二十二、如何進(jìn)行系統(tǒng)日志審核
審核是WindowsNT/2000中本地安全策略的一部分���,它是一個(gè)維護(hù)系統(tǒng)安全性的工具�,允許你跟蹤用戶(hù)的活動(dòng)和WindowsNT/2000系統(tǒng)的活動(dòng)�,這些活動(dòng)稱(chēng)為事件。
根據(jù)監(jiān)控審核結(jié)果���,管理員就可以將計(jì)算機(jī)資源的非法使用消除或減到最小�;通過(guò)審核���,我們可以記錄下列信息:哪些用戶(hù)企圖登錄到系統(tǒng)中�,或從系統(tǒng)中注銷(xiāo)���、登錄或注銷(xiāo)的日期和時(shí)間是否成功等���;哪些用戶(hù)對(duì)指定的文件�����、文件夾或打印機(jī)進(jìn)行哪種類(lèi)型的訪問(wèn)�;系統(tǒng)的安全選項(xiàng)進(jìn)行了哪些更改���;用戶(hù)帳戶(hù)進(jìn)行了哪些更改���,是否增加或刪除了用戶(hù)等等。通過(guò)查看這些信息,我們就能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患���,通過(guò)了解指定資源的使用情況來(lái)指定資源使用計(jì)劃���。具體配置過(guò)程如下(以Windows 2000為例):
審核策略的設(shè)置
為運(yùn)行Windows 2000的計(jì)算機(jī)設(shè)置審核策略�,需要運(yùn)行管理工具中的本地安全策略工具進(jìn)行設(shè)置。具體設(shè)置步驟如下:
首先進(jìn)入“控制面板”���,打開(kāi)“管理工具”程序組,選擇“本地安全策略”�����;在“本地安全策略”窗口的控制臺(tái)目錄樹(shù)中�����,單擊“本地策略”�;然后選擇“審核策略”�, 選中要審核的事件,在操作菜單中選擇“安全性”(也可以右鍵)�����,或是雙擊所選擇的審核事件���;在策略設(shè)置窗口中�,選擇 “成功”復(fù)選框或“失敗”復(fù)選框,或是將二者全部選中見(jiàn)下圖所示:
審核策略設(shè)置完成后���,需要重新啟動(dòng)計(jì)算機(jī)才能生效。
對(duì)文件和文件夾訪問(wèn)的審核
對(duì)文件和文件夾訪問(wèn)的審核���,首先要求審核的對(duì)象必須位于NTFS分區(qū)之上,其次必須為對(duì)象訪問(wèn)事件設(shè)置審核策略�。符合以上條件�����,就可以對(duì)特定的文件或文件夾進(jìn)行審核�,并且對(duì)哪些用戶(hù)或組指定哪些類(lèi)型的訪問(wèn)進(jìn)行審核。設(shè)置的步驟如下:
在“審核”頁(yè)面上�����,點(diǎn)擊“添加”按鈕�,選擇想對(duì)文件或文件夾訪問(wèn)進(jìn)行審核的用戶(hù),單擊“確定”���; 在“審核項(xiàng)目”對(duì)話(huà)框中,為想要審核的事件選擇“成功”或是“失敗”復(fù)選框,選擇完成后確定���,見(jiàn)下圖:
以C:\WINNT目錄為例,右鍵該目錄,選擇屬性,選擇“安全”標(biāo)簽
再選擇高級(jí)�,
添加所要設(shè)置的用戶(hù)名或者用戶(hù)組
確定后���,就會(huì)出來(lái)如下所示:
默認(rèn)情況下�,對(duì)父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件���。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾�,請(qǐng)清空 “允許將來(lái)自父系的可繼承審核項(xiàng)目傳播給該對(duì)象” 復(fù)選框即可,相關(guān)界面見(jiàn)下圖所示:
對(duì)打印機(jī)訪問(wèn)的審核
對(duì)打印機(jī)訪問(wèn)進(jìn)行審核���,要求必須為對(duì)象訪問(wèn)事件設(shè)置審核策略。滿(mǎn)足這個(gè)條件就能夠?qū)μ囟ǖ拇蛴C(jī)進(jìn)行審核�����,并能夠?qū)徍酥付ǖ脑L問(wèn)類(lèi)型以及審核擁有訪問(wèn)權(quán)限的用戶(hù)�。審核步驟如下:首先選取打印機(jī)的屬性窗口,選擇“安全”頁(yè)面���,點(diǎn)擊“高級(jí)”按鈕;然后在“審核”頁(yè)面���,點(diǎn)擊“添加”按鈕,選擇想對(duì)打印機(jī)訪問(wèn)進(jìn)行審核的用戶(hù)或組(過(guò)程和上圖基本類(lèi)似)�����;最后還要在“項(xiàng)目審核”窗口中�,在“應(yīng)用到”下拉列表中選擇審核應(yīng)用的目標(biāo),在“訪問(wèn)”列表中為審核的事件選擇“成功”或“失敗”檢查框。設(shè)置完成后�����,請(qǐng)點(diǎn)擊“確定”�����。相關(guān)界面見(jiàn)下圖:
二十三�����、系統(tǒng)日志審核的查看和維護(hù)
在WindowsNT/2000中設(shè)置了審核策略和審核事件后,審核所產(chǎn)生的結(jié)果都被記錄到安全日志中�,安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息�����。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。操作過(guò)程如下(以Windows2000為例):
