二十二、如何進(jìn)行系統(tǒng)日志審核

    審核是WindowsNT/2000中本地安全策略的一部分，它是一個(gè)維護(hù)系統(tǒng)安全性的工具，允許你跟蹤用戶的活動(dòng)和WindowsNT/2000系統(tǒng)的活動(dòng)，這些活動(dòng)稱為事件。

    根據(jù)監(jiān)控審核結(jié)果，管理員就可以將計(jì)算機(jī)資源的非法使用消除或減到最��；通過審核，我們可以記錄下列信息：哪些用戶企圖登錄到系統(tǒng)中，或從系統(tǒng)中注銷、登錄或注銷的日期和時(shí)間是否成功等；哪些用戶對指定的文件、文件夾或打印機(jī)進(jìn)行哪種類型的訪問；系統(tǒng)的安全選項(xiàng)進(jìn)行了哪些更改；用戶帳戶進(jìn)行了哪些更改，是否增加或刪除了用戶等等。通過查看這些信息，我們就能夠及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患，通過了解指定資源的使用情況來指定資源使用計(jì)劃。具體配置過程如下（以Windows 2000為例）：

    審核策略的設(shè)置

    為運(yùn)行Windows 2000的計(jì)算機(jī)設(shè)置審核策略，需要運(yùn)行管理工具中的本地安全策略工具進(jìn)行設(shè)置。具體設(shè)置步驟如下：

    首先進(jìn)入“控制面板”，打開“管理工具”程序組，選擇“本地安全策略”；在“本地安全策略”窗口的控制臺目錄樹中，單擊“本地策略”；然后選擇“審核策略”， 選中要審核的事件，在操作菜單中選擇“安全性”（也可以右鍵），或是雙擊所選擇的審核事件；在策略設(shè)置窗口中，選擇 “成功”復(fù)選框或“失敗”復(fù)選框，或是將二者全部選中見下圖所示：

   

   

    審核策略設(shè)置完成后，需要重新啟動(dòng)計(jì)算機(jī)才能生效。

    對文件和文件夾訪問的審核

    對文件和文件夾訪問的審核，首先要求審核的對象必須位于NTFS分區(qū)之上，其次必須為對象訪問事件設(shè)置審核策略。符合以上條件，就可以對特定的文件或文件夾進(jìn)行審核，并且對哪些用戶或組指定哪些類型的訪問進(jìn)行審核。設(shè)置的步驟如下：

    在“審核”頁面上，點(diǎn)擊“添加”按鈕，選擇想對文件或文件夾訪問進(jìn)行審核的用戶，單擊“確定”； 在“審核項(xiàng)目”對話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框，選擇完成后確定，見下圖：

    以C:\WINNT目錄為例，右鍵該目錄，選擇屬性，選擇“安全”標(biāo)簽

   

    再選擇高級，

   

    添加所要設(shè)置的用戶名或者用戶組

   

    確定后，就會(huì)出來如下所示：

   

    默認(rèn)情況下，對父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，請清空 “允許將來自父系的可繼承審核項(xiàng)目傳播給該對象” 復(fù)選框即可，相關(guān)界面見下圖所示：

   

    對打印機(jī)訪問的審核

    對打印機(jī)訪問進(jìn)行審核，要求必須為對象訪問事件設(shè)置審核策略。滿足這個(gè)條件就能夠?qū)μ囟ǖ拇蛴�機(jī)進(jìn)行審核，并能夠?qū)徍酥付ǖ脑L問類型以及審核擁有訪問權(quán)限的用戶。審核步驟如下：首先選取打印機(jī)的屬性窗口，選擇“安全”頁面，點(diǎn)擊“高級”按鈕；然后在“審核”頁面，點(diǎn)擊“添加”按鈕，選擇想對打印機(jī)訪問進(jìn)行審核的用戶或組（過程和上圖基本類似）；最后還要在“項(xiàng)目審核”窗口中，在“應(yīng)用到”下拉列表中選擇審核應(yīng)用的目標(biāo)，在“訪問”列表中為審核的事件選擇“成功”或“失敗”檢查框。設(shè)置完成后，請點(diǎn)擊“確定”。相關(guān)界面見下圖：

   

二十三、系統(tǒng)日志審核的查看和維護(hù)

    在WindowsNT/2000中設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。操作過程如下（以Windows2000為例）：

    安全日志文件、系統(tǒng)日志文件、應(yīng)用程序日志文件均可以通過“事件察看器”來查看。打開“控制面板”里“管理工具”“事件查看器”：

   

