补充知识1组策略性能事件查看器.ppt

1. 文件（夹）的安全设置 当不同的用户在使用同一台计算机时，应考虑到哪些文件针对于哪些用户是可见的、可读取或可读写的，况且当Win2010 Server作为文件服务器时，也会出现许多用户在网络环境下同时访问该机器的情况， 因此有必要对文件（夹）设立一套规则来保证其数据的安全。,补充知识 1、文件夹共享与数据加解密,【实例3-5】 设置用户wlj只能对“d:评估资料”文件夹读取，对“d:manpower”文件夹不能访问（以某计算机中的内容为例）。 打开资源管理器，右击“d:评估资料”文件夹，在弹出的快捷菜单中选择“属性”菜单项。 在随后出现的文件夹属性窗口中，选择“安全”标签项，如图3-38所示。,图3-38 文件夹属性窗口,单击“添加”按钮，在“选择用户或组”对话框中双击已存在的用户“wlj”，则该用户便出现在显示栏中，单击“添加”按钮。 在如图3-39所示的对话框中，按要求设置该用户对文件夹的访问权限，最后单击“确定”按钮即可。对于另一个文件夹“d:manpower”作类似的处理，由于规定用户wlj不能访问该文件夹，因此应该选中拒绝列中的所有项。,图3-39 设置用户对文件夹的访问权限,2. 文件（夹）的存取审核 除了对文件（夹）进行权限控制外，还可以针对用户对文件（夹）所做的存取等动作进行监控记录，这种过程称为审核。审核的结果将记录在事件查看器的安全日志中。 【实例3-6】审核“d:评估资料”文件夹，记录下所有对该文件夹的删除、修改操作。,打开资源管理器，右击“d:评估资料”文件夹，在弹出的快捷菜单中选择“属性”菜单项，并选择“安全”标签项。 单击“高级”按钮，在进入的访问控制设置窗口中选取“审核”标签项，并单击“添加”按钮，在如图3-40所示的界面中按实际需要设置对该文件夹的审核项目。 单击“确定”按钮直到关闭窗口。,图3-40 文件夹审核项目设置,3. 文件（夹）的共享 Win2010中的很多地方都可新建共享的文件（夹），比如在“我的电脑”、“资源管理器”或“计算机管理”中。在“我的电脑”或“资源管理器”中设置共享本质上是通过文件夹的属性窗口来进行的，方法非常简单。下面以在“计算机管理”窗口中进行设置为例介绍设置共享的具体方法。,单击“开始”“程序”“管理工具”“计算机管理”菜单项，在随后的窗口中展开“系统工具”“共享文件夹”“共享”项。右窗口中将显示目前系统中文件夹的共享情况，如图3-42所示。 右击左窗口中的“共享”项，在弹出的快捷菜单中选择“新文件共享”，出现如图3-43所示的对话框，单击“浏览”按钮选取欲设置共享的文件夹名，并设置共享名后，单击“下一步”按钮。 在如图3-44所示的窗口中，根据用户需求设置共享文件夹的存取权限，单击“完成”按钮后，所指定的文件夹便会出现在图3-42的右窗口显示区中。,图3-42 当前文件夹的共享状态,图3-43 创建共享文件夹,图3-44 设置共享文件夹权限,4. 数据文件的加密与解密 Win2010中为了数据的安全，加入了文件加密系统，当用户不希望文件被看到或复制时就可以对文件加密。只有NTFS文件系统才支持该功能。 【实例3-7】 将某计算机中的d:my_work文件夹加密，且加密对目前已存在的及以后加入该文件夹的所有文件均有效。,在资源管理器中右击d:my_work文件夹，在弹出的快捷菜单中选取“属性”菜单项，在属性窗口中单击常规标签项下的“高级”按钮。 在“高级属性”窗口中选取“加密内容以便保护数据”复选框，如图3-45所示，按“确定”返回上一窗口。 再单击“确定”或“应用”按钮，若文件夹中已有数据，则会出现如图3-46所示的对话框供用户选择，据题意选取后，单击“确定”按钮。 文件夹加密后，其属性便从“正常”变为“加密”。,图3-45 加密文件夹,图3-46 设置加密文件夹的应用范围,5. 创建映射网络驱动器实现文件夹共享 对于设置成共享的文件夹，用户可通过“网上邻居”来浏览，但当工作组、服务器和资源列表较多时，往往要花一定的时间才能找到自己所需资源。对于需要经常使用的网络资源，这种方式显得不太方便。因此，可采用将某个网络文件夹映射成一个驱动器的方式，以后用户对该文件夹的访问就像是直接访问计算机上的一个驱动器一样方便。 【实例3-8】将网络中另一台机器（桌面PC，装有Windows XP）中的“大学城图”文件夹映射成驱动器Z，以便另一台计算机（笔记本电脑，装有Win2010 Server）能方便访问。