《网络系统安全运行与维护》课件项目二 任务五 使用安全审计加强Windows主机安全维护

项目二Windows桌面系统安全运行与维护项目主要内容：任务一提高Windows主机安全访问权限任务二使用Windows防火墙规则加强Windows主机安全任务三使用文件加密系统加强Windows文件系统安全任务四使用本地安全策略加强Windows主机整体安全任务五使用安全审计加强Windows主机安全维护任务提出

在本项目前4个任务中，已经分别从局部到整体对WindowsServer2008桌面系统进行了安全防御。在日趋复杂的网络环境中，如何监控操作系统安全已成为每个企业需要解决的网络问题，Windows操作系统提供了一整套解决这个问题的方案，如使用“事件查看器”可以查看应用程序、安全和系统事件，使用性能监视器可以对系统性能进行监控。本任务将学习如何通过安全审计来加强Windows主机安全。

在本任务中，主要通过以下设置审计系统安全：1.在事件查看器中分析日志

在事件查看器中，可以通过分析系统日志可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。2.在事件查看器中分析事件类型

事件查看器中的事件类型有信息、警告、错误、成功审核、失败审核，不同类型的事件反映了在计算机上进行了不同的操作，通过分析事件类型，我们可以掌握本计算机上进行过的所有操作以及每个操作的执行情况。3.

设定性能监视及优化功能

利用性能监视器，通过添加性能计数器和数据收集器，准确、及时地监控到WindowsServer2008服务器系统的运行性能变化。任务分析1.在事件查看器中分析日志在Windows系统中，系统或程序中发生的任何重要事件都需要通知用户，或者写入到日志文件中。事件日志服务用于在事件查看器中记录应用程序、安全和系统的事件。通过使用事件查看器中的事件日志，可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件，帮助用户确定和诊断当前系统问题的根源，并预测潜在的系统问题。2.在事件查看器中分析事件类型事件的类型分别为信息、警告、错误、成功审核和失败审核，每种事件类型反应系统上执行的不同操作类型：①信息：描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加载时，将记录“信息”事件。②警告：警告不一定重要，但表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警告”事件。③错误：描述重要问题（如关键任务失败）的事件。错误事件可能涉及数据丢失或功能缺失。例如，当启动过程中无法加载服务时将记录错误事件。④成功审核：描述成功完成的、受审核的安全事件。例如，当用户登录到计算机时，将记录“成功审核”事件。⑤失败审核：描述未成功完成的、受审核的安全事件。例如，当用户无法访问网络驱动器时，可能记录“失败审核”事件。3.设定性能监视及优化功能

