一、 用戶的權(quán)利與權(quán)限 用戶在登錄時(shí)收到一個(gè)包含用戶權(quán)利的訪問令牌。用戶權(quán)利授權(quán)登錄計(jì)算機(jī)或網(wǎng)絡(luò)用戶在系統(tǒng)上執(zhí)行特定操作。如果用戶沒有某項(xiàng)操作的權(quán)利，系統(tǒng)會(huì)阻止用戶操作。 權(quán)限定義了授予用戶或組對(duì)某個(gè)對(duì)象或?qū)ο髮傩缘脑L問類型。 用戶的權(quán)利：是系統(tǒng)上的行為，比如：登錄、更改時(shí)間、關(guān)閉系統(tǒng)、從網(wǎng)絡(luò)訪問此計(jì)算機(jī)。 權(quán)限：是對(duì)象上的行為，比如：文件夾的讀寫權(quán)限，打印機(jī)的使用權(quán)限等。 例1：通過禁止用戶從本地登錄到計(jì)算機(jī)來測(cè)試用戶權(quán)利分配。成功之后，再把本地登錄權(quán)利分配給用戶。 1、 刪除“Users”組的本地登錄權(quán)利。 Users組用戶bei是本地用戶，可正常登錄計(jì)算機(jī)。 運(yùn)行本地組策略編輯器。 定位到計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配允許在本地登錄，然后對(duì)右側(cè)“允許在本地登錄”雙擊。 刪除Users后確定，關(guān)閉所有窗口，然后注銷。 2、 測(cè)試權(quán)限是否已經(jīng)刪除。 Bei用戶已經(jīng)不能再登錄。 3、 為“Users”組分配本地登錄權(quán)利。 重新使用本地系統(tǒng)管理員身份登陸，再打開本地組策略編輯器，再次定位到下圖位置，把Users重新加入“允許在本地登錄”，再確定關(guān)閉所有窗口，注銷。 4、 測(cè)試是否分配成功。 再使用bei用戶登錄。 登錄成功。 二、使用“安全模板”、“安全配置和分析”來保護(hù)計(jì)算機(jī) 例2：為了提高財(cái)務(wù)部工作的安全，公司要求只允許財(cái)務(wù)部的用戶能從財(cái)務(wù)部計(jì)算機(jī)登錄到域，禁止其他用戶從賬務(wù)部計(jì)算機(jī)登陸，財(cái)務(wù)部成員使用不小于10位的復(fù)雜密碼，在該部門用戶登陸時(shí)必須顯示一個(gè)對(duì)話框，告知未經(jīng)授權(quán)禁止使用財(cái)務(wù)部電腦，并且禁用“Alerter”服務(wù)。 1、域控制器上，在Active Directory用戶和計(jì)算機(jī)中，當(dāng)前財(cái)務(wù)部用戶情況如下圖： 2、在財(cái)務(wù)部下建立一個(gè)“財(cái)務(wù)部計(jì)算機(jī)”組織單位（OU），并把所有財(cái)務(wù)部計(jì)算機(jī)移到其內(nèi)。 3、假設(shè)GLASGOW代表所有財(cái)務(wù)部計(jì)算機(jī)，把它從容器“Computers”移到“財(cái)務(wù)部計(jì)算機(jī)”內(nèi)。 4、在財(cái)務(wù)部?jī)?nèi)建立一個(gè)全局安全組“G S 財(cái)務(wù)組”（不要建成了域本地安全組），用于容納所有財(cái)務(wù)部用戶。 5、財(cái)務(wù)部所有用戶賬戶添加到“G S 財(cái)務(wù)組”中，確定后，關(guān)閉Active Directory用戶和計(jì)算機(jī)。 6、 在運(yùn)行中輸入MMC執(zhí)行，在MMC中添加“安全模板”、“安全配制和分析”。 7、 安全模板：是經(jīng)過配置的安全設(shè)置的集合。本例以Securedc.inf為模板新建一個(gè)MY Securedc.inf模板。 系統(tǒng)自帶安全模板功能介紹， 域控制器默認(rèn)安全設(shè)置(DC security.inf):針對(duì)域控制器指定缺省安全設(shè)置從默認(rèn)安全設(shè)置更新（security.inf） 兼容(Compatws.inf):針對(duì)用戶組啟用最大應(yīng)用程序兼容性來修改權(quán)限和注冊(cè)表設(shè)置 安全(Securedc.inf 、Securews.inf):加強(qiáng)安全設(shè)置（定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置） 高級(jí)安全(Hisecdc.inf 、Hisecws.inf):在安全設(shè)置中增加了限制 系統(tǒng)根目錄安全 (Rootsec.inf):為系統(tǒng)驅(qū)動(dòng)器根目錄定義權(quán)限 8、 對(duì)Securedc右擊選菜單中的另存為，給新的安全模板取名為：MY Securedc，并展開它。 