配置Windows系统安全评估——Windows日志与审计
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(图 12) (3) 单击“高级”,然后单击“审核”选项卡。
(图 13) (4) 单击“添加”;在“输入要选择的对象名称”中,键入“Everyone”,然后单击“确 定”。
(图 14) 或者如图所示,单击“高级”,选择“Everyone”
(图 5)
(图 16) (5) 在“22”的审核项目对话框中,选择访问中的“删除”和“更改 权限”的功能;
(图 17) 至此,对“22”的审计设置完后,删除此文件。
(图 18) (6) 右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工 具”—〉 “事件查看器”—〉“安全性”,或在开始 —〉运行中执行 eventvwr.exe, 应该能看到。
(图 19) 日志显示该规则的操作已经被记录
用英文逗号隔开。 选择需要添加的主机组。点击 和密码要具有对应主机的日志审核权限的用户。
图标一边创建一个新的主机组。 在登录名
(图 5) 7、创建告警 当事件匹配到一个特定的标准之后,告警就会产生。告警配置让您定义这些指定的标准,并 且在对应的告警被触发之后,通过邮件发送通知。 1)创建一个新的告警配置
(图 21)
5. 点击确定,完成应用。
Windows 服务:安全要求-WINDOWS 配置
实验概要: 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。如需启用 SNMP 服务,则修改默认的 SNMP Community String 设置。 6. 选择控制面板->管理工具->计算机管理,进入服务和应用程序。 7. 查看所有服务,根据列出所需要服务的列表,将不在此列表的服务关闭。 8. 在所有服务列表中,找到 SNMP Service,单击右键打开属性面板中的安全选项卡,如 图,在这个配置界面中,可以修改 community strings,也就是微软所说的团体名称。
安全配置审计工具安全检查
启动虚拟机,并设置虚拟机的 IP 地址,以虚拟机为目标主机进行试验。 1、在PC1上安装EventLog Analyzer,EventLog Analyzer是默认的Web服务器端口,使用这 个端口你可以从一个浏览器连接到EventLog Analyzer服务器上。 2、安装完成后,在开始菜单如图所示:
(图 10) 2. 文件事件的审计 (1)实验操作者以管理员身份登陆系统:打开“控制面板” —〉“管理工具” ,运行“本 地安全策略”;打开“本地安全设置”对话框,选择“本地策略” —〉“审核策略”,双击“审 核对象访问”,选“成功”和“失败”。
(图 11)
(2) 新建一个名为“22”,右键单击该文件,单击“属性”,然后单击“安全”选项卡。
实验平台
客户端:Windows 2000/XP/2003 服务端:Windows 操作系统
实验工具
安全配置审计工具
实验要点
在实验中,将掌握配置检查工具对 Windows 系统的安全评估,修改日志审计配置。
实验拓扑
VM Server
Switch
VM Client
实验步骤指导
实验准备
实验概要: 获取 Windows 远程桌面客户端工具 mstsc 压缩包,并解压。 获取服务器 Windows 操作系统 Administrator 管理员口令。 使用工具进行日志工具配置。
配置 Windows 系统安全评估—Windows 日志与审计
技术背景
审计是对用户对各类系统、设备做安全配置检查的自动化工具,能够智能化识别各类安全 设置,分析安全状态,并能够给出多种配置审计分析报告,目前已经支持多种操作系统及网络设 备。
实验目的
熟悉安全配置审计工具的安全检查操作; 使用 Windows 日志审计功能提高系统安全配置
点击添加告警配置链接可以创建一个新的告警配置。您可以在主菜单下面找到此链接,或者 在左边导航栏中的告警配置文件标签中找到。
2) 提供一个告警配置名。
(图 5)
3) 选择危急成度,有高,中,低三种选择。这是告警设置值可供您参考。
(图 6) 4) 如果您想要创建主机或主机组的告警配置文件,在选择主机/主机组部分,您可以
(图 1) 3、先点击EventLog Analyzer打开服务器,
