在这个练习中,(如果必要)将会把你的Windows2000服务器的硬盘文件系统格式转换为NTFS。然后你将对由Everyone组执行的多方面的操作进行文件和目录审核,包括改变权限、增加和删除文件和增加新的服务等等。
1.使用Windows资源管理器,校验系统在使用NTFS格式。如果没有使用NTFS,那么打开命令行并输入下面的命令:
convert c: /fs:ntfs
2.你将收到一条消息向你通报系统只能在系统重新启动后转换这个盘。
3.输入Y说明你明白了这条消息的含义。
4.关闭和重新启动你的系统。当系统重新启动时,你应该看到这个盘正在被转换为NTFS格式。这个转换可能要花费一些时间特别是由于计算机将重新启动完成这个任务。
5.在你登录回到系统中后,打开Windows资源管理器。
6.使用Windows资源管理器,建立一个名为Accounts的目录。
7.用鼠标右键点击目录Accounts并共享它。
8.现在,在Accounts目录下建立一个新的名为private.txt的文件。
9.用鼠标右键点击Accounts目录并选择Propertieso 10。点击Security标签,并且随后点击Advanced按钮。选择Auditing标签。
11.点击Add按钮,并且随后增加Everyone纽。
12.你将会看到一个审核选项列表。对于这个练习,对所有的策略审核其成功的和失败的企图。在一个真实环境中,你不会对所有的事件进行审核。这样大的量可能会影响系统性能。举例来说,你将只选择Change和Delete权限。
13.确信在Apply onto区域,选项This Folder、Subfolder And Files被选中。启动这个设置确保所有的文件和子目录能够被审核。
14.对C:InetPub和C:\Winnt目录能够被审核。
说明:这些目录包含敏感的系统文件。举例来说,目录C:\Winnt\system32\config包含Windows 2000 Registry文件含Windows2000 Registry文件。
15.打开Event Viewer.
16.从Log菜单中,选择SecurityLog。
17.使用Windows资源管理器,点击你要审核的目录。
18.访问文件private.txt。增加一些内容,保存并推出这个文件。
19.在private.txt中增加完内容后,使用Windows资源管理器并点击任意非审核的目录。
20.现在,查看Event Viewer Security日志。你应该看到几个事件。
说明:如果你没有看到这些新的条目,按F5刷新屏幕。
21.双击第一个条日。并且随后查看每个条日,了解Windows 2000如何能够对你产生的每一个事件进行记录。
22.清除Security logo
23.再次查看Security日志。你将看到一系列条日告诉你Security被重置。
24.现在,启用一个更合理的审核策略。对所有的失败的请求保持所有的设置相同。然而,只审核成功的Write.Delete和Change权限。
25.以Administrator登录进入系统,并随后使用Event Viewer审核你的行为。现在,考虑一下如果一个黑客能够删除这些日志,那么会发生什么事情?你应考虑使用前面提到的一些解决方案。
26.可供选择:在目录上建立NTFS许可。这样只有管理员可以读取它们。从系统中注销并随后以一个标准的普通用户登录。试图查看这些由你设置了许可权限和审核的文件和文件夹。