9、 更改密碼長(zhǎng)度最小值為10個(gè)字符。 10、 “允許在本地登錄”設(shè)為“G S 財(cái)務(wù)組”和“Administrators”組。（“Administrators”組是必須的，不然系統(tǒng)會(huì)拒絕設(shè)置） 11、 設(shè)置登錄時(shí)消息標(biāo)題“登陸請(qǐng)注意：”。 12、 登錄時(shí)消息文字：“非財(cái)務(wù)部所屬員工，禁止使用財(cái)務(wù)部電腦，一經(jīng)發(fā)現(xiàn)嚴(yán)重處理。???? 公司經(jīng)理室” 13、 禁用系統(tǒng)服務(wù)：Alerter。 14、 保存當(dāng)前對(duì)模板的修改。 15、 使用“安全配置和分析”工具比較MY Securedc安全設(shè)置和當(dāng)前正使用的安全設(shè)置有什么區(qū)別。（它將本地計(jì)算機(jī)的安全配置與另一個(gè)候選配置進(jìn)行比較，該候選配置從一個(gè)安全模板（.inf文件）導(dǎo)入并保存在一個(gè)單獨(dú)的數(shù)據(jù)庫（.sdb文件）中。分析結(jié)束后，管理員可以瀏覽控制臺(tái)樹中的安全設(shè)置以查看結(jié)果。兩者不匹配的設(shè)置項(xiàng)以紅色叉號(hào)標(biāo)記，一致的設(shè)置項(xiàng)以綠色句號(hào)鉤標(biāo)記。沒有用這兩種符號(hào)的表明沒有在數(shù)據(jù)庫中配置該項(xiàng)。） 16、 首先對(duì)“安全配置和分析”右擊選“打開數(shù)據(jù)庫”。 17、 在文件名中輸入新建數(shù)據(jù)庫的名字：my securedc，再單擊“打開”。 18、 在導(dǎo)入模板中選擇“my securedc.inf”，單擊打開。 19、 裝入比較模板后，再對(duì)它右擊選“立即分析計(jì)算機(jī)”。 20、 指定錯(cuò)誤日志文件路徑后，確定。 21、 這是分析出來的結(jié)果，可以關(guān)閉MMC了。【注意：這個(gè)工具只是用來分析一個(gè)候選安全配置和當(dāng)前安全配置之間的的差別，并不是本例中要實(shí)現(xiàn)這些功能所必須的。】 22、 安全模板建成后需要導(dǎo)入GPO中來使用，接下來，在“組策略管理”中建立一個(gè)“賬務(wù)部安全策略”的新策略，然后把這個(gè)GPO鏈接到“財(cái)務(wù)部”。 23、 剛鏈接的GPO“財(cái)務(wù)部安全策略”順序號(hào)為7，優(yōu)先積最低，它的一些安全設(shè)置可能被上面的GPO所覆蓋，因此把它移到第一位。（按一下左側(cè)的向上雙三角形） 24、 對(duì)這個(gè)GPO進(jìn)行編輯。 25、 在計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置上右擊，選“導(dǎo)入策略”。 26、 選剛編輯好的安全模板“MY securedc.inf”，再單擊“打開”。 27、 關(guān)掉組策略編輯器和組策略管理，在開始→運(yùn)行中執(zhí)行：gpupdate /force，刷新組策略，輸入N不注銷。 28、 對(duì)財(cái)務(wù)部的計(jì)算機(jī)（Glasgow）重啟，測(cè)試效果，按Ctrl+Alt+Delete后出現(xiàn)的登陸對(duì)話框。 使用非財(cái)務(wù)部成員來登陸被拒絕。 使用財(cái)務(wù)部成員jack可正常登陸。 【說明：雖然現(xiàn)在限定了用戶密碼最小為10個(gè)字符，但以前設(shè)置的不足10個(gè)字符的密碼仍可用，但后來新建的用戶就需要10個(gè)了。】 三 、配置審核和安全日志管理 沒有綜合審核策略的安全策略是不完整的策略。審核就是通過在服務(wù)器或工作站的安全日志中記錄選定類型的事件來跟蹤用戶和操作系統(tǒng)的活動(dòng)。