实训26Windows2003系统的安全审计课件

第2章操作系统安全实训2 6 Windows2003系统的安全审计 PPT学习交流 2020 4 16 本次课要点 学习目标重点难点 2 PPT学习交流 2012年6月3日 实训目的 1 了解安全审计的原理和相应工具的配置方法2 理解日志的作用 3 PPT学习交流 2012年6月3日 实训背景 操作系统带有日志功能 系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件 企业的网络管理员小张开启了服务器的部分安全审计功能 可以根据需要实时地将发生在系统中的事件记录下来 他可以通过查看与安全相关的日志文件的内容 来分析 查找系统和应用程序故障以及各类安全事件 发现黑客的入侵和入侵后的行为 4 PPT学习交流 2012年6月3日 实训设备 5 PPT学习交流 2012年6月3日 实训步骤 1 审计策略2 访问文件夹的权限3 清除无关事件4 对文件夹进行操作5 查看安全事件6 导出并查看日志 6 PPT学习交流 2012年6月3日 1 审计策略 7 PPT学习交流 2012年6月3日 1 审计策略 1 选择 开始 管理工具 本地安全策略 菜单 打开 本地安全设置 窗口 如所示 8 PPT学习交流 2012年6月3日 1 审计策略 2 选择 安全设置 本地策略 审核策略 双击右侧的 审核对象访问 在打对话框中选中 成功 和 失败 如所示 9 PPT学习交流 2012年6月3日 1 审计策略 3 单击按钮关闭窗口 配置结果如所示 10 PPT学习交流 2012年6月3日 2 访问文件夹的权限 11 PPT学习交流 2012年6月3日 2 访问文件夹的权限 1 新建文件夹 C 审计 2 右击文件夹 C 审计 选择 属性 菜单 在打开的 审计属性 对话框中选择 安全 标签 如所示 12 PPT学习交流 2012年6月3日 2 访问文件夹的权限 3 单击按钮 在出现的 审计的高级安全设置 对话框中选择 审核 标签 13 PPT学习交流 2012年6月3日 2 访问文件夹的权限 4 单击按钮 打开 选择用户或组 如所示的对话框 14 PPT学习交流 2012年6月3日 2 访问文件夹的权限 5 单击按钮 在弹出的对话框中单击按钮 然后选择 everyone 组 如所示 15 PPT学习交流 2012年6月3日 2 访问文件夹的权限 6 单击按钮 返回到 选择用户或组 对话框 如所示 16 PPT学习交流 2012年6月3日 2 访问文件夹的权限 7 单击按钮 打开 审核项目 对话框 在 访问 列表框中选中 写入属性 的 成功 与 失败 操作 如所示 17 PPT学习交流 2012年6月3日 2 访问文件夹的权限 8 单击按钮 返回到 审计的高级安全设置 对话框 如所示 9 单击按钮 完成配置 18 PPT学习交流 2012年6月3日 3 清除无关事件 19 PPT学习交流 2012年6月3日 3 清除无关事件 选择 开始 管理工具 事件查看器 菜单 打开 事件查看器 窗口 右击 安全性 选择 清除所有事件 菜单 并在打开的提示框中单击按钮 不保存日志信息 清除后的结果如所示 20 PPT学习交流 2012年6月3日 4 对文件夹进行操作 21 PPT学习交流 2012年6月3日 4 对文件夹进行操作 创建文件 c 审计 1 txt 并对该文档进行写入操作 22 PPT学习交流 2012年6月3日 5 查看安全事件 23 PPT学习交流 2012年6月3日 5 查看安全事件 在 事件查看器 窗口 右击 安全性 选择 刷新 菜单 右侧列表框中会显示出刚才操作的安全日志 如所示 24 PPT学习交流 2012年6月3日 5 查看安全事件 双击某一事件可以查看其详细信息 通过单击或按钮可以找到对文件操作的信息 如所示 25 PPT学习交流 2012年6月3日 6 导出并查看日志 26 PPT学习交流 2012年6月3日 6 导出并查看日志 右击 安全性 选择 另存日志文件 菜单 将日志作为文本文件 txt 导出并保存到 C 审计 下 分析这些日志文件所包含的信息并查找哪些是记录用户对文件夹的写入操作的 2