《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目二 任務(wù)五 使用安全審計(jì)加強(qiáng)Windows主機(jī)安全維護(hù)

項(xiàng)目二Windows桌面系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一提高Windows主機(jī)安全訪問權(quán)限任務(wù)二使用Windows防火墻規(guī)則加強(qiáng)Windows主機(jī)安全任務(wù)三使用文件加密系統(tǒng)加強(qiáng)Windows文件系統(tǒng)安全任務(wù)四使用本地安全策略加強(qiáng)Windows主機(jī)整體安全任務(wù)五使用安全審計(jì)加強(qiáng)Windows主機(jī)安全維護(hù)任務(wù)提出

在本項(xiàng)目前4個(gè)任務(wù)中，已經(jīng)分別從局部到整體對(duì)WindowsServer2008桌面系統(tǒng)進(jìn)行了安全防御。在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境中，如何監(jiān)控操作系統(tǒng)安全已成為每個(gè)企業(yè)需要解決的網(wǎng)絡(luò)問題，Windows操作系統(tǒng)提供了一整套解決這個(gè)問題的方案，如使用“事件查看器”可以查看應(yīng)用程序、安全和系統(tǒng)事件，使用性能監(jiān)視器可以對(duì)系統(tǒng)性能進(jìn)行監(jiān)控。本任務(wù)將學(xué)習(xí)如何通過安全審計(jì)來加強(qiáng)Windows主機(jī)安全。

在本任務(wù)中，主要通過以下設(shè)置審計(jì)系統(tǒng)安全：1.在事件查看器中分析日志

在事件查看器中，可以通過分析系統(tǒng)日志可以獲取有關(guān)硬件、軟件和系統(tǒng)組件的信息，并可以監(jiān)視本地或遠(yuǎn)程計(jì)算機(jī)上的安全事件。2.在事件查看器中分析事件類型

事件查看器中的事件類型有信息、警告、錯(cuò)誤、成功審核、失敗審核，不同類型的事件反映了在計(jì)算機(jī)上進(jìn)行了不同的操作，通過分析事件類型，我們可以掌握本計(jì)算機(jī)上進(jìn)行過的所有操作以及每個(gè)操作的執(zhí)行情況。3.

設(shè)定性能監(jiān)視及優(yōu)化功能

利用性能監(jiān)視器，通過添加性能計(jì)數(shù)器和數(shù)據(jù)收集器，準(zhǔn)確、及時(shí)地監(jiān)控到WindowsServer2008服務(wù)器系統(tǒng)的運(yùn)行性能變化。任務(wù)分析1.在事件查看器中分析日志在Windows系統(tǒng)中，系統(tǒng)或程序中發(fā)生的任何重要事件都需要通知用戶，或者寫入到日志文件中。事件日志服務(wù)用于在事件查看器中記錄應(yīng)用程序、安全和系統(tǒng)的事件。通過使用事件查看器中的事件日志，可以獲取有關(guān)硬件、軟件和系統(tǒng)組件的信息，并可以監(jiān)視本地或遠(yuǎn)程計(jì)算機(jī)上的安全事件，幫助用戶確定和診斷當(dāng)前系統(tǒng)問題的根源，并預(yù)測(cè)潛在的系統(tǒng)問題。2.在事件查看器中分析事件類型事件的類型分別為信息、警告、錯(cuò)誤、成功審核和失敗審核，每種事件類型反應(yīng)系統(tǒng)上執(zhí)行的不同操作類型：①信息：描述任務(wù)（如應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)）成功運(yùn)行的事件。例如，當(dāng)網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載時(shí)，將記錄“信息”事件。②警告：警告不一定重要，但表明將來有可能出現(xiàn)問題的事件。例如，當(dāng)磁盤空間快用完時(shí)將記錄“警告”事件。③錯(cuò)誤：描述重要問題（如關(guān)鍵任務(wù)失?。┑氖录?。錯(cuò)誤事件可能涉及數(shù)據(jù)丟失或功能缺失。例如，當(dāng)啟動(dòng)過程中無法加載服務(wù)時(shí)將記錄錯(cuò)誤事件。④成功審核：描述成功完成的、受審核的安全事件。例如，當(dāng)用戶登錄到計(jì)算機(jī)時(shí)，將記錄“成功審核”事件。⑤失敗審核：描述未成功完成的、受審核的安全事件。例如，當(dāng)用戶無法訪問網(wǎng)絡(luò)驅(qū)動(dòng)器時(shí)，可能記錄“失敗審核”事件。3.設(shè)定性能監(jiān)視及優(yōu)化功能

