搜索
2020年6月22日第14章WindowsServer2008的安全管理14.1安全设置14.1.1认识组策略14.1.2创建组策略对象14.1.3删除组策略对象14.1.4设置组策略对象选项14.2审核14.3安全记录第14章WindowsServer2008的安全管理14.3.1认识WindowsServer2008安全记录14.3.2查看安全记录14.4安全模板14.4.1认识安全模板14.4.2安全设置分析14.4.3管理安全模板14.5强化WindowsServer2008安全的方法【本章提要】•组策略的概念和组策略的管理•安全审核策略•安全模板的配置和管理•增强WindowsServer2008安全的方法基本内容•随着网络的发展、计算机的广泛应用以及用户环境的日益复杂,计算机的安全显得越来越重要,也越来越复杂。为了有效地管理企业或部门的计算机安全,WindowsServer2008系统通过ActiveDirectory提供了一系列的安全策略,可以集中管理和配置组织内的安全设置,方便管理员轻松地维护整个网络系统的安全。本章主要介绍WindowsServer2008中安全设置的方法,包括组策略的管理和应用;监视系统访问、保证系统安全和对事件进行跟踪的审核策略;以及安全模板的分析设置和管理。最后介绍了强化WindowsServer2008安全的常见方法。14.1安全设置•计算机的安全对今天的操作系统而言是一个很重要的问题,它贯穿到许多系统服务功能之中,涉及网络、密码学、认证、文件加密等各个方面。在今天日益复杂的环境中,为了达到较高的安全程度,WindowsServer2008提供了一系列措施来保障系统的安全,如加密、数字签名、密钥体系、用户验证等。14.1安全设置•14.1.1认识组策略•组策略,简单地说,与修改注册表配置所完成的功能是一样的。但是,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,比手工修改注册表方便灵活,功能也更加强大。•组策略通常是系统管理员为加强整个域或网络共同的策略而设置并进行管理的。组策略会影响到用户账户、组、计算机和组织单位,它是存储在ActiveDirectory中的配置,一个对象可能有多个组策略来创建动态环境。14.1安全设置•14.1.2创建组策略对象•组策略对象的容器可以是ActiveDirectory的任何逻辑结构单位,包括站点、域或组织单位OU。在设置组策略之前必须创建一个或多个组策略对象,然后通过组策略编辑器设置所创建的组策略对象。•在运行WindowsServer2008系统的每台计算机上都只有一个本地组策略对象。在这些对象中,组策略设置存储在保个计算机上,无论它们是否属于ActiveDirectory环境或网络环境的一部分.本地策略对象包含的设置要少于非本地组策略对象的设置,尤其是在“安全设置”下。14.1安全设置(1)选择“开始|管理工具|组策略管理”,打开组策略控制台窗口,鼠标右击“组策略对象”,从弹出的快捷菜单中选择“新建”命令,如图14.1所示。图14.1“组策略管理”控制台窗口14.1安全设置•(2)打开“新建GPO”对话框,在该对话框中指定GPO的名称和源StarterGPO,如图14.2所示,输入要创建的组策略对象名称,如“GPO_1”然后单击“确定”按钮即可完成GPO的创建。•图14.2新建GPO14.1安全设置•(3)返回如图14.3所示的“组策略管理”控制台,在“组策略对象”节点下可以看到所创建的组策略对象“GPO_1”该组策略默认为已启用状态。图14.3GPO创建后的效果14.1安全设置•创建GPO以后,只有将其链接到相应的站点、域或组织单位(OU)时,这些容器下的用户和计算机才会生效。使用“组策略管理”控制台将组策略对象“GPO_1”链接到组织单位“student”上,具体步骤如下:•(1)右键单击需要链接组策略对象的容器“student”,在弹出的菜单中选择“链接现有GPO”,如图14.4所示,最后单击“确定”按钮完成GPO的链接。