M1-5使用安全审计加强Windows主机的安全维护试卷.ppt

《网络安全运行与维护》 模块一 Windows桌面系统安全管理与维护 总体概述 总体概述 某企业局域网络中有300台办公用计算机，每台终端电脑安装了Windows系统，在日常工作中，每台电脑组成的网络需要进行文件共享及文件权限分配，每个不同的用户有着不同的权限级别，另外在局域网中，为了使系统健康快速的运行，在每台电脑中启用了防火墙，设定了桌面系统运行的策略，并针对每个文件及文件夹都设置了加密措施，这些措施保证了在企业局域网中，每类人员有着自己的权限，可以访问不同级别的加密文件，运行在不同的策略级别上，所以，在此企业中，必须设置一下策略来实现上述目标： 加强windows主机网络安全访问权限的管理 使用防火墙规则提高windows桌面系统的防御 使用文件系统加密加强windows文件系统安全 使用本地安全策略加强windows主机的整体防御 使用安全审计加强Windows主机的安全维护 能力单元5 使用安全审计加强Windows主机的安全维护 任务描述 本任务将介绍如何通过使用安全审计及查看来加强Windows主机安全。主要通过以下2种方法实现： 事件查看器 性能日志及警报 任务分析 随着网络内的环境越来越复杂，企业对数据及桌面系统的安全越来越重视。那么如何监控桌面系统是每个企业解决的网络问题之一。 Windows桌面系统默认就提供了一套这样的系统。本任务将学习： 如何查看事件查看器 事件查看器中的数据类型有哪些 性能计时器中的日志如何查看 如何设定日志警报功能 相关知识 事件查看器 在 Windows XP 中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助您预测潜在的系统问题。 任务实施——拓扑结构 任务实施——实施步骤 〖步骤1 〗事件查看器 第一步：信息类型 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“事件查看器”。 任务实施——实施步骤(cont.) 第二步：分析信息、警告、错误信息 事件标题 事件标题包含以下关于事件的信息： 任务实施——实施步骤(cont.) 此日志表示在2010年2月4日2点43分56秒时，发现DHCP服务的一个警告，事件ID为1007，表示在Virtualxp-50904主机上没有找到DHCP服务器，从而获得了一个APIPA地址（自动私有IP地址）169.254.194.202. 从此日志可以看出，本地这台主机是一台DHCP客户端，由于启动时没有找到DHCP服务器，即DHCP服务器当机或者无法响应，从而本主机为了可以进行数据通信，自动分配了一个私有IP地址。 任务实施——实施步骤(cont.) 〖步骤2 〗性能日志和警报 第一步：新建警报 1）单击开始，指向程序，指向管理工具，然后单击性 2）双击性能日志和警报，然后单击警报。 3）在详细信息窗格中，双击警报。右键单击警报，建立新警报。 4）在注释框中，键入适当的注释描述该警报，然后单击添加。 任务实施——实施步骤(cont.) 〖步骤2 〗性能日志和警报 第一步：新建警报 5）对于要添加到日志中的每个计数器或计数器组，请执行下列步骤： 若要从运行性能日志和警报服务的计算机上监视计数器，请单击使用本地计算机计数器。或者，若要监视特定计算机，而不管该服务在哪里运行，请单击从计算机选择计数器，然后指定您要监视的计算机的名称。 6）在性能对象下，单击要监视的对象。 7）在性能计数器下，单击一个或多个要监视的计数器。 8）在添加了相应的计数器后，单击关闭。 在将触发警报，如果值是框中，指定低于或超过，然后在限制框中指定触发警报的值。 在数据采样间隔下，为更新间隔指定间隔值和度量单位。通过使用操作和计划选项卡完成警报的配置。 任务实施——实施步骤(cont.) 〖步骤2 〗性能日志和警报 第二步：设定跟踪日志 利用和警报同样的方法建立跟踪日志 总结 本任务主要通过学习了以下内容： 事件查看器 性能日志及警报