通常來說，當(dāng)需要查看本地服務(wù)器系統(tǒng)的運(yùn)行性能如何時(shí)，人們常常會(huì)習(xí)慣使用系統(tǒng)的任務(wù)管理器進(jìn)行查看，因?yàn)樵谙到y(tǒng)任務(wù)管理器窗口中，既可以非常直觀地看到服務(wù)器正在運(yùn)行的所有進(jìn)程，又能看清楚每一個(gè)系統(tǒng)進(jìn)程耗費(fèi)的資源和內(nèi)存資源。但是，如果希望獲得更為詳細(xì)的服務(wù)器運(yùn)行性能信息時(shí)，更適合使用WindowsServer2008系統(tǒng)自帶的性能監(jiān)視器工具，利用該工具不但能夠獲取更為詳細(xì)的技術(shù)層面的統(tǒng)計(jì)信息，而且還能對(duì)這些信息及時(shí)進(jìn)行準(zhǔn)確統(tǒng)計(jì)記錄，方便改變系統(tǒng)選項(xiàng)，從而達(dá)到優(yōu)化、提高服務(wù)器系統(tǒng)運(yùn)行性能的目的。任務(wù)實(shí)施1.在事件查看器中分析日志操作步驟如下：步驟1：實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)一知識(shí)點(diǎn)，在VMwareWorkstation中部署兩臺(tái)WindowsServer2008R2虛擬機(jī)Server和PC，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。Server和PC的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址Server數(shù)據(jù)存儲(chǔ)服務(wù)器WindowsServer2008192.168.159.3/24PC測(cè)試計(jì)算機(jī)WindowsServer2008192.168.159.4/24步驟2：事件查看器第1步：配置自動(dòng)獲取IP地址故障①在VMwareWorkstation中，打開“編輯”-“虛擬網(wǎng)絡(luò)編輯器”，選中NAT模式，取消“使用本地DHCP服務(wù)將IP地址分配給虛擬機(jī)”選項(xiàng)，如圖1所示，并單擊“應(yīng)用”和“確定”按鈕。圖1②在Server的本地連接屬性對(duì)話框中，設(shè)置“Internet協(xié)議版本4（TCP/IPv4）屬性”為“自動(dòng)獲得IP地址”，如圖2所示。圖2第2步：查看信息類型①在Server上，選擇“開始”-“管理工具”-“事件查看器”，在事件查看器窗口右側(cè)的列表框中顯示了事件查看器的概述與摘要、管理事件的摘要、最近查看的節(jié)點(diǎn)以及日志摘要等信息，如圖3所示。小貼士：必須以Administrator或Administrators組成員的用戶身份登錄，才能打開、使用安全日志及指定將哪些事件記錄在安全日志中。圖3②在事件查看器窗口左側(cè)的列表框中展開“Windows日志”，可以看到有應(yīng)用程序、安全、Setup、系統(tǒng)、轉(zhuǎn)發(fā)事件選項(xiàng)。單擊“應(yīng)用程序”節(jié)點(diǎn)，可以看到應(yīng)用程序中的所有事件的級(jí)別、日期和時(shí)間、來源、事件ID、任務(wù)類別，如圖4所示。圖4③右擊“應(yīng)用程序”節(jié)點(diǎn)，在彈出的快捷菜單中選擇“篩選當(dāng)前日志”命令，打開“篩選當(dāng)前日志”對(duì)話框，單擊“篩選器”選項(xiàng)卡，如圖5所示。圖5④在“篩選器”對(duì)話框中，可以根據(jù)事件的級(jí)別選擇顯示的事件，如選擇“警告”，則在應(yīng)用程序事件中只顯示警告事件，如圖6所示。圖62.在事件查看器中分析事件類型第3步：分析錯(cuò)誤事件①在事件查看器窗口左側(cè)的列表框中展開“Windows日志”，單擊“系統(tǒng)”選項(xiàng)，右側(cè)的事件列表框中找到類型為“錯(cuò)誤”的事件并雙擊，也可以通過右鍵“系統(tǒng)”——“篩選當(dāng)前日志”的方式找到“錯(cuò)誤”事件。打開“事件屬性”對(duì)話框，如圖7所示。圖7②該事件日志表示：在2019年1月17日18點(diǎn)59分49秒，發(fā)現(xiàn)NetBT服務(wù)的一個(gè)錯(cuò)誤。事件ID為4321,表示在WIN-N7IONR3403主機(jī)在嘗試將IP地址配置為169.254.14.195時(shí)，受到其他計(jì)算機(jī)的阻止。③從該事件日志中可以看出，這臺(tái)主機(jī)是DHCP客戶端，由于啟動(dòng)時(shí)沒有找到DHCP服務(wù)器，即DHCP服務(wù)器宕機(jī)或者無法響應(yīng)，該主機(jī)為了能夠通信，自動(dòng)分配了一個(gè)私有IP地址。3.設(shè)定性能監(jiān)視及優(yōu)化功能步驟3：配置性能監(jiān)視器第1步：添加計(jì)數(shù)器①選擇“開始”-“管理工具”—“性能監(jiān)視器”菜單命令，打開“性能監(jiān)視器”窗口，如圖8所示。圖8②展開“監(jiān)視工具”選項(xiàng)，可以看到“性能監(jiān)視器”，單擊一下，即可看到性能監(jiān)視器窗口，在該窗口中可以直觀地看到服務(wù)器系統(tǒng)每時(shí)每刻運(yùn)行性能的變化，如圖9所示。圖9

