Windows 2000 中的安全性稽核

來源:互聯網
上載者:User

Steve Riley

您是否知道在您的伺服器上發生什麼事情 — 誰在對它們進行訪問,您的使用者在做什麼,他們的目的是什嗎?如果您跟大多數管理員一樣,您可能就會不知道。您想知道嗎?Windows 2000 提供了一種安全性稽核功能,可以記錄好幾種與安全相關的事件。您可以使用其中的資訊來產生一個有規律活動的概要檔案,發現和跟蹤可疑事件,並留下關於某一侵入者活動的有法律效力證據。

審核事件都記錄在“事件檢視器”中的安全日誌中。預設情況下審核功能是禁用的 — 您需要將其開啟;若要啟用審核,必須要對電腦(如果您想在一台特定的電腦上啟用審核)或域(如果您想在整個域中啟用審核)具有監管人存取。Active Directory 組策略可協助您為不同類別的電腦配置自訂審核參數。

審核單台電腦

開始 | 程式 | 管理工具並選擇本地安全性原則。這樣就開啟了一個 MMC(Microsoft 管理主控台)視圖,該試圖顯示出該電腦的本地安全設定;轉至本地策略 | 稽核原則以組態稽核事件。

有九類可以審核的事件,對於每一類您都可以指明是審核成功事件、失敗事件,還是兩者都審核。

  • 帳戶登入事件。驗證(帳戶有效性)通過網路對本機電腦的訪問。這些事件在帳戶所在的位置產生。
  • 帳戶管理。建立、修改或刪除使用者和組;進行密碼更改。
  • 目錄服務訪問。記錄對 Active Directory 的訪問。必須啟用它以允許審核特定的目錄對象。僅在網域控制站上。
  • 登入事件。對本機電腦的互動式登入或網路連接。這些事件在登入發生的位置產生。
  • 對象訪問。必須啟用它以允許審核特定的對象。
  • 策略更改。安全性原則更改,包括特權指派、稽核原則修改和信任關係修改。
  • 特權使用。某一特權的使用;專用特權的指派。
  • 進程跟蹤。詳細跟蹤進程調用、重複進程控制代碼和進程終止。
  • 系統事件。與安全(如系統關閉和重新啟動)有關的事件;影響安全日誌的事件。

組態稽核將需要使用您電腦上的一些磁碟空間。您可以配置安全日誌的最大大小(以 KB 計)以及日誌大小達到此限制時應採取的操作。在事件檢視器中,按右鍵安全日誌並選擇屬性。您會看到:

  • 按需要改寫事件。每次有新事件寫入時從日誌中清除最舊的事件。這樣既可保留最多的資訊,同時又可讓日誌大小保持最大。
  • 改寫時間超過 x 天的事件。清除日誌中超過 x 天的事件。如果日誌已滿但最舊的事件尚未到期,則新的事件將無法寫入。這一設定在您每隔 x 天就作一次歸檔的情況下十分有用,但如果您不進行歸檔,此設定就沒什麼用處了 — 它會讓您失去最新的事件。
  • 不改寫事件。一旦日誌寫滿之後就停止記錄審核事件。您將需要手動清除日誌。

將安全日誌歸檔

從許多方面看,將日誌歸檔是很重要的。若將日誌儲存在離線的儲存媒體上,就沒有必要在生產伺服器上保留大量的日誌資料。儲存的日誌中包含的資訊可用來瞭解一台電腦的規律性行為。離線日誌還被認為是調查取證中的合法證據;它們包含的在法律上有效資訊有助於跟蹤和確定侵入者的行為。

若要將安全日誌歸檔,請開啟“事件檢視器”,按右鍵安全日誌,選擇另存記錄檔,並輸入檔案的路徑和檔案名稱。理想情況下,這應是到一個專用於日誌歸檔的內部伺服器的網路路徑。一定要將檔案儲存為 .evt(事件記錄)格式 — 這樣可以保留日誌詳細記錄中的二進位資訊。

日誌寫滿時停止伺服器運行

您可以將伺服器配置為在日誌寫滿時崩潰(變為藍屏)。這對於高安全性的伺服器來說是一個不錯的主意 — 在某些情況下,若提供一種服務時不能進行日誌記錄,還不如停止此服務。要配置系統關閉:

  1. 本地安全性原則 MMC 中,轉至本地策略 | 安全選項
  2. 滾動到如果無法紀錄安全審計則立即關閉系統
  3. 雙擊它並選擇啟用

如果配置了此設定,那麼,當一個系統崩潰時,請採用下列步驟來恢複:

  1. 登入到系統的本地系統管理員帳戶。
  2. 將日誌歸檔。
  3. 清除該日誌。
  4. 重新啟用該選項 — 在崩潰時,該選項會將其自己禁用。

其他審核控制

您還可以配置另外兩種審核事件,但不是從稽核原則頁配置。如果您想審核備份與還原的使用:

  1. 本地安全性原則 MMC 中,轉至本地策略 | 安全選項
  2. 滾動到對備份與還原許可權的使用進行審計
  3. 雙擊它並選擇啟用

只有啟用了審核特權使用才能使此選項生效。

要審核對全域系統對象(多使用者終端運行程式、號誌和 DOS 裝置)的訪問:

  1. 本地安全性原則 MMC 中,轉至本地策略 | 安全選項
  2. 滾動到對全域系統對象的訪問進行審計
  3. 雙擊它並選擇啟用

只有啟用了審核對象訪問才能使此選項生效。在大多數環境中,可能沒有必要審核全域系統對象。

審核對象訪問

如果您需要審核對特定對象的訪問,您首先需要在稽核原則中啟用相應的常規設定 — 對於 Active Directory 對象,應在目錄服務訪問策略中啟用,對於檔案、檔案夾、磁碟機、印表機和登錄機碼,應在對象訪問策略中啟用。在啟用了策略後,就可以啟用特定對象的審核了(通常在對象的屬性頁面啟用)。

審核檔案、檔案夾和磁碟機。在 Windows 資源管理員中,瀏覽到您要審核的檔案、檔案夾或磁碟機。按右鍵該對象並選擇屬性 | 安全 | 進階 | 審核。單擊添加以選擇您要審核其訪問情況的某一特定的使用者或組。審核項對話方塊顯示出了您可以審核其成功或失敗的各種訪問。對於檔案夾和磁碟機,您還可以指出審核範圍 — 本檔案夾、子檔案夾、檔案或這些項的組合。

審核印表機。開啟印表機檔案夾並用滑鼠右鍵單擊您想審核的印表機。選擇屬性 | 安全 | 進階 | 審核。單擊添加以選擇您要審核其訪問情況的某一特定的使用者或組。與檔案和檔案夾的情形一樣,審核項對話方塊顯示出了您可以審核其成功或失敗的各種訪問。

審核註冊表。REGEDT32 開啟註冊表並瀏覽到您想審核的登錄機碼。從主菜單中選擇安全 | 許可權,然後選擇進階 | 審核。單擊添加以選擇您要審核其訪問情況的某一特定的使用者或組。與檔案和檔案夾的情形一樣,審核項對話方塊顯示出了您可以審核其成功或失敗的各種訪問。

審核 Active Directory。這一項只有在網域控制站中才適用。開啟 Active Directory 使用者和電腦。瀏覽到您想審核的特定的目錄對象。按右鍵該對象並選擇屬性 | 安全 | 進階 | 審核。單擊添加以選擇您要審核其訪問情況的某一特定的使用者或組。審核項對話方塊顯示出了您可以審核其成功或失敗的各種訪問。可使用應用到欄位來設定應用範圍。

審核整個域

您可以將一個稽核原則應用到整個域。在任何網域控制站上,轉至開始 | 程式 | 管理工具並選擇域安全性原則。這樣就開啟了一個 MMC 視圖,其中顯示出該域的安全設定。

本地策略 | 稽核原則中,您會看到與一台電腦中的本地設定頁上完全相同的一些設定。您還會在本地策略 | 安全選項中看到同樣的附加審核設定(全域系統對象、備份與還原,以及日誌寫滿時關機)。在此配置的設定將應用到域中的每一台電腦上。域成員不能立即收到新設定;因為這些設定是電腦層級的策略元素,它們將在域成員電腦下次啟動時生效。

域安全性原則中還有一個附加頁需要設定。在事件記錄 | 事件記錄設定中,您可以全域地設定安全日誌的大小,允許或拒絕對日誌的來賓訪問,配置日誌的處置以及在日誌寫滿時關機。

自訂網域中的日誌記錄

您可能想為伺服器和工作站分別配置不同的審核方式。在這種情況下,請不要使用域安全性原則 MMC 來組態稽核,而應使用 Active Directory 中的組策略來為您各種類別的電腦建立自訂審核配置。

組織單位 (OU) 是這一配置方法的基礎。在 Active Directory 使用者和電腦中,建立可代表您的電腦分類的組織單位。然後,對於各 OU,建立一個組策略對象,使之包括對應於此類電腦的特定的審核事件。下面是具體操作步驟:

  1. 按右鍵一個 OU。
  2. 選擇組策略
  3. 單擊建立,為新的組策略對象取一個名稱,然後單擊編輯
  4. 瀏覽到電腦配置 | Windows 設定 | 安全設定
  5. 本地策略 | 稽核原則本地策略 | 安全選項事件記錄 | 事件記錄設定中配置各種審核事件。

最後,將您的電腦移入 OU 中。電腦下次啟動時,它們將收到它們所屬的 OU 中定義的設定。

本地策略與有效原則

審核事件設定遵守標準組策略應用規則。應用順序是:

  1. 本地原則設定
  2. 網站原則設定
  3. 域原則設定
  4. 組織單位原則設定

預設情況下,網站、域和 OU 策略都是未定義的。各電腦的本地策略(如果有的話)將是實際有效策略。但是,如果在階層中較進階別定義了一個策略元素,而且已將組策略配置為不允許本地替代,那麼該定義將替代較低層級的定義。這意味著,儘管您可以按自己的意圖配置較多或較少的本地審核事件,但是,如果一個域策略(舉例來說)特地啟用或禁用了某一特定審核事件,則不管您是如何定義本地設定的,此設定都將優先於您的本地設定。

審核方案

確定應審核什麼在一開始可能有點困難。下表列出了一些潛在的威脅,以及哪些審核設定有助於指出系統是否在受到此類攻擊。

潛在的威脅
審核事件
隨機密碼試探

審核失敗的登入/登出事件

竊取密碼侵入

審核成功的登入/登出事件

誤用特權

審核成功的使用者權限、使用者和組管理、安全性原則更改、重新啟動、關機和系統事件。

對敏感檔案的不當訪問

審核成功的和失敗的檔案訪問和對象訪問事件。審核可疑使用者或組對敏感檔案的成功及失敗的讀取/寫入訪問事件。

對印表機的不當訪問

審核成功和失敗的對印表機的檔案訪問事件,以及成功和失敗的對象訪問事件。審核可疑使用者或組對印表機的成功和失敗的列印訪問。

病毒發作

審核成功和失敗的對程式檔案(.EXE 和 .DLL 擴充)和可能包含宏的文檔的寫訪問。審核成功和失敗的進程跟蹤。

有關本欄目內容的任何反饋意見或問題,請聯絡我們。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.