GMP工作電腦如何實現權限控制和審計追蹤
GMP工作電腦如何實現權限控制和審計追蹤
注意:只有Win7及以上版本才可以滿足現有要求
如何設置win7系統,實現對權限的控制?
Win7系統應采用組的方式進行權限控制,對應有兩類權限
Administrators組---對應于Administrators 系統管理員權限;
User組---對應于User 普通用戶權限;
Administrators組和User組所擁有的默認權限表如下:
組 |
描述 |
默認用戶權限 |
Administrators組 |
此組的成員具有對計算機的完全控制權限,并且他們可以根據需要向用戶分配用戶權限和訪問控制權限。Administrator 帳戶是此組的默認成員。當計算機加入域中時,Domain Admins 組會自動添加到此組中。因為此組可以完全控制計算機,所以向其中添加用戶時要特別謹慎。 |
從網絡訪問此計算機 調整進程的內存配額 允許本地登錄 允許通過遠程桌面服務登錄 備份文件和目錄 跳過遍歷檢查 更改系統時間 更改時區 創建頁面文件 創建全局對象 創建符號鏈接 調試程序 從遠程系統強制關機 身份驗證后模擬客戶端 提高日程安排的優先級 裝載和卸載設備驅動程序 作為批處理作業登錄 管理審核和安全日志 修改固件環境變量 執行卷維護任務 配置單一進程 配置系統性能 從擴展塢中取出計算機 還原文件和目錄 關閉系統 獲得文件或其他對象的所有權
|
User組 |
該組的成員可以執行一些常見任務,例如運行應用程序、使用本地和網絡打印機以及鎖定計算機。該組的成員無法共享目錄或創建本地打印機。默認情況下,Domain Users、Authenticated Users 以及 Interactive 組是該組的成員。因此,在域中創建的任何用戶帳戶都將成為該組的成員。 |
從網絡訪問此計算機 允許本地登錄 跳過遍歷檢查 更改時區 增加進程工作集 從擴展塢中取出計算機 關閉系統
|
與GMP相關的權限分配表
組別 |
應配置權限 |
Administrators組 |
具有系統所有的訪問權限; 建立Administrators組賬戶和User賬戶; 更新電腦時鐘,審核系統日志; 為User賬戶設定權限,增減登錄帳戶和初始登錄帳戶密碼; 安裝、修復、備份、卸載應用軟件;
|
User組 |
具有部分權限; 不能刪除賬戶; 不能修改電腦時鐘; 不能訪問系統日志; 重要文件夾不能修改或刪除; 應用程序或數據存儲路徑不能修改;
|
系統所具有的管理員賬戶不宜過多,并且應由IT人員擔任,與數據有利益相關的人員均不得擔任。
為User用戶組增添GMP相關的權限
進入控制面板,查看方式選擇“小圖標”,點擊“管理工具”。
進入本地安全策略,展開左側的“本地策略”,點擊“用戶權限分配”,可以看到右側的權限表。
選擇右側需要增加或刪除的權限,例如“管理審核和安全日志”,右鍵點擊“屬性”,然后可以看到哪些用戶組擁有該權限
如果希望給User組添加該權限,則點擊“添加用戶或組”,然后選擇User組即可。
如何加強密碼的復雜程度,并要求定期修改?
