本地策略主要涉及是否在安全日誌中記錄登入使用者得到操作事件,使用者能否互動式登入次計算機,使用者能否從網路上訪問此計算機等。
工具/原料
稽核策略
使用者許可權分配策略
安全選項
稽核策略
建立稽核跟蹤是系統安全的重要內容,通過設定稽核策略可以確定是否將計算機中與安全有多關的時間記錄到安全日誌裡。稽核策略指定了要稽核的與安全有關的事件的類別,因此在完成稽核之前,必須先確定稽核策略略。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/77ad384266b7c976119a3cd118c71e42_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
稽核策略的安全設定選項包括一下幾個方面:
1、成功:請求的操作成功執行時會生成一個稽核項。
2、失敗:請求操作失敗時會成成一個稽核項
3、無稽核:相關操作不會生成稽核項
例:要身份物件訪問類別成功和失敗的花事件,首先需要雙擊稽核策略中的“稽核物件”訪問“策略”,然後選擇“成功”和“失敗”通常。失敗日誌比成功日誌更有意義,因為失敗通常說明有錯誤發生
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/471ada666591607582ec7c07cc227ab9_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
事件檢視器
事件日誌用於記錄計算機上發生的時間,時間檢視器可用與瀏覽和管理時間日誌。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/c35e98886557147bd1ea5830bb88bc1c_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
錯誤:重要的問題,如資料丟失或功能喪失。
警告:雖然不一定很重要,但是將來有可能導致問題的事件
資訊:描述了應用程式、驅動程式或服務的成功操作的事件。
稽核成功:任何成功的已稽核的安全事件,
稽核失敗:任何失敗的已稽核的安全事件。
安全日誌是日誌中比較重要的日誌,主要記錄使用者登入和物件訪問的資訊,要檢視安全日誌,需要單擊“開始”-“程式”-“管理工具”-“事件檢視器”,在時間檢視器中展開“Windows日誌”-“安全”。在安全日誌中,可以看到稽核成功和稽核失敗兩種事件。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/1ef222e0554397509a3f6cf10ab058f9_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
如果日誌數量過多,可以利用“操作”選單中的“清除日誌”命令將日誌清除,但在清除之前可以利用“操作”選單中的“將事件另存為”命令將日誌儲存。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/f0f36f2f40d3aed5c417e9d3e3f79532_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
可設定日誌大小的最大值:在“事件檢視器”中,導航到要管理的時間日誌並將其選中、在“操作”選單上單擊“屬性”,“在日誌最大大小(KB)”中,設定所需的值,然後單擊“確定按鈕”
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/3c813c927d6258f4ce795d4c27c58cd2_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
事件檢視器檢視使用者對計算機的訪問率
開啟“本地安全策略”
在伺服器上赴單擊“開始”-“程式”-“管理工具”-“本地安全策略”展開“本地策略”中的“稽核策略”
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/864c9d94600273b8bd55b2b418292325_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
啟用“稽核物件訪問”策略
雙擊“稽核物件訪問”策略,選擇“成功”和“失敗”複選框。單擊“確定”按鈕。如上圖所示。
設定資料夾的稽核專案
依次選擇資料夾新增要稽核的賬戶及詳細的稽核專案,
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/fe9a06089c27dd5d767ef39d16b379ca_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
為不同賬戶設定具有不同的訪問許可權,然後利用這些使用者賬戶訪問,最後展開“事件檢視器”的安全日誌。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/06f9eefd664535e71b09af429690e431_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
檢視“稽核成功”事件
雙擊任務類別為“檔案系統”,關鍵字為“稽核成功”的事件,檢視事件屬性中的相關資訊。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/baf2bb4ed7979675c14135cc6d140d9a_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
檢視“稽核失敗”事件。
雙擊任務類別為“檔案系統”,關鍵字“稽核失敗”的事件。檢視事件屬性中的相關資訊
使用者許可權分配
通過使用者許可權分配,可以為某些使用者和組授予或拒絕一些特殊的許可權,如關閉系統,更改系統時間,拒絕本地登入,允許本地登入等,使用者許可權中的策略看下圖
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/df68fe4dc8832d4fa98c3599911b7ce8_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
例:普通使用者Usera在登入windows server 2008系統後發現並沒有關閉系統的許可權,如何讓Usera能正常關機。
開啟本地安全策略,展開“本地策略”使用者許可權分配。如上圖所示
雙擊“關閉系統”,開啟“關閉系統”“屬性”對話方塊,單擊“新增使用者或組”按鈕,輸入Usera,單擊“確定”按鈕
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/aaba020e70d285c9c7e7613ed41c6aac_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
安全選項
通過本地策略中的安全選項,可以控制一些和作業系統安全相關的設定,安全選項中的策略看下圖
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/a98e5183b06f1ad3cb7acb34ad489ae6_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
要允許系統在未登入的情況下能夠關閉,則雙擊“關機:允許系統在未登入的情況下關閉,”策略,選擇“已啟用”。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/4a9a50841068183a16bdfeb47bf9a9b3_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
如果希望使用空白密碼的本地賬戶只能進行控制檯登入,則雙擊“賬戶”:“使用空白密碼的本地賬戶值允許進行控制檯登入”策略,選擇“已啟用”。
![配置本地安全策略:[2]使用者安全選項](https://img.yamab2b.com/20171219/18/4baf441bcb819aecff3296a2065fb6d2_thumb.jpg "配置本地安全策略:[2]使用者安全選項")
注意事項
要使本地策略生效,需要執行“gpupdate”命令或者重啟計算機
在應用稽核物件訪問策略師,只能針對NTFS分割槽中的檔案及資料夾使用稽核功能