Win2000安全性稽核讓入侵者無處遁形

來源:互聯網
上載者:User
作為一個網管員,你是否知道在你的主機或伺服器上發生的事情——誰來訪問過?他們都做過些什嗎?目的是什嗎?什嗎?你不知道!其實Windows 2000給我們提供了一項安全性稽核功能,我們做管理員這行的,最需要熟悉的就是這一功能了,否則你怎麼管呢?安全性稽核可以用日誌的形式記錄好幾種與安全相關的事件,你可以使用其中的資訊來產生一個有規律活動的概要檔案,發現和跟蹤可疑事件,並留下關於某一侵入者活動的有效法律證據。開啟稽核原則Windows 2000的預設安裝沒有開啟任何安全性稽核,所以需要進入[我的電腦]→[控制台]→[管理工具]→[本地安全性原則]→[稽核原則]中開啟相應的審核。系統提供了九類可以審核的事件,對於每一類都可以指明是審核成功事件、失敗事件,還是兩者都審核(如圖1)。












圖1制定稽核原則策略更改:安全性原則更改,包括特權指派、稽核原則修改和信任關係修改。這一類必須同時審核它的成功或失敗事件。登入事件:對本機電腦的互動式登入或網路連接。這一類必須同時審核它的成功和失敗事件。對象訪問:必須啟用它以允許審核特定的對象,這一類需要審核它的失敗事件。過程追蹤:詳細跟蹤進程調用、重複進程控制代碼和進程終止,這一類可以根據需要選用。目錄服務訪問:記錄對Active" Directory的訪問,這一類需要審核它的失敗事件。特權使用:某一特權的使用;專用特權的指派,這一類需要審核它的失敗事件。系統事件:與安全(如系統關閉和重新啟動)有關的事件;影響安全日誌的事件,這一類必須同時審核它的成功和失敗事件。賬戶登入事件:驗證(賬戶有效性)通過網路對本機電腦的訪問,這一類必須同時審核它的成功和失敗事件。賬戶管理:建立、修改或刪除使用者和組,進行密碼更改,這一類必須同時審核它的成功和失敗事件。開啟以上的審核後,當有人嘗試對你的系統進行某些方式(如嘗試使用者密碼,改變賬戶策略,未經經過授權的檔案訪問等等)入侵的時候,都會被安全性稽核記錄下來,存放在“事件檢視器”中的安全日誌中。另外在“本地安全性原則”中還可開啟賬戶策略,如在賬戶鎖定策略中設定,賬戶鎖定閥值為三次(那麼當三次無效登入將鎖定),然後將賬戶鎖定時間設定為30分鐘,甚至更長。這樣,駭客想要攻擊你,一天24小時試密碼也試不了幾次,而且還要冒著被記錄追蹤的危險。稽核原則設定完成後,需要重新啟動電腦才會生效。這裡需要說明的是,審核項目既不能太多,也不能太少。如果太少的話,你如果想查看駭客攻擊的跡象卻發現沒有記錄,那就沒辦法了,但是審核項目如果太多,不僅會佔用大量的系統資源,而且你也可能根本沒空去全部看完那些安全日誌,這樣就失去了審核的意義。對檔案和檔案夾訪問的審核對檔案和檔案夾訪問的審核,首先要求審核的檔案或檔案夾必須位於NTFS分區之上,其次必須如上所述開啟對象訪問事件稽核原則。符合以上條件,就可以對特定的檔案或檔案夾進行審核,並且對哪些使用者或組指定哪些類型的訪問進行審核。




圖2審核項目的確定


相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。