(图 2) 4、再打开”Eventlog Analyzer Web Client” 客户端如图所示,默认用户名密码都为 admin/admin
(图 3) 5、输入用户名和密码,点击登录,显示界面如下所示。
(图 4) 6、添加一台 Windows 主机,在主机名框中输入一个唯一的主机名,或者多个主机名,中间
从列表中选择主机/主机组。这包括默认和自定义主机组两个部分。
5)定义规则后确认。
(图 7)
(图 8) 6)完成上面的操作后,等待几分钟,点击首页显示已完成的定义的日志信息
(图 9) 本实验可以对文件事件进行审计,凡是对具有策略的目录的操作都要被记录
共享文件夹及访问权限-WINDOWS-配置
1. 帐户策略 (1)实验操作者以管理员身份登陆系统:打开“控制面板” —〉“管理工具” ,运行“本 地安全策略”,打开如下图所示。
屏幕保护:安全要求- WINDOWS-配置
实验概要: 设置带密码的屏幕保护,并将时间设定为 5 分钟。 1. 在远程桌面中,选择控制面板->显示,在显示 属性对话框中,启用屏幕保护程序,设 置等待时间为 5 分钟,启用在恢复时使用密码保护,如图:
(图 20) 2. 屏幕保护:安全要求-设备-WINDOWS-配置对于远程登陆的帐号,设置不活动断连时间 15 分钟。 3. 选择控制面板->管理工具->本地安全策略,在程序界面中选择本地策略->安全选项 , 在右边对应的策略列表中,双击“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”; 4. 在如图对话框中,修改空闲时间为 15 分钟:
(图 23) 11.修改后,确保团体名称不再是默认值 public。
启动项:安全要求 -WINDOWS-配置
实验概要: 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。 12.选择开始->运行->MSconfig,在启动选项菜单中,请取消不必要的启动项,如图 13:
(图 24) ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 完成以上各项操作后,可以尝试再次使用安全配置审计工作对操作系统做配置 检查,从而观察修改后对应的配置状态。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
(图 13) (4) 单击“添加”;在“输入要选择的对象名称”中,键入“Everyone”,然后单击“确 定”。
(图 14) 或者如图所示,单击“高级”,选择“Everyone”
(图 5)
(图 16) (5) 在“22”的审核项目对话框中,选择访问中的“删除”和“更改 权限”的功能;
(图 17) 至此,对“22”的审计设置完后,删除此文件。
(图 18) (6) 右键单击桌面上“我的电脑”,选择“管理”,在计算机管理中,选择“系统工 具”—〉 “事件查看器”—〉“安全性”,或在开始 —〉运行中执行 eventvwr.exe, 应该能看到。
(图 19) 日志显示该规则的操作已经被记录
用英文逗号隔开。 选择需要添加的主机组。点击 和密码要具有对应主机的日志审核权限的用户。
图标一边创建一个新的主机组。 在登录名
(图 5) 7、创建告警 当事件匹配到一个特定的标准之后,告警就会产生。告警配置让您定义这些指定的标准,并 且在对应的告警被触发之后,通过邮件发送通知。 1)创建一个新的告警配置
(图 21)
5. 点击确定,完成应用。
Windows 服务:安全要求-WINDOWS 配置
实验概要: 列出所需要服务的列表(包括所需的系统服务),不在此列表的服务需关闭。如需启用 SNMP 服务,则修改默认的 SNMP Community String 设置。 6. 选择控制面板->管理工具->计算机管理,进入服务和应用程序。 7. 查看所有服务,根据列出所需要服务的列表,将不在此列表的服务关闭。 8. 在所有服务列表中,找到 SNMP Service,单击右键打开属性面板中的安全选项卡,如 图,在这个配置界面中,可以修改 community strings,也就是微软所说的团体名称。
安全配置审计工具安全检查
