1、启用审核的策略
所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件。因此,我们在启用审核时要根据需要制订审核策略。
作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。
2、配置审核策略
审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志。开启审核功能的方法是:依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“本地安全策略”控制台。然后在“本地策略”→“审核策略”中找到相应的审核策略。
在Vista中可启用的审核策略有9项之多,比如“审核特权使用”,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理”,记录用户帐户的创建、删除、更改等事件。“审核进程跟踪”,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择。(图1)
例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵。(图2)
3、查看审核报告
在启用了审核策略后,系统就会在系统的日志中记录相关的事件。如果要查看日志,就需要通过“事件查看器”来进行查看,依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“事件查看器”控制台,在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别,单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录,可以打开该记录的详细信息窗口,用户便可以了解该事件的来源和发生事件、事件ID等。
右击某一类的事件日志,可以对其日志进行一些操作。例如,我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”,用于导入已存在的事件日志;如果日志记录太多,为了释放更多的空间,我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息,可以借助“筛选当前日志”功能,根据事件级别、事件ID、关键字、用户等信息进行筛选。(图3)
4、监控文件访问
文件监控在现实环境中非常实用,比如管理员设置了一个共享文件夹,但被人改得面目全非,我们就可以通过文件9 7 3 1 2 4 8 :
本文来源:不详 作者:佚名