网络管理员&MCSE2003之13: 第8章 应用管理模板和审核策略
一、 用户的权利与权限
用户在登录时收到一个包含用户权利的访问令牌。用户权利授权登录计算机或网络用户在系统上执行特定操作。如果用户没有某项操作的权利,系统会阻止用户操作。
权限定义了授予用户或组对某个对象或对象属性的访问类型。
用户的权利:是系统上的行为,比如:登录、更改时间、关闭系统、从网络访问此计算机。
权限:是对象上的行为,比如:文件夹的读写权限,打印机的使用权限等。
例1:通过禁止用户从本地登录到计算机来测试用户权利分配。成功之后,再把本地登录权利分配给用户。
1、 删除“Users”组的本地登录权利。
Users组用户bei是本地用户,可正常登录计算机。
运行本地组策略编辑器。
定位到计算机配置→Windows设置→安全设置→本地策略→用户权限分配允许在本地登录,然后对右侧“允许在本地登录”双击。
删除Users后确定,关闭所有窗口,然后注销。
2、 测试权限是否已经删除。
Bei用户已经不能再登录。
3、 为“Users”组分配本地登录权利。
重新使用本地系统管理员身份登陆,再打开本地组策略编辑器,再次定位到下图位置,把Users重新加入“允许在本地登录”,再确定关闭所有窗口,注销。
4、 测试是否分配成功。
再使用bei用户登录。
登录成功。
二、使用“安全模板”、“安全配置和分析”来保护计算机
例2:为了提高财务部工作的安全,公司要求只允许财务部的用户能从财务部计算机登录到域,禁止其他用户从账务部计算机登陆,财务部成员使用不小于10位的复杂密码,在该部门用户登陆时必须显示一个对话框,告知未经授权禁止使用财务部电脑,并且禁用“Alerter”服务。
1、域控制器上,在Active Directory用户和计算机中,当前财务部用户情况如下图:
2、在财务部下建立一个“财务部计算机”组织单位(OU),并把所有财务部计算机移到其内。
3、假设GLASGOW代表所有财务部计算机,把它从容器“Computers”移到“财务部计算机”内。
4、在财务部内建立一个全局安全组“G S 财务组”(不要建成了域本地安全组),用于容纳所有财务部用户。
5、财务部所有用户账户添加到“G S 财务组”中,确定后,关闭Active Directory用户和计算机。
6、 在运行中输入MMC执行,在MMC中添加“安全模板”、“安全配制和分析”。
7、 安全模板:是经过配置的安全设置的集合。本例以Securedc.inf为模板新建一个MY Securedc.inf模板。
系统自带安全模板功能介绍,
域控制器默认安全设置(DC security.inf):针对域控制器指定缺省安全设置从默认安全设置更新(security.inf)
兼容(Compatws.inf):针对用户组启用最大应用程序兼容性来修改权限和注册表设置
安全(Securedc.inf 、Securews.inf):加强安全设置(定义了至少可能影响应用程序兼容性的增强安全设置)
高级安全(Hisecdc.inf 、Hisecws.inf):在安全设置中增加了限制
系统根目录安全 (Rootsec.inf):为系统驱动器根目录定义权限
8、 对Securedc右击选菜单中的另存为,给新的安全模板取名为:MY Securedc,并展开它。
9、 更改密码长度最小值为10个字符。
10、 “允许在本地登录”设为“G S 财务组”和“Administrators”组。(“Administrators”组是必须的,不然系统会拒绝设置)
11、 设置登录时消息标题“登陆请注意:”。
12、 登录时消息文字:“非财务部所属员工,禁止使用财务部电脑,一经发现严重处理。 公司经理室”
13、 禁用系统服务:Alerter。
14、 保存当前对模板的修改。
15、 使用“安全配置和分析”工具比较MY Securedc安全设置和当前正使用的安全设置有什么区别。(它将本地计算机的安全配置与另一个候选配置进行比较,该候选配置从一个安全模板(.inf文件)导入并保存在一个单独的数据库(.sdb文件)中。分析结束后,管理员可以浏览控制台树中的安全设置以查看结果。两者不匹配的设置项以红色叉号标记,一致的设置项以绿色句号钩标记。没有用这两种符号的表明没有在数据库中配置该项。)
