Windows 教案第8章 应用管理模板和审核策略.docx

1、Windows 教案第8章 应用管理模板和审核策略第8章 应用管理模板和审核策略本章概述本章全面介绍 Microsoft Windows Server 2003 的安全功能，其中包括：安全模板、测试计算机安全策略、以及如何配置审核并管理安全日志。教学目标 掌握 Windows Server 2003 的管理模板和审核策略 了解使用安全模板保护计算机的方法并能测试计算机安全策略。 了解管理安全日志的相关知识点。教学重点 安全是企业最为关心的东西，而为了控制好安全，Windows Server 2003提供了管理模板和审核策略，这一章必须帮助学生理解。教学难点 对于没有接触过服务器操作系统的学生来

2、说，审核的概念非常单薄，需要和他们详细讲解。教学资源课本知识点8.1 Windows Server 2003 安全概述8.2使用安全模板保护计算机8.3测试计算机安全策略8.4配置审核8.5安全日志管理实验管理安全设置练习 1 创建自定义模板练习 2 测试自定义模板练习 3 使用组策略对象部署自定义模板练习 4 配置和测试组织单位的安全审核习题习题1对应知识点使用安全模板保护计算机习题2对应知识点配置审核习题3对应知识点使用安全模板保护计算机习题4对应知识点测试计算机安全策略习题5对应知识点安全日志管理教学指导手册包新版幻灯片光盘：Powerpnt 2274_2275_08.ppt习题解答光盘

3、：Tprepanswer先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。先修知识推荐补充了解2000内核类的Windows操作系统的基础知识Windows 2000初级管理建议学时 课堂教学（2课时）+实验教学（1课时）教学过程8.1 Windows Server 2003 安全概述教学提示 ： 理解用户权利并能区分权利与权限。（略讲） 理解分配给内置组的用户权利。（略讲）教学内容教学方法教学提示讲授：用户在登录时将收到一个包含用户权利的访问令牌。用户权利授权登录计算机或网络的用户在系统上执行特定操作。如果用户没有执行某项操作的适当权利，系统会阻止用户尝试进行该项操作。这其实和我们

4、思想政治课里说到的权利义务里的权利的概念是一样的。也就是在一个范围里，你能干什么，不能干什么的一个规定。权利是可以针对一定的对象进行分配，例如用户和组，和我们以前学习的知识一样，Windows都会推荐我们使用对组进行分配权限或权利。这样可以保证以组成员身份登录的用户自动获得与该组有关的权利。大大提高生产效率：我们现在来了解一下普通用户的权利：讲解课本：8.1.1阅书：8.1.1 幻灯：第4页 讲授：用户权利决定了哪些用户能够在计算机上或域内执行哪些任务。虽然用户权利可以分配给个人用户账户，但将用户权利分配给组的可管理性最高。以组成员身份登录的用户将自动继承分配给该组的权利。分配用户权利给组而不

5、是给单个用户可以简化用户账户的管理工作。当组中的用户需要相同的用户权利时，可以为该组一次性分配用户权利集，而不必重复地为每个单独的用户账户分配相同的用户权利集。这就是我们前面说的可以大大提高工作效率的原因。权限定义了授予用户或组对某个对象或对象属性的访问类型。例如，可以将一个名为“Payroll.dat”的文件的读写权限授予“Finance”组。可以对任何已设置安全机制的对象进行授权，这些对象包括文件、 Active Directory 目录服务中的对象或注册表对象等。可以将权限授予任何用户、组或计算机。把权限授予组是常用的做法。我们可以具体看一下书上是如何讲解的。讲解课本：8.1.2阅书：8

6、.1.幻灯：第5页讲授：默认情况下，Windows Server 2003 会分配给内置组特定的用户权利。内置组包括本地组、“Builtin”容器中的组以及“Users”容器中的组。书上介绍了如何给这些组进行分配权利的。我们来看一下书上如何讲解的：讲解课本：8.1.3阅书：8.1.3幻灯：第6页课堂演示：现在大家再来看看我是怎么进行分配用户权利的演示课本：8.1.4阅书：8.1.4幻灯：第7页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：8.1.5阅书：8.1.5幻灯：第8页8.2使用安全模板保护计算机教学提示 ：本节主要达到以下目的： 理解什

7、么是安全策略及掌握安全模板。（略讲） 掌握安全模板设置并能创建自定义安全模板。（略讲）教学内容教学方法教学提示讲授：安全策略是改变计算机安全性能的安全设置组合。可以通过安全策略在本地计算机和 Active Directory 中创建账户策略和本地策略。我们现在来看一下本地计算机安全策略和Active Directory 中的安全策略的一些介绍：讲解课本：8.2.1阅书：8.2.1幻灯：第11页关于组策略参照：http：/讲授：安全模板是经过配置的安全设置的集合。Windows Server 2003 提供了预定义安全模板，这些安全模板中包含了针对不同情况的安全设置建议。通过使用预定义安全模板，

8、管理员可以创建满足不同组织要求的自定义安全策略。 “安全模板”管理单元可以用于自定义模板。按照实际需要修改预定义安全模板之后，就可以使用这些模板为一台计算机或上千台计算机进行安全配置。这就好比我们去吃馄饨，其实馄饨皮都一叠一叠的放在边上，早已经做好的，这就好比我们的模版，但在这个皮里包什么馅，那是根据大家的口味来定的。包好的各种口味的馄饨就好比我们这里的自定义的安全策略。或者我们也可以把模板看成是一批产品的样品，所有的大批量生产的产品都是按照这个样品为原形进行生产。如果配置单台计算机，可以使用“安全配置和分析”管理单元，也可以使用“secedit”命令行工具，还可以将模板导入“本地安全策略”中

