|
审核功能就像Windows的晴雨表据此我们可以了解计算机的一举一动并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除在Vista中审核功能比以往更加强大本文将和大家一起探讨其在Vista下的应用 启用审核的策略 所谓的审核就是跟蹤启用相应的审核功能后系统就会跟蹤并记录事件的过程方便管理员查看利用审核功能我们不仅可以监视用户在计算机上进行的操作还可以根据系统运行状态对故障进行排除但是开启了审核就会降低系统的性能因为系统为此需要耗费一部分资源用于记录和存储事件因此我们在启用审核时要根据需要制订审核策略 作为管理员需要明确以下几个方面需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等只有这样才能在审核好系统性能之间取得一个平衡 配置审核策略 审核是对具体事件的过程进行监视和记录因此会将结果保存到系统的事件日志中当然除非开启了相应的审核功能否则Windows Vista不会记录安全日志开启审核功能的方法是依次单击开始→控制面板→系统和维护→管理工具打开本地安全策略控制台然后在本地策略→审核策略中找到相应的审核策略 在Vista中可启用的审核策略有项之多比如审核特权使用用来记录用户在系统操作过程中行使除登录注销和网络之外的权限审核帐户管理记录用户帐户的创建删除更改等事件审核进程跟蹤跟蹤并记录进程的后台运行例如程序的激活handle句柄的复制和对文件管理资源的访问等启用各种审核策略的方法类似至于启用什么样的审核策略要根据自己安全需要进行选择(图) 例如要审核登录事件只需双击打开该策略然后勾选审核包括事件的成功和失败最后单击定即可这样Windows Vista就可以开始审核本地所有用户帐户的登录事件包括用户成功登录和登录失败这样有利用发现系统是否被非法登录并被入侵(图) 查看审核报告 在启用了审核策略后系统就会在系统的日志中记录相关的事件如果要查看日志就需要通过事件查看器来进行查看依次单击开始→控制面板→系统和维护→管理工具打开事件查看器控制台在Windows 日志下分别有应用程序安全安装程序系统转发事件等多个类别单击不同类别可以在中间的窗格中查看到所有该类别的事件记录双击某个事件记录可以打开该记录的详细信息窗口用户便可以了解该事件的来源和发生事件事件ID等 右击某一类的事件日志可以对其日志进行一些操作例如我们可以选择将事件另存为来导出该类别的事件日志;选择打开保存的日志用于导入已存在的事件日志;如果日志记录太多为了释放更多的空间我们可以选择清除日志选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息可以借助筛选当前日志功能根据事件级别事件ID关键字用户等信息进行筛选(图) 监控文件访问 文件监控在现实环境中非常实用比如管理员设置了一个共享文件夹但被人改得面目全非我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作然后进一步确定是哪个用户做的需要说明的是文件或者文件夹的监控是基于NTFS文件系统所以分区格式必须是这种格式 首先在本地安全策略中启用审核对象访问策略为了准确定位我们可以只对成功事件进行记录然后定位到需要监控的文件夹右键点击选择属性在安全选项卡中单击高级按钮接着选择审核选项卡单击继续按钮在打开的窗口中单击添加按钮输入要添加审核的用户帐户或用户组的名称然后在审核项目面板中勾选需要监控的操作包括创建文件/写入数据删除等如果要监控用户的所有操作可以选择完全控制最后单击确定按钮即可完成审核的设置(图) 这样系统会将指定的事件记录在系统日志中我们可以通过时间查看器的Windows 日志→安全中查看到相关的记录当然此时的事件记录是非常多的我们可以通过筛选器进行筛选右键点击左侧的安全选择筛选当前日志打开筛选窗口在筛选器选项卡下进行筛选设置因为我们要查看是拷贝的文件事件来源选择就选择SecurityAuditing任务类别选择文件系统事件ID输入所示然后确定退出这时候在事件查看器右边列出的就是每一次读取数据的信息了双击每一项目可查看详细信息注意带有 Object Type: File 的项目才是对文件的访问我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作 (图) 总结本文只以文件监控为例演示了Vista审核功能在系统安全方面的应用其实它的应用是非常广泛的不过其使用方法类似一般是先启用想要的审核策略然后通过事件查看器进行查看当然灵活应用筛选器可以帮助我们快速定位到我们需要查看的项目 |