16、 首先对“安全配置和分析”右击选“打开数据库”。
17、 在文件名中输入新建数据库的名字:my securedc,再单击“打开”。
18、 在导入模板中选择“my securedc.inf”,单击打开。
19、 装入比较模板后,再对它右击选“立即分析计算机”。
20、 指定错误日志文件路径后,确定。
21、 这是分析出来的结果,可以关闭MMC了。【注意:这个工具只是用来分析一个候选安全配置和当前安全配置之间的的差别,并不是本例中要实现这些功能所必须的。】
22、 安全模板建成后需要导入GPO中来使用,接下来,在“组策略管理”中建立一个“账务部安全策略”的新策略,然后把这个GPO链接到“财务部”。
23、 刚链接的GPO“财务部安全策略”顺序号为7,优先积最低,它的一些安全设置可能被上面的GPO所覆盖,因此把它移到第一位。(按一下左侧的向上双三角形)
24、 对这个GPO进行编辑。
25、 在计算机配置→Windows设置→安全设置上右击,选“导入策略”。
26、 选刚编辑好的安全模板“MY securedc.inf”,再单击“打开”。
27、 关掉组策略编辑器和组策略管理,在开始→运行中执行:gpupdate /force,刷新组策略,输入N不注销。
28、 对财务部的计算机(Glasgow)重启,测试效果,按Ctrl+Alt+Delete后出现的登陆对话框。
使用非财务部成员来登陆被拒绝。
使用财务部成员jack可正常登陆。
【说明:虽然现在限定了用户密码最小为10个字符,但以前设置的不足10个字符的密码仍可用,但后来新建的用户就需要10个了。】
三 、配置审核和安全日志管理
没有综合审核策略的安全策略是不完整的策略。审核就是通过在服务器或工作站的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。常见审核的内容如下:
1、 访问对象,例如文件和文件夹;
2、用户账户和组账户的管理;
3、 用户登录到系统和从系统注销。
例3:Glasgow为域中的文件服务器,要求在其中建立一个共享文件夹“机密文件”,只允许财务部用户访问并完全控制,但有可能有非财务部用户尝试非法访问,或者有人晚上加班时偷用财部电脑访问,为了确保它的正规使用,要求跟踪所有成功和失败访问事件。另外,怀疑财务部的委派管理员,私自建立用户账户给非财务部人员使用,然后又删除,要求记录相关事件,以做为有力证据。
要完成这些要求,需要先建立审核策略,再对审核对象进行配置,启动它的相关审核功能。
本例中的网络环境:
当前域中OU结构、委派管理员,及链接财务部的GPO和例2相同。
1. 打开审核策略中的“审核对象访问”和“审核帐户管理”的成功、失败审核。
因为“财务部安全策略”链接在财务部,且财务部所有的用户和计算机账户都在财务部,对“财务部安全策略”右击选“编辑”。
在打开的组策略编辑器中,定位到“审核策略”。
【知识点:
审核策略更改:该安全设置确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。
审核登录事件:该安全设置确定是否审核每一个登录或注销计算机的用户实例。
审核对象访问:该安全设置确定是否审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等,它们都有自己特定的系统访问控制列表 (SACL)。
审核过程跟踪:该安全设置确定是否审核事件(例如程序激活、进程退出、句柄复制和间接对象访问等)的详细跟踪信息。
审核目录服务访问:该安全设置确定是否审核用户访问那些指定自己的系统访问控制列表 (SACL) 的 Active Directory 对象的事件。
审核特权使用:该安全设置确定是否审核用户实施其用户权利的每一个实例。
审核系统事件:当用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件发生时,安全设置确定是否予以审核。
