Windows2000安全審核讓入侵者顯形 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【m.clearvueentertainment.com - 電腦資料】

  有時候你是否想知道在你的主機或服務(wù)器上發(fā)生的事情??誰來訪問過?其實Windows2000給我們提供了一項非常有用的功能:安全審核功能,

Windows2000安全審核讓入侵者顯形

。安全審核可以用日志的形式記錄好幾種與安全相關(guān)的事件,你可以使用其中的信息來生成一個有規(guī)律活動的概要文件,發(fā)現(xiàn)和跟蹤可疑事件,并留下關(guān)于某一侵入者活動的有效法律證據(jù)。

  打開審核策略

  Windows2000的默認安裝沒有打開任何安全審核,所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件,對于每一類都可以指明是審核成功事件、失敗事件,還是兩者都審核(如圖1)。

  圖1制定審核策略

  策略更改:安全策略更改,包括特權(quán)指派、審核策略修改和信任關(guān)系修改。這一類必須同時審核它的成功或失敗事件。

  登錄事件:對本地計算機的交互式登錄或網(wǎng)絡(luò)連接。這一類必須同時審核它的成功和失敗事件。

  對象訪問:必須啟用它以允許審核特定的對象,這一類需要審核它的失敗事件。

  過程追蹤:詳細跟蹤進程調(diào)用、重復(fù)進程句柄和進程終止,這一類可以根據(jù)需要選用。

  目錄服務(wù)訪問:記錄對ActiveDirectory的訪問,這一類需要審核它的失敗事件。

  特權(quán)使用:某一特權(quán)的使用;專用特權(quán)的指派,這一類需要審核它的失敗事件。

  系統(tǒng)事件:與安全(如系統(tǒng)關(guān)閉和重新啟動)有關(guān)的事件;影響安全日志的事件,這一類必須同時審核它的成功和失敗事件。

  賬戶登錄事件:驗證(賬戶有效性)通過網(wǎng)絡(luò)對本地計算機的訪問,這一類必須同時審核它的成功和失敗事件。

  賬戶管理:創(chuàng)建、修改或刪除用戶和組,進行密碼更改,這一類必須同時審核它的成功和失敗事件。

  打開以上的審核后,當有人嘗試對你的系統(tǒng)進行某些方式(如嘗試用戶密碼,改變賬戶策略,未經(jīng)許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來,存放在“事件查看器”中的安全日志中。

  另外在“本地安全策略”中還可開啟賬戶策略,如在賬戶鎖定策略中設(shè)定,賬戶鎖定閥值為三次(那么當三次無效登錄將鎖定),然后將賬戶鎖定時間設(shè)定為30分鐘,甚至更長。這樣, 想要攻擊你,一天24小時試密碼也試不了幾次,而且還要冒著被記錄追蹤的危險。

  審核策略設(shè)置完成后,需要重新啟動計算機才能生效。這里需要說明的是,審核項目既不能太多,也不能太少,

電腦資料

Windows2000安全審核讓入侵者顯形》(http://m.clearvueentertainment.com)。如果太少的話,你如果想查看 攻擊的跡象卻發(fā)現(xiàn)沒有記錄,那就沒辦法了,但是審核項目如果太多,不僅會占用大量的系統(tǒng)資源,而且你也可能根本沒空去全部看完那些安全日志,這樣就失去了審核的意義。

  對文件和文件夾訪問的審核

  對文件和文件夾訪問的審核,首先要求審核的文件或文件夾必須位于NTFS分區(qū)之上,其次必須如上所述打開對象訪問事件審核策略。符合以上條件,就可以對特定的文件或文件夾進行審核,并且對哪些用戶或組指定哪些類型的訪問進行審核。

  圖2審核項目的確定

  圖3決定是否要繼承審核

  在所選擇的文件或文件夾的屬性窗口的“安全”頁面上,點擊[高級]按鈕;在“審核”頁面上,點擊[添加]按鈕,選擇想對該文件或文件夾訪問進行審核的用戶,單擊[確定];在“審核項目”對話框中,為想要審核的事件選擇“成功”或是“失敗”復(fù)選框(如圖2),選擇完成后確定。返回到“訪問控制設(shè)置”對話框,默認情況下,對父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進行的審核更改應(yīng)用到當前所選擇的文件或文件夾,清空檢查框“允許將來自父系的可繼承審核項目傳播給該對象”即可(如圖3)。[page]  審核結(jié)果的查看和維護

  設(shè)置了審核策略和審核事件后,審核所產(chǎn)生的結(jié)果都被記錄到安全日志中,使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細信息。

  圖4事件查看

  在“管理工具”中運行“事件查看器”,選擇“安全日志”。在右側(cè)顯示日志列表,以及每一條目的摘要信息(如圖4)。如果你在幾個登錄的失敗審核后面又發(fā)現(xiàn)登錄的成功審核,那你就要仔細查看這些日志信息了,如果是密碼太簡單被人猜出,就需要增加密碼的長度和復(fù)雜性了。在這里可以查看各個事件的詳細信息,還可以查找和篩選符合條件的事件。

  隨著審核事件的不斷增加,安全日志文件的大小也會不斷增加,默認情況下日志文件的大小是512KB,當達到最大日志尺寸時,系統(tǒng)會改寫7天以前的事件。其實我們可以根據(jù)需要進行更改。用鼠標右擊“事件查看器”的“安全日志”項,選擇“屬性”,進入安全日志的屬性窗口(如圖5),在“常規(guī)”標簽頁面上,網(wǎng)管員可以根據(jù)自己實際需要修改系統(tǒng)的這些默認設(shè)置,以滿足自己存儲安全日志的需要。

  圖5安全日志屬性設(shè)置

  在Windows2000系統(tǒng)中使用審核策略,雖然不能對用戶的訪問進行控制,但是你根據(jù)打開審核產(chǎn)生的安全日志,可以了解系統(tǒng)在哪些方面存在安全隱患以及系統(tǒng)資源的使用情況,從而為我們追蹤 提供可靠依據(jù),同時還有利于采取相應(yīng)的防范措施將系統(tǒng)的不安全因素降到最低限度,從而營造一個更加安全可靠的Windows2000系統(tǒng)平臺。

最新文章