    左邊分別是“應(yīng)用程序日志”，“安全日志”，“系統(tǒng)日志”三部分，分別選擇想要查詢的日志，在右邊就會(huì)有事件列表出來，欄目字段解釋：

    “類型”： 有三個(gè)級別，一般信息（），警告信息（），錯(cuò)誤信息（）

    日期和時(shí)間： 記錄時(shí)間發(fā)生的日期和時(shí)間

    來源： 這類事件是由什么程序，系統(tǒng)什么軟件運(yùn)行產(chǎn)生的

    分類： 區(qū)分事件類型

    事件： 一般來說是有系統(tǒng)進(jìn)程號來唯一標(biāo)示的。

    用戶： 是由什么用戶運(yùn)行產(chǎn)生的，其中N/A表示是由程序本身產(chǎn)生的。

    計(jì)算機(jī)： 表示日志發(fā)生在那臺計(jì)算機(jī)上，一般是計(jì)算機(jī)名。

    雙擊某一個(gè)事件，會(huì)得到該事件的詳細(xì)信息。如下圖。

   

    其中，描述欄里面就是對應(yīng)事件的詳細(xì)描述，如果該事件和數(shù)據(jù)有關(guān)，比如內(nèi)存段訪問錯(cuò)誤，那么在數(shù)據(jù)段里就會(huì)有相關(guān)的數(shù)據(jù)

    FTP和WWW服務(wù)的日志是文本文件，直接通過記事本就可以進(jìn)行查看。比如某FTP服務(wù)器日志：

   

    每一行的意思：

    04:11:03：事件發(fā)生的時(shí)間，日期由文件名（如果是設(shè)置每天記錄）決定。

    192.168.7.201： 訪問方IP

    [1]： 為FTP標(biāo)示每個(gè)連接的ID號。

    USER anonymous： 表示訪問用戶是anonymous

    331： 狀態(tài)碼

    注：日志記錄的各個(gè)字段的意義并不是固定的，取決與配置FTP日志文件格式選擇的字段。

    以某個(gè)WWW服務(wù)器日志記錄為例：

   

    2002-11-20 06:54:41：事件發(fā)生日期

    192.168.7.167： 訪問者的IP

    192.168.7.110： 服務(wù)器的IP

    80： 訪問的端口號

    GET / ：用戶請求的內(nèi)容

    403：服務(wù)器返回給用戶的狀態(tài)碼（403表示權(quán)限不夠）

    Mozilla/4.0+（compatible;+MSIE+6.0;+Windows+NT+5.1）：表示用戶使用的客戶端軟件標(biāo)志。

二十四、日志審核文件屬性的編輯

    對于WindowsNT/2000系統(tǒng)而言，隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認(rèn)情況下是512KB。如果要對審核事件的默認(rèn)屬性進(jìn)行編輯，可以實(shí)行如下操作（以Windows2000為例）：

    首先在事件查看器的控制樹選中“安全日志”項(xiàng)，接著點(diǎn)擊“操作”菜單的“屬性”項(xiàng)，

    進(jìn)入安全日志的屬性窗口，然后在“常規(guī)”標(biāo)簽頁面上，可以對日志文件的大小進(jìn)行設(shè)置；對于日志文件達(dá)到最大尺寸時(shí)，用戶根據(jù)需要可以有以下三種選擇：改寫事件、改寫設(shè)定天數(shù)的事件和不改寫事件。

   

   

二十五、系統(tǒng)安全小結(jié)

    操作系統(tǒng)安全的防護(hù)工作永無止境，按照以上推薦的方法進(jìn)行安裝和配置，遵守安全設(shè)置規(guī)則只是防護(hù)系統(tǒng)安全的開始。為Windows NT/2000系統(tǒng)提供安全的運(yùn)行環(huán)境需要不斷地努力，因此我們建議你至少應(yīng)該做到以下幾條：

    經(jīng)常訪問微軟升級程序站點(diǎn)，了解補(bǔ)丁的最新發(fā)布情況；

    訂閱微軟安全公告，及時(shí)了解最新發(fā)現(xiàn)的Windows NT/2000系統(tǒng)漏洞；2002年微軟部分安全公告鏈接網(wǎng)址如下：

    http://www.jstvu.edu.cn/shadu/xitongld.htm

    安裝重要升級通告服務(wù)，這樣才能盡快獲取最新的重要升級程序；

    定期運(yùn)行安全掃描工具或經(jīng)常閱讀網(wǎng)上相關(guān)的漏洞分析資料，確保系統(tǒng)沒有遺漏任何補(bǔ)丁程序；微軟提供了一個(gè)叫Microsoft Baseline Security Analyzer的工具，可以定期檢測系統(tǒng)漏洞，IIS漏洞，弱帳號等等。

來源：巨靈鳥 歡迎分享本文