第14章_Windows_Server_2008的安全管理.ppt

2020年5月19日,第14章WindowsServer2008的安全管理,14.1安全设置14.1.1认识组策略14.1.2创建组策略对象14.1.3删除组策略对象14.1.4设置组策略对象选项14.2审核14.3安全记录,第14章WindowsServer2008的安全管理,14.3.1认识WindowsServer2008安全记录14.3.2查看安全记录14.4安全模板14.4.1认识安全模板14.4.2安全设置分析14.4.3管理安全模板14.5强化WindowsServer2008安全的方法,【本章提要】,组策略的概念和组策略的管理安全审核策略安全模板的配置和管理增强WindowsServer2008安全的方法,基本内容,随着网络的发展、计算机的广泛应用以及用户环境的日益复杂，计算机的安全显得越来越重要，也越来越复杂。为了有效地管理企业或部门的计算机安全，WindowsServer2008系统通过ActiveDirectory提供了一系列的安全策略，可以集中管理和配置组织内的安全设置，方便管理员轻松地维护整个网络系统的安全。本章主要介绍WindowsServer2008中安全设置的方法，包括组策略的管理和应用；监视系统访问、保证系统安全和对事件进行跟踪的审核策略；以及安全模板的分析设置和管理。最后介绍了强化WindowsServer2008安全的常见方法。,14.1安全设置,计算机的安全对今天的操作系统而言是一个很重要的问题，它贯穿到许多系统服务功能之中，涉及网络、密码学、认证、文件加密等各个方面。在今天日益复杂的环境中，为了达到较高的安全程度，WindowsServer2008提供了一系列措施来保障系统的安全，如加密、数字签名、密钥体系、用户验证等。,14.1安全设置,14.1.1认识组策略组策略，简单地说，与修改注册表配置所完成的功能是一样的。但是，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，比手工修改注册表方便灵活，功能也更加强大。组策略通常是系统管理员为加强整个域或网络共同的策略而设置并进行管理的。组策略会影响到用户账户、组、计算机和组织单位，它是存储在ActiveDirectory中的配置，一个对象可能有多个组策略来创建动态环境。,14.1安全设置,14.1.2创建组策略对象组策略对象的容器可以是ActiveDirectory的任何逻辑结构单位，包括站点、域或组织单位OU。在设置组策略之前必须创建一个或多个组策略对象，然后通过组策略编辑器设置所创建的组策略对象。在运行WindowsServer2008系统的每台计算机上都只有一个本地组策略对象。在这些对象中，组策略设置存储在保个计算机上,无论它们是否属于ActiveDirectory环境或网络环境的一部分.本地策略对象包含的设置要少于非本地组策略对象的设置,尤其是在“安全设置”下。,14.1安全设置,（1）选择“开始|管理工具|组策略管理”，打开组策略控制台窗口，鼠标右击“组策略对象”，从弹出的快捷菜单中选择“新建”命令，如图14.1所示。,图14.1“组策略管理”控制台窗口,14.1安全设置,（2）打开“新建GPO”对话框，在该对话框中指定GPO的名称和源StarterGPO，如图14.2所示，输入要创建的组策略对象名称，如“GPO_1”然后单击“确定”按钮即可完成GPO的创建。,图14.2新建GPO,14.1安全设置,（3）返回如图14.3所示的“组策略管理”控制台，在“组策略对象”节点下可以看到所创建的组策略对象“GPO_1”该组策略默认为已启用状态。,图14.3GPO创建后的效果,14.1安全设置,创建GPO以后，只有将其链接到相应的站点、域或组织单位（OU）时，这些容器下的用户和计算机才会生效。使用“组策略管理”控制台将组策略对象“GPO_1”链接到组织单位“student”上，具体步骤如下:(1)右键单击需要链接组策略对象的容器“student”，在弹出的菜单中选择“链接现有GPO”，如图14.4所示，最后单击“确定”按钮完成GPO的链接。,图14.4链接已存在的GPO,14.1安全设置,（2）返回如图14.5所示的“组策略管理”控制台中，在“student”节点下可以看到该容器已经链接了组策略对象“GPO_1”，并且已经启用了链接。