审核策略可以用日志的形式记录系统中指定被审核的事件,而系统管理员通过查看日志就能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经登录过或是试图登录电脑,谁访问或是修改过指定的文件等。
可以审核的事件如图所示。
在审核的事件中比较常用的是:
-
审核登录事件:审核所有用户的登录和注销事件。
-
审核对象访问:审核用户访问某个对象的事件,如文件、文件夹、注册表项等。
-
审核系统事件:审核用户重启或关闭计算机或者其它对系统安全有影响的事件。
-
审核账户管理,审核计算机上的每一个账户管理事件,包括:创建、更改或删除用户账户或组;命名、禁用或启用用户账户;设置或更改密码等。
每一项审核策略都有“成功”和“失败”两种操作,可以根据需要选择相应的操作。
(1)审核账户管理
在审核账户管理中勾选“成功”和“失败”两种操作,然后在事件查看器中将安全性日志全部清空,以方便查看下面所记录的审核事件。
在系统中创建一个用户账号,可以看到记录了一系列的日志事件。
(2)审核登录事件
在审核登录事件中勾选“成功”和“失败”两种操作,然后在事件查看器中将安全性日志全部清空。
在另一台计算机上以administrator的身份进行远程登录,然后在安全性日志中可以查看到谁在什么时间在哪台客户端上进行了登录。
如果在客户端登录时输错了密码,那么同样会将这个操作记录到日志中。
(3)审核对象访问
假设我们在服务器中建立一个名为share的共享文件夹,然后要记录下有哪些用户访问或改动过共享文件夹中的内容。
首先需要启用审核对象访问策略。打开“审核对象访问”的属性设置窗口,在“审核这些操作”中勾选“成功”、“失败”,即记录用户的所有访问操作。
然后在需要审核的文件或文件夹的属性中的“安全”选项卡中,单击“高级”按钮切换到“审核”选项卡。
点击“添加”按钮,打开“选择用户、计算机或组”对话框,在这里可以设置需要对哪些用户或组进行审核。如果要对所有的用户都进行审核,可以在“输入要选择的对象名称”栏中输入“everyone”。
点击“确定”按钮,选择对“everyone”用户要审核的范围。这里设置对everyone用户进行的所有操作都进行审核。
下面以用户caiboss的身份通过网络访问共享文件夹share,然后在安全日志中会发现数条与caiboss用户有关的日志。打开其中一条日志,可以清楚地看到用户访问了哪个文件夹,并进行了哪些操作。
审核策略的功能非常强大,不过在使用审核策略的同时也要注意一些问题:
首先,审核是一种很占用计算机资源的操作,尤其是当要审核的对象非常多时,很有可能会降低系统的性能。因此只有在需要的时候才打开必需的审核策略。
其次,保存审核日志是需要硬盘空间的,如果审核的对象非常多,而对象的变动也很频繁的话,那么短时间内审核日志就可能会占据了大量的硬盘空间,因此日志需要经常性查看和清理。在日志的属性界面中可以根据需要设置日志的大小。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1577125
