实训6-2 Windows安全审计功能.docVIP

本节实训与思考的目 的是： (1) 熟悉安全审计技术的基本概念和基本内容。 (2) 通过深入了解和应用Windows操作系统的审计追踪功能，来加深理解安全审计技术，掌握Windows的安全审计功能。 1 工具/准备工作 在开始本实训之前，请认真阅读本课程的相关内容。 需要准备一台运行Windows XP Professional操作系统的计算机。 2 实训内容与步骤 (1) 概念理解 1) 请通过查阅有关资料，简单叙述什么是“安全审计” 计算机安全审计是通过一定的策略，利用记录和分析历史操作事件来发现系统的漏洞并改进系统的性能和安全。 2) 审计追踪的目的是什么？ 目的是发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。 3) 审计系统的目标是什么？如何实现？ 安全审计提供的功能服务于直接和间接两个方面的安全目标：直接目标包括跟踪和监测系统中的异常事件；间接目标是监视系统中其他安全机制的运行情况和可信度。 4) 审计的主要内容包括哪些？ 包括个人职能：审计跟踪是管理人员用来维护个人职能的手段；事件重建：在发生故障后，审计跟踪可以用于重建事件和数据恢复；入侵检测和故障分析。 (2) Windows安全审计功能 操作系统一般都提供审计功能。下面，我们以Windows XP Professional操作系统为例，来了解Windows的安全审计功能及其应用。 1) 审计子系统结构。在Windows系统中，几乎每一项事务都可以在一定程度上被审计。 步骤1：在Windows“开始”菜单中单击“控制面板”命令，在“控制面板”窗口中双击“管理工具”图标，在“管理工具”窗口中进一步双击“本地安全策略”图标，打开“本地安全设置”窗口。在左边窗格中选择“本地策略”“审核策略”，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。如图6.1所示。 图6.1 本地安全策略——审核策略设置 步骤2：Windows使用一种特殊的格式来存放它的日志文件，这种格式的文件可以被“事件查看器”所读取。在“控制面板”的“管理工具”窗口中双击“事件查看器”图标，打开“事件查看器”窗口如图6.2所示。 图6.2 事件查看器 系统管理员可以使用事件查看器的筛选选项，根据一定条件 (包括类别、用户和消息类型等) 选择要查看的日志条目。 Windows的日志文件主要是系统日志、应用程序日志和安全日志3个，它们是审计Windows系统的核心，Windows中所有可被审计的事件都存入了其中的一个日志。 ① 系统日志。跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 ② 应用程序日志。跟踪应用程序关联的事件，例如应用程序产生的装载dll (动态链接库) 失败的信息将出现在日志中。 ③ 安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。 但是，用于浏览审计日志的工具——事件查看器只有有限的灵活性，对大型日志的浏览速度很慢。由于每个服务器和工作站都有自己的日志集。这些日志分散在Windows网络的成千上万个服务器上，没有复杂的自动操作工具和数据转储工具，管理和利用这些日志是非常困难的。 2) 审计日志和记录格式。Windows的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。 事件记录头由以下内容组成： ① 类型。事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。在安全日志中，类型可能是成功审计或失败审计。 ② 日期。事件的日期标识。 ③ 时间。事件的时间标识。 ④ 来源。用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。 ⑤ 类别。触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。 ⑥ 事件ID。事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本标识 (事件名) 。 ⑦ 用户名。标识事件是由谁触发的：这个标识可以是初始用户ID、某个客户II〕或两者同时具有。 ⑧ 计算机名。事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。 请记录： ① 应用程序日志中的事件个数为：____________________个。 应用程序日志文件所在的物理位置是： _____________________________________________________________________ ② 安全性日志中的事件个数为：____________________个。 安全性日志文件所在的物理位置是： _____________________________________