,图14.5GPO链接后的效果,14.1安全设置,14.1.3删除组策略对象组策略对象设置不合理或者不再需要时，可以将其删除，因为多余的组策略对系统有一定的影响，可以导致用户登录速度变慢。在图14.3所示的“组策略”选项卡中，右击要删除的对象”GPO_1”，在弹出的菜单中选择“删除”，打开如图14.6所示的“组策略管理”对话框,最后单击“确定”按钮即可删除组策略对象的链接。,图14.6删除组策略对象的链接,14.1安全设置,14.1.4设置组策略对象选项组策略配置是相当灵活的，内容也很丰富，组策略对象创建完毕之后，还有很多的选项可以设置。具体的选项可以从如下方面进行设置：（1）阻止继承组策略对象。通过阻止组策略的继承来阻止某个域或组织单位的策略继承。使用阻止继承可以避免链接到父级别站点、域或组织单位的GPO自动由子级项继承。默认情况下，子项会从父项继承所有的GPO，因此有时阻止继承非常有用。阻止继承父容器的组策略对象步骤如下：,14.1安全设置,在“组策略管理”控制台中，单击需要阻止继承组策略对象的容器例如“student”，在控制台右侧选择“组策略继承”选项卡，如图14.7所示，可以看到当前容器“student”链接了两个组策略对象，分别是“GPO_1”和“DefaultDomainPolicy”，其中组策略对象“DefaultDomainPolicy”是从父容器“”处继承的。,图14.7“组策略继承”选项,14.1安全设置,右键单击需要阻止继承的容器“student”，在弹出的菜单中选择“阻止继承”，如图14.8所示。,图14.8阻止组策略继承,14.1安全设置,返回“组策略管理”控制台，可以看到在“组策略继承”选项卡中已经不存在之前从父容器继承“”处继承的组策略对象“DefaultDomainPolicy”，如图14.9所示。,图14.9阻止继承组策略对象后的效果,14.1安全设置,（2）强制继承组策略对象。通过将链接设置为“强制”，可以指定该GPO链接中的设置优先于任何子对象的设置。打开“组策略管理”控制台，右击需要强制继承的组策略对象“DefaultDomainPolicy”，在弹出的菜单中选择“强制”，如图14.10所示。,图14.10强制继承组策略对象,14.1安全设置,返回“组策略管理”控制台，可以看到该组策略对象的“作用域”选项卡中已经启用了强制功能，如图14.11所示。,图14.11强制继承组策略对象后的效果,14.1安全设置,切换到“组策略继承”选项卡看到又存在了组策略对象“DefaultDomainPolicy”，如图14.12所示。,图14.12“组策略继承”选项卡,14.1安全设置,（3）WMI（WindowsManagementInstrumentation）筛选器。使用WMI筛选器能够根据目标计算机的属性，动态确定组策略对象的范围。如果目标计算机上应用了链接到WMI筛选器的GPO，则会在该目标计算机上评估该筛选器。如果WMI筛选器的评估结果为假，则不会应用该GPO，如果筛选器评估结果为真，则将应用GPO。,14.1安全设置,（4）组策略的禁用。在默认情况下对所有GPO链接都执行启用处理。通过禁用给定域、站点或组织单位的GPO链接，可以完全阻止应用该站点、域或组织单位的GPO。这里使用“组策略管理”控制台禁用组织单位“student”上的组策略对象“GPO_1”的链接，具体操作步骤如下：打开“组策略管理”控制台，右键单击“GPO_1”，在弹出的菜单中勾选“已启用链接”则标明该链接当前已启用，如图14.17所示。没有勾选“已启用链接”标明已禁用该链接，如图14.18所示禁用组策略对象“GPO_1”链接后的效果。,14.1安全设置,图14.17启用组策略对象“GPO_1”链接,图14.18禁用组策略对象“GPO_1”链接后的效果,14.1安全设置,（5）组策略的属性。在“常规”选项卡中，可以查看该组策略已经链接的对象、安全筛选以及WMI重筛选情况，如图14.19所示。,图14.19“作用域”选项卡,14.1安全设置,在“详细信息”选项卡中，可以查看关于该组策略对象的域、所有者、创建/修改时间、用户/计算机版本、惟一ID以及注释等信息，甚至可以修改GPO状态。如图14.20所示。,图14.20“详细信息”选项卡,14.1安全设置,在“设置”选项卡中,可以查看该组策略的配置信息报告,此时将显示所有已经定义策略的设置,但不显示没有定义的设置.