系统安全和网络安全.pptVIP

审核设置审核帐户登录事件此安全设置确定是否审核用户登录或注销另一台计算机(用于验证帐户)的每个实例。在域控制器上对域用户帐户进行身份验证时会生成帐户登录事件。该事件记录在域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时会生成登录事件。该事件记录在本地安全日志中。不生成帐户注销事件。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核事件类型。成功审核在帐户登录尝试成功时生成审核项。失败审核在帐户登录尝试失败时生成审核项。该事件是账户所在的位置生成的。对入侵检测非常有用。但此设置可能会导致拒绝服务状态，因为攻击者可以生成数百万此登录失败事件，将安全日志填满。审核帐户管理#2022审核登录事件此安全设置确定是否审核用户登录或注销计算机的每个实例。对于域帐户活动，在域控制器上生成帐户登录事件；对于本地帐户活动，在本地计算机上生成帐户登录事件。如果同时启用帐户登录和登录审核策略类别，使用域帐户的登录在工作站或服务器上生成登录或注销事件，并且在域控制器上生成帐户登录事件。此外，在成员服务器或工作站上使用域帐户的交互式登录将在域控制器上生成登录事件，与此同时在用户登录时还检索登录脚本和策略。成功审核在登录尝试成功时生成审核项。失败审核在登录尝试失败时生成审核项。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中，选择“定义这些策略设置”复选框，清除“成功”和“失败”复选框。该事件是在登录尝试发生的位置生成的。对于入侵检测有用。审核对象访问此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。成功审核在用户成功访问指定了相应SACL的对象时生成审核项。失败审核在用户尝试访问指定了SACL的对象失败时生成审核项。使用文件系统对象“属性”对话框中的“安全”选项卡，可以在该对象上设置SACL。常见的是审核对文件夹失败的访问。审核对文件夹失败的访问审核登录审核用户管理审核示例审核对文件夹失败的访问（演示）审核对象访问，设置“失败”；设置文件夹被某用户拒绝读取和执行、列出文件夹目录和读取权限；在文件夹属性“安全”中“高级”按钮，单击“审核”--“编辑”---“添加”按钮输入该用户名---确定—勾选“遍历文件夹/执行文件”和“列出文件夹/读取数据”（失败）--确定。该用户登录，访问文件夹，被拒绝；管理员登录，“管理工具”---“事件查看器”---Windows日志—安全—查看日志。审核登录（演示）打开“审核登录事件”，设置“成功”和“失败”；注销该用户，用新用户登录，输入一次错误密码和输入一次正确密码登录系统；切换到管理员登录系统，观察安全日志情况（管理工具—事件查看器---Windows日志—安全--）。3、审核用户管理防止外来入侵者新建一个用户完成对计算机操作后，删除该自创用户，实现系统入侵。配置审核用户管理，对上述操作进行审核。示例：新建一个用户liu，观察安全日志。用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限和特权。登录权限是指用户能否登录计算机的权限以及他们的登录方式。特权是指用户是否能够访问计算机上系统范围的资源，并可以覆盖在特定对象上设置的权限。登录权限的一个示例是在本地登录计算机的权限。特权的一个示例是关闭系统的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。4.4用户权限分配用户权限设置STEP03STEP01STEP02允许本地登录：哪些用户能以交互方式登录到此计算机。关闭系统：哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统从网络访问此计算机：哪些用户和组能够通过网络连接到计算机。拒绝本地登录和网络登录（演示）例：设只有wang用户可以网络登录计算机，拒绝本地登录计算机。本地策略—用户权限分配—“从网络访问此计算机”---添加用户和组—将wang用户加入。本地策略—用户权限分配—“拒绝本地登录”---添加用户和组---将wang用户加入。切换登录页面，看不到wang用户了。单击此处添加大标题内容4.5安全选项配置服务器安全选项，可以增强服务器的安全性，包括如不显示上一次登录的用户名、将管理员的名字重命名为admin、空密码的用户只允许本地登录、只允许guest账号访问服务器共享资源等设置。账户

使用空白密码的本地账户只允许进行控制台登录

重命名系统管理员账户交互式登录

不显示最后的用户名

提示用户在过期之前更改密码网络访问

本地账户的共享和安全模型---“仅来宾—对本地用户进行身份验证，其身份为来宾”—只有来宾用户可以访问共