启动虚拟机,并设置虚拟机的 IP 地址,以虚拟机为目标主机进行试验。 1、在PC1上安装EventLog Analyzer,EventLog Analyzer是默认的Web服务器端口,使用这 个端口你可以从一个浏览器连接到EventLog Analyzer服务器上。 2、安装完成后,在开始菜单如图所示:
(图 10) 2. 文件事件的审计 (1)实验操作者以管理员身份登陆系统:打开“控制面板” —〉“管理工具” ,运行“本 地安全策略”;打开“本地安全设置”对话框,选择“本地策略” —〉“审核策略”,双击“审 核对象访问”,选“成功”和“失败”。
(图 11)
(2) 新建一个名为“22”,右键单击该文件,单击“属性”,然后单击“安全”选项卡。
实验平台
客户端:Windows 2000/XP/2003 服务端:Windows 操作系统
实验工具
安全配置审计工具
实验要点
在实验中,将掌握配置检查工具对 Windows 系统的安全评估,修改日志审计配置。
实验拓扑
VM Server
Switch
VM Client
实验步骤指导
实验准备
实验概要: 获取 Windows 远程桌面客户端工具 mstsc 压缩包,并解压。 获取服务器 Windows 操作系统 Administrator 管理员口令。 使用工具进行日志工具配置。
配置 Windows 系统安全评估—Windows 日志与审计
技术背景
审计是对用户对各类系统、设备做安全配置检查的自动化工具,能够智能化识别各类安全 设置,分析安全状态,并能够给出多种配置审计分析报告,目前已经支持多种操作系统及网络设 备。
实验目的
熟悉安全配置审计工具的安全检查操作; 使用 Windows 日志审计功能提高系统安全配置
点击添加告警配置链接可以创建一个新的告警配置。您可以在主菜单下面找到此链接,或者 在左边导航栏中的告警配置文件标签中找到。
2) 提供一个告警配置名。
(图 5)
3) 选择危急成度,有高,中,低三种选择。这是告警设置值可供您参考。
(图 6) 4) 如果您想要创建主机或主机组的告警配置文件,在选择主机/主机组部分,您可以
(图 1) 3、先点击EventLog Analyzer打开服务器,
(图 2) 4、再打开”Eventlog Analyzer Web Client” 客户端如图所示,默认用户名密码都为 admin/admin
(图 3) 5、输入用户名和密码,点击登录,显示界面如下所示。
(图 4) 6、添加一台 Windows 主机,在主机名框中输入一个唯一的主机名,或者多个主机名,中间
从列表中选择主机/主机组。这包括默认和自定义主机组两个部分。
5)定义规则后确认。
(图 7)
(图 8) 6)完成上面的操作后,等待几分钟,点击首页显示已完成的定义的日志信息
(图 9) 本实验可以对文件事件进行审计,凡是对具有策略的目录的操作都要被记录
共享文件夹及访问权限-WINDOWS-配置
1. 帐户策略 (1)实验操作者以管理员身份登陆系统:打开“控制面板” —〉“管理工具” ,运行“本 地安全策略”,打开如下图所示。
屏幕保护:安全要求- WINDOWS-配置
实验概要: 设置带密码的屏幕保护,并将时间设定为 5 分钟。 1. 在远程桌面中,选择控制面板->显示,在显示 属性对话框中,启用屏幕保护程序,设 置等待时间为 5 分钟,启用在恢复时使用密码保护,如图:
(图 20) 2. 屏幕保护:安全要求-设备-WINDOWS-配置对于远程登陆的帐号,设置不活动断连时间 15 分钟。 3. 选择控制面板->管理工具->本地安全策略,在程序界面中选择本地策略->安全选项 , 在右边对应的策略列表中,双击“Microsoft 网络服务器:在挂起会话之前所需的空闲时间”; 4. 在如图对话框中,修改空闲时间为 15 分钟:
(图 23) 11.修改后,确保团体名称不再是默认值 public。
启动项:安全要求 -WINDOWS-配置
实验概要: 列出系统启动时自动加载的进程和服务列表,不在此列表的需关闭。 12.选择开始->运行->MSconfig,在启动选项菜单中,请取消不必要的启动项,如图 13:
(图 24) ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 完成以上各项操作后,可以尝试再次使用安全配置审计工作对操作系统做配置 检查,从而观察修改后对应的配置状态。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※