在该选项卡中还可以编辑组策略,以及保存和打印报告，如图14.21所示。,图14.21“设置”选项卡,14.1安全设置,设置安全筛选。安全筛选是一种精确表明哪些用户和计算机将接收和应用策略对象的一种方法。使用安全筛选可以指定只有与GPO链接的某个容器中的某些安全体才应用GPO。安全组筛选将确定GPO是否作为整体应用到组、用户或计算机；不能在GPO中的不同设置上有选择地使用它。,14.2审核,审核提供了一种在WindowsServer2008中跟踪所有事件从而监视系统访问和保证系统安全的方法。它是一个保证系统安全的重要工具。审核允许跟踪特定的事件，具体地说，审核允许跟踪特定事件的成败。例如，可以通过审核登录来跟踪谁登录成功以及谁（以及何时）登录失败，还可以审核对给定文件夹或文件对象的访问，跟踪是谁在使用这些文件夹和文件以及对它们进行了什么操作。这些事件都可以记录在安全日志中。,14.2审核,WindowsServer2008允许设置的审核策略，包括如下几项：（1）审核策略更改：跟踪用户权限或审核策略的改变。（2）审核登录事件：跟踪用户登录、注销任务或本地系统账户的远程登录服务。（3）审核对象访问：跟踪对象何时被访问以及访问的类型。例如，跟踪对文件夹、文件、打印机等的使用。用对象的属性（如文件夹或文件的“安全”选项卡）可配置对指定事件的审核。（4）审核过程跟踪：跟踪诸如程序启动、复制、进程退出等事件。,14.2审核,（5）审核目录服务访问：跟踪对ActiveDirectory对象的访问。（6）审核特权使用：跟踪用户何时使用了不应有的权限（超越了与登录或退出有关的权限）。（7）审核系统事件：跟踪重新启动、启动或关机等的系统事件，或影响系统安全或安全日志的事件。（8）审核账户登录事件：跟踪用户账户登录和退出。（9）审核账户管理：跟踪某个用户账户或组是何时建立、修改和删除的，它是何时改名、启用或禁止的，其密码是何时设置或修改的。,14.2审核,在“管理工具”中的“本地安全策略”可以打开本地审核策略。接下来以本地安全审核策略的配置过程为例介绍其配置方法。（1）选择“开始|管理工具|本地安全策略”，弹出如图14.25所示界面，依次选中“安全设置|本地策略|审核策略”，将展开具体的审核策略。,图14.25本地安全设置,14.2审核,（2）在图14.25的右侧的窗口中，双击某个策略显示出其设置，如双击审核登录事件，将弹出如图14.26所示的对话框。可以审核成功登录事件，也可以跟踪失败的登录事件以便跟踪非授权使用系统的企图。,图14.26“审核登录事件属性”对话框,14.2审核,（3）选择“成功”或“失败”或两者都选，然后确定，配置完成。这样每次用户的登录或注销事件都能在事件查看器的“安全性”中看到审核的记录。如果要审核对给定文件夹或文件对象的访问，可通过如下方法设置：（1）打开“Windows资源管理器”并定位该文件夹（如“C:Windows”文件夹）或文件，用右键选择“属性”，弹出其属性界面。（2）单击“安全”选项卡，然后单击“高级”按钮，如图14.27所示，则可打开“高级安全设置”对话框。,14.2审核,图14.27Windows文件夹安全属性,14.2审核,（3）在“高级安全设置”对话框中选中“审核”选项卡显示审核属性，然后单击“编辑”按钮，在接下来的对话框中单击“添加”按钮，如图14.28所示。,图14.28Windows文件夹的高级安全设置,14.2审核,（4）选择所要审核的用户、计算机或组，输入要选择的对象名称，如“Administrators”，单击“确定”按钮，如图14.29所示。（5）系统弹出审核项目的对话框，列出了被选中对象的可审核的事件，包括“完全控制”或“遍历文件夹/运行文件”、“读取属性”、“写入属性”、“删除”等权限，如图14.30所示。（6）定义完对象的审核策略后，关闭对象的属性窗口，审核将立即开始生效。,图14.29选择用户、计算机或组,图14.30Windows文件夹的审核项目,14.3安全记录,14.3.1认识WindowsServer2008安全记录可以在事件查看器查看到很多事件日志，包括应用程序日志、安全日志、系统日志、目录服务日志、DNS服务日志和文件复制服务日志等。通过查看这些事件，管理员可以了解系统和网络的情况，也能跟踪安全事件。当系统出现故障问题时，可以通过日志记录进行查错或恢复系统。安全事件是记录关于审核的结果，打开计算机的审核功能后，计算机或用户的行为会触发系统安全记录事件。