zoukankan      html  css  js  c++  java
  • Windows 2000 中的安全审核


    Steve Riley

    您是否知道在您的服务器上发生什么事情 — 谁在对它们进行访问,您的用户在做什么,他们的目的是什么?如果您跟大多数管理员一样,您可能就会不知道。您想知道吗?Windows 2000 提供了一种安全审核功能,可以记录好几种与安全相关的事件。您可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有法律效力证据。

    审核事件都记录在“事件查看器”中的安全日志中。默认情况下审核功能是禁用的 — 您需要将其打开;若要启用审核,必须要对计算机(如果您想在一台特定的计算机上启用审核)或域(如果您想在整个域中启用审核)具有管理员访问权限。Active Directory 组策略可帮助您为不同类别的计算机配置自定义审核参数。

    审核单台计算机

    开始 | 程序 | 管理工具并选择本地安全策略。这样就打开了一个 MMC(Microsoft 管理控制台)视图,该试图显示出该计算机的本地安全设置;转至本地策略 | 审核策略以配置审核事件。

    有九类可以审核的事件,对于每一类您都可以指明是审核成功事件、失败事件,还是两者都审核。

    • 帐户登录事件。验证(帐户有效性)通过网络对本地计算机的访问。这些事件在帐户所在的位置生成。
    • 帐户管理。创建、修改或删除用户和组;进行密码更改。
    • 目录服务访问。记录对 Active Directory 的访问。必须启用它以允许审核特定的目录对象。仅在域控制器上。
    • 登录事件。对本地计算机的交互式登录或网络连接。这些事件在登录发生的位置生成。
    • 对象访问。必须启用它以允许审核特定的对象。
    • 策略更改。安全策略更改,包括特权指派、审核策略修改和信任关系修改。
    • 特权使用。某一特权的使用;专用特权的指派。
    • 进程跟踪。详细跟踪进程调用、重复进程句柄和进程终止。
    • 系统事件。与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件。

    配置审核将需要使用您计算机上的一些磁盘空间。您可以配置安全日志的最大大小(以 KB 计)以及日志大小达到此限制时应采取的操作。在事件查看器中,右键单击安全日志并选择属性。您会看到:

    • 按需要改写事件。每次有新事件写入时从日志中清除最旧的事件。这样既可保留最多的信息,同时又可让日志大小保持最大。
    • 改写时间超过 x 天的事件。清除日志中超过 x 天的事件。如果日志已满但最旧的事件尚未过期,则新的事件将无法写入。这一设置在您每隔 x 天就作一次归档的情况下十分有用,但如果您不进行归档,此设置就没什么用处了 — 它会让您失去最新的事件。
    • 不改写事件。一旦日志写满之后就停止记录审核事件。您将需要手动清除日志。

    将安全日志归档

    从许多方面看,将日志归档是很重要的。若将日志保存在脱机的存储媒体上,就没有必要在生产服务器上保留大量的日志数据。保存的日志中包含的信息可用来了解一台计算机的规律性行为。脱机日志还被认为是调查取证中的合法证据;它们包含的在法律上有效的信息有助于跟踪和确定侵入者的行为。

    若要将安全日志归档,请打开“事件查看器”,右键单击安全日志,选择另存日志文件,并输入档案的路径和文件名。理想情况下,这应是到一个专用于日志归档的内部服务器的网络路径。一定要将档案保存为 .evt(事件日志)格式 — 这样可以保留日志详细记录中的二进制信息。

    日志写满时停止服务器运行

    您可以将服务器配置为在日志写满时崩溃(变为蓝屏)。这对于高安全性的服务器来说是一个不错的主意 — 在某些情况下,若提供一种服务时不能进行日志记录,还不如停止此服务。要配置系统关闭:

    1. 本地安全策略 MMC 中,转至本地策略 | 安全选项
    2. 滚动到如果无法纪录安全审计则立即关闭系统
    3. 双击它并选择启用

    如果配置了此设置,那么,当一个系统崩溃时,请采用下列步骤来恢复:

    1. 登录到系统的本地管理员帐户。
    2. 将日志归档。
    3. 清除该日志。
    4. 重新启用该选项 — 在崩溃时,该选项会将其自己禁用。

    其他审核控制

    您还可以配置另外两种审核事件,但不是从审核策略页配置。如果您想审核备份和还原的使用:

    1. 本地安全策略 MMC 中,转至本地策略 | 安全选项
    2. 滚动到对备份和还原权限的使用进行审计
    3. 双击它并选择启用

    只有启用了审核特权使用才能使此选项生效。

    要审核对全局系统对象(多用户终端运行程序、信号灯和 DOS 设备)的访问:

    1. 本地安全策略 MMC 中,转至本地策略 | 安全选项
    2. 滚动到对全局系统对象的访问进行审计
    3. 双击它并选择启用

    只有启用了审核对象访问才能使此选项生效。在大多数环境中,可能没有必要审核全局系统对象。

    审核对象访问

    如果您需要审核对特定对象的访问,您首先需要在审核策略中启用相应的常规设置 — 对于 Active Directory 对象,应在目录服务访问策略中启用,对于文件、文件夹、驱动器、打印机和注册表项,应在对象访问策略中启用。在启用了策略后,就可以启用特定对象的审核了(通常在对象的属性页启用)。

