Windows 教案第8章 应用管理模板和审核策略.docx
《Windows 教案第8章 应用管理模板和审核策略.docx》由会员分享,可在线阅读,更多相关《Windows 教案第8章 应用管理模板和审核策略.docx(60页珍藏版)》请在冰豆网上搜索。
Windows教案第8章应用管理模板和审核策略
第8章应用管理模板和审核策略
本章概述
本章全面介绍Microsoft®Windows®Server2003的安全功能,其中包括:
安全模板、测试计算机安全策略、以及如何配置审核并管理安全日志。
教学目标
●掌握WindowsServer2003的管理模板和审核策略
●了解使用安全模板保护计算机的方法并能测试计算机安全策略。
●了解管理安全日志的相关知识点。
教学重点
●安全是企业最为关心的东西,而为了控制好安全,WindowsServer2003提供了管理模板和审核策略,这一章必须帮助学生理解。
教学难点
●对于没有接触过服务器操作系统的学生来说,审核的概念非常单薄,需要和他们详细讲解。
教学资源
课本
知识点
8.1WindowsServer2003安全概述
8.2使用安全模板保护计算机
8.3测试计算机安全策略
8.4配置审核
8.5安全日志管理
实验
管理安全设置
练习1创建自定义模板
练习2测试自定义模板
练习3使用组策略对象部署自定义模板
练习4配置和测试组织单位的安全审核
习题
习题1对应知识点使用安全模板保护计算机
习题2对应知识点配置审核
习题3对应知识点使用安全模板保护计算机
习题4对应知识点测试计算机安全策略
习题5对应知识点安全日志管理
教学指导手册包
新版幻灯片
光盘:
\Powerpnt\2274_2275_08.ppt
习题解答
光盘:
\Tprep\answer
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
先修知识
推荐补充
了解2000内核类的Windows操作系统的基础知识
《Windows2000初级管理》
建议学时
课堂教学(2课时)+实验教学(1课时)
教学过程
8.1WindowsServer2003安全概述
教学提示:
●理解用户权利并能区分权利与权限。
(略讲)
●理解分配给内置组的用户权利。
(略讲)
教学内容
教学方法
教学提示
讲授:
用户在登录时将收到一个包含用户权利的访问令牌。
用户权利授权登录计算机或网络的用户在系统上执行特定操作。
如果用户没有执行某项操作的适当权利,系统会阻止用户尝试进行该项操作。
这其实和我们思想政治课里说到的权利义务里的权利的概念是一样的。
也就是在一个范围里,你能干什么,不能干什么的一个规定。
权利是可以针对一定的对象进行分配,例如用户和组,和我们以前学习的知识一样,Windows都会推荐我们使用对组进行分配权限或权利。
这样可以保证以组成员身份登录的用户自动获得与该组有关的权利。
大大提高生产效率:
我们现在来了解一下普通用户的权利:
讲解课本:
8.1.1
阅书:
8.1.1
幻灯:
第4页
讲授:
用户权利决定了哪些用户能够在计算机上或域内执行哪些任务。
虽然用户权利可以分配给个人用户账户,但将用户权利分配给组的可管理性最高。
以组成员身份登录的用户将自动继承分配给该组的权利。
分配用户权利给组而不是给单个用户可以简化用户账户的管理工作。
当组中的用户需要相同的用户权利时,可以为该组一次性分配用户权利集,而不必重复地为每个单独的用户账户分配相同的用户权利集。
这就是我们前面说的可以大大提高工作效率的原因。
权限定义了授予用户或组对某个对象或对象属性的访问类型。
例如,可以将一个名为“Payroll.dat”的文件的读写权限授予“Finance”组。
可以对任何已设置安全机制的对象进行授权,这些对象包括文件、ActiveDirectory®目录服务中的对象或注册表对象等。
可以将权限授予任何用户、组或计算机。
把权限授予组是常用的做法。
我们可以具体看一下书上是如何讲解的。
讲解课本:
8.1.2
阅书:
8.1.2
幻灯:
第5页
讲授:
默认情况下,WindowsServer2003会分配给内置组特定的用户权利。
内置组包括本地组、“Builtin”容器中的组以及“Users”容器中的组。
书上介绍了如何给这些组进行分配权利的。
我们来看一下书上如何讲解的:
讲解课本:
8.1.3
阅书:
8.1.3
幻灯:
第6页
课堂演示:
现在大家再来看看我是怎么进行分配用户权利的
演示课本:
8.1.4
阅书:
8.1.4
幻灯:
第7页
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
8.1.5
阅书:
8.1.5
幻灯:
第8页
8.2使用安全模板保护计算机
教学提示:
本节主要达到以下目的:
●理解什么是安全策略及掌握安全模板。
(略讲)
●掌握安全模板设置并能创建自定义安全模板。
(略讲)
教学内容
教学方法
教学提示
讲授:
安全策略是改变计算机安全性能的安全设置组合。
可以通过安全策略在本地计算机和ActiveDirectory中创建账户策略和本地策略。
我们现在来看一下本地计算机安全策略和ActiveDirectory中的安全策略的一些介绍:
讲解课本:
8.2.1
阅书:
8.2.1
幻灯:
第11页
关于组策略参照:
http:
//
讲授:
安全模板是经过配置的安全设置的集合。
WindowsServer2003提供了预定义安全模板,这些安全模板中包含了针对不同情况的安全设置建议。
通过使用预定义安全模板,管理员可以创建满足不同组织要求的自定义安全策略。
“安全模板”管理单元可以用于自定义模板。