利用Win7系統同樣可以實現用戶登錄密碼的控制。設定如下:
1. 在“本地安全策略”左邊欄,點擊“賬戶策略”展開了兩項“密碼策略”和“賬戶鎖定策略”,選中“密碼策略”,可看到各項說明。
2. 點擊“密碼必須符合復雜性要求”項,選擇“本地安全設置”,默認情況下該項功能是處于“已禁用”狀態
此時我們需要啟用該項功能,選擇“已啟用”。
3. “密碼長度最小值”選項中,設定“密碼必須至少是”,填入“6”個字符,規定密碼的字符必須是6位。
4. “密碼最短使用期限”指的是用戶更改某個密碼之前必須使用該密碼一段時間(以天為單位)
此處我們用默認設置“0”天,即用戶可以立即更改密碼。
5. “密碼最長使用期限”指的是系統要求用戶更改某個密碼之前可以使用該密碼的期間(以天為單位)
為了強制定期修改密碼,保證安全的需要,規定密碼必須每42天更換一次
因此“本地安全設置”中的“密碼過期時間”應設定為“42”天。
6. “強制密碼歷史”此安全設置確定再次使用某個舊密碼之前必須與某個用戶帳戶關聯的唯一新密碼數
此處不采用,設定為不保留密碼歷史。
7. 用可還原的加密來儲存密碼,此安全設置確定操作系統是否使用可還原的加密來儲存密碼
此處我們采用系統默認設置“已禁用”。
8. 依據上述的步驟,密碼設置要求已完成??偨Y要求如下:
•密碼設定為6位;
•不能包含用戶的帳戶名,不能包含用戶姓名中超過兩個連續字符的部分
•包含以下四類字符中的三類字符:
英文大寫字母(A 到 Z)
英文小寫字母(a 到 z)
10 個基本數字(0 到 9)
非字母字符(例如 !、$、#、%)
•密碼必須每42天修改一次,否則無法再次登錄系統
如何實現賬戶鎖定策略的設置,以及用戶不操作電腦時自動鎖屏,再次進入時需輸入用戶名和密碼的設置?
設置方法如下:
1. 在“本地安全策略”中,選中“賬戶鎖定策略”,點擊“賬戶鎖定閾值”,設定為“5次”無效登錄。即用戶在5次無效登錄后,該賬戶即會被鎖定。
2. 當設定好“賬戶鎖定閾值后”,“賬戶鎖定時間”及“重置賬戶鎖定計數器”均會有推薦的設置值,用戶也可以自行修改。
3. 賬戶被鎖定后,可以用管理員賬戶進行解鎖,或者等待限制時間到規定時間后,再行登錄。
4. 在電腦桌面上右擊,選擇“個性化”,選擇“屏幕保護程序設置”,設定“等待時間”并勾選“在恢復時顯示登錄屏幕”
這里講的是在整個系統層面(基礎架構)上對數據審計追蹤的設置。
應用程序所產生的數據的存儲路徑應是唯一的,并且只有管理員方可進行設置,操作員不具有設置的權限。
數據一旦產生,便不能隨意修改或刪除,對于配備有審計追蹤功能的軟件,應開啟審計追蹤功能,管理數據。
對于沒有配備審計追蹤功能的軟件,我們應該在系統軟件層面加強對數據的管理,主要是防止對數據有意無意的刪除操作。
假設在Win7系統下應用程序所生成保存的數據記錄都是存儲“D:Data\”路徑下,文件數據保存在Data文件夾中
方法1:利用Administrators管理員對User設定權限,使得User組用戶只能正常訪問讀取該文件夾中的文件
而不能執行刪除操作,除非輸入管理員密碼,方可進行。具體設置如下:
2.1利用“nate_zou”的管理員賬戶對“suyan”的User賬戶進行Data文件夾的權限設定。
找到“D:Data\”路徑下的Data文件,鼠標右鍵點擊“屬性”。
在“屬性”框中,選中“安全”選項卡,對于User用戶組,在“拒絕”一覽勾選“修改”。
之后User用戶組的成員對“Data”文件夾試圖的修改都會被系統拒絕。
方法2:利用Win7系統的“高級審核策略配置”進行設置,具體如下:
控制面板中,選擇“安全設置”,依次選擇“高級審核策略配置“。
雙擊右側的“審核文件系統”項,“配置以下審核事件”中“成功”和“失敗”均選中。
選中我們需要進行審計追蹤的文件夾,例如"D:Data\"路徑下的Data文件
點擊“添加”,“高級”,“立即查找”選擇要為哪個用戶配備該文件的審計權限。
在"成功”和“失敗”一覽中選中“刪除子文件夾”和“刪除”兩項,表示對文件的刪除操作會被審計追蹤記錄下來。
在“事件查看器”中左側窗格“安全”中,可以看到我們之前的設置都被記錄了下來。