图14.4链接已存在的GPO14.1安全设置•(2)返回如图14.5所示的“组策略管理”控制台中,在“student”节点下可以看到该容器已经链接了组策略对象“GPO_1”,并且已经启用了链接。图14.5GPO链接后的效果14.1安全设置•14.1.3删除组策略对象•组策略对象设置不合理或者不再需要时,可以将其删除,因为多余的组策略对系统有一定的影响,可以导致用户登录速度变慢。•在图14.3所示的“组策略”选项卡中,右击要删除的对象”GPO_1”,在弹出的菜单中选择“删除”,打开如图14.6所示的“组策略管理”对话框,最后单击“确定”按钮即可删除组策略对象的链接。图14.6删除组策略对象的链接14.1安全设置•14.1.4设置组策略对象选项•组策略配置是相当灵活的,内容也很丰富,组策略对象创建完毕之后,还有很多的选项可以设置。具体的选项可以从如下方面进行设置:•(1)阻止继承组策略对象。通过阻止组策略的继承来阻止某个域或组织单位的策略继承。使用阻止继承可以避免链接到父级别站点、域或组织单位的GPO自动由子级项继承。默认情况下,子项会从父项继承所有的GPO,因此有时阻止继承非常有用。阻止继承父容器的组策略对象步骤如下:14.1安全设置•在“组策略管理”控制台中,单击需要阻止继承组策略对象的容器例如“student”,在控制台右侧选择“组策略继承”选项卡,如图14.7所示,可以看到当前容器“student”链接了两个组策略对象,分别是“GPO_1”和“DefaultDomainPolicy”,其中组策略对象“DefaultDomainPolicy”是从父容器“foshan.com”处继承的。图14.7“组策略继承”选项14.1安全设置右键单击需要阻止继承的容器“student”,在弹出的菜单中选择“阻止继承”,如图14.8所示。图14.8阻止组策略继承14.1安全设置•返回“组策略管理”控制台,可以看到在“组策略继承”选项卡中已经不存在之前从父容器继承“foshan.com”处继承的组策略对象“DefaultDomainPolicy”,如图14.9所示。图14.9阻止继承组策略对象后的效果14.1安全设置•(2)强制继承组策略对象。通过将链接设置为“强制”,可以指定该GPO链接中的设置优先于任何子对象的设置。打开“组策略管理”控制台,右击需要强制继承的组策略对象“DefaultDomainPolicy”,在弹出的菜单中选择“强制”,如图14.10所示。图14.10强制继承组策略对象14.1安全设置•返回“组策略管理”控制台,可以看到该组策略对象的“作用域”选项卡中已经启用了强制功能,如图14.11所示。图14.11强制继承组策略对象后的效果14.1安全设置•切换到“组策略继承”选项卡看到又存在了组策略对象“DefaultDomainPolicy”,如图14.12所示。图14.12“组策略继承”选项卡14.1安全设置•(3)WMI(WindowsManagementInstrumentation)筛选器。使用WMI筛选器能够根据目标计算机的属性,动态确定组策略对象的范围。如果目标计算机上应用了链接到WMI筛选器的GPO,则会在该目标计算机上评估该筛选器。如果WMI筛选器的评估结果为假,则不会应用该GPO,如果筛选器评估结果为真,则将应用GPO。14.1安全设置•(4)组策略的禁用。在默认情况下对所有GPO链接都执行启用处理。通过禁用给定域、站点或组织单位的GPO链接,可以完全阻止应用该站点、域或组织单位的GPO。这里使用“组策略管理”控制台禁用组织单位“student”上的组策略对象“GPO_1”的链接,具体操作步骤如下:•打开“组策略管理”控制台,右键单击“GPO_1”,在弹出的菜单中勾选“已启用链接”则标明该链接当前已启用,如图14.17所示。没有勾选“已启用链接”标明已禁用该链接,如图14.18所示禁用组策略对象“GPO_1”链接后的效果。