通常来说，当需要查看本地服务器系统的运行性能如何时，人们常常会习惯使用系统的任务管理器进行查看，因为在系统任务管理器窗口中，既可以非常直观地看到服务器正在运行的所有进程，又能看清楚每一个系统进程耗费的资源和内存资源。但是，如果希望获得更为详细的服务器运行性能信息时，更适合使用WindowsServer2008系统自带的性能监视器工具，利用该工具不但能够获取更为详细的技术层面的统计信息，而且还能对这些信息及时进行准确统计记录，方便改变系统选项，从而达到优化、提高服务器系统运行性能的目的。任务实施1.在事件查看器中分析日志操作步骤如下：步骤1：实验准备阶段，根据项目一中任务一知识点，在VMwareWorkstation中部署两台WindowsServer2008R2虚拟机Server和PC，并将两台虚拟机实现网络连通。Server和PC的IP地址规划如表所示。设备名称设备角色操作系统IP地址Server数据存储服务器WindowsServer2008192.168.159.3/24PC测试计算机WindowsServer2008192.168.159.4/24步骤2：事件查看器第1步：配置自动获取IP地址故障①在VMwareWorkstation中，打开“编辑”-“虚拟网络编辑器”，选中NAT模式，取消“使用本地DHCP服务将IP地址分配给虚拟机”选项，如图1所示，并单击“应用”和“确定”按钮。图1②在Server的本地连接属性对话框中，设置“Internet协议版本4（TCP/IPv4）属性”为“自动获得IP地址”，如图2所示。图2第2步：查看信息类型①在Server上，选择“开始”-“管理工具”-“事件查看器”，在事件查看器窗口右侧的列表框中显示了事件查看器的概述与摘要、管理事件的摘要、最近查看的节点以及日志摘要等信息，如图3所示。小贴士：必须以Administrator或Administrators组成员的用户身份登录，才能打开、使用安全日志及指定将哪些事件记录在安全日志中。图3②在事件查看器窗口左侧的列表框中展开“Windows日志”，可以看到有应用程序、安全、Setup、系统、转发事件选项。单击“应用程序”节点，可以看到应用程序中的所有事件的级别、日期和时间、来源、事件ID、任务类别，如图4所示。图4③右击“应用程序”节点，在弹出的快捷菜单中选择“筛选当前日志”命令，打开“筛选当前日志”对话框，单击“筛选器”选项卡，如图5所示。图5④在“筛选器”对话框中，可以根据事件的级别选择显示的事件，如选择“警告”，则在应用程序事件中只显示警告事件，如图6所示。图62.在事件查看器中分析事件类型第3步：分析错误事件①在事件查看器窗口左侧的列表框中展开“Windows日志”，单击“系统”选项，右侧的事件列表框中找到类型为“错误”的事件并双击，也可以通过右键“系统”——“筛选当前日志”的方式找到“错误”事件。打开“事件属性”对话框，如图7所示。图7②该事件日志表示：在2019年1月17日18点59分49秒，发现NetBT服务的一个错误。事件ID为4321,表示在WIN-N7IONR3403主机在尝试将IP地址配置为169.254.14.195时，受到其他计算机的阻止。③从该事件日志中可以看出，这台主机是DHCP客户端，由于启动时没有找到DHCP服务器，即DHCP服务器宕机或者无法响应，该主机为了能够通信，自动分配了一个私有IP地址。3.设定性能监视及优化功能步骤3：配置性能监视器第1步：添加计数器①选择“开始”-“管理工具”—“性能监视器”菜单命令，打开“性能监视器”窗口，如图8所示。图8②展开“监视工具”选项，可以看到“性能监视器”，单击一下，即可看到性能监视器窗口，在该窗口中可以直观地看到服务器系统每时每刻运行性能的变化，如图9所示。图9

③在图9中，单击绿色的“+”按钮，即可进入“添加计数器”对话框，如图10所示。图10④在“浏览”框中选择“本地计算机”，从“可用计数器”列表框中可以看到许多计数器，同时根据类别进行了整理，此时可以根据实际需要选择某一个计数器或多个计数器，再单击“添加”按钮即可。由于服务器系统所提供的性能计数器数量较多，为了快速有效地找到想要的计数器，可以选中对应设置窗口中的“显示描述”复选项，这样每选中一个性能计数器时就能自动在对应设置窗口的底部看到它的描述信息，如单击“ProcessorInformation”，便可在“显示描述”框中看到其相关介绍，如图11所示。图11

⑤在每个计数器后面有一个“+”，单击展开扩展项，可以看到每个计数器所包含的所有项，并对每个项单独选择进行添加，如图12所示。图12

⑥单击选择“ProcessorInformation”计数器，单击“添加”按钮，添加到“添加的计数器”显示框中，如图13所示。单击“确定”按钮，完成计数器的添加。图13⑦在“性能监视器”窗口中，可以看到添加的计数器，并使用不同颜色的线条显示不同的计数项，如图14所示。⑧在图14窗口中，选择下面的其中一个计数项，右键单击，可以进入“性能监视器属性”对话框，在对话框中对计数项的颜色、宽度、比例、样式，如图15所示。图14图15第2步：创建数据收集器集①在性能监视器对话框，右键单击“性能监视器”，选择“新建”-“数据收集器集”，弹出“创建新的数据收集器集”对话框，在“名称”栏中输入数据收集器集的名称，如性能监视，如图16所示。②单击“下一步”，为数据指定存放路径，如图17所示。图16图17③单击“下一步”-“完成”，完成数据收集器集的创建。在“性能监视器”窗口单击“数据收集器集”-“用户定义”，可见所创建的“性能监视”数据收集器集。单击“性能监视”，在右侧“系统监视器日志”上右键单击，选择“属性”，打开“系统监视器日志属性”对话框，如图18所示。图18

④在图18中，可以对日志格式、数据采集间隔时间进行设置，还可以添加或删除性能计数器，此处可以选择“添加”，在弹出的“可用计数器”窗口中，选择“ProcessorInformation”计数器，单击“添加”按钮即可。⑤完成数据收集器集的创建和设置后，在性能监视器对话框中选择“数据收集器集”-“用户定义”