Windows Server 2003系统安全配置.ppt

（2）全局组 全局组主要用于组织用户，即可以将多个被赋予相同权限的用户账户加到同一个全局组内。其特点如下： 全局组内的成员，只能包含所属域内的用户与全局组，即只能将同一个域内的用户或其他全局组加到全局组内。 全局组可以访问任何一个域内的资源，即可以在任何一个域内设置全局组的使用权限，无论该全局组是在同一个域内，还是在另一个域内。 （3）通用组 通用组可以设置在所有域内的访问权限，以便访问所有域资源。其特征如下： 通用组成员可以包括整个域林（多个域）中任何一个域内的用户，但是，无法包含任何一个域内的域本地组。 通用组可以访问任何一个域内的资源，也就是说，可以在任何一个域内设置通用组的权限，无论该通用组是在同一个域内，还是在另一个域内。 6.5 审核策略 审核策略可以将发生在用户和系统上的一些行为记录到系统日志中，通过系统日志可以分析发生在本地系统或域中的一些事件。如果在网络上设置了访问许可，就有必要建立审核策略来追踪用户对这个资源的访问，审核策略是追踪安全方面用户事件的一个很好的工具。 6.5.1 审核简介 通过审核策略来指定哪些事件将被写进系统日志，这有助于管理员分析网络上一些资源的访问行为，对用户和系统行为进行检查，可以分析对网络资源授权和未知的访问。通过域范围的审核策略来保护公司的网络资源和用户系统。 6.5.2 审核的管理 Windows Server 2003系统的审核功能在默认状态下并没有启用，必须针对特定系统事件来启用、配置它们的审核功能，这样该功能才会对相同类型的系统事件进行监视、记录，网络管理员日后只要打开对应系统的日志记录就能查看到审核功能的监视结果了。在使用审核之前要制定相关的管理措施，主要有以下几方面的内容。 1.创建一个审核计划 1）确定通过收集审核事件想要获得的信息类型 （1）收集失败的审核。跟踪用户获得对未授权区域的访问权的尝试。启用审核失败可能会威胁到用户的组织。如果用户尝试访问一个未被授权的资源，则将创建很多的审核失败以至于安全日志被填满，致使计算机无法再收集审核。如果用户启用“审核：如果不能登录安全审核请立即关闭系统”策略设置，则用户可以通过审核策略启用拒绝服务攻击。 （2）收集成功的审核和失败的审核。 2）用于收集和查看审核日志的资源 要审核感兴趣的事件，不要审核不感兴趣的事件。因为审核事件会占用计算机的空间，并且占用系统时间。 2.将组织中的安全日志收集并存档 如果发生入侵事件，隔离并保存安全日志项。 一个审核记录可以包含有关更改本机或网络中其他计算机的信息。如果入侵者获得管理员的权限或者管理员滥用权限，则他们可以清除安全日志，没有其操作的任何记录。如果使用工具定期地收集并保存组织中的安全日志项，则即使入侵者或管理员清除了本地安全日志，仍然很有可能跟踪入侵者或管理员的操作。 3.选用适当的审核事件类型 可被选来进行审核的事件类别有： 审核账户登录事件。 审核账户管理。 审核目录服务访问。 审核登录事件 。 审核对象访问。 审核策略更改。 审核特权使用。 审核过程跟踪。 审核系统事件。 4.事件日志设置 事件日志设置主要包含以下内容： 应用程序日志最大值。 安全日志最大值。 系统日志大小最大值。 限制本地来宾组访问应用程序日志。 限制本地来宾组访问安全日志。 限制本地来宾组访问系统日志。 应用程序日志保留天数。 安全日志保留天数。 系统日志保留天数。 应用程序日志保留方法。 安全日志的保留方法。 系统日志保留方法。 6.5.3 审核策略的设置 1.设置本地计算机的审核策略 2.设置域控制器的审核策略 3.设置域或组织单元的审核策略 本章小结 本章介绍了Windows Server 2003的安全特征，Active Directory的功能和结构和设置，组策略和审核策略的应用和管理，以及用户和工作组的安全管理。 通过本章节的学习，读者对Windows Server 2003安全特征有一定的了解，并掌握Windows Server 2003的一些常见的管理方法，能使用Windows Server 2003够进行一些基本的安全管理的部署。 第6章 结束 谢谢！ 3.活动目录的信任关系 两个域之间必须建立了“信任关系”之后，才可以访问对方域内的资源。任何一个Windows Server 2003域被加到域树后，这个域会自动信任其父域，同时父域也会自动地信任这个子域，而且这些信任关系具备“双向传递性”。这个信任的功能是通过Kerberos安全协议来完成的，因此也被称为Kerberos信任。 在活动目录中，同一个林中的所有成员域之间自动建立双向可传递信任关系。信任会将同一个域树下的父域和子域，以及域树的根连接在一起。 域的信任关系 6.2.3