③在圖9中，單擊綠色的“+”按鈕，即可進(jìn)入“添加計(jì)數(shù)器”對(duì)話框，如圖10所示。圖10④在“瀏覽”框中選擇“本地計(jì)算機(jī)”，從“可用計(jì)數(shù)器”列表框中可以看到許多計(jì)數(shù)器，同時(shí)根據(jù)類別進(jìn)行了整理，此時(shí)可以根據(jù)實(shí)際需要選擇某一個(gè)計(jì)數(shù)器或多個(gè)計(jì)數(shù)器，再單擊“添加”按鈕即可。由于服務(wù)器系統(tǒng)所提供的性能計(jì)數(shù)器數(shù)量較多，為了快速有效地找到想要的計(jì)數(shù)器，可以選中對(duì)應(yīng)設(shè)置窗口中的“顯示描述”復(fù)選項(xiàng)，這樣每選中一個(gè)性能計(jì)數(shù)器時(shí)就能自動(dòng)在對(duì)應(yīng)設(shè)置窗口的底部看到它的描述信息，如單擊“ProcessorInformation”，便可在“顯示描述”框中看到其相關(guān)介紹，如圖11所示。圖11

⑤在每個(gè)計(jì)數(shù)器后面有一個(gè)“+”，單擊展開擴(kuò)展項(xiàng)，可以看到每個(gè)計(jì)數(shù)器所包含的所有項(xiàng)，并對(duì)每個(gè)項(xiàng)單獨(dú)選擇進(jìn)行添加，如圖12所示。圖12

⑥單擊選擇“ProcessorInformation”計(jì)數(shù)器，單擊“添加”按鈕，添加到“添加的計(jì)數(shù)器”顯示框中，如圖13所示。單擊“確定”按鈕，完成計(jì)數(shù)器的添加。圖13⑦在“性能監(jiān)視器”窗口中，可以看到添加的計(jì)數(shù)器，并使用不同顏色的線條顯示不同的計(jì)數(shù)項(xiàng)，如圖14所示。⑧在圖14窗口中，選擇下面的其中一個(gè)計(jì)數(shù)項(xiàng)，右鍵單擊，可以進(jìn)入“性能監(jiān)視器屬性”對(duì)話框，在對(duì)話框中對(duì)計(jì)數(shù)項(xiàng)的顏色、寬度、比例、樣式，如圖15所示。圖14圖15第2步：創(chuàng)建數(shù)據(jù)收集器集①在性能監(jiān)視器對(duì)話框，右鍵單擊“性能監(jiān)視器”，選擇“新建”-“數(shù)據(jù)收集器集”，彈出“創(chuàng)建新的數(shù)據(jù)收集器集”對(duì)話框，在“名稱”欄中輸入數(shù)據(jù)收集器集的名稱，如性能監(jiān)視，如圖16所示。②單擊“下一步”，為數(shù)據(jù)指定存放路徑，如圖17所示。圖16圖17③單擊“下一步”-“完成”，完成數(shù)據(jù)收集器集的創(chuàng)建。在“性能監(jiān)視器”窗口單擊“數(shù)據(jù)收集器集”-“用戶定義”，可見所創(chuàng)建的“性能監(jiān)視”數(shù)據(jù)收集器集。單擊“性能監(jiān)視”，在右側(cè)“系統(tǒng)監(jiān)視器日志”上右鍵單擊，選擇“屬性”，打開“系統(tǒng)監(jiān)視器日志屬性”對(duì)話框，如圖18所示。圖18

④在圖18中，可以對(duì)日志格式、數(shù)據(jù)采集間隔時(shí)間進(jìn)行設(shè)置，還可以添加或刪除性能計(jì)數(shù)器，此處可以選擇“添加”，在彈出的“可用計(jì)數(shù)器”窗口中，選擇“ProcessorInformation”計(jì)數(shù)器，單擊“添加”按鈕即可。⑤完成數(shù)據(jù)收集器集的創(chuàng)建和設(shè)置后，在性能監(jiān)視器對(duì)話框中選擇“數(shù)據(jù)收集器集”-“用戶定義”