安全日志文件�����、系統(tǒng)日志文件�����、應(yīng)用程序日志文件均可以通過(guò)“事件察看器”來(lái)查看�����。打開(kāi)“控制面板”里“管理工具”“事件查看器”:
左邊分別是“應(yīng)用程序日志”���,“安全日志”�����,“系統(tǒng)日志”三部分���,分別選擇想要查詢(xún)的日志�,在右邊就會(huì)有事件列表出來(lái)�,欄目字段解釋?zhuān)?/SPAN>
“類(lèi)型”: 有三個(gè)級(jí)別,一般信息(
),警告信息(
),錯(cuò)誤信息(
)
日期和時(shí)間: 記錄時(shí)間發(fā)生的日期和時(shí)間
來(lái)源: 這類(lèi)事件是由什么程序���,系統(tǒng)什么軟件運(yùn)行產(chǎn)生的
分類(lèi): 區(qū)分事件類(lèi)型
事件: 一般來(lái)說(shuō)是有系統(tǒng)進(jìn)程號(hào)來(lái)唯一標(biāo)示的。
用戶(hù): 是由什么用戶(hù)運(yùn)行產(chǎn)生的�����,其中N/A表示是由程序本身產(chǎn)生的���。
計(jì)算機(jī): 表示日志發(fā)生在那臺(tái)計(jì)算機(jī)上�,一般是計(jì)算機(jī)名。
雙擊某一個(gè)事件���,會(huì)得到該事件的詳細(xì)信息。如下圖�����。
其中�,描述欄里面就是對(duì)應(yīng)事件的詳細(xì)描述,如果該事件和數(shù)據(jù)有關(guān)�,比如內(nèi)存段訪問(wèn)錯(cuò)誤���,那么在數(shù)據(jù)段里就會(huì)有相關(guān)的數(shù)據(jù)
FTP和WWW服務(wù)的日志是文本文件,直接通過(guò)記事本就可以進(jìn)行查看���。比如某FTP服務(wù)器日志:
每一行的意思:
04:11:03:事件發(fā)生的時(shí)間,日期由文件名(如果是設(shè)置每天記錄)決定�����。
192.168.7.201: 訪問(wèn)方IP
[1]: 為FTP標(biāo)示每個(gè)連接的ID號(hào)�����。
USER anonymous: 表示訪問(wèn)用戶(hù)是anonymous
331: 狀態(tài)碼
注:日志記錄的各個(gè)字段的意義并不是固定的�����,取決與配置FTP日志文件格式選擇的字段�。
以某個(gè)WWW服務(wù)器日志記錄為例:
2002-11-20 06:54:41:事件發(fā)生日期
192.168.7.167: 訪問(wèn)者的IP
192.168.7.110: 服務(wù)器的IP
80: 訪問(wèn)的端口號(hào)
GET / :用戶(hù)請(qǐng)求的內(nèi)容
403:服務(wù)器返回給用戶(hù)的狀態(tài)碼(403表示權(quán)限不夠)
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1):表示用戶(hù)使用的客戶(hù)端軟件標(biāo)志�。
二十四、日志審核文件屬性的編輯
對(duì)于WindowsNT/2000系統(tǒng)而言���,隨著審核事件的不斷增加,安全日志文件的大小也不斷增加�����。日志文件的大小可以從64KB到4GB�����,默認(rèn)情況下是512KB�����。如果要對(duì)審核事件的默認(rèn)屬性進(jìn)行編輯,可以實(shí)行如下操作(以Windows2000為例):
首先在事件查看器的控制樹(shù)選中“安全日志”項(xiàng)�����,接著點(diǎn)擊“操作”菜單的“屬性”項(xiàng)���,
進(jìn)入安全日志的屬性窗口�,然后在“常規(guī)”標(biāo)簽頁(yè)面上�����,可以對(duì)日志文件的大小進(jìn)行設(shè)置���;對(duì)于日志文件達(dá)到最大尺寸時(shí)�,用戶(hù)根據(jù)需要可以有以下三種選擇:改寫(xiě)事件�、改寫(xiě)設(shè)定天數(shù)的事件和不改寫(xiě)事件。
二十五�����、系統(tǒng)安全小結(jié)
操作系統(tǒng)安全的防護(hù)工作永無(wú)止境�����,按照以上推薦的方法進(jìn)行安裝和配置���,遵守安全設(shè)置規(guī)則只是防護(hù)系統(tǒng)安全的開(kāi)始�。為Windows NT/2000系統(tǒng)提供安全的運(yùn)行環(huán)境需要不斷地努力�����,因此我們建議你至少應(yīng)該做到以下幾條:
經(jīng)常訪問(wèn)微軟升級(jí)程序站點(diǎn)�,了解補(bǔ)丁的最新發(fā)布情況�����;
訂閱微軟安全公告,及時(shí)了解最新發(fā)現(xiàn)的Windows NT/2000系統(tǒng)漏洞;2002年微軟部分安全公告鏈接網(wǎng)址如下:
http://www.jstvu.edu.cn/shadu/xitongld.htm
安裝重要升級(jí)通告服務(wù)���,這樣才能盡快獲取最新的重要升級(jí)程序;
定期運(yùn)行安全掃描工具或經(jīng)常閱讀網(wǎng)上相關(guān)的漏洞分析資料,確保系統(tǒng)沒(méi)有遺漏任何補(bǔ)丁程序;微軟提供了一個(gè)叫Microsoft Baseline Security Analyzer的工具�,可以定期檢測(cè)系統(tǒng)漏洞�,IIS漏洞�,弱帳號(hào)等等。
來(lái)源:巨靈鳥(niǎo) 歡迎分享本文