审核帐户登录事件:该安全设置确定是否审核在这台计算机用于验证帐户时,用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户帐户进行身份验证时,将产生帐户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时,将产生登录事件。该事件记录在本地安全日志中。不产生帐户注销事件。
审核帐户管理:该安全设置确定是否审核计算机上的每一个帐户管理事件。帐户管理事件的例子包括:创建、更改或删除用户帐户或组、重命名、禁用或启用用户帐户、设置或更改密码。】
打开审核对象访问的成功、失败操作。(用于跟踪记录文件夹的成功、失败访问操作)
再打开审核账户管理的成功操作。(用于跟踪记录财务部成功对用户的建立、删除等操作,这里不需要记录失败操作)
【知识点:并不是所有操作都需要审核成功和失败事件的,通过实践,我们有最佳配置审核的方法:
l 审核目录服务访问类别成功事件
l 审核对象访问目录类别成功事件
l 审核系统类别成功和失败事件
l 审核在域控制器上策略改变类别成功或失败事件
l 审核账户管理类别成功和失败事件
l 审核登录类别成功事件
l 审核域控制器上账户登录类别的成功事件
l 设置合适的安全日志大小 】
2. 在Glasgow上建立一个共享文件夹“机密文件”,只允许财务部用户访问并完全控制,另外对其进行访问进行策略审核【说明:本例操作全部都在域控制器上完成。】
打开Active Directory用户和计算机,找到财务部中的Glasgow计算机,并对它右击选“管理”(本例是接上例,这里所有财务部用户都隶属于“G S 财务组”)。
在计算机管理中,展开系统工具→共享文件夹→共享,在右侧单击选“新建共享”。
下一步
单击浏览。
在D$上新建一个文件夹“机密文件”,并要确保D盘是NTFS系统,不然无法使用文件夹的审核策略。
单击“自定义”按钮,在共享权限和安全选项卡中都加入“G S 财务组”,并设为完全控制,删除其他用户和组,然后“确定”。
在安全中单击“高级”,在高级的“审核”选项卡中单击“添加”,把everyone加入并确定。
对Everyone访问设置成所有成功和失败事件。
一路确定下来,再“关闭”。
3. 对组织单位(OU)财务部进行管理审核。
打开“财务部”的属性。
在弹出的属性框的安全中单击“高级”按钮,在高级的审核选项卡在单击“添加”按钮。
审核项目为:Everyone。
只审核成功管理。
一路确定下来,完成了对文件夹的审核设置。
4. 测试:对“财务部”的账户管理跟踪。
所有审核事件都记录在“安全性”日志中,对域账户管理都记录在域控制器的“安全性”日志中,但并不是所有对象的“安全性”日志都在域控制器上,比如“机密文件”在Glasgow上,它的审核策略就记录在Glasgow的“安全性”日志中,为了后面的审核日志很干净,我们把域控制器London当前所有的安全性日志,全保存后再删除。
在Glasgow上用Leo用户登陆,履行其委派管理员职能,先运行MMC,添加“Active Directory用户和计算机”管理单元,在“财务部”中建立一个用户cool。
回以域控制器London的事件查看器,在右侧刷新下,出现很多最新的审核日志。
使用筛选,只筛选出来源“Security”和分类“账户管理”。
日志记录了Leo创建了用户Cool。
5. 测试对“机密文件”的访问跟踪
用Leo用户通过“网上邻居”访问Glasgow上的“机密文件”,并建立一个文件夹。
在域控制器London上的本地事件查看中,关于“对象访问”的分类,并没有“机密文件”的日志,显然它不存储在域控制器上。
对“事件查看器(本地)”右击,选“连接到另一台计算机”。
连接到Glasgow。
筛选出来源“Security”和分类“对象访问”。
筛选出很多“对象访问”分类的日志记录,其中有Leo建立的“Leo测试访问跟踪”文件夹的跟踪日志记录。
另外1:对每一种日志右击选“属性”,可设置日志上限和达到大小上限时采用的处理方法。
另外2:也可以在组策略中对安全设置→事件日志,对日志的访问、大小、保留等情况设置。