系統(tǒng)安全管理技術(shù)教學(xué)重點(diǎn)

●組策略的安全設(shè)置操作●設(shè)置安全的審核策略●創(chuàng)建軟件限制策略●使用本地組策略配置系統(tǒng)安全11.1

組策略的安全設(shè)置操作11.1.1任務(wù)1：理解組策略1.組策略的類型WindowsServer2016中的組策略包含應(yīng)用程序配置組策略、文件配置組策略、腳本組策略、管理模板組策略和安全組策略等5種類型。2.組策略對(duì)象組策略對(duì)象(GPO,GroupPolicyObject),用于存儲(chǔ)組策略配置信息的集合。3.組策略容器組策略容器(GPC,GroupPolicyContainer),是一個(gè)存儲(chǔ)組策略對(duì)象屬性的活動(dòng)目錄對(duì)象。4.組策略模板組策略模板(GPT,GroupPolicyTemplate),是在每個(gè)域控制器上創(chuàng)建的、用以存儲(chǔ)組策略對(duì)象的文件夾子集。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作1.創(chuàng)建組策略對(duì)象創(chuàng)建組策略對(duì)象按以下步驟進(jìn)行:步驟1:選擇“服務(wù)器管理器|工具|組策略管理”,出現(xiàn)圖11-1所示的“組策略管理”窗口。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作1.創(chuàng)建組策略對(duì)象創(chuàng)建組策略對(duì)象按以下步驟進(jìn)行:步驟2:在要?jiǎng)?chuàng)建組策略對(duì)象(GPO)的林和域中,選擇“組策略對(duì)象”結(jié)點(diǎn),并在其上單擊鼠標(biāo)右鍵,選擇“新建”命令,打開“新建GPO”對(duì)話框,如圖11-2所示。步驟3:在此對(duì)話框中,輸入指定的新GPO的名稱,然后單擊“確定”按鈕。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作2.編輯組策略對(duì)象步驟1:啟動(dòng)“組策略管理”工具,展開“組策略對(duì)象”結(jié)點(diǎn)步驟2:選中指定要編輯的組策略對(duì)象,雙擊鼠標(biāo)左鍵,在指定的組策略對(duì)象上單擊鼠標(biāo)右鍵,出現(xiàn)圖11-3所示的“組策略管理編輯器”窗口,即可進(jìn)行編輯和應(yīng)用操作。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作3.向組策略對(duì)象添加注釋向組策略對(duì)象添加注釋的具體步驟如下:步驟1:打開組策略管理控制臺(tái),展開“組策略對(duì)象”結(jié)點(diǎn)。步驟2:右鍵單擊要添加注釋的組策略對(duì)象,然后單擊“編輯”按鈕。步驟3:在“組策略管理編輯器”窗口的“操作”菜單中的“屬性”命令,如圖11-4所示。步驟4:在“注釋”選項(xiàng)卡中,輸入該組策略對(duì)象的說明描述信息。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作4.搜索組策略對(duì)象搜索組策略對(duì)象的具體操作步驟如下:步驟1:啟動(dòng)組策略管理控制臺(tái)(GPMC)工具,在其控制臺(tái)樹中,展開要在其中搜索組策略對(duì)象(GPO)的域所在的林結(jié)點(diǎn),雙擊“域”后,鼠標(biāo)右鍵單擊該域,在快捷菜單中執(zhí)行“搜索”命令,出現(xiàn)如圖11-5所示的“搜索組策略對(duì)象”對(duì)話框。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作4.搜索組策略對(duì)象步驟2:在“搜索組策略對(duì)象”對(duì)話框中的“搜索此域中的GPO”下拉框中,選擇一個(gè)域或選擇“在此林中顯示的所有域”。步驟3:在“搜索項(xiàng)”下拉框中,選擇搜索所基于的對(duì)象類型。步驟4:在“條件”下拉框中,選擇要在搜索中使用的條件。步驟5:在“值”下拉框中,選擇或指定要用于篩選搜索的值,然后單擊“添加”按鈕。步驟6:重復(fù)步驟4和5,直到完成所有搜索條件的定義,然后單擊“搜索”按鈕。步驟7:返回搜索結(jié)果后,執(zhí)行下列操作之一:●若要保存搜索結(jié)果,單擊“保存結(jié)果”,然后在“保存GPO搜索結(jié)果”對(duì)話框中為保存的結(jié)果指定文件名,然后單擊“保存”按鈕。●若要導(dǎo)航到搜索到的GPO,在搜索結(jié)果列表中雙擊該GPO?！袢粢宄阉鹘Y(jié)果,單擊“清除”按鈕。11.1組策略的安全設(shè)置操作11.1.2任務(wù)2：組策略的管理操作5.刪除組策略對(duì)象刪除組策略對(duì)象的具體操作步驟如下:步驟1:在組策略管理控制臺(tái)(GPMC)控制臺(tái)樹中,在包含要?jiǎng)h除的組策略對(duì)象(GPO)的林和域中,雙擊“組策略對(duì)象”。步驟2:選中欲要?jiǎng)h除的組策略對(duì)象GPO,單擊鼠標(biāo)右鍵,選擇快捷菜單中的“刪除”命令,出現(xiàn)如圖11-6所示提示信息窗口。步驟3:確認(rèn)刪除時(shí),單擊“確定”按鈕即可完成。11.2

