为了审核与安全性有关的事件,Windows 2003 还生成安全日志并提供了查看日志中所报告的安全事件的方法(建议提问事件查看器的功能); 最后,Windows 2003 的审核功能会生成一个审核指针来帮助您追踪发生在系统上的所有安全管理事件。例如,如果系统管理员将审核策略更改为不再审核失败的登录尝试,那么审核指针将显示这一事件。
事件 示例 账户登录 账户由安全数据库验证 账户管理 管理员创建、更改或删除用户账户或组 目录服务 访问 用户获取对Active Directory 对象的访问 登录 用户登录或注销本地计算机 对象访问 用户获取对文件、文件夹和打印机的访问 策略更改 对用户安全选项、用户权利或审核策略的更改 特权使用 用户行使用户权利,例如更改系统时间 过程跟踪 应用程序执行一项操作 系统 用户重新启动或关闭计算机 10.2.2 选择要审核的事件
确定要设置审核的计算机 经常审查安全日志 确定是审核成功事件还是失败事件,还是两种事件同时 审核 确定要审核的事件类型 确定是否需要跟踪系统使用趋势 10.2.3 规划审核策略
10.2.4 设置审核策略 使用组策略下的本地策略,为单个计算机配置安全设置 创建一个组策略对象为多台计算机配置安全设置
文件系统 • 设置审核策略来审核对象的访问 • 启用对指定 NTFS 文件和文件夹的审核 • 记录一个事件的成功或失败 NTFS 打印机 • 设置审核策略来审核对象的访问 • 启用对指定打印机的审核 • 记录一个事件的成功或失败 10.2.5审核对资源的访问
重点: 根据需要监视的内容,设定安全审核策略; 注意: 根据您想审核的是 Active Directory 对象还是本地对象,可以使用不同的审核工具; 对于 Active Directory 对象,请使用“Active Directory 用户和计算机”; 对于文件和文件夹、注册表项和网络打印机,可以使用对象“属性”对话框中的“安全”选项卡。它允许您指定要进行审核的那些对象的访问类型。
回顾 • 用安全策略来保护桌面和系统服务 • 审核对系统资源的访问