,在桌面机上将“大学城图”文件夹置为共享，以实现在其他机器上能通过网上邻居访问。 在笔记本电脑上，单击“网上邻居”找到该文件夹，单击鼠标右键，在弹出的快捷菜单中选择“映射网络驱动器”菜单项，弹出如图3-47所示对话框，选择所需的驱动器号Z后，单击“完成”按钮即可。,图3-47 映射网络驱动器,Win2010 Server提供了系统监视与诊断工具，利用这些工具可以帮助调整服务器的硬件，并运行相应的服务，以便进一步提高系统性能。系统监视与诊断工具主要包括系统监视器、性能日志和警报、事件查看器。,补充知识 2、系统监视与诊断工具,1. 系统监视器 系统监视器由性能监视器、性能日志和警报两大部分构成，提供了一个简单形象的方式来查看服务器的重大事件。性能监视器可以测试本地计算机或网络上其他计算机的性能，即可以查看计算机的处理器、内存、磁盘访问等方面的性能及活动情况；性能日志和警报可以记录所选计算机及其对象的当前活动，并可将这些情况保存以便进行分析比较。,(1) 性能监视器 影响一台服务器性能的瓶颈主要体现在内存、CPU、磁盘和网络四个方面。用户通过性能监视器的数据图表来了解这几个方面的性能情况，以发现性能瓶颈并决定如何调整。一般情况下，用户需针对不同的测试对象（如内存、CPU、硬盘等）选择相应的测量指标（称之为计数器），不同的计数器所反映的侧重点不同。,例如，欲了解服务器的繁忙程度，以报告服务器发送和接收网络数据的速度，则应选择服务器对象“Server”，对应计数器为“Bytes Total/sec”；欲了解是否进程的处理速度受到硬盘速度的影响，则应选择物理硬盘对象“Physical Disk”，相应的计数器为“Current Disk Queue Length”（当该值超过2时，说明已受到影响）；通过处理器对象“Processor”的“Processor Time”计数器和“InterruptsSecond”计数器，则可较全面地观察CPU的特征。,【实例3-11】 利用系统监视器了解本机的硬盘访问速度是否对当前进程产生影响以及本机发送和接收网络数据的速度情况。 单击“开始”“程序”“管理工具”“性能”菜单项，弹出如图3-60所示的性能监视器窗口。 在右窗口的空白处单击鼠标右键，在弹出的快捷菜单中选择“添加计数器”菜单项，打开如图3-61所示的“添加计数器”对话框。 选取“使用本地计算机计数器”按钮，并从下拉框中选择“Physical Disk”对象，从列表框中选择“Current Disk Queue Length”计数器后，单击“添加”按钮。,图3-60 性能监视器窗口,图3-61 添加计数器,用类似的方法将服务器对象“Server”和“Bytes Total/sec”计数器添加进来，单击“关闭”按钮关闭当前窗口，则返回如图3-62所示的界面，在该界面中以波形方式显示了所指定对象的计数测量情况。图3-62中红色的波形（波峰较高的波形）表示本机硬盘的情况，另一颜色表示本机作为服务器的网络访问情况（由于监视时无其他机器访问本机，故该测量波形数据为）。,图3-62 指定对象的系统监视情况,(2) 性能日志和警报 性能日志和警报是系统监视器中的另一种监视工具。利用该工具可以收集来自本地或远程计算机上的性能数据，记录的计数器数据可以通过性能监视器或输出到Excel或数据库中，以便进一步进行分析与产生报告。 性能日志分为计数器日志与跟踪日志，当计数器的值达到、超过或低于一个定义的值时，警报通过事件日志向用户发出警告。,2. 事件查看器 事件查看器可以监视三种事件： 应用程序事件、安全事件以及系统事件。Win2010通过三种日志形式记录对应的事件。 (1) 应用程序日志： 包含由应用程序产生的被程序记录的事件，程序开发人员可以决定哪些事件需要监视。,(2) 系统日志： 包含由操作系统产生的被Win2010系统组件记录的事件，Win2010预先确定系统组件所能记录的事件类型。例如，在启动过程中，系统日志可以记录驱动程序和其他系统组件装载时的故障信息。 (3) 安全日志： 包含了由操作系统产生的有效或无效的登录上网企图以及有关资源使用的事件。例如，登录情况记录，创建、打开、删除文件记录等。,值得注意的是，Win2010启动时，事件日志服务自动启动，所有用户都可以查看应用程序日志和系统日志，但只有系统管理员才有权查看安全日志。