Windows安全审计详解
运维安全审计系统,即在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
第1步:如图4-61所示,在【组策略编辑器】窗口中,逐级展开左侧窗口中的【计算机配置/Windows设置/安全设置/本地策略】分支,然后在该分支下选择【审核策略】选项。双击【审核对象访问】选项,在弹出的对话框(图4-62)中将【本地策略设置】框内的【成功】和【失败】复选框都打上勾选标记,然后单击【确定】按钮。
审核是基于成功和失败两种情况的。成功是用于记录哪些用户正常地访问了文件,而失败则指出哪些人在没有正确的权限情况下试图访问文件。这有可能是攻击造成的结果,但也有可能是文件系统权限设置得不正确所导致的。
推荐要审核的项目是:策略更改、登录事件、对象访问、目录服务访问、特权使用、系统事件、账户登录事件。
注意:
NTFS文件系统的支持审核功能,FAT文件系统不支持审核功能。
第2步:右键单击想要审核的C:\Inetpub文件夹,选择右键菜单中的【属性】,在弹出的对话框中选择【安全】选项卡,如图4-52所示。
注意:
必须是管理员组成员或者在组策略中被授权有“管理审核和安全日志”权限的用户才可以审核文件或文件夹。审核文件或文件夹之前,必须启用图4-61中右侧窗口的“审核对象访问”。否则,当设置完文件或文件夹审核时会返回一个错误消息,并且文件或文件夹都没有被审核。
第3步:在图4-52中,单击【高级】按钮,然后在弹出的对话框(图4-63)中选择【审核】选项卡。如果要对一个新组或用户设置审核,可以在图4-63中单击【添加】按钮,然后在弹出的对话框(图4-64)中的【名称】框中输入新用户名,然后单击【确定】按钮打开【Inetpub的审核项目】对话框(图4-65)。
第4步:在图4-65中,在【应用到】列表中选择希望审核的对象。在【访问】列表中选择希望审核的操作。如果想禁止目录树中的文件和子文件夹继承这些审核项目,将图下方的复选框打上小勾。单击【确定】按钮,然后在弹出的对话框中单击【确定】按钮。
第5步:在Inetpub文件夹中新建一个文本文件(这一创建操作会在事件查看器中看到)。
第6步:使用事件查看器分析审核信息。
审核被开启后,如果不对收集到的信息进行监视,那么这种审核是没有意义的。所以应该有规律的使用事件查看器分析审核的信息。
依次选择【开始】/【程序】/【管理工具】/【事件查看器】菜单命令,打开事件查看器,单击左侧的【安全性】,然后在右侧详细信息窗口中,双击要查看的事件,弹出【事件属性】对话框,如图4-67所示,从描述中可知该事件即对应于第5步的创建文本文件操作。
对Windows的几种日志类别说明见表4-10:
事件查看器显示的事件类型见表4-11:
主要的事件组件见表4-12:
版权声明:本站【趣百科】文章素材来源于网络或者用户投稿,未经许可不得用于商用,如转载保留本文链接:https://www.qubaik.com/answer/34752.html