分享
 
 
 

Windows Vista系统下Windows审核功能的应用

王朝system·作者佚名  2008-10-25
窄屏简体版  字體: |||超大  

“审核”功能就像Windows的晴雨表,据此我们可以了解计算机的一举一动,并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除。在Vista中,“审核”功能比以往更加强大,本文将和大家一起探讨其在Vista下的应用。

1、启用审核的策略

所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件。因此,我们在启用审核时要根据需要制订审核策略。

作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。

2、配置审核策略

审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志。开启审核功能的方法是:依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“本地安全策略”控制台。然后在“本地策略”→“审核策略”中找到相应的审核策略。

在Vista中可启用的审核策略有9项之多,比如“审核特权使用”,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理”,记录用户帐户的创建、删除、更改等事件。“审核进程跟踪”,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择。

例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵。

3、查看审核报告

在启用了审核策略后,系统就会在系统的日志中记录相关的事件。如果要查看日志,就需要通过“事件查看器”来进行查看,依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“事件查看器”控制台,在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别,单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录,可以打开该记录的详细信息窗口,用户便可以了解该事件的来源和发生事件、事件ID等。

右击某一类的事件日志,可以对其日志进行一些操作。例如,我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”,用于导入已存在的事件日志;如果日志记录太多,为了释放更多的空间,我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息,可以借助“筛选当前日志”功能,根据事件级别、事件ID、关键字、用户等信息进行筛选。

4、监控文件访问

文件监控在现实环境中非常实用,比如管理员设置了一个共享文件夹,但被人改得面目全非,我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作,然后进一步确定是哪个用户做的。需要说明的是,文件或者文件夹的监控是基于NTFS文件系统,所以分区格式必须是这种格式。

首先在“本地安全策略”中启用“审核对象访问”策略,为了准确定位,我们可以只对“成功”事件进行记录。然后定位到需要监控的文件夹,右键点击选择“属性”,在“安全”选项卡中单击“高级”按钮,接着选择“审核”选项卡单击“继续”按钮,在打开的窗口中单击“添加”按钮,输入要添加审核的用户帐户或用户组的名称。然后在“审核项目”面板中勾选需要监控的操作,包括创建文件/写入数据、删除等。如果要监控用户的所有操作可以选择“完全控制”。最后单击“确定”按钮,即可完成审核的设置。

这样系统会将指定的事件记录在系统日志中,我们可以通过“时间查看器”的“Windows 日志”→“安全”中查看到相关的记录。当然,此时的事件记录是非常多的,我们可以通过“筛选器”进行筛选。右键点击左侧的“安全”选择“筛选当前日志”打开筛选窗口。在“筛选器”选项卡下进行筛选设置,因为我们要查看是拷贝的文件“事件来源选择”就选择“Security-Auditing”,“任务类别”选择“文件系统”,“事件ID”输入“4656”所示,然后“确定”退出。这时候,在“事件查看器”右边列出的就是每一次读取数据的信息了。双击每一项目可查看详细信息,注意带有 Object Type: File 的项目才是对文件的访问。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作。

总结:本文只以文件监控为例演示了Vista“审核”功能在系统安全方面的应用,其实它的应用是非常广泛的。不过,其使用方法类似,一般是先启用想要的“审核”策略,然后通过“事件查看器”进行查看。当然,灵活应用“筛选器”可以帮助我们快速定位到我们需要查看的项目。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有