(1)理解操作系统系统构筑的安全防护体系
(2)通过用户的一系列设置,掌握有效的系统安全策略
二、实验内容以及步骤:(信息系统安全/操作系统安全/Windows系统安全)
1.Windows操作系统中文件操作的审计策略:硬盘上新建一个名为“你的学号.vsd”文件,制定该文件的“删除”和“修改”的审计策略。
实验操作者以管理员身份登录系统:打开“控制面板|管理工具”,运行“本地安全策略”;打开“本地安全设置”对话框,选择“本地策略|审核策略”,双击“审核对象访问”,选“成功”和“失败”,如图2.1.145所示。
图2.1.145审核对象访问窗口
在硬盘上新建一个名为“100503011005.vsd”文件,右键单击该文件,单击“属性”,然后单击“安全”选项卡。如图2.1.146所示。
图2.1.146
单击“高级”,然后单击“审核”选项卡。如图2.1.147所示。
图2.1.147
单击“添加”;在“输入要选择的对象名称”中,键入“Everyone”,然后单击“确定”。如图2.1.148所示。
图2.1.148选择用户或组
或者如图2.1.149所示,单击“高级”,选择“Everyone”如图2.1.150所示。
图2.1.149选择用户或组
图2.1.150选择用户或组
在“测试保密.vsd的审核项目”对话框中,选择访问中的“删除”和“更改权限”的功能;如图2.1.151所示。
图2.1.151
至此,对“测试保密.vsd”的审计设置完后,删除此文件。如图2.1.152所示。
图2.1.152
右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工具|事件查看器|安全性”,或在“开始|运行”中执行 eventvwr.exe,应该能看到。如图2.1.153所示。
图2.1.153
2.对Windows用户账号管理进行审计:制定账号管理策略,新增账号“abc你的学号”,显示审计结果。
打开“控制面板|管理工具”,运行“本地安全设置”;选择“安全设置|本地策略|审核管理”,双击“审核帐户管理”,选“成功”和“失败”。如图2.1.154所示。
图2.1.154审核帐户管理
在“开始|运行”中,输入cmd,在控制台下输入创建用户myTest 和设置口令的命令,如图2.1.155所示。
图2.1.155 cmd命令窗口
在“开始|运行”中执行eventvwr.exe,在打开的“事件查看器”窗口中选择“安全性”,或右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工具|事件查看器|安全性”,可以看到如图2.1.156所示的记录:
图2.1.156事件查看器
双击审计日志,应可以看到如图2.1.157所示事件记录。
图2.1.157事件窗口
3.对Windows用户登录事件进行审计:对账号“abc你的学号”成功与失败登陆事件审计
运行“本地安全设置”,选择“安全设置|本地策略|审计策略”,双击“审核帐户登录事件”,选“成功”和“失败”,如图2.1.158所示。
图2.1.158本地安全设置
注销当前用户,并能从新登录,登录输入密码是第一次输错密码,第二次输入正确密码,进入系统。
在“开始|运行”中执行eventvwr.exe;或右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工具|事件查看器|安全性”;在打开的“事件查看器”窗口中选择“安全性”,可以看到如图2.1.159所示的记录。
图2.1.159事件查看器
双击审计日志,应可以看到如图2.1.160和图2.1.161所示的事件记录。
审核失败
审核成功
三、实验思考
思考Windows中审计管理的作用和意义
Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限。本文对成功和失败事件的审核设置进行了概述,介绍如何合理的利用这些策略设置来进行账户管理和详细追踪。
四、实验总结:
1、通过这次实验,我学习到了在windows sever 2008下对本地组策略设置和审计策略的一些方法,还有查看本地事件。
2、在切换用户查看事件的时候,用外宾账户时,无法查看本地事件,后来在管理权限下提权,解决了问题。
3、实验中需要特别注意每一步在本地安全策略的设置,比如
