实验8C：审核文件系统的访问

共有3个练习。

练习1：配置权限与审核设定。

练习2：配置审核策略。

练习3：检验审核事件。

练习1：配置权限与审核设定

　　找开“Active Directory 用户和计算机”，在Groups\Role这个OU下面创建一个名为Consultants的组。然后把contoso\LiS用户添加到该组。

　　打开C:\Data文件夹，在该文件夹下面新建一个名为Confidential Data的文件夹。然后编辑这个新文件夹的属性。在“安全”选项卡，点“编辑”。在“Confidential Data 的权限”窗口，单击“添加”按钮添加Consultants组，然后在“完全控制”权限上选择“拒绝”。

 

在上面的窗口中单击“确定”，出现一个警告信息，选择“是”。

 

任务2：为文件夹配置一个审核设定

　　回到“安全”选项卡，单击“高级”。

　　在“Confidential Data 的高级安全设置”窗口，选择“审核”选项卡。单击“编辑”按钮，出现编辑审核的窗口。

　　单击“添加”按钮，添加 CONTOSO\Consultants组。在审核项目窗口，选择“完全控制”权限的“失败”。确定上述选项，关闭对话窗口。

 

练习2：配置审核策略

　　打开“组策略管理”控制台，新建一个名为File System Auditing的GPO，并编辑该GPO。

 

　　依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“本地策略”，单击“审核策略”，在右铡的详细窗格中双击“审核对象访问”。勾选“定义这些策略设置”以及“失败”。确定上述选项，关闭对话窗口，最后关闭“组策略管理编辑器”。

　　将些GPO链接到HQDC1所在的OU 。

 

练习3：检验审核事件

任务1：生成审核事件

　　以contoso\LiS用户登入CL1计算机，然后访问\\hqdc1\Data\Confidential Data 。

 

任务2：检查审核的事件日志信息

　　在HQDC1上打开“事件查看器”，展开“Windows日志”，查看“安全”。 

========== 

实验8D：配置应用程序访问策略

共有1个练习。

练习1：配置应用程序控制策略

　　新建一个名为WordPad Restriction Policy的GPO，并编辑它。

　　依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“应用程序控制策略”，在右铡的详细窗格中双击“审核对象访问”。 

 

 

　　在“发布者”页，单击“浏览”，选择C:\Program Files\Windows NT\Accessories\WordPad.exe文件。并将滚动条拉动到“文件名”位置，然后单击“下一步”。 

 

 

 

　　然后修改AppLocker的属性，启用强制规则。

　　在“组策略管理编辑器”中展开“计算机配置”、“策略”、“Windows设置”、“安全设置”，单击“系统服务”，在右侧的详细窗格中双击“Application Identity”。

　　保存后，关闭“组策略管理编辑器”。

任务2：应用GPO到域

　　将WordPad Restriction Policy这个GPO链接到Client Computer这个OU，并确认CL1计算机位于这个OU。

任务3：测试AppLocker规则

　　重启CL1计算机，然后以contoso\ZhangS用户登入。

　　打开“开始”、“所有程序”、“附件”，选择“写字板”，这时候出现提示信息。