例如，管理员删除域中的用户账户，会触发系统写入目录服务访问策略事件记录；修改一个文件内容，会触发系统写入对象访问策略事件记录。,14.3安全记录,14.3.2查看安全记录只要做了审核策略，被审核的事件都会被记录到安全记录中，可以通过事件查看器查到每一条安全记录。选择“开始|管理工具|事件查看器”或者在命令行中输入eventvwr.msc命令，便可打开“事件查看器”控制台查看安全记录，如图14.32所示。,图14.32事件查看器,14.3安全记录,安全记录的内容包括：类型：包括审核成功或失败。日期：事件发生的日期。时间：事件发生的时间。来源：事件种类，安全事件为Security。分类：审核策略，例如登录/注销、目录服务访问、账户登录等。事件：指定事件标识符，标明事件ID，为整数值。用户：触发事件的用户名称。计算机：指定事件发生的计算机名称，一般是本地计算机名称。事件ID可以用来识别登录事件，系统使用多为默认的事件ID，一般值都小于1024字节。常见的事件ID如表14.1所示。,14.3安全记录,表14.1常用的事件ID及描述,14.4安全模板,安全模板是一种表示安全配置的文件。安全模板可被应用于本地计算机，导入到组策略对象中或用于安全性分析。WindowsServer2008内置了很多安全模板，这些模板提供了不同等级的安全，作为管理员只需要根据企业安全的需要，应用一种安全模板即可。本节将介绍有关安全模板的概念和功能，以及如何管理安全模板。,14.4安全模板,14.4.1认识安全模板本机管理员可以在“本地安全策略”控制台上，设置本机的安全策略；而域管理员可以在“域安全策略”控制台上，设置整个域范围的安全策略，或是在“域控制器安全策略”中设置组织单位（OU）的安全策略。单独设置每个安全策略，需要花费管理员很多的精力，所以WindowsServer2008提供了安全模板，可方便管理员管理安全设置。安全模板是单一文件，用于保存一组安全设置。每一个模板都是保存为文本格式的.inf文件，管理员可以对模板的部分或全部进行设置、复制、剪切、粘贴、导入或导出等操作。,14.4安全模板,WindowsServer2008包含一套预先定义的安全模板，依据计算机的角色和共同的安全设置不同，分别有几个策略：从低阶安全策略到基本安全策略、高级安全策略、最高级安全策略。预定义的安全模板是作为创建安全策略的初始点而提供的，这些策略都经过自定义设置以满足不同的组织要求。可以使用安全模板管理单元对该模板进行自定义。一旦对预定义的安全模板进行了自定义，就可以用它们配置单台或数以千计的计算机的安全。在默认情况下，这些模板保存在“%Systemroot%Securitytemplates”文件夹中，如图14.33所示。,14.4安全模板,图14.33默认安全模板文件,14.4安全模板,预先定义的安全模板有：（1）默认安全（setupsecurity.inf），这个模板是在安装期间针对每台计算机创建的，它代表了在安装操作系统期间所应用的默认安全设置。（2）域控制器默认安全（DCsecurity.inf），该模板是在服务器被升级为域控制器时创建的。这个模板会反映文件、注册表和系统服务的默认安全设置，重新应用此模板会将这些领域重新设为默认值，但是可能会覆盖新文件及其他应用程序所创建的使用权限、注册表项和系统服务。,14.4安全模板,（3）兼容（compatws.inf），与以前版本的Windows2008Server兼容安全设置，通过赋予隶属Users组的用户更大的权限。因为要确保最终用户都是Users成员，宁愿放宽默认的User权限也不愿让最终用户成为PowerUsers组的成员，这正是兼容模板的目的所在。（4）安全（secure*.inf），安全模板定义了可能影响应用程序兼容性的增强安全设置。例如，安全模板定义了更严密的密码、锁定和审核设置。（5）高度安全（hisec*.inf），高级安全模板是对加密和签名做进一步限制的安全模板的扩展集，这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户端和服务器之间进行安全传输所必需的。,14.4安全模板,（6）系统根目录安全（rootsec.inf），指定根目录的使用权限，这个安全模板会为系统磁盘驱动器的根目录定义一些权限。如果不慎更改了根目录的权限，可以重新应用或修改这个安全模板，将相同根目录权限应用到其他卷。