一、 用戶(hù)的權(quán)利與權(quán)限 用戶(hù)在登錄時(shí)收到一個(gè)包含用戶(hù)權(quán)利的訪問(wèn)令牌。用戶(hù)權(quán)利授權(quán)登錄計(jì)算機(jī)或網(wǎng)絡(luò)用戶(hù)在系統(tǒng)上執(zhí)行特定操作。如果用戶(hù)沒(méi)有某項(xiàng)操作的權(quán)利，系統(tǒng)會(huì)阻止用戶(hù)操作。 權(quán)限定義了授予用戶(hù)或組對(duì)某個(gè)對(duì)象或?qū)ο髮傩缘脑L問(wèn)類(lèi)型。 用戶(hù)的權(quán)利：是系統(tǒng)上的行為，比如：登錄、更改時(shí)間、關(guān)閉系統(tǒng)、從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)。 權(quán)限：是對(duì)象上的行為，比如：文件夾的讀寫(xiě)權(quán)限，打印機(jī)的使用權(quán)限等。 例1：通過(guò)禁止用戶(hù)從本地登錄到計(jì)算機(jī)來(lái)測(cè)試用戶(hù)權(quán)利分配。成功之后，再把本地登錄權(quán)利分配給用戶(hù)。 1、 刪除“Users”組的本地登錄權(quán)利。 Users組用戶(hù)bei是本地用戶(hù)，可正常登錄計(jì)算機(jī)。 運(yùn)行本地組策略編輯器。 定位到計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶(hù)權(quán)限分配允許在本地登錄，然后對(duì)右側(cè)“允許在本地登錄”雙擊。 刪除Users后確定，關(guān)閉所有窗口，然后注銷(xiāo)。 2、 測(cè)試權(quán)限是否已經(jīng)刪除。 Bei用戶(hù)已經(jīng)不能再登錄。 3、 為“Users”組分配本地登錄權(quán)利。 重新使用本地系統(tǒng)管理員身份登陸，再打開(kāi)本地組策略編輯器，再次定位到下圖位置，把Users重新加入“允許在本地登錄”，再確定關(guān)閉所有窗口，注銷(xiāo)。 4、 測(cè)試是否分配成功。 再使用bei用戶(hù)登錄。 登錄成功。 二、使用“安全模板”、“安全配置和分析”來(lái)保護(hù)計(jì)算機(jī) 例2：為了提高財(cái)務(wù)部工作的安全，公司要求只允許財(cái)務(wù)部的用戶(hù)能從財(cái)務(wù)部計(jì)算機(jī)登錄到域，禁止其他用戶(hù)從賬務(wù)部計(jì)算機(jī)登陸，財(cái)務(wù)部成員使用不小于10位的復(fù)雜密碼，在該部門(mén)用戶(hù)登陸時(shí)必須顯示一個(gè)對(duì)話(huà)框，告知未經(jīng)授權(quán)禁止使用財(cái)務(wù)部電腦，并且禁用“Alerter”服務(wù)。 1、域控制器上，在Active Directory用戶(hù)和計(jì)算機(jī)中，當(dāng)前財(cái)務(wù)部用戶(hù)情況如下圖： 2、在財(cái)務(wù)部下建立一個(gè)“財(cái)務(wù)部計(jì)算機(jī)”組織單位（OU），并把所有財(cái)務(wù)部計(jì)算機(jī)移到其內(nèi)。 3、假設(shè)GLASGOW代表所有財(cái)務(wù)部計(jì)算機(jī)，把它從容器“Computers”移到“財(cái)務(wù)部計(jì)算機(jī)”內(nèi)。 4、在財(cái)務(wù)部?jī)?nèi)建立一個(gè)全局安全組“G S 財(cái)務(wù)組”（不要建成了域本地安全組），用于容納所有財(cái)務(wù)部用戶(hù)。 5、財(cái)務(wù)部所有用戶(hù)賬戶(hù)添加到“G S 財(cái)務(wù)組”中，確定后，關(guān)閉Active Directory用戶(hù)和計(jì)算機(jī)。 