    审核文件、文件夹和驱动器。在 Windows 资源管理器中,浏览到您要审核的文件、文件夹或驱动器。右键单击该对象并选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。审核项对话框显示出了您可以审核其成功或失败的各种访问。对于文件夹和驱动器,您还可以指出审核范围 — 本文件夹、子文件夹、文件或这些项的组合。

    审核打印机。打开打印机文件夹并用鼠标右键单击您想审核的打印机。选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。与文件和文件夹的情形一样,审核项对话框显示出了您可以审核其成功或失败的各种访问。

    审核注册表。REGEDT32 打开注册表并浏览到您想审核的注册表项。从主菜单中选择安全 | 权限,然后选择高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。与文件和文件夹的情形一样,审核项对话框显示出了您可以审核其成功或失败的各种访问。

    审核 Active Directory。这一项只有在域控制器中才适用。打开 Active Directory 用户和计算机。浏览到您想审核的特定的目录对象。右键单击该对象并选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。审核项对话框显示出了您可以审核其成功或失败的各种访问。可使用应用到字段来设置应用范围。

    审核整个域

    您可以将一个审核策略应用到整个域。在任何域控制器上,转至开始 | 程序 | 管理工具并选择域安全策略。这样就打开了一个 MMC 视图,其中显示出该域的安全设置。

    本地策略 | 审核策略中,您会看到与一台计算机中的本地设置页上完全相同的一些设置。您还会在本地策略 | 安全选项中看到同样的附加审核设置(全局系统对象、备份和还原,以及日志写满时关机)。在此配置的设置将应用到域中的每一台计算机上。域成员不能立即收到新设置;因为这些设置是计算机级别的策略元素,它们将在域成员计算机下次启动时生效。

    域安全策略中还有一个附加页需要设置。在事件日志 | 事件日志设置中,您可以全局地设置安全日志的大小,允许或拒绝对日志的来宾访问,配置日志的处置以及在日志写满时关机。

    自定义域中的日志记录

    您可能想为服务器和工作站分别配置不同的审核方式。在这种情况下,请不要使用域安全策略 MMC 来配置审核,而应使用 Active Directory 中的组策略来为您各种类别的计算机创建自定义审核配置。

    组织单位 (OU) 是这一配置方法的基础。在 Active Directory 用户和计算机中,创建可代表您的计算机分类的组织单位。然后,对于各 OU,创建一个组策略对象,使之包括对应于此类计算机的特定的审核事件。下面是具体操作步骤:

    1. 右键单击一个 OU。
    2. 选择组策略
    3. 单击新建,为新的组策略对象取一个名称,然后单击编辑
    4. 浏览到计算机配置 | Windows 设置 | 安全设置
    5. 本地策略 | 审核策略本地策略 | 安全选项事件日志 | 事件日志设置中配置各种审核事件。

    最后,将您的计算机移入 OU 中。计算机下次启动时,它们将收到它们所属的 OU 中定义的设置。

    本地策略与有效策略

    审核事件设置遵守标准组策略应用规则。应用顺序是:

    1. 本地策略设置
    2. 站点策略设置
    3. 域策略设置
    4. 组织单位策略设置

    默认情况下,站点、域和 OU 策略都是未定义的。各计算机的本地策略(如果有的话)将是实际有效的策略。但是,如果在层次结构中较高级别定义了一个策略元素,而且已将组策略配置为不允许本地替代,那么该定义将替代较低级别的定义。这意味着,尽管您可以按自己的意图配置较多或较少的本地审核事件,但是,如果一个域策略(举例来说)特地启用或禁用了某一特定审核事件,则不管您是如何定义本地设置的,此设置都将优先于您的本地设置。

    审核方案

    确定应审核什么在一开始可能有点困难。下表列出了一些潜在的威胁,以及哪些审核设置有助于指出系统是否在受到此类攻击。

    潜在的威胁
    审核事件
    随机密码试探

    审核失败的登录/注销事件

    窃取密码侵入

    审核成功的登录/注销事件

    误用特权

    审核成功的用户权限、用户和组管理、安全策略更改、重新启动、关机和系统事件。

    对敏感文件的不当访问

    审核成功的和失败的文件访问和对象访问事件。审核可疑用户或组对敏感文件的成功及失败的读取/写入访问事件。

    对打印机的不当访问

    审核成功和失败的对打印机的文件访问事件,以及成功和失败的对象访问事件。审核可疑用户或组对打印机的成功和失败的打印访问。

    病毒发作

    审核成功和失败的对程序文件(.EXE 和 .DLL 扩展)和可能包含宏的文档的写访问。审核成功和失败的进程跟踪。

    有关本栏目内容的任何反馈意见或问题,请联系我们

  • 相关阅读:
    php 转化整型需要注意的地方
    生成6位随机数
    php://input
    ios常见问题 经验之谈
    ios 从前台返回到回台 从后台返回到前台 或者 支付宝支付订单后 对界面进行操作
    ios根据文本自适应 然后 搭建类似如下效果
    iosTableView 局部全部刷新以及删除编辑操作
    ios打开系统自带APP
    iOS通过URL Scheme启动app(收集了常用的app的URL Scheme)
    ios UIApplocation 中APP启动方式
  • 原文地址:https://www.cnblogs.com/zjhze/p/41130.html
Copyright © 2011-2022 走看看