14.1安全设置图14.17启用组策略对象“GPO_1”链接图14.18禁用组策略对象“GPO_1”链接后的效果14.1安全设置•(5)组策略的属性。•①在“常规”选项卡中,可以查看该组策略已经链接的对象、安全筛选以及WMI重筛选情况,如图14.19所示。图14.19“作用域”选项卡14.1安全设置•②在“详细信息”选项卡中,可以查看关于该组策略对象的域、所有者、创建/修改时间、用户/计算机版本、惟一ID以及注释等信息,甚至可以修改GPO状态。如图14.20所示。图14.20“详细信息”选项卡14.1安全设置•③在“设置”选项卡中,可以查看该组策略的配置信息报告,此时将显示所有已经定义策略的设置,但不显示没有定义的设置.在该选项卡中还可以编辑组策略,以及保存和打印报告,如图14.21所示。图14.21“设置”选项卡14.1安全设置•④设置安全筛选。安全筛选是一种精确表明哪些用户和计算机将接收和应用策略对象的一种方法。使用安全筛选可以指定只有与GPO链接的某个容器中的某些安全体才应用GPO。安全组筛选将确定GPO是否作为整体应用到组、用户或计算机;不能在GPO中的不同设置上有选择地使用它。14.2审核审核提供了一种在WindowsServer2008中跟踪所有事件从而监视系统访问和保证系统安全的方法。它是一个保证系统安全的重要工具。审核允许跟踪特定的事件,具体地说,审核允许跟踪特定事件的成败。例如,可以通过审核登录来跟踪谁登录成功以及谁(以及何时)登录失败,还可以审核对给定文件夹或文件对象的访问,跟踪是谁在使用这些文件夹和文件以及对它们进行了什么操作。这些事件都可以记录在安全日志中。14.2审核•WindowsServer2008允许设置的审核策略,包括如下几项:•(1)审核策略更改:跟踪用户权限或审核策略的改变。•(2)审核登录事件:跟踪用户登录、注销任务或本地系统账户的远程登录服务。•(3)审核对象访问:跟踪对象何时被访问以及访问的类型。例如,跟踪对文件夹、文件、打印机等的使用。用对象的属性(如文件夹或文件的“安全”选项卡)可配置对指定事件的审核。•(4)审核过程跟踪:跟踪诸如程序启动、复制、进程退出等事件。14.2审核•(5)审核目录服务访问:跟踪对ActiveDirectory对象的访问。•(6)审核特权使用:跟踪用户何时使用了不应有的权限(超越了与登录或退出有关的权限)。•(7)审核系统事件:跟踪重新启动、启动或关机等的系统事件,或影响系统安全或安全日志的事件。•(8)审核账户登录事件:跟踪用户账户登录和退出。•(9)审核账户管理:跟踪某个用户账户或组是何时建立、修改和删除的,它是何时改名、启用或禁止的,其密码是何时设置或修改的。14.2审核•在“管理工具”中的“本地安全策略”可以打开本地审核策略。接下来以本地安全审核策略的配置过程为例介绍其配置方法。•(1)选择“开始|管理工具|本地安全策略”,弹出如图14.25所示界面,依次选中“安全设置|本地策略|审核策略”,将展开具体的审核策略。图14.25本地安全设置14.2审核•(2)在图14.25的右侧的窗口中,双击某个策略显示出其设置,如双击审核登录事件,将弹出如图14.26所示的对话框。可以审核成功登录事件,也可以跟踪失败的登录事件以便跟踪非授权使用系统的企图。图14.26“审核登录事件属性”对话框14.2审核•(3)选择“成功”或“失败”或两者都选,然后确定,配置完成。这样每次用户的登录或注销事件都能在事件查看器的“安全性”中看到审核的记录。•如果要审核对给定文件夹或文件对象的访问,可通过如下方法设置:•(1)打开“Windows资源管理器”并定位该文件夹(如“C:\Windows”文件夹)或文件,用右键选择“属性”,弹出其属性界面。•(2)单击“安全”选项卡,然后单击“高级”按钮,如图14.27所示,则可打开“高级安全设置”对话框。14.2审核图14.27Windows文件夹安全属