設(shè)置安全的審核策略11.2.1任務(wù)1：理解審核策略安全審核對(duì)于任何企業(yè)系統(tǒng)來說都是極其重要的,因?yàn)橹荒苁褂脤徍巳罩緛碚f明是否發(fā)生了違反安全的事件。如果通過其他某種方式檢測(cè)到入侵,正確的審核設(shè)置所生成的審核日志將包含此次入侵的重要信息。本任務(wù)將介紹如何設(shè)置應(yīng)用于審核的各種設(shè)置,并提供幾個(gè)常見任務(wù)所創(chuàng)建的審核事件范例。每當(dāng)用戶執(zhí)行了指定的某些操作,審核日志就會(huì)記錄一個(gè)審核項(xiàng),可以審核操作中的成功嘗試和失敗嘗試。11.2項(xiàng)目二：設(shè)置安全的審核策略11.2.2任務(wù)2：審核設(shè)置項(xiàng)1.審核賬戶登錄事件“審核賬戶登錄事件”用于確定是否對(duì)用戶在另一臺(tái)計(jì)算機(jī)上登錄或注銷的每個(gè)實(shí)例進(jìn)行審核,該計(jì)算機(jī)記錄了審核事件,并用來驗(yàn)證賬戶。2.審核賬戶管理“審核賬戶管理”設(shè)置用于確定是否對(duì)計(jì)算機(jī)中的每個(gè)賬戶管理事件進(jìn)行審核。賬戶管理事件的示例包括以下內(nèi)容:●

創(chuàng)建、修改或刪除用戶賬戶或組?！?/p>

重命名、禁用或啟用用戶賬戶。●

設(shè)置或修改密碼。11.2

設(shè)置安全的審核策略11.2.2任務(wù)2：審核設(shè)置項(xiàng)3.審核目錄服務(wù)訪問“審核目錄服務(wù)訪問”用于確定是否對(duì)訪問活動(dòng)目錄對(duì)象的事件進(jìn)行審核,該對(duì)象指定了自身的系統(tǒng)訪問控制列表(SACL)。SACL是用戶和組的列表,針對(duì)這些用戶或組的操作將在基于Windows的網(wǎng)絡(luò)中進(jìn)行審核。4.審核登錄事件“審核登錄事件”設(shè)置用于確定用戶在記錄審核事件的計(jì)算機(jī)上登錄、注銷或建立網(wǎng)絡(luò)連接的每個(gè)實(shí)例進(jìn)行審核。如果正在域控制器上記錄成功的賬戶登錄審核事件,工作站登錄嘗試將不生成登錄審核。只有域控制器自身的交互式登錄和網(wǎng)絡(luò)登錄嘗試才生成登錄事件。5.審核對(duì)象訪問此安全設(shè)置確定是否審核用戶訪問指定其自身系統(tǒng)訪問控制列表(SACL)對(duì)象,如文件、文件夾、注冊(cè)表項(xiàng)及打印機(jī)等。11.2項(xiàng)目二：設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作1.自動(dòng)報(bào)警思路由于WindowsServer2016系統(tǒng)的自動(dòng)報(bào)警功能只基于某個(gè)特定的系統(tǒng)事件才能啟用運(yùn)行,不過WindowsServer2016系統(tǒng)在默認(rèn)狀態(tài)下不會(huì)自動(dòng)記錄登錄服務(wù)器失敗的事件,為此我們應(yīng)該先修改系統(tǒng)的審核策略,確保對(duì)登錄服務(wù)器失敗行為進(jìn)行審核。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作2.任務(wù)審核登錄失敗操作由于WindowsServer2016系統(tǒng)的日志功能在默認(rèn)狀態(tài)下不會(huì)自動(dòng)記錄服務(wù)器登錄失敗操作,因此必須先對(duì)這種操作進(jìn)行安全審核,服務(wù)器系統(tǒng)才會(huì)對(duì)系統(tǒng)登錄失敗操作進(jìn)行日志記錄。在對(duì)服務(wù)器登錄失敗操作進(jìn)行審核時(shí),可按照如下具體步驟操作:步驟1:系統(tǒng)管理員administrator登錄系統(tǒng),在命令文本框中,輸入命令secpol.msc,打開如圖11-10所示的本地安全策略列表窗口。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作2.任務(wù)審核登錄失敗操作步驟2:在控制臺(tái)目錄樹中,依次展開“本地策略”、“審核策略”,選中“審核登錄事件”,打開如圖11-11所示的審核登錄事件屬性窗口,勾選“失敗”選項(xiàng)。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作3.創(chuàng)建登錄失敗事件步驟1:系統(tǒng)管理員登錄系統(tǒng),在“服務(wù)管理器|工具”中打開“事件查看器”,如圖11-12所示。步驟2:在控制臺(tái)樹中,展開“Windows日志”,打開“安全”結(jié)點(diǎn),查看登錄狀況的日志記錄。此時(shí)可看到一個(gè)事件ID為4625的審核記錄,雙擊該事件記錄,從圖11-13所示的窗口中可以看到登錄服務(wù)器的相關(guān)信息,這說明服務(wù)器登錄失敗事件已經(jīng)創(chuàng)建成功了。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作4.附加自動(dòng)報(bào)警任務(wù)在附加自動(dòng)報(bào)警任務(wù)計(jì)劃時(shí),可以按照如下步驟來進(jìn)行:步驟1:按照前面操作步驟找到事件ID為4624的審核記錄,右鍵單擊該記錄選項(xiàng),從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令,打開如圖11-14所示的創(chuàng)建基本任務(wù)向?qū)?duì)話框。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作4.附加自動(dòng)報(bào)警任務(wù)步驟2:根據(jù)向?qū)崾驹O(shè)置目標(biāo)任務(wù)的名稱,在這里將該任務(wù)名稱取為“服務(wù)器登錄報(bào)警”,單擊“下一步”按鈕。步驟3:在“登錄特定事件時(shí)”窗口中,單擊“下一步”按鈕。步驟4:出現(xiàn)如圖11-15所示的操作對(duì)話框,WindowsServer2016系統(tǒng)已經(jīng)棄用了“發(fā)送電子郵件”和“顯示消息”功能，這里選擇“啟動(dòng)程序”。11.2