（7）IE浏览器安全（iesacls.inf），WindowsServer2008系统采用了更为严格的安全机制和默认配置，进一步提高了系统的安全性，对InternetExplorer浏览器的安全进行了增强设置。,14.4安全模板,14.4.2安全设置分析WindowsServer2008使用默认的安全模板应用到本地计算机或域，经过管理员的不断编辑，安全设置会产生比较大的变化，管理员需要进行安全分析。（1）在命令行中输入“MMC”命令，打开空白的控制台后，新增一个名为“安全配置和分析”的管理单元，如图14.34和图14.35所示，选中要添加的项目“安全配置和分析”，单击“添加”之后关闭。,14.4安全模板,图14.34添置/删除管理单元,图14.35添置独立管理单元,14.4安全模板,（2）回到控制台，可以看到添加的“安全配置和分析”，如图14.36所示，鼠标右键单击“打开数据库”可以创建新数据库来保存分析的结果。,图14.36“安全配置和分析”控制台,14.4安全模板,（3）在“打开数据库”对话框中选择已存在的数据库，或在“文件名”中输入新数据库的名称，创建一个新的数据库，如图14.37所示，接着弹出“导入模板”对话框，选择一个安全模板，导入模板后，在控制台中执行“立即分析计算机”命令，可以利用这个数据库的安全设置，分析目前的计算机。,图14.37“打开数据库”对话框,14.4安全模板,14.4.3管理安全模板每一个模板都是保存为文本格式的.inf文件，管理员可以修改这个文件以设置安全模板，但是，使用文字编辑工具修改很困难，所以WindowsServer2008提供了“安全模板”管理单元，可以新增模板和管理预先定义的模板。(1)创建和保存安全模板。在控制台中展开“安全模板”节点，右键单击准备创建安全模板的模板路径“C:UsersAdministratorDocumentsSecurityTemplates”,在弹出的菜单中选择“新加模板”，打开如图14.38所示的对话框，在该对话框中输入模板的名称和描述，最后单击“确定”按钮即可完成安全模板的创建。返回如图14.39所示的控制台，可以看到已经存在了安全模板“anquan”了。在关闭具有“安全模板”管理单元的控制台时，将出现“保存安全模板”对话框，选择相应安全模板，然后单击“是”按钮保存该安全模板。,14.4安全模板,图14.38创建安全模板,图14.39创建安全模板后的效果,14.4安全模板,（2）导入安全模板。选择当前计算机所使用一个安全模板，并把它导出来设置名称为“daochu”。打开“本地安全策略”控制台，右键单击“安全设置”，在弱出的菜单中选择“导出策略”，在接下来出现的“将策略导出到”对话框中，指定安全模板将要导出的咱径和文件名，如图14.40所示。,图14.40“导出模板”对话框,14.4安全模板,（3）导入安全模板。将安全模板“anquan”导入到当前计算机并使用。打开“本地安全策略”控制台，右键单击“安全设置”，在弹出的菜单中选择“导入策略”，在打开的“策略导入来源”对话框中，指定导入的安全模板路径和文件名，如图14.41所示。最后单击“打开”按钮即可导入安全模板。,图14.41“导入模板”对话框,14.5强化WindowsServer2008安全的方法,WindowsServer2008的安全性相对于Windows以前的任何版本都有很大的提高，但要保证系统的安全，需要对WindowsServer2008做正确的配置及安全强化（但是也还有一些不安全的因素需要强化）。需要通过更为严格的安全控制来进一步加强WindowsServer2008的安全性。主要措施有以下三点：（1）启用密码复杂性要求。（2）启用账户锁定策略。（3）删除共享。,14.5强化WindowsServer2008安全的方法,下面给出如何关闭系统的默认共享的操作：从“开始|管理工具|计算机管理”中打开“计算机管理”界面。如图14.42所示。打开“共享文件夹”下面的子项，点中“共享”，在右边的默认共享窗口中可以看到系统提供的默认共享，如图14.43所示。若想要删除C盘的共享，可以在“C$”上右击鼠标，在弹出的快捷菜单中选中“停止共享”。对于其他的默认共享，可以使用同样的操作，将系统提供的默认共享全部删，但是要注意IPC$的共享由于被系统的远程IPC服务使用是不能被删除的，删除完默认共享的系统共享特性如图14.44所示