您是否知道在您的服务器上发生什么事情 — 谁在对它们进行访问,您的用户在做什么,他们的目的是什么?如果您跟大多数管理员一样,您可能就会不知道。您想知道吗?Windows 2000 提供了一种安全审核功能,可以记录好几种与安全相关的事件。您可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有法律效力证据。
审核事件都记录在“事件查看器”中的安全日志中。默认情况下审核功能是禁用的 — 您需要将其打开;若要启用审核,必须要对计算机(如果您想在一台特定的计算机上启用审核)或域(如果您想在整个域中启用审核)具有管理员访问权限。Active Directory 组策略可帮助您为不同类别的计算机配置自定义审核参数。
审核单台计算机
到开始 | 程序 | 管理工具并选择本地安全策略。这样就打开了一个 MMC(Microsoft 管理控制台)视图,该试图显示出该计算机的本地安全设置;转至本地策略 | 审核策略以配置审核事件。
有九类可以审核的事件,对于每一类您都可以指明是审核成功事件、失败事件,还是两者都审核。
- 帐户登录事件。验证(帐户有效性)通过网络对本地计算机的访问。这些事件在帐户所在的位置生成。
- 帐户管理。创建、修改或删除用户和组;进行密码更改。
- 目录服务访问。记录对 Active Directory 的访问。必须启用它以允许审核特定的目录对象。仅在域控制器上。
- 登录事件。对本地计算机的交互式登录或网络连接。这些事件在登录发生的位置生成。
- 对象访问。必须启用它以允许审核特定的对象。
- 策略更改。安全策略更改,包括特权指派、审核策略修改和信任关系修改。
- 特权使用。某一特权的使用;专用特权的指派。
- 进程跟踪。详细跟踪进程调用、重复进程句柄和进程终止。
- 系统事件。与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件。
配置审核将需要使用您计算机上的一些磁盘空间。您可以配置安全日志的最大大小(以 KB 计)以及日志大小达到此限制时应采取的操作。在事件查看器中,右键单击安全日志并选择属性。您会看到:
- 按需要改写事件。每次有新事件写入时从日志中清除最旧的事件。这样既可保留最多的信息,同时又可让日志大小保持最大。
- 改写时间超过 x 天的事件。清除日志中超过 x 天的事件。如果日志已满但最旧的事件尚未过期,则新的事件将无法写入。这一设置在您每隔 x 天就作一次归档的情况下十分有用,但如果您不进行归档,此设置就没什么用处了 — 它会让您失去最新的事件。
- 不改写事件。一旦日志写满之后就停止记录审核事件。您将需要手动清除日志。
将安全日志归档
从许多方面看,将日志归档是很重要的。若将日志保存在脱机的存储媒体上,就没有必要在生产服务器上保留大量的日志数据。保存的日志中包含的信息可用来了解一台计算机的规律性行为。脱机日志还被认为是调查取证中的合法证据;它们包含的在法律上有效的信息有助于跟踪和确定侵入者的行为。
若要将安全日志归档,请打开“事件查看器”,右键单击安全日志,选择另存日志文件,并输入档案的路径和文件名。理想情况下,这应是到一个专用于日志归档的内部服务器的网络路径。一定要将档案保存为 .evt(事件日志)格式 — 这样可以保留日志详细记录中的二进制信息。
日志写满时停止服务器运行
您可以将服务器配置为在日志写满时崩溃(变为蓝屏)。这对于高安全性的服务器来说是一个不错的主意 — 在某些情况下,若提供一种服务时不能进行日志记录,还不如停止此服务。要配置系统关闭:
- 在本地安全策略 MMC 中,转至本地策略 | 安全选项。
- 滚动到如果无法纪录安全审计则立即关闭系统。
- 双击它并选择启用。
如果配置了此设置,那么,当一个系统崩溃时,请采用下列步骤来恢复:
- 登录到系统的本地管理员帐户。
- 将日志归档。
- 清除该日志。
- 重新启用该选项 — 在崩溃时,该选项会将其自己禁用。
其他审核控制
您还可以配置另外两种审核事件,但不是从审核策略页配置。如果您想审核备份和还原的使用:
- 在本地安全策略 MMC 中,转至本地策略 | 安全选项。
- 滚动到对备份和还原权限的使用进行审计
- 双击它并选择启用。
只有启用了审核特权使用才能使此选项生效。
要审核对全局系统对象(多用户终端运行程序、信号灯和 DOS 设备)的访问:
- 在本地安全策略 MMC 中,转至本地策略 | 安全选项。
- 滚动到对全局系统对象的访问进行审计
- 双击它并选择启用。
只有启用了审核对象访问才能使此选项生效。在大多数环境中,可能没有必要审核全局系统对象。
审核对象访问
如果您需要审核对特定对象的访问,您首先需要在审核策略中启用相应的常规设置 — 对于 Active Directory 对象,应在目录服务访问策略中启用,对于文件、文件夹、驱动器、打印机和注册表项,应在对象访问策略中启用。在启用了策略后,就可以启用特定对象的审核了(通常在对象的属性页启用)。