常見審核的內(nèi)容如下： ? 訪問對(duì)象，例如文件和文件夾； ? 用戶賬戶和組賬戶的管理； ? 用戶登錄到系統(tǒng)和從系統(tǒng)注銷。 例3：Glasgow為域中的文件服務(wù)器，要求在其中建立一個(gè)共享文件夾“機(jī)密文件”，只允許財(cái)務(wù)部用戶訪問并完全控制，但有可能有非財(cái)務(wù)部用戶嘗試非法訪問，或者有人晚上加班時(shí)偷用財(cái)部電腦訪問，為了確保它的正規(guī)使用，要求跟蹤所有成功和失敗訪問事件。另外，懷疑財(cái)務(wù)部的委派管理員，私自建立用戶賬戶給非財(cái)務(wù)部人員使用，然后又刪除，要求記錄相關(guān)事件，以做為有力證據(jù)。 要完成這些要求，需要先建立審核策略，再對(duì)審核對(duì)象進(jìn)行配置，啟動(dòng)它的相關(guān)審核功能。 本例中的網(wǎng)絡(luò)環(huán)境： 當(dāng)前域中OU結(jié)構(gòu)、委派管理員，及鏈接財(cái)務(wù)部的GPO和例2相同。 1. 打開審核策略中的“審核對(duì)象訪問”和“審核帳戶管理”的成功、失敗審核。 因?yàn)椤柏?cái)務(wù)部安全策略”鏈接在財(cái)務(wù)部，且財(cái)務(wù)部所有的用戶和計(jì)算機(jī)賬戶都在財(cái)務(wù)部，對(duì)“財(cái)務(wù)部安全策略”右擊選“編輯”。 在打開的組策略編輯器中，定位到“審核策略”。 【知識(shí)點(diǎn)： 審核策略更改：該安全設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略更改的每一個(gè)事件。 審核登錄事件：該安全設(shè)置確定是否審核每一個(gè)登錄或注銷計(jì)算機(jī)的用戶實(shí)例。 審核對(duì)象訪問：該安全設(shè)置確定是否審核用戶訪問某個(gè)對(duì)象的事件，例如文件、文件夾、注冊(cè)表項(xiàng)、打印機(jī)等，它們都有自己特定的系統(tǒng)訪問控制列表 (SACL)。 審核過程跟蹤：該安全設(shè)置確定是否審核事件（例如程序激活、進(jìn)程退出、句柄復(fù)制和間接對(duì)象訪問等）的詳細(xì)跟蹤信息。 審核目錄服務(wù)訪問：該安全設(shè)置確定是否審核用戶訪問那些指定自己的系統(tǒng)訪問控制列表 (SACL) 的 Active Directory 對(duì)象的事件。 審核特權(quán)使用：該安全設(shè)置確定是否審核用戶實(shí)施其用戶權(quán)利的每一個(gè)實(shí)例。 審核系統(tǒng)事件:當(dāng)用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)時(shí)或者對(duì)系統(tǒng)安全或安全日志有影響的事件發(fā)生時(shí)，安全設(shè)置確定是否予以審核。 審核帳戶登錄事件：該安全設(shè)置確定是否審核在這臺(tái)計(jì)算機(jī)用于驗(yàn)證帳戶時(shí)，用戶登錄到其他計(jì)算機(jī)或者從其他計(jì)算機(jī)注銷的每個(gè)實(shí)例。當(dāng)在域控制器上對(duì)域用戶帳戶進(jìn)行身份驗(yàn)證時(shí)，將產(chǎn)生帳戶登錄事件。該事件記錄在域控制器的安全日志中。當(dāng)在本地計(jì)算機(jī)上對(duì)本地用戶進(jìn)行身份驗(yàn)證時(shí)，將產(chǎn)生登錄事件。該事件記錄在本地安全日志中。不產(chǎn)生帳戶注銷事件。 審核帳戶管理：該安全設(shè)置確定是否審核計(jì)算機(jī)上的每一個(gè)帳戶管理事件。帳戶管理事件的例子包括：創(chuàng)建、更改或刪除用戶帳戶或組、重命名、禁用或啟用用戶帳戶、設(shè)置或更改密碼。】 打開審核對(duì)象訪問的成功、失敗操作。（用于跟蹤記錄文件夾的成功、失敗訪問操作） 再打開審核賬戶管理的成功操作。(用于跟蹤記錄財(cái)務(wù)部成功對(duì)用戶的建立、刪除等操作，這里不需要記錄失敗操作) 【知識(shí)點(diǎn)：并不是所有操作都需要審核成功和失敗事件的，通過實(shí)踐，我們有最佳配置審核的方法： l 審核目錄服務(wù)訪問類別成功事件 l 審核對(duì)象訪問目錄類別成功事件 l 審核系統(tǒng)類別成功和失敗事件 l 審核在域控制器上策略改變類別成功或失敗事件 l 審核賬戶管理類別成功和失敗事件 l 審核登錄類別成功事件 l 審核域控制器上賬戶登錄類別的成功事件 l 設(shè)置合適的安全日志大小????? 