《