审核文件、文件夹和驱动器。在 Windows 资源管理器中,浏览到您要审核的文件、文件夹或驱动器。右键单击该对象并选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。审核项对话框显示出了您可以审核其成功或失败的各种访问。对于文件夹和驱动器,您还可以指出审核范围 — 本文件夹、子文件夹、文件或这些项的组合。
审核打印机。打开打印机文件夹并用鼠标右键单击您想审核的打印机。选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。与文件和文件夹的情形一样,审核项对话框显示出了您可以审核其成功或失败的各种访问。
审核注册表。用 REGEDT32 打开注册表并浏览到您想审核的注册表项。从主菜单中选择安全 | 权限,然后选择高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。与文件和文件夹的情形一样,审核项对话框显示出了您可以审核其成功或失败的各种访问。
审核 Active Directory。这一项只有在域控制器中才适用。打开 Active Directory 用户和计算机。浏览到您想审核的特定的目录对象。右键单击该对象并选择属性 | 安全 | 高级 | 审核。单击添加以选择您要审核其访问情况的某一特定的用户或组。审核项对话框显示出了您可以审核其成功或失败的各种访问。可使用应用到字段来设置应用范围。
审核整个域
您可以将一个审核策略应用到整个域。在任何域控制器上,转至开始 | 程序 | 管理工具并选择域安全策略。这样就打开了一个 MMC 视图,其中显示出该域的安全设置。
在本地策略 | 审核策略中,您会看到与一台计算机中的本地设置页上完全相同的一些设置。您还会在本地策略 | 安全选项中看到同样的附加审核设置(全局系统对象、备份和还原,以及日志写满时关机)。在此配置的设置将应用到域中的每一台计算机上。域成员不能立即收到新设置;因为这些设置是计算机级别的策略元素,它们将在域成员计算机下次启动时生效。
域安全策略中还有一个附加页需要设置。在事件日志 | 事件日志设置中,您可以全局地设置安全日志的大小,允许或拒绝对日志的来宾访问,配置日志的处置以及在日志写满时关机。
自定义域中的日志记录
您可能想为服务器和工作站分别配置不同的审核方式。在这种情况下,请不要使用域安全策略 MMC 来配置审核,而应使用 Active Directory 中的组策略来为您各种类别的计算机创建自定义审核配置。
组织单位 (OU) 是这一配置方法的基础。在 Active Directory 用户和计算机中,创建可代表您的计算机分类的组织单位。然后,对于各 OU,创建一个组策略对象,使之包括对应于此类计算机的特定的审核事件。下面是具体操作步骤:
- 右键单击一个 OU。
- 选择组策略。
- 单击新建,为新的组策略对象取一个名称,然后单击编辑。
- 浏览到计算机配置 | Windows 设置 | 安全设置。
- 在本地策略 | 审核策略、本地策略 | 安全选项和事件日志 | 事件日志设置中配置各种审核事件。
最后,将您的计算机移入 OU 中。计算机下次启动时,它们将收到它们所属的 OU 中定义的设置。
本地策略与有效策略
审核事件设置遵守标准组策略应用规则。应用顺序是:
- 本地策略设置
- 站点策略设置
- 域策略设置
- 组织单位策略设置
默认情况下,站点、域和 OU 策略都是未定义的。各计算机的本地策略(如果有的话)将是实际有效的策略。但是,如果在层次结构中较高级别定义了一个策略元素,而且已将组策略配置为不允许本地替代,那么该定义将替代较低级别的定义。这意味着,尽管您可以按自己的意图配置较多或较少的本地审核事件,但是,如果一个域策略(举例来说)特地启用或禁用了某一特定审核事件,则不管您是如何定义本地设置的,此设置都将优先于您的本地设置。
审核方案
确定应审核什么在一开始可能有点困难。下表列出了一些潜在的威胁,以及哪些审核设置有助于指出系统是否在受到此类攻击。
潜在的威胁 |
审核事件 |
---|---|
随机密码试探 |
审核失败的登录/注销事件 |
窃取密码侵入 |
审核成功的登录/注销事件 |
误用特权 |
审核成功的用户权限、用户和组管理、安全策略更改、重新启动、关机和系统事件。 |
对敏感文件的不当访问 |
审核成功的和失败的文件访问和对象访问事件。审核可疑用户或组对敏感文件的成功及失败的读取/写入访问事件。 |
对打印机的不当访问 |
审核成功和失败的对打印机的文件访问事件,以及成功和失败的对象访问事件。审核可疑用户或组对打印机的成功和失败的打印访问。 |
病毒发作 |
审核成功和失败的对程序文件(.EXE 和 .DLL 扩展)和可能包含宏的文档的写访问。审核成功和失败的进程跟踪。 |
有关本栏目内容的任何反馈意见或问题,请联系我们。