9、。如果是配置多台计算机，可以将模板导入“安全设置”，“安全设置”是组策略的扩展。同样Windows Server 2003 提供以下预定义模板：默认安全设置（Setup security.inf）域控制器默认安全设置（DC security.inf）兼容（Compatws.inf）安全（Secure*.inf）高级安全（hisec*.inf）系统根目录安全（Rootsec.inf）要具体了解以上的这些内容，我们来看一下书：讲解课本：8.2.2阅书：8.2.2幻灯：第12页如需了解更多有关应用安全策略的信息，请参阅 Microsoft 知识库中编号为 325351 的文章“HOW TO：在工作组

10、设置中的 Windows Server 2003 上将本地策略应用于除管理员以外的所有用户”，网址：http：/讲授：安全模板包含所有与安全相关的设置选项。模板可以应用于单台计算机，也可以通过“组策略”部署到数组计算机上。将模板应用于现有安全设置时，模板中的设置将合并到计算机的安全设置中。书上详细介绍了所有的安全模板设置。讲解课本：8.2.3阅书：8.2.3幻灯：第13页演示：现在大家再来看看我是怎么进行创建自定义安全模板的：演示课本：8.2.4阅书：8.2.4幻灯：第14页根据书本内容进行演示。演示：现在大家再来看看我是怎么进行导入安全模板的：演示课本：8.2.5阅书：8.2.5幻灯：第15

11、页根据书本内容进行演示。演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：演示课本：8.2.6阅书：8.2.6幻灯：第16页按照书本内容进行演示。8.3测试计算机安全策略教学提示 ：本节主要达到以下目的： 了解“安全配置和分析”工具。（略讲） 掌握使用“安全配置和分析”工具测试计算机安全设置的方法。（略讲）教学内容教学方法教学提示讲授：“安全配置和分析”工具将本地计算机的安全配置与另一个候选配置进行比较，该候选配置从一个安全模板（.inf 文件）导入并保存在一个单独的数据库（.sdb 文件）中。分析结束后，管理员可以浏览控制台树中的安全设置以查看结果。两者不

12、匹配的设置项以红色叉号标记，一致的设置项以绿色勾号标记。既未用红色叉号也未用绿色勾号标记表明没有在数据库中配置该项。使用“安全配置和分析”分析结果之后，管理员可以执行各种任务，包括： 在数据库中配置与当前计算机设置相匹配的设置，消除不匹配的设置，如需配置数据库设置，双击细节窗格中的设置项 导入另一个模板文件，合并其设置并覆盖有冲突的设置，如需导入另一个模板文件，右键单击“安全配置和分析”，然后单击“导入模板” 将当前数据库设置导出到模板文件，如需导出到另一个模板文件，右键单击“安全配置和分析”，然后单击“导出模板”阅书：8.3.1幻灯：第19页演示：现在大家再来看看我是怎么进行测试计算机安全的

13、：演示课本：8.3.2阅书：8.3.2幻灯：第20页演示：现在大家根据我们前面说过的内容，进行一下练习，在练习之前，大家请先看我演示一次：课堂演示：8.3.3阅书：8.3.3幻灯：第21页8.4配置审核教学提示 ：本节主要达到以下目的： 了解审核的概念并掌握审核策略。（略讲） 掌握需要审核的事件类型及制定审核策略的指导原则。（略讲） 掌握启用文件和文件夹审核的方法。（略讲）教学内容教学方法教学提示讲授：审核就是通过在服务器或工作站的安全日志中记录选定类型的事件来跟踪用户和操作系统的活动。安全日志包含各种审核项目，这些项目涉及以下信息： 执行的操作 执行操作的用户 事件成功与否以及事件发生的时间

14、 其他信息，如发生事件的计算机等我们现在来看一下执行审核的原因和需要审核的事件类型：讲解课本：8.4.1阅书：8.4.1幻灯：第24页讲授：建立审核策略是安全设置的重要组成部分。监视对象的创建或更改为管理员提供一条跟踪潜在安全问题的可靠途径，并且有助于提高用户的责任感，以及提供有关违反安全规定的证据。审核策略定义了 Windows Server 2003 在每台计算机的安全日志中记录的安全事件类型。Windows Server 2003 将把事件写入发生事件的计算机上的安全日志中。为计算机建立审核策略的目的在于： 跟踪事件的成功与失败，例如，登录尝试、用户读取某个特定文件的尝试、对用户账户或组成员身份的修改以及对安全设置的修改等 把资源的未授权使用风险降至最低 保留用户与管理员操作的记录使用“事件查看器”可以查看 Windows Server 2003 记录在安全日志中的事件。在任何单台计算机上创建审核策略，可以直接使用“本地策略”管理单元创建，也可以使用“组策略”间接创建，后者在大型组织中更加常用。当实现审核策略时我们需要去做一些必要的事情：讲解课本：8.4.2服务器的默认审核设置由管理模板配置。它包括： Setup security.inf Hisecdc.i