[windows安全設定]Win 2000安全性稽核策略讓入侵者無處遁形

作為一個網管員，你是否知道在你的主機或伺服器上發生的事情——誰來訪問過。他們都做過些什麼。目的是什麼。什麼。你不知道。其實Windows 2000給我們提供了一項安全性稽核功能，我們做管理員這行的，最需要熟悉的就是這一功能了，否則你怎麼管呢。安全性稽核可以用日誌的形式記錄好幾種與安全相關的事件，你可以使用其中的資訊來產生一個有規律活動的概要檔案，發現和跟蹤可疑事件，並留下關於某一侵入者活動的有效法律證據。
    
     開啟稽核原則
    
     Windows 2000的預設安裝沒有開啟任何安全性稽核，所以需要進入[我的電腦]→[控制台]→[管理工具]→[本地安全性原則]→[稽核原則]中開啟相應的審核。系統提供了九類可以審核的事件，對於每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核(如圖1)。
    
    
    
     圖1制定稽核原則
    
     策略更改：安全性原則更改，包括特權指派、稽核原則修改和信任關係修改。這一類必須同時審核它的成功或失敗事件。
    
     登入事件：對本機電腦的互動式登入或網路連接。這一類必須同時審核它的成功和失敗事件。
    
     對象訪問：必須啟用它以允許審核特定的對象，這一類需要審核它的失敗事件。
    
     過程追蹤：詳細跟蹤進程調用、重複進程控制代碼和進程終止，這一類可以根據需要選用。
    
     目錄服務訪問：記錄對Active Directory的訪問，這一類需要審核它的失敗事件。
    
     特權使用：某一特權的使用；專用特權的指派，這一類需要審核它的失敗事件。
    
     系統事件：與安全(如系統關閉和重新啟動)有關的事件；影響安全日誌的事件，這一類必須同時審核它的成功和失敗事件。
    
     賬戶登入事件：驗證(賬戶有效性)通過網路對本機電腦的訪問，這一類必須同時審核它的成功和失敗事件。
    
     賬戶管理：建立、修改或刪除使用者和組，進行密碼更改，這一類必須同時審核它的成功和失敗事件。
    
     開啟以上的審核後，當有人嘗試對你的系統進行某些方式(如嘗試使用者密碼，改變賬戶策略，未經經過授權的檔案訪問等等)入侵的時候，都會被安全性稽核記錄下來，存放在“事件檢視器”中的安全日誌中。
    
     另外在“本地安全性原則”中還可開啟賬戶策略，如在賬戶鎖定策略中設定，賬戶鎖定閥值為三次(那麼當三次無效登入將鎖定)，然後將賬戶鎖定時間設定為30分鐘，甚至更長。這樣，駭客想要攻擊你，一天24小時試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險。
    
     稽核原則設定完成後，需要重新啟動電腦才會生效。這裡需要說明的是，審核項目既不能太多，也不能太少。如果太少的話，你如果想查看駭客攻擊的跡象卻發現沒有記錄，那就沒辦法了，但是審核項目如果太多，不僅會佔用大量的系統資源，而且你也可能根本沒空去全部看完那些安全日誌，這樣就失去了審核的意義。
    
     對檔案和檔案夾訪問的審核
    
     對檔案和檔案夾訪問的審核，首先要求審核的檔案或檔案夾必須位於NTFS分區之上，其次必須如上所述開啟對象訪問事件稽核原則。符合以上條件，就可以對特定的檔案或檔案夾進行審核，並且對哪些使用者或組指定哪些類型的訪問進行審核。
    
     在所選擇的檔案或檔案夾的屬性視窗的“安全”頁面上，點擊[進階]按鈕；在“審核”頁面上，點擊[添加]按鈕，選擇想對該檔案或檔案夾訪問進行審核的使用者，單擊[確定]；在“審核項目”對話方塊中，為想要審核的事件選擇“成功”或是“失敗”複選框(如圖2)，選擇完成後確定。返回到“存取控制設定”對話方塊，預設情況下，對父資料夾所做的審核更改將應用於其所包含子檔案夾和檔案。如果不想將父資料夾所進行的審核更改應用到當前所選擇的檔案或檔案夾，清空檢查框“允許將來自父系的可繼承審核項目傳播給該對象”即可(如圖3)。
    
     審核結果的查看和維護
    
     設定了稽核原則和審核事件後，審核所產生的結果都被記錄到安全日誌中，使用事件檢視器可以查看安全日誌的內容或是在日誌中尋找指定事件的詳細資料。
    
     在“管理工具”中運行“事件檢視器”，選擇“安全日誌”。在右側顯示日誌列表，以及每一條目的摘要資訊(如圖4)。如果你在幾個登入的失敗審核後面又發現登入的成功審核，那你就要仔細查看這些日誌資訊了，如果是密碼太簡單被人猜出，就需要增加密碼的長度和複雜性了。在這裡可以查看各個事件的詳細資料，還可以尋找和篩選合格事件。
    
     隨著審核事件的不斷增加，安全記錄檔的大小也會不斷增加，預設情況下記錄檔的大小是512KB，當達到最大日誌尺寸時，系統會改寫7天以前的事件。其實我們可以根據需要變更。用滑鼠右擊“事件檢視器”的“安全日誌”項，選擇“屬性”，進入安全日誌的屬性視窗(如圖5)，在“常規”標籤頁面上，網管員可以根據自己實際需要修改系統的這些預設設定，以滿足自己儲存安全日誌的需要。
    
     在Windows 2000系統中使用稽核原則，雖然不能對使用者的訪問進行控制，但是你根據開啟審核產生的安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用方式，從而為我們追蹤駭客提供可靠依據，同時還有利於採取相應的防範措施將系統的不安全因素降到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。