3.3.4 windows审核策略的配置 下载本文

3.3.4 windows审核策略的配置

1. 实训目的和内容

(1) 掌握系统常见的系统安全配置。 (2) 掌握windows审核策略的配置。 2. 实训步骤

(1)审核策略的设置

为运行Windows 2000 以上的计算机设置审核策略,需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下:

在“开始”菜单上选择“程序”→“管理工具”→“本地安全策略”。如果在“开始”菜单中找不到“管理工具”程序组,则进入“控制面板”,打开“管理工具”程序组,选择“本地安全策略”。(如果在“开始”菜单的设置中没有选择“显示管理工具”。则“管理工具”不会出现在“开始”菜单中);

在“本地安全策略”窗口的控制台目录树中,单击“本地策略”,然后选择“审核策略”; 选中要审核的事件,在操作菜单中选择“安全性”,或是双击所选择的审核事件;

在策略设置窗口中,选择“成功”复选框或“失败”复选框,或是将二者全部选中。如图所示:

图3.21 “ 本地安全策略”界面

审核策略设置完成后,需要重新启动计算机才能生效。

(2)对文件和文件夹访问的审核 对文件和文件夹访问的审核,首先要求审核的对象必须位于NTFS分区之上,其次必须为对象访问事件设置审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。

设置的步骤如下:

在所选择的文件或文件夹的属性窗口的“安全”页面上,点击“高级”按钮;

在“审核”页面上,点击“添加”按钮,选择想对文件或文件夹访问进行审核的用户,单击“确定”;

图3.22 “ 审核项目”界面

在“审核项目”对话框中,为想要审核的事件选择“成功”或是“失败”复选框,选择完成后确定。

图3.23 “ 高级安全设置”界面

返回到“访问控制设置”对话框。默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可。

确认并返回。

(3)对打印机访问的审核 对打印机访问进行审核,要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核,并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下:

在选择的打印机的属性窗口,选择“安全”页面,点击“高级”按钮。

在“审核”页面,点击“添加”按钮,选择想对打印机访问进行审核的用户或组,点击“确定”。

图3.24 打印机的项目审核

在项目审核窗口中,在“应用到”下拉列表中选择审核应用的目标;在“访问”列表中为审核的事件选择“成功”或“失败”检查框。设置完成后,点击“确定”。

(4)对注册表的审核

经常会遇到一些情况,就是木马可能会修改了我们的注册表,然后偷偷进来干坏事,但是往往没法知道究竟是不是被改过。对于特别关键的注册表项目,比如杀毒软件本身的一些配置,当无法确认注册表由于什么情况被更改的时候,其实可以通过确认开启系统审核来确认。

点选”开始”-“运行”,输入regedit ,进入需要审核的相关的键值,如:[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]就是要监督的注册表内容

鼠标右键点选“权限”,选择“高级”,点击“审核”页签,点击“添加”按钮,可以添加“everyone”的审核,如图所示: