Windows 2008系統審核功能的妙用

 　　啟用組態稽核功能

　　Windows Server 2008系統的審核功能在預設狀態下並沒有啟用，我們必須針對特定系統事件來啟用、配置它們的審核功能，這樣一來該功能才會對相同類型的系統事件進行監視、記錄，網路系統管理員日後只要開啟對應系統的日誌記錄就能查看到審核功能的監視結果了。審核功能的應用範圍很廣泛，不但可以對伺服器系統中的一些操作行為進行跟蹤、監視，而且還能依照伺服器系統的運行狀態對運行故障進行快速排除。當然，需要提醒各位朋友的是，審核功能的啟用往往要消耗伺服器系統的一些寶貴資源，並會造成伺服器系統的運行效能下降，這是因為Windows Server 2008系統必須騰出一部分空間資源來儲存審核功能的監視、記錄結果。為此，在伺服器系統空間資源有限的情況下，我們應該謹慎使用審核功能，確保該功能只對一些特別重要的操作進行監視、記錄。

　　在啟用、配置Windows Server 2008系統的審核功能時，我們可以先以系統超級許可權登入進入對應系統，開啟該系統案頭中的“開始”菜單，從中依次點選“設定”、“控制台”命令，在彈出的系統控制台視窗中依次單擊“系統和維護”、“管理工具”表徵圖，在其後出現的管理工具列表視窗中，找到“本地安全性原則”表徵圖，並用滑鼠雙擊該表徵圖，開啟本地安全性原則控制台視窗。

　　其次在目標控制台視窗的左側顯示窗格中，依次展開“安全設定”/“本地策略”/“稽核原則”分支選項，在對應“稽核原則”分支選項的右側顯示窗格中，我們會發現Windows Server 2008系統包含九項稽核原則，也就是說伺服器系統可以允許對九大類操作進行跟蹤、記錄，如圖1所示。

　　圖1 本地安全性原則

　　審核進程跟蹤策略，是專門用來對伺服器系統的背景程式運行狀態進行追蹤記錄的，例如伺服器系統後台突然運行或關閉了什麼程式，handle控制代碼是否進行了檔案複製或系統資源的訪問等操作，審核功能都可以對它們進行跟蹤、記錄，並將監視、記錄的內容自動儲存到對應系統的記錄檔中。

　　審核帳戶管理原則，是專門用來跟蹤、監視伺服器系統登入帳號的修改、刪除、添加操作的，任何添加使用者帳號操作、刪除使用者帳號操作、修改使用者帳號操作，都會被審核功能自動記錄下來。

　　審核特權使用原則，是專門用來跟蹤、監視使用者在伺服器系統運行過程中執行除登出操作、登入操作以外的其他特權操作的，任何對伺服器系統運行安全有影響的一些特權操作都會被審核功能記錄儲存到系統的安全日誌中，網路系統管理員根據日誌內容就容易找到影響伺服器運行安全的一些蛛絲馬跡。

　　啟用不同的稽核原則，Windows Server 2008系統就會對不同類型的操作進行跟蹤、記錄，網路系統管理員應該依照自己的安全要求以及伺服器系統的效能配置，來啟用適合自己的稽核原則，而不要盲目地啟用所有稽核原則，那樣一來審核功能的作用反而得不到充分發揮。

　　圖2 審核登陸事件屬性

　　比方說，要是我們想對伺服器系統的登入狀態進行跟蹤、監視，以便確認區域網路中是否存在非法登入行為時，那我們就可以直接用滑鼠雙擊這裡的審核登入事件策略，開啟對應策略的選項設定對話方塊(如圖2所示)，選中其中的“成功”和“失敗”選項，再單擊“確定”按鈕，如此一來Windows Server 2008系統日後就會自動對本機伺服器系統的所有系統登入操作進行跟蹤、記錄，無論是登入伺服器成功的操作還是登入伺服器失敗的操作，我們都能通過事件檢視器找到對應的操作記錄，仔細分析這些登入操作的記錄我們就能發現本機伺服器中是否真的存在非法登入甚至非法入侵行為。

　　查看審核功能記錄

　　啟用、配置好合適的稽核原則後，Windows Server 2008系統就會自動對特定類型的操作進行跟蹤、記錄，並將記錄內容儲存到對應系統的記錄檔中了，以後網路系統管理員可以根據日誌內容，尋找伺服器系統中是否存在安全威脅。在查看審核功能記錄下來的日誌內容時，我們必須藉助事件檢視器功能來完成，下面就是查看審核功能記錄的具體操作步驟：

　　首先以超級管理員權限進入Windows Server 2008系統，依次單擊該系統案頭中的“開始”/“程式”/“管理工具”/“伺服器管理員”命令，開啟對應系統的伺服器管理員控制台視窗;

　　其次在該控制台視窗的左側顯示地區中，將滑鼠定位於“診斷”分支選項，並從該分支選項下面依次點選“事件檢視器”/“Windows日誌”子項，在目標子項下面我們會看到“應用程式”、“安全”、“安裝程式”、“系統”、“轉寄事件”這五個類別的事件記錄，如圖3所示;