查看事件日志的方法如下： 单击“开始”“程序”“管理工具”“事件查看器”菜单项，弹出如图3-63所示的事件查看器窗口。 单击窗口左栏中欲查看的日志，则右窗口中便显示该日志中相应的信息。也可通过该窗口中的“查看”“查找”菜单项打开查找对话框，查找想要查看的事件，或通过“查看”“筛选”菜单项打开日志的属性窗口，来查看一组相同性质的事件。,图3-63 事件查看器窗口,每台运行 Windows 2010 的计算机都有且只有一个本地组策略对象。本地组策略对象其实就是一组存储在本地的设置，即组策略设置的集合。 这些组策略用于设置一些特定的用户族群，当这些用户在使用本机时必须受到一些条件的限制。例如，不允许用户自行安装软件、无法使用控制台组件、不可关闭计算机等。 针对本地计算机的Win2010的组策略，主要包括本地计算机配置及用户配置两大部分。在组策略中，用户不仅可设置本地计算机的账户策略、用户权限指派、审核策略以及安全性选项的设置等安全管理，也可进行管理模板的设置，从而提高系统的安全级别。,补充知识： 3、本地计算机的组策略管理,启动组策略： gpedit.msc 从该窗口界面中可知，无论是计算机配置还是用户配置，均包括软件设置、Windows设置以及管理模板三项选项。 在下面的章节中主要介绍Windows设置中的安全设置及管理模板的应用。 在安全设置中，最常用的策略有账户策略和本地策略。其中，与密码和账户锁定相关的策略在账户策略中设置； 对用户权限进行的设置及某些安全选项设置则在本地策略中进行；与Windows系统有关的组件、外设的设置等由管理模板来实现。,图3-31 本地组策略,1. 本地账户策略 (1) 密码策略 展开左边树形目录中“计算机配置”“Windows设置”“安全设置”“账户策略”，双击其中的“密码策略”，即可在右窗口中显示与密码的长度及期限相关的设置，如图3-32所示。 欲修改其中的某一策略设置，则只需鼠标右击该策略，在弹出的快捷菜单中选择“安全性”菜单项，即可在随后的窗口中进行相应的修改。,图3-32 密码策略,(2) 账户锁定策略 该策略用于决定系统锁定账户的时间，以及锁定哪个账户。 “账户锁定策略”包含“复位账户锁定计数器”、“账户锁定时间”以及“账户锁定阈值”。 复位账户锁定计数器： 当密码输入不正确，设置允许在多少分钟内尝试另一个密码。 账户锁定时间： 当指定输入次数的密码都不正确时，此项可用于设置账户被锁定的时间。在该锁定时间内，即使使用正确的用户名与密码也无法进入。 账户锁定阈值： 设定用户登录的次数，默认是次无效登录，即不对用户锁定。 ,2. 本地用户权限指派 本地用户权限指派用于决定在计算机上有登录或任务特权的用户或组。展开左边树形目录中“计算机配置”“安全设置”“本地策略”，双击其中的“用户权利指派”文件夹，右窗口便会出现可用于设置登录、关闭系统、备份、计算机访问等多方面的策略情况。,【实例3-2】 在默认情况下，Users组无权关闭系统，现要求将关闭系统的权限授予该组及前面刚刚新建的“电子商务教研室”组。 双击“本地策略”中的“用户权利指派”，在如图3-33所示的窗口中，显示目前的本地安全策略情况。 双击其中的“关闭系统”策略，在弹出的“本地安全策略设置”对话框中单击“添加”按钮，选择所需的用户组“Users”及“电子商务教研室”后，单击“确定”按钮，则会出现如图3-34所示的对话框，最后再次单击“确定”按钮完成设置。 与上述操作相类似，还可设置允许安装卸载设备驱动程序的用户（组）、设置哪些用户组可以从网络上访问该计算机等。,图3-33 用户权利指派,图3-34 拥用关闭系统权限的各组,3. 安全选项 在该项选项中，可启用或禁用计算机的安全设置，例如设置启用禁用Administrator 和 Guest 的账户名、软盘驱动器和光盘的访问、驱动程序的安装以及登录提示等。 【实例3-3】 设置只有登录本机的用户才能访问光驱。 双击“本地策略”中的“安全选项”，然后在右窗口中双击“只有本地登录的用户才能访问CD-ROM”策略； 在弹出的窗口中，选中“已启用”单选按钮后单击“确定”按钮。,4. 管理模板的应用 组策略管理模板包括所有基于注册表的策略信息。其中，计算机配置中的管理模板设置适用于登录到该计算机的所有用户。而用户配置中的管理模板则是面向用户进行设置的，因此无论用户登录到哪台计算机都适用于该用户。 【实例3-4】 不允许使用