GMP工作电脑如何实现权限控制和审计追踪

2023年11月27日发(作者：)

注意：只有Win7及以上版本才可以满足现有要求！

如何设置win7系统，实现对权限的控制？

Win7系统应采用组的方式进行权限控制，对应有两类权限

Administrators组---对应于Administrators 系统管理员权限；

User组---对应于User 普通用户权限；

Administrators组和User组所拥有的默认权限表如下：

组描述默认用户权限

从网络访问此计算机此组的成员具有对计算机的完

调整进程的内存配额全控制权限，并且他们可以根

允许本地登录 据需要向用户分配用户权限和

允许通过远程桌面服务登录 访问控制权限。Administrat

备份文件和目录

跳过遍历检查 当计算机加入域中时，

更改系统时间

更改时区添加到此组中。因为此组可以

创建页面文件完全控制计算机，所以向其中

创建全局对象添加用户时要特别谨慎。

创建符号链接

调试程序

从远程系统强制关机

身份验证后模拟客户端

提高日程安排的优先级

装载和卸载设备驱动程序

作为批处理作业登录

管理审核和安全日志

修改固件环境变量

User组

该组的成员可以执行一些常见从网络访问此计算机

任务，例如运行应用程序、使允许本地登录

用本地和网络打印机以及锁定

计算机。该组的成员无法共享

目录或创建本地打印机。默认增加进程工作集

情况下，Domain Users、Au从扩展坞中取出计算机

thenticated Users 以及 Int

eractive 组是该组的成员。因

此，在域中创建的任何用户帐

户都将成为该组的成员。

跳过遍历检查

更改时区

关闭系统

与GMP相关的权限分配表

组别应配置权限

Administrators组

具有系统所有的访问权限；

建立Administrators组账户和User账户；

更新电脑时钟，审核系统日志；

为User账户设定权限，增减登录帐户和初始登录帐户密

码；

安装、修复、备份、卸载应用软件；



User组

具有部分权限；

不能删除账户；

不能修改电脑时钟；

不能访问系统日志；

为User用户组增添GMP相关的权限

进入控制面板，查看方式选择“小图标”，点击“管理工具”。

进入本地安全策略，展开左侧的“本地策略”，点击“用户权限分配”，可以看到右侧

的权限表。

选择右侧需要增加或删除的权限，例如“管理审核和安全日志”，右键点击“属性”，

然后可以看到哪些用户组拥有该权限，如果希望给User组添加该权限，则点击“添

加用户或组”，然后选择User组即可。

如何加强密码的复杂程度，并要求定期修改？

利用Win7系统同样可以实现用户登录密码的控制。设定如下：

在“本地安全策略”左边栏，点击“账户策略”展开了两项“密码策略”和“账户锁定策

略”，选中“密码策略”，可看到各项说明。

点击“密码必须符合复杂性要求”项，选择“本地安全设置”，默认情况下该项功能是

处于“已禁用”状态，此时我们需要启用该项功能，选择“已启用”。

“密码长度最小值”选项中，设定“密码必须至少是”，填入“6”个字符，规定密码的

字符必须是6位。

“密码最短使用期限”指的是用户更改某个密码之前必须使用该密码一段时间(以天为

单位)，此处我们用默认设置“0”天，即用户可以立即更改密码。

“密码最长使用期限”指的是系统要求用户更改某个密码之前可以使用该密码的期间

(以天为单位)，为了强制定期修改密码，保证安全的需要，规定密码必须每42天更

换一次，因此“本地安全设置”中的“密码过期时间”应设定为“42”天。

“强制密码历史”此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联

的唯一新密码数。此处不采用，设定为不保留密码历史。

用可还原的加密来储存密码，此安全设置确定操作系统是否使用可还原的加密来储存

密码。此处我们采用系统默认设置“已禁用”。

依据上述的步骤，密码设置要求已完成。总结要求如下：

密码设定为6位；

不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

包含以下四类字符中的三类字符:

英文大写字母(A 到 Z)

英文小写字母(a 到 z)

10 个基本数字(0 到 9)

非字母字符(例如 !、$、#、%)

密码必须每42天修改一次，否则无法再次登录系统。

如何实现账户锁定策略的设置，以及用户不操作电脑时自动锁屏，再次进入时需输

入用户名和密码的设置？

设置方法如下：

在“本地安全策略”中，选中“账户锁定策略”，点击“账户锁定阈值”，设定为“5次”

无效登录。即用户在5次无效登录后，该账户即会被锁定。

当设定好“账户锁定阈值后”，“账户锁定时间”及“重置账户锁定计数器”均会有推荐

的设置值，用户也可以自行修改。

账户被锁定后，可以用管理员账户进行解锁，或者等待限制时间到规定时间后，再

行登录。

在电脑桌面上右击，选择“个性化”，选择“屏幕保护程序设置”，设定“等待时间”

并勾选“在恢复时显示登录屏幕”，再次进入时，需要重新输入用户账户和密码后方

可操作电脑。

电子数据审计追踪

这里讲的是在整个系统层面（基础架构）上对数据审计追踪的设置。

如何在系统层面上实现审计追踪？

一般要求：

应用程序所产生的数据的存储路径应是唯一的，并且只有管理员方可进行设置，操作

员不具有设置的权限。

数据一旦产生，便不能随意修改或删除，对于配备有审计追踪功能的软件，应开启审

计追踪功能，管理数据。

对于没有配备审计追踪功能的软件，我们应该在系统软件层面加强对数据的管理，主

要是防止对数据有意无意的删除操作。

具体设置如下：

假设在Win7系统下应用程序所生成保存的数据记录都是存储“D:Data”路径下，

文件数据保存在Data文件夹中，下面有2种方法进行设置，监控数据的删除操作。

方法1：利用Administrators管理员对User设定权限，使得User组用户只能正

常访问读取该文件夹中的文件，而不能执行删除操作，除非输入管理员密码，方可进

行。具体设置如下：

2.1利用“nate_zou”的管理员账户对“suyan”的User账户进行Data文件夹的权限

设定。

找到“D:Data”路径下的Data文件，鼠标右键点击“属性”。

在“属性”框中，选中“安全”选项卡，对于User用户组，在“拒绝”一览勾选“修改”。

之后User用户组的成员对“Data”文件夹试图的修改都会被系统拒绝。

方法2：利用Win7系统的“高级审核策略配置”进行设置，具体如下：

控制面板中，选择“安全设置”，依次选择“高级审核策略配置“。

点击左侧“对象访问”，可以依次看到右侧窗格中子类别的审核。

双击右侧的“审核文件系统”项，“配置以下审核事件”中“成功”和“失败”均选中。

选中我们需要进行审计追踪的文件夹，例如"D:Data"路径下的Data文件，右键选

择“属性”，选择“安全”窗格，选择“高级安全设置”。

点击“添加”，“高级”，“立即查找”选择要为哪个用户配备该文件的审计权限。

在"成功”和“失败”一览中选中“删除子文件夹”和“删除”两项，表示对文件的删除操

作会被审计追踪记录下来。

在“事件查看器”中左侧窗格“安全”中，可以看到我们之前的设置都被记录了下来。

Data 文件夹中的删除操作都会被记录下来。

自此，我们利用Win7系统已经实现了对用户权限的设置，对于数据访问、删除的

追踪，是不是很神奇呢？