5.2 审核策略

作者: 王春海 出处:机械工业出版社华章公司 　2007-09-12 09:15　   砖    好    评论  条 　进入论坛

阅读提示：《超级网管员——网络安全》全面深入地介绍网络安全的配置与实现技术，包括系统管理、用户账户、病毒防御、灾难恢复、文件备份、安全策略.第五章内容主要介绍的是安全策略。本节详细叙述了审核策略。

5.2 审核策略
Windows Server 2003操作系统随着使用的范围越来越广，被发现的漏洞越来越多，这就需要网络管理员不断地对系统进行修补，但由于Windows Server 2003系统的复杂性，新的安全漏洞总是层出不穷。因此，除了对安全漏洞进行修补之外，还要对系统的运行状态进行实时监视，以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时，这种监视就显得尤其重要。
系统审核机制可以对系统中的各类事件进行跟踪并写入日志文件，供管理员进行分析、查找系统和应用程序故障，以及分析各类安全事件。所有的操作系统、应用系统等基本都具备日志记录功能，网络管理员可以根据需要，实时地将发生在系统中的事件记录下来，同时还可以通过查看与安全相关的日志文件内容，发现黑客入侵和入侵后的行为。
对Windows Server 2003的服务器和工作站系统来说，为了不影响系统性能，默认的安全策略并不对安全事件进行审核。使用“安全配置和分析”工具中的SecEdit安全模板分析可知，有红色标记的审核策略应该已经启用，这可用来发现来自外部和内部的黑客的入侵确行为。
审核是Windows Server 2003中安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和Windows NT/2000/2003系统的活动，这些活动称为事件。由于只要用户登录到系统就会被记录，因此，只要在日志中发现在非工作时段或者非自己的系统登录，就能迅速判断系统被外来者入侵或试图入侵。所以，根据监控审核结果，管理员可以将计算机资源的非法使用消除或减到最小，通过审核可以记录下列4类信息。
哪些用户企图登录到系统中，或从系统中注销、登录或注销的日期和时间是否成功等。
哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问。
系统的安全选项进行了哪些更改。
用户账户进行了哪些更改，是否增加或删除了用户等。
通过查看这些信息，网络管理员就能够及时发现系统存在的安全隐患，通过了解指定资源的使用情况来指定资源使用计划。
审核策略包含以下9个策略。
审核账户登录事件。
审核账户管理。
审核目录服务访问。
审核登录事件。
审核对象访问。
审核策略更改。
审核特权使用。
审核过程跟踪。
审核系统事件。
Windows系列操作系统的日志审核默认为关闭状态，必须手动开启。审核策略设置完成后，需要重新启动计算机才能生效。

回书目   上一节   下一节