設(shè)置安全的審核策略11.2.3任務(wù)3：登錄服務(wù)器失敗系統(tǒng)自動(dòng)報(bào)警的操作4.附加自動(dòng)報(bào)警任務(wù)步驟5:單擊“下一步”按鈕,如圖11-16所示設(shè)置需要運(yùn)行的程序位置及其相關(guān)參數(shù)。步驟6:單擊“下一步”按鈕,打開“完成”對(duì)話框,選擇“當(dāng)單擊(完成)時(shí),打開此任務(wù)屬性的對(duì)話框”復(fù)選框,單擊“完成”按鈕,打開圖11-17所示的事件屬性窗口。11.3軟件限制策略設(shè)置實(shí)現(xiàn)11.3.1任務(wù)1：創(chuàng)建軟件限制策略創(chuàng)建軟件限制策略的操作,可參照如下步驟進(jìn)行:步驟1:在“服務(wù)器管理器|工具”中執(zhí)行“本地安全策略”工具,選中“軟限制策略”,單擊鼠標(biāo)右鍵,在快捷菜單中執(zhí)行“創(chuàng)建軟件限制策略”命令,如圖11-18所示。11.3軟件限制策略設(shè)置實(shí)現(xiàn)11.3.1任務(wù)1：創(chuàng)建軟件限制策略步驟2:單擊“安全級(jí)別”選項(xiàng),可以更改默認(rèn)的安全級(jí)別。此時(shí),可以看到默認(rèn)安全級(jí)別是不受限的。步驟3:選中“其他規(guī)則”,單擊鼠標(biāo)右鍵,如圖11-19所示。11.3軟件限制策略設(shè)置實(shí)現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作這里將舉例說明禁止運(yùn)行軟件的操作方法,如禁止運(yùn)行計(jì)算器軟件、禁止運(yùn)行“C:\test”目錄下的程序。步驟1:在“開始”|“Windows所有附件”,在“計(jì)算器”軟件上單擊鼠標(biāo)右鍵打開所在位置,在快捷菜單中選擇“屬性”命令,如圖11-20所示。11.3軟件限制策略設(shè)置實(shí)現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作步驟2:打開計(jì)算器屬性對(duì)話框,在“目標(biāo)”文本框中單擊鼠標(biāo)右鍵,選擇“復(fù)制”,即復(fù)制計(jì)算器軟件的完整存放位置。步驟3:打開“本地安全策略”管理工具,展開“軟件限制策略”,在“其他規(guī)則”結(jié)點(diǎn)上單擊鼠標(biāo)右鍵,執(zhí)行快捷菜單中的“新建哈希規(guī)則”命令。步驟4:打開圖11-21所示的“新建哈希規(guī)則”對(duì)話框,單擊“瀏覽”按鈕,在“打開”對(duì)話框中,按Ctrl+V組合鍵將剛才復(fù)制的存放位置“%windir%\system32\calc.exe“粘貼到其中,然后單擊“打開”按鈕。11.3軟件限制策略設(shè)置實(shí)現(xiàn)11.3.2任務(wù)2：配置軟件限制策略的操作步驟5:在圖11-21中,選擇“安全級(jí)別”為“不允許的”,單擊“確定”按鈕即可完成對(duì)計(jì)算器軟件的禁止運(yùn)行操作。步驟6:在“其他規(guī)則”中,執(zhí)行“新建路徑規(guī)則”對(duì)話框,這里輸入路徑“C:\test”,安全級(jí)別選中“不允許的”,如圖11-22所示,單擊“確定”按鈕。步驟7:重啟計(jì)算機(jī),軟件限制策略配置才能生效。