　　圖3 伺服器管理員

　　用滑鼠選中某個類別選項時，我們就能從圖3介面的中間顯示地區中清楚地看到對應類別下的所有事件記錄，再用滑鼠雙擊指定的記錄選項時，就能開啟目標事件記錄的詳細資料介面，在該介面中我們就可以詳細查看到目標事件的來源、具體的事件內容、事件ID以及其他相關資訊等。

　　發現重要的事件內容時，我們還可以對其執行一些操作;比方說，為了日後有空時能對重要事件內容進行仔細分析，我們可以將重要事件內容先儲存起來，以防止清理日誌時被意外刪除掉，在儲存重要事件內容時，我們只要用滑鼠右鍵單擊目標事件內容，從彈出的捷徑功能表中執行“將事件另存新檔”命令，之後設定好儲存路徑以及具體的檔案名稱，再單擊“儲存”按鈕就可以了，日後只需要再執行右鍵菜單中的“開啟儲存的日誌”命令，就能將以前儲存好的記錄檔調用出來了。要是探索服務器系統中儲存的事件內容太多時，我們應該定期執行右鍵菜單中的“清除日誌”命令來清空日誌記錄，以便騰出更多的寶貴空間資源。在日誌記錄較多的情況下，要想快速尋找自己想要的事件記錄是一件不容易的事情，此時我們不妨執行“篩選當前日誌”命令來對日誌記錄進行篩選。

　　實戰應用審核功能

　　審核功能在現實環境中對Windows Server 2008系統尤為重要，因為伺服器系統在區域網路環境中很容易受到攻擊，網路系統管理員可以利用審核功能來對各種攻擊行為進行跟蹤監控，遇到有潛在安全威脅的事件發生時，我們可以想方設法地將審核功能監控到的事件內容通知給網路系統管理員，網路系統管理員就能立即查明事件原因，並對症下藥地解決問題，從而保障伺服器系統不受非法攻擊了。

　　例如，一些木馬程式常常會在伺服器系統中偷偷建立使用者帳號，以便竊取伺服器系統的超級管理員權限，此時我們可以通過使用者帳號監控來確定伺服器系統中究竟是否存在非法使用者帳號，然後進一步確定究竟是哪一個使用者帳號是非法帳號。需要說明的是，要想讓Windows Server 2008系統自動將非法帳號建立的事件通知給網路系統管理員時，必須確保對應系統的Task Scheduler服務處於正常的運行狀態。

　　首先依次單擊Windows Server 2008系統案頭中的“開始”/“運行”命令，在彈出的系統運行對話方塊中，執行字串命令“secpol.msc”，開啟伺服器系統的本地安全性原則控制台視窗;

　　圖4 審核帳戶管理

　　其次在該控制台視窗的左側顯示地區，依次展開“安全設定”、“本地策略”、“稽核原則”分支選項，在對應“稽核原則”分支選項的右側顯示地區中，雙擊“審核賬戶管理”策略選項，開啟如圖4所示的策略選項設定對話方塊，選中“成功”和“失敗”選項，再單擊“確定”按鈕關閉策略選項設定對話方塊，這樣一來無論使用者賬戶建立成功還是建立失敗，Windows Server 2008系統都會自動記錄下使用者帳號建立事件;

　　為了把使用者帳號建立事件內容自動通知給網路系統管理員，我們還需要針對該事件附加執行自動警示的任務計劃。在附加自動警示任務時，我們先依次單擊Windows Server 2008系統案頭中的“開始”/“程式”/“管理工具”/“伺服器管理員”命令，開啟對應系統的伺服器管理員控制台視窗;在該控制台視窗的左側地區依次點選“診斷”/“事件檢視器”/“Windows日誌”/“系統”子項，再從“系統”子項下面找到建立使用者帳號事件，如果找不到該事件內容時，我們還需要採用手工方法隨意在伺服器系統中建立一個使用者帳號，這樣一來使用者帳號建立事件就會出現在事件檢視器中了。

　　用滑鼠右鍵單擊使用者帳號建立事件，從彈出的捷徑功能表中執行“將任務附加到此事件”命令，開啟任務計劃添加嚮導對話方塊，之後設定好新任務的名稱，例如這裡我們將新任務取名為“自動警示使用者帳號建立情況”，當螢幕上出現如圖5所示的設定對話方塊時，選中“顯示訊息”選項，再設定好需要警示的標題與內容，在這裡我們將標題設定為“自動警示使用者帳號建立情況”，將警示內容設定為“伺服器系統中可能有非法帳號被建立，請網路系統管理員立即處理相關事件!”最後單擊“完成”按鈕，這樣一來Windows Server 2008系統日後就能把審核功能記錄下來的使用者帳號建立情況自動報告給網路系統管理員了。

　　圖5 建立基本任務嚮導

　　當我們嘗試通過遠端桌面方式在伺服器系統中隨意建立一個使用者帳號時，Windows Server 2008系統螢幕上立即出現了一個自動警示提示視窗，告訴網路系統管理員說“伺服器系統中可能有非法帳號被建立，請網路系統管理員立即處理相關事件!”，這就意味著此時有人在伺服器系統中偷偷建立使用者帳號了，網路系統管理員根據這個自動警示提示資訊，就能在第一時間採取措施來解決相關問題，從而保障Windows Server 2008伺服器系統不受非法攻擊了。

        注：更多精彩教程請關注三聯電腦教程欄目，三聯電腦辦公群:189034526歡迎你的加入