按照实际需要修改预定义安全模板之后,就可以使用这些模板为一台计算机或上千台计算机进行安全配置。
这就好比我们去吃馄饨,其实馄饨皮都一叠一叠的放在边上,早已经做好的,这就好比我们的模版,但在这个皮里包什么馅,那是根据大家的口味来定的。
包好的各种口味的馄饨就好比我们这里的自定义的安全策略。
或者我们也可以把模板看成是一批产品的样品,所有的大批量生产的产品都是按照这个样品为原形进行生产。
如果配置单台计算机,可以使用“安全配置和分析”管理单元,也可以使用“secedit”命令行工具,还可以将模板导入“本地安全策略”中。
如果是配置多台计算机,可以将模板导入“安全设置”,“安全设置”是组策略的扩展。
同样WindowsServer2003提供以下预定义模板:
默认安全设置(Setupsecurity.inf)
域控制器默认安全设置(DCsecurity.inf)
兼容(Compatws.inf)
安全(Secure*.inf)
高级安全(hisec*.inf)
系统根目录安全(Rootsec.inf)
要具体了解以上的这些内容,我们来看一下书:
讲解课本:
8.2.2
阅书:
8.2.2
幻灯:
第12页
如需了解更多有关应用安全策略的信息,请参阅Microsoft知识库中编号为325351的文章“HOWTO:
在工作组设置中的WindowsServer2003上将本地策略应用于除管理员以外的所有用户”,网址:
http:
//
讲授:
安全模板包含所有与安全相关的设置选项。
模板可以应用于单台计算机,也可以通过“组策略”部署到数组计算机上。
将模板应用于现有安全设置时,模板中的设置将合并到计算机的安全设置中。
书上详细介绍了所有的安全模板设置。
讲解课本:
8.2.3
阅书:
8.2.3
幻灯:
第13页
演示:
现在大家再来看看我是怎么进行创建自定义安全模板的:
演示课本:
8.2.4
阅书:
8.2.4
幻灯:
第14页
根据书本内容进行演示。
演示:
现在大家再来看看我是怎么进行导入安全模板的:
演示课本:
8.2.5
阅书:
8.2.5
幻灯:
第15页
根据书本内容进行演示。
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
演示课本:
8.2.6
阅书:
8.2.6
幻灯:
第16页
按照书本内容进行演示。
8.3测试计算机安全策略
教学提示:
本节主要达到以下目的:
●了解“安全配置和分析”工具。
(略讲)
●掌握使用“安全配置和分析”工具测试计算机安全设置的方法。
(略讲)
教学内容
教学方法
教学提示
讲授:
“安全配置和分析”工具将本地计算机的安全配置与另一个候选配置进行比较,该候选配置从一个安全模板(.inf文件)导入并保存在一个单独的数据库(.sdb文件)中。
分析结束后,管理员可以浏览控制台树中的安全设置以查看结果。
两者不匹配的设置项以红色叉号标记,一致的设置项以绿色勾号标记。
既未用红色叉号也未用绿色勾号标记表明没有在数据库中配置该项。
使用“安全配置和分析”分析结果之后,管理员可以执行各种任务,包括:
●在数据库中配置与当前计算机设置相匹配的设置,消除不匹配的设置,如需配置数据库设置,双击细节窗格中的设置项
●导入另一个模板文件,合并其设置并覆盖有冲突的设置,如需导入另一个模板文件,右键单击“安全配置和分析”,然后单击“导入模板”
●将当前数据库设置导出到模板文件,如需导出到另一个模板文件,右键单击“安全配置和分析”,然后单击“导出模板”
阅书:
8.3.1
幻灯:
第19页
演示:
现在大家再来看看我是怎么进行测试计算机安全的:
演示课本:
8.3.2
阅书:
8.3.2
幻灯:
第20页
演示:
现在大家根据我们前面说过的内容,进行一下练习,在练习之前,大家请先看我演示一次:
课堂演示:
8.3.3
阅书:
8.3.3
幻灯:
第21页
8.4配置审核
教学提示:
本节主要达到以下目的:
●了解审核的概念并掌握审核策略。
(略讲)
●掌握需要审核的事件类型及制定审核策略的指导原则。
(略讲)
●掌握启用文件和文件夹审核的方法。
(略讲)
教学内容
教学方法
教学提示
讲授:
审核就是通过在服务器或工作站的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。
安全日志包含各种审核项目,这些项目涉及以下信息:
●执行的操作
●执行操作的用户
●事件成功与否以及事件发生的时间
●其他信息,如发生事件的计算机等
我们现在来看一下执行审核的原因和需要审核的事件类型:
讲解课本:
8.4.1
阅书:
8.4.1
幻灯:
第24页
讲授:
建立审核策略是安全设置的重要组成部分。
监视对象的创建或更改为管理员提供一条跟踪潜在安全问题的可靠途径,并且有助于提高用户的责任感,以及提供有关违反安全规定的证据。
审核策略定义了WindowsServer2003在每台计算机的安全日志中记录的安全事件类型。
WindowsServer2003将把事件写入发生事件的计算机上的安全日志中。
为计算机建立审核策略的目的在于:
●跟踪事件的成功与失败,例如,登录尝试、用户读取某个特定文件的尝试、对用户账户或组成员身份的修改以及对安全设置的修改等
●把资源的未授权使用风险降至最低
●保留用户与管理员操作的记录
使用“事件查看器”可以查看WindowsServer2003记录在安全日志中的事件。
在任何单台计算机上创建审核策略,可以直接使用“本地策略”管理单元创建,也可以使用“组策略”间接创建,后者在大型组织中更加常用。
当实现审核策略时我们需要去做一些必要的事情:
讲解课本:
8.4.2
服务器的默认审核设置由管理模板配置。
它包括:
●Setupsecurity.inf
●Hisecdc.i