6、 在運(yùn)行中輸入MMC執(zhí)行，在MMC中添加“安全模板”、“安全配制和分析”。 7、 安全模板：是經(jīng)過(guò)配置的安全設(shè)置的集合。本例以Securedc.inf為模板新建一個(gè)MY Securedc.inf模板。 系統(tǒng)自帶安全模板功能介紹， 域控制器默認(rèn)安全設(shè)置(DC security.inf):針對(duì)域控制器指定缺省安全設(shè)置從默認(rèn)安全設(shè)置更新（security.inf） 兼容(Compatws.inf):針對(duì)用戶(hù)組啟用最大應(yīng)用程序兼容性來(lái)修改權(quán)限和注冊(cè)表設(shè)置 安全(Securedc.inf 、Securews.inf):加強(qiáng)安全設(shè)置（定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置） 高級(jí)安全(Hisecdc.inf 、Hisecws.inf):在安全設(shè)置中增加了限制 系統(tǒng)根目錄安全 (Rootsec.inf):為系統(tǒng)驅(qū)動(dòng)器根目錄定義權(quán)限 8、 對(duì)Securedc右擊選菜單中的另存為，給新的安全模板取名為：MY Securedc，并展開(kāi)它。 9、 更改密碼長(zhǎng)度最小值為10個(gè)字符。 10、 “允許在本地登錄”設(shè)為“G S 財(cái)務(wù)組”和“Administrators”組。（“Administrators”組是必須的，不然系統(tǒng)會(huì)拒絕設(shè)置） 11、 設(shè)置登錄時(shí)消息標(biāo)題“登陸請(qǐng)注意：”。 12、 登錄時(shí)消息文字：“非財(cái)務(wù)部所屬員工，禁止使用財(cái)務(wù)部電腦，一經(jīng)發(fā)現(xiàn)嚴(yán)重處理。???? 公司經(jīng)理室” 13、 禁用系統(tǒng)服務(wù)：Alerter。 14、 保存當(dāng)前對(duì)模板的修改。 15、 使用“安全配置和分析”工具比較MY Securedc安全設(shè)置和當(dāng)前正使用的安全設(shè)置有什么區(qū)別。（它將本地計(jì)算機(jī)的安全配置與另一個(gè)候選配置進(jìn)行比較，該候選配置從一個(gè)安全模板（.inf文件）導(dǎo)入并保存在一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)（.sdb文件）中。分析結(jié)束后，管理員可以瀏覽控制臺(tái)樹(shù)中的安全設(shè)置以查看結(jié)果。兩者不匹配的設(shè)置項(xiàng)以紅色叉號(hào)標(biāo)記，一致的設(shè)置項(xiàng)以綠色句號(hào)鉤標(biāo)記。沒(méi)有用這兩種符號(hào)的表明沒(méi)有在數(shù)據(jù)庫(kù)中配置該項(xiàng)。） 16、 首先對(duì)“安全配置和分析”右擊選“打開(kāi)數(shù)據(jù)庫(kù)”。 17、 在文件名中輸入新建數(shù)據(jù)庫(kù)的名字：my securedc，再單擊“打開(kāi)”。 18、 在導(dǎo)入模板中選擇“my securedc.inf”，單擊打開(kāi)。 19、 裝入比較模板后，再對(duì)它右擊選“立即分析計(jì)算機(jī)”。 20、 指定錯(cuò)誤日志文件路徑后，確定。 21、 這是分析出來(lái)的結(jié)果，可以關(guān)閉MMC了。【注意：這個(gè)工具只是用來(lái)分析一個(gè)候選安全配置和當(dāng)前安全配置之間的的差別，并不是本例中要實(shí)現(xiàn)這些功能所必須的。】 