天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

用“审核”来监控Vista的一举一动

2008-10-20不详佚名
    “审核”功能就像Windows的晴雨表,据此我们可以了解计算机的一举一动,并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除。在Vista中,“审核”功能比以往更加强大,本文将和大家一起探讨其在Vista下的应用。

  1、启用审核的策略

  所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件。因此,我们在启用审核时要根据需要制订审核策略。

  作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。

  2、配置审核策略

  审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志。开启审核功能的方法是:依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“本地安全策略”控制台。然后在“本地策略”→“审核策略”中找到相应的审核策略。

  在Vista中可启用的审核策略有9项之多,比如“审核特权使用”,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理”,记录用户帐户的创建、删除、更改等事件。“审核进程跟踪”,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择。(图1)

   


    
    例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵。(图2)

   

       3、查看审核报告

  在启用了审核策略后,系统就会在系统的日志中记录相关的事件。如果要查看日志,就需要通过“事件查看器”来进行查看,依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“事件查看器”控制台,在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别,单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录,可以打开该记录的详细信息窗口,用户便可以了解该事件的来源和发生事件、事件ID等。

  右击某一类的事件日志,可以对其日志进行一些操作。例如,我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”,用于导入已存在的事件日志;如果日志记录太多,为了释放更多的空间,我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息,可以借助“筛选当前日志”功能,根据事件级别、事件ID、关键字、用户等信息进行筛选。(图3)

  


    
    4、监控文件访问

  文件监控在现实环境中非常实用,比如管理员设置了一个共享文件夹,但被人改得面目全非,我们就可以通过文件9 7 3 1 2 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行