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.1任務(wù)1：關(guān)閉自動(dòng)播放現(xiàn)在越來越多的病毒程序利用系統(tǒng)的自動(dòng)播放功能進(jìn)行傳播,如果關(guān)閉了系統(tǒng)的自動(dòng)播放,也就相當(dāng)于阻斷了病毒程序的一條傳播途徑。步驟1:在“命令提示符”中輸入gpedit.msc命令,打開本地組策略編輯器。步驟2:依次展開“本地計(jì)算機(jī)策略|計(jì)算機(jī)配置|管理模板|Windows組件|自動(dòng)播放策略”結(jié)點(diǎn),雙擊“關(guān)閉自動(dòng)播放”選項(xiàng),如圖11-23所示。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.1任務(wù)1：關(guān)閉自動(dòng)播放步驟3:在“關(guān)閉自動(dòng)播放”設(shè)置窗口中,選中“已啟用”單選按鈕,單擊“下一個(gè)設(shè)置”按鈕;在不設(shè)置“始終執(zhí)行此操作”復(fù)選框中,選中“已啟用”,單擊“下一個(gè)設(shè)置”按鈕;在“自動(dòng)運(yùn)行的默認(rèn)行為”窗口中,選中“已啟用”,在“默認(rèn)自動(dòng)運(yùn)行行為”下拉框中,選擇“不執(zhí)行任何自動(dòng)運(yùn)行命名”,單擊“確定”按鈕即可。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.2任務(wù)2：禁止用戶使用注冊(cè)表編輯工具禁止用戶使用注冊(cè)表編輯工具,能夠防止用戶更改系統(tǒng)注冊(cè)表。具備操作步驟如下。步驟1:在“命令提示符”窗口中輸入gpedit.msc命令,打開本地組策略編輯器。步驟2:依次展開“本地計(jì)算機(jī)策略|用戶配置|管理模板|系統(tǒng)”結(jié)點(diǎn),在右邊詳細(xì)信息窗口中,選中“阻止訪問注冊(cè)表編輯工具”選項(xiàng),雙擊鼠標(biāo)左鍵,打開如圖11-24所示的對(duì)話框。步驟3:選中“已啟用”單選按鈕,單擊“確定”按鈕,即可完成注冊(cè)表編輯工具被禁用。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.3任務(wù)3：禁止用戶運(yùn)行特定程序步驟1:在“本地策略編輯器”工具窗口中,依次展開“本地計(jì)算機(jī)策略|用戶配置|管理模板|系統(tǒng)”結(jié)點(diǎn),選擇“不運(yùn)行指定的Windows應(yīng)用程序”項(xiàng),雙擊鼠標(biāo)左鍵,打開如圖11-25所示的對(duì)話框。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.3任務(wù)3：禁止用戶運(yùn)行特定程序步驟2:選擇“已啟用”單選按鈕,然后依次單擊“顯示|添加”,如圖11-26所示,可添加欲禁止的程序名稱(如禁止繪畫工具程序mspaint.exe),單擊“確定”按鈕即可。11.4

利用本地組策略進(jìn)行系統(tǒng)安全配置11.4.4任務(wù)4：禁止惡意程序入侵步驟1:以系統(tǒng)管理員賬戶(如Administrator)登錄系統(tǒng),在“命令提示符”窗口中,輸入gpedit.msc命令,打開本地組策略編輯器工具。步驟2:在組策略編輯窗口左側(cè),依次展開“計(jì)算機(jī)配置|管理模板|Windows組件|InternetExplorer|安全功能|限制文件下載”結(jié)點(diǎn),