】 2. 在Glasgow上建立一個(gè)共享文件夾“機(jī)密文件”，只允許財(cái)務(wù)部用戶訪問并完全控制，另外對(duì)其進(jìn)行訪問進(jìn)行策略審核【說明：本例操作全部都在域控制器上完成。】 打開Active Directory用戶和計(jì)算機(jī)，找到財(cái)務(wù)部中的Glasgow計(jì)算機(jī)，并對(duì)它右擊選“管理”（本例是接上例，這里所有財(cái)務(wù)部用戶都隸屬于“G S 財(cái)務(wù)組”）。 在計(jì)算機(jī)管理中，展開系統(tǒng)工具→共享文件夾→共享，在右側(cè)單擊選“新建共享”。 下一步 單擊瀏覽。 在D$上新建一個(gè)文件夾“機(jī)密文件”，并要確保D盤是NTFS系統(tǒng)，不然無法使用文件夾的審核策略。 單擊“自定義”按鈕，在共享權(quán)限和安全選項(xiàng)卡中都加入“G S 財(cái)務(wù)組”，并設(shè)為完全控制，刪除其他用戶和組，然后“確定”。 在安全中單擊“高級(jí)”，在高級(jí)的“審核”選項(xiàng)卡中單擊“添加”，把everyone加入并確定。 對(duì)Everyone訪問設(shè)置成所有成功和失敗事件。 一路確定下來，再“關(guān)閉”。 3. 對(duì)組織單位（OU）財(cái)務(wù)部進(jìn)行管理審核。 打開“財(cái)務(wù)部”的屬性。 在彈出的屬性框的安全中單擊“高級(jí)”按鈕，在高級(jí)的審核選項(xiàng)卡在單擊“添加”按鈕。 審核項(xiàng)目為：Everyone。 只審核成功管理。 一路確定下來，完成了對(duì)文件夾的審核設(shè)置。 4. 測(cè)試：對(duì)“財(cái)務(wù)部”的賬戶管理跟蹤。 所有審核事件都記錄在“安全性”日志中，對(duì)域賬戶管理都記錄在域控制器的“安全性”日志中，但并不是所有對(duì)象的“安全性”日志都在域控制器上，比如“機(jī)密文件”在Glasgow上，它的審核策略就記錄在Glasgow的“安全性”日志中，為了后面的審核日志很干凈，我們把域控制器London當(dāng)前所有的安全性日志，全保存后再刪除。 在Glasgow上用Leo用戶登陸，履行其委派管理員職能，先運(yùn)行MMC，添加“Active Directory用戶和計(jì)算機(jī)”管理單元，在“財(cái)務(wù)部”中建立一個(gè)用戶cool。 回以域控制器London的事件查看器，在右側(cè)刷新下，出現(xiàn)很多最新的審核日志。 使用篩選，只篩選出來源“Security”和分類“賬戶管理”。 日志記錄了Leo創(chuàng)建了用戶Cool。 5. 測(cè)試對(duì)“機(jī)密文件”的訪問跟蹤 用Leo用戶通過“網(wǎng)上鄰居”訪問Glasgow上的“機(jī)密文件”，并建立一個(gè)文件夾。 在域控制器London上的本地事件查看中，關(guān)于“對(duì)象訪問”的分類，并沒有“機(jī)密文件”的日志，顯然它不存儲(chǔ)在域控制器上。 對(duì)“事件查看器（本地）”右擊，選“連接到另一臺(tái)計(jì)算機(jī)”。 連接到Glasgow。 篩選出來源“Security”和分類“對(duì)象訪問”。 篩選出很多“對(duì)象訪問”分類的日志記錄，其中有Leo建立的“Leo測(cè)試訪問跟蹤”文件夾的跟蹤日志記錄。 另外1：對(duì)每一種日志右擊選“屬性”，可設(shè)置日志上限和達(dá)到大小上限時(shí)采用的處理方法。 另外2：也可以在組策略中對(duì)安全設(shè)置→事件日志，對(duì)日志的訪問、大小、保留等情況設(shè)置。 本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/yllmz/288560

總結(jié)

以上是生活随笔為你收集整理的网络管理员＆MCSE2003之12: 第8章 应用管理模板和审核策略的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。