22、 安全模板建成后需要導(dǎo)入GPO中來(lái)使用，接下來(lái)，在“組策略管理”中建立一個(gè)“賬務(wù)部安全策略”的新策略，然后把這個(gè)GPO鏈接到“財(cái)務(wù)部”。 23、 剛鏈接的GPO“財(cái)務(wù)部安全策略”順序號(hào)為7，優(yōu)先積最低，它的一些安全設(shè)置可能被上面的GPO所覆蓋，因此把它移到第一位。（按一下左側(cè)的向上雙三角形） 24、 對(duì)這個(gè)GPO進(jìn)行編輯。 25、 在計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置上右擊，選“導(dǎo)入策略”。 26、 選剛編輯好的安全模板“MY securedc.inf”，再單擊“打開(kāi)”。 27、 關(guān)掉組策略編輯器和組策略管理，在開(kāi)始→運(yùn)行中執(zhí)行：gpupdate /force，刷新組策略，輸入N不注銷(xiāo)。 28、 對(duì)財(cái)務(wù)部的計(jì)算機(jī)（Glasgow）重啟，測(cè)試效果，按Ctrl+Alt+Delete后出現(xiàn)的登陸對(duì)話(huà)框。 使用非財(cái)務(wù)部成員來(lái)登陸被拒絕。 使用財(cái)務(wù)部成員jack可正常登陸。 【說(shuō)明：雖然現(xiàn)在限定了用戶(hù)密碼最小為10個(gè)字符，但以前設(shè)置的不足10個(gè)字符的密碼仍可用，但后來(lái)新建的用戶(hù)就需要10個(gè)了。】 三 、配置審核和安全日志管理 沒(méi)有綜合審核策略的安全策略是不完整的策略。審核就是通過(guò)在服務(wù)器或工作站的安全日志中記錄選定類(lèi)型的事件來(lái)跟蹤用戶(hù)和操作系統(tǒng)的活動(dòng)。常見(jiàn)審核的內(nèi)容如下： ? 訪問(wèn)對(duì)象，例如文件和文件夾； ? 用戶(hù)賬戶(hù)和組賬戶(hù)的管理； ? 用戶(hù)登錄到系統(tǒng)和從系統(tǒng)注銷(xiāo)。 例3：Glasgow為域中的文件服務(wù)器，要求在其中建立一個(gè)共享文件夾“機(jī)密文件”，只允許財(cái)務(wù)部用戶(hù)訪問(wèn)并完全控制，但有可能有非財(cái)務(wù)部用戶(hù)嘗試非法訪問(wèn)，或者有人晚上加班時(shí)偷用財(cái)部電腦訪問(wèn)，為了確保它的正規(guī)使用，要求跟蹤所有成功和失敗訪問(wèn)事件。另外，懷疑財(cái)務(wù)部的委派管理員，私自建立用戶(hù)賬戶(hù)給非財(cái)務(wù)部人員使用，然后又刪除，要求記錄相關(guān)事件，以做為有力證據(jù)。 要完成這些要求，需要先建立審核策略，再對(duì)審核對(duì)象進(jìn)行配置，啟動(dòng)它的相關(guān)審核功能。 本例中的網(wǎng)絡(luò)環(huán)境： 當(dāng)前域中OU結(jié)構(gòu)、委派管理員，及鏈接財(cái)務(wù)部的GPO和例2相同。 1. 打開(kāi)審核策略中的“審核對(duì)象訪問(wèn)”和“審核帳戶(hù)管理”的成功、失敗審核。 因?yàn)椤柏?cái)務(wù)部安全策略”鏈接在財(cái)務(wù)部，且財(cái)務(wù)部所有的用戶(hù)和計(jì)算機(jī)賬戶(hù)都在財(cái)務(wù)部，對(duì)“財(cái)務(wù)部安全策略”右擊選“編輯”。 在打開(kāi)的組策略編輯器中，定位到“審核策略”。 【知識(shí)點(diǎn)： 審核策略更改：該安全設(shè)置確定是否審核用戶(hù)權(quán)限分配策略、審核策略或信任策略更改的每一個(gè)事件。 審核登錄事件：該安全設(shè)置確定是否審核每一個(gè)登錄或注銷(xiāo)計(jì)算機(jī)的用戶(hù)實(shí)例。 審核對(duì)象訪問(wèn)：該安全設(shè)置確定是否審核用戶(hù)訪問(wèn)某個(gè)對(duì)象的事件，例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等，它們都有自己特定的系統(tǒng)訪問(wèn)控制列表 (SACL)。 審核過(guò)程跟蹤：該安全設(shè)置確定是否審核事件（例如程序激活、進(jìn)程退出、句柄復(fù)制和間接對(duì)象訪問(wèn)等）的詳細(xì)跟蹤信息。 審核目錄服務(wù)訪問(wèn)：該安全設(shè)置確定是否審核用戶(hù)訪問(wèn)那些指定自己的系統(tǒng)訪問(wèn)控制列表 (SACL) 的 Active Directory 對(duì)象的事件。 審核特權(quán)使用：該安全設(shè)置確定是否審核用戶(hù)實(shí)施其用戶(hù)權(quán)利的每一個(gè)實(shí)例。 審核系統(tǒng)事件:當(dāng)用戶(hù)重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者對(duì)系統(tǒng)安全或安全日志有影響的事件發(fā)生時(shí)，安全設(shè)置確定是否予以審核。 審核帳戶(hù)登錄事件：該安全設(shè)置確定是否審核在這臺(tái)計(jì)算機(jī)用于驗(yàn)證帳戶(hù)時(shí)，用戶(hù)登錄到其他計(jì)算機(jī)或者從其他計(jì)算機(jī)注銷(xiāo)的每個(gè)實(shí)例。當(dāng)在域控制器上對(duì)域用戶(hù)帳戶(hù)進(jìn)行身份驗(yàn)證時(shí)，將產(chǎn)生帳戶(hù)登錄事件。該事件記錄在域控制器的安全日志中。當(dāng)在本地計(jì)算機(jī)上對(duì)本地用戶(hù)進(jìn)行身份驗(yàn)證時(shí)，將產(chǎn)生登錄事件。該事件記錄在本地安全日志中。不產(chǎn)生帳戶(hù)注銷(xiāo)事件。 審核帳戶(hù)管理：該安全設(shè)置確定是否審核計(jì)算機(jī)上的每一個(gè)帳戶(hù)管理事件。帳戶(hù)管理事件的例子包括：創(chuàng)建、更改或刪除用戶(hù)帳戶(hù)或組、重命名、禁用或啟用用戶(hù)帳戶(hù)、設(shè)置或更改密碼。】 打開(kāi)審核對(duì)象訪問(wèn)的成功、失敗操作。（用于跟蹤記錄文件夾的成功、失敗訪問(wèn)操作） 再打開(kāi)審核賬戶(hù)管理的成功操作。(用于跟蹤記錄財(cái)務(wù)部成功對(duì)用戶(hù)的建立、刪除等操作，這里不需要記錄失敗操作) 【知識(shí)點(diǎn)：并不是所有操作都需要審核成功和失敗事件的，通過(guò)實(shí)踐，我們有最佳配置審核的方法： l 審核目錄服務(wù)訪問(wèn)類(lèi)別成功事件 l 審核對(duì)象訪問(wèn)目錄類(lèi)別成功事件 l 審核系統(tǒng)類(lèi)別成功和失敗事件 l 審核在域控制器上策略改變類(lèi)別成功或失敗事件 l 審核賬戶(hù)管理類(lèi)別成功和失敗事件 l 審核登錄類(lèi)別成功事件 l 審核域控制器上賬戶(hù)登錄類(lèi)別的成功事件 l 設(shè)置合適的安全日志大小????? 】 2. 在Glasgow上建立一個(gè)共享文件夾“機(jī)密文件”，只允許財(cái)務(wù)部用戶(hù)訪問(wèn)并完全控制，另外對(duì)其進(jìn)行訪問(wèn)進(jìn)行策略審核【說(shuō)明：本例操作全部都在域控制器上完成。】 打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)，找到財(cái)務(wù)部中的Glasgow計(jì)算機(jī)，并對(duì)它右擊選“管理”（本例是接上例，這里所有財(cái)務(wù)部用戶(hù)都隸屬于“G S 財(cái)務(wù)組”）。 在計(jì)算機(jī)管理中，展開(kāi)系統(tǒng)工具→共享文件夾→共享，在右側(cè)單擊選“新建共享”。 下一步 單擊瀏覽。 在D$上新建一個(gè)文件夾“機(jī)密文件”，并要確保D盤(pán)是NTFS系統(tǒng)，不然無(wú)法使用文件夾的審核策略。 單擊“自定義”按鈕，在共享權(quán)限和安全選項(xiàng)卡中都加入“G S 財(cái)務(wù)組”，并設(shè)為完全控制，刪除其他用戶(hù)和組，然后“確定”。 在安全中單擊“高級(jí)”，在高級(jí)的“審核”選項(xiàng)卡中單擊“添加”，把everyone加入并確定。 對(duì)Everyone訪問(wèn)設(shè)置成所有成功和失敗事件。 一路確定下來(lái)，再“關(guān)閉”。 3. 對(duì)組織單位（OU）財(cái)務(wù)部進(jìn)行管理審核。 打開(kāi)“財(cái)務(wù)部”的屬性。 在彈出的屬性框的安全中單擊“高級(jí)”按鈕，在高級(jí)的審核選項(xiàng)卡在單擊“添加”按鈕。 審核項(xiàng)目為：Everyone。 只審核成功管理。 一路確定下來(lái)，完成了對(duì)文件夾的審核設(shè)置。 4. 測(cè)試：對(duì)“財(cái)務(wù)部”的賬戶(hù)管理跟蹤。 所有審核事件都記錄在“安全性”日志中，對(duì)域賬戶(hù)管理都記錄在域控制器的“安全性”日志中，但并不是所有對(duì)象的“安全性”日志都在域控制器上，比如“機(jī)密文件”在Glasgow上，它的審核策略就記錄在Glasgow的“安全性”日志中，為了后面的審核日志很干凈，我們把域控制器London當(dāng)前所有的安全性日志，全保存后再刪除。 在Glasgow上用Leo用戶(hù)登陸，履行其委派管理員職能，先運(yùn)行MMC，添加“Active Directory用戶(hù)和計(jì)算機(jī)”管理單元，在“財(cái)務(wù)部”中建立一個(gè)用戶(hù)cool。 回以域控制器London的事件查看器，在右側(cè)刷新下，出現(xiàn)很多最新的審核日志。 使用篩選，只篩選出來(lái)源“Security”和分類(lèi)“賬戶(hù)管理”。 日志記錄了Leo創(chuàng)建了用戶(hù)Cool。 5. 測(cè)試對(duì)“機(jī)密文件”的訪問(wèn)跟蹤 用Leo用戶(hù)通過(guò)“網(wǎng)上鄰居”訪問(wèn)Glasgow上的“機(jī)密文件”，并建立一個(gè)文件夾。 在域控制器London上的本地事件查看中，關(guān)于“對(duì)象訪問(wèn)”的分類(lèi)，并沒(méi)有“機(jī)密文件”的日志，顯然它不存儲(chǔ)在域控制器上。 對(duì)“事件查看器（本地）”右擊，選“連接到另一臺(tái)計(jì)算機(jī)”。 連接到Glasgow。 篩選出來(lái)源“Security”和分類(lèi)“對(duì)象訪問(wèn)”。 篩選出很多“對(duì)象訪問(wèn)”分類(lèi)的日志記錄，其中有Leo建立的“Leo測(cè)試訪問(wèn)跟蹤”文件夾的跟蹤日志記錄。 另外1：對(duì)每一種日志右擊選“屬性”，可設(shè)置日志上限和達(dá)到大小上限時(shí)采用的處理方法。 另外2：也可以在組策略中對(duì)安全設(shè)置→事件日志，對(duì)日志的訪問(wèn)、大小、保留等情況設(shè)置。 本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/yllmz/288560

總結(jié)

以上是生活随笔為你收集整理的网络管理员＆MCSE2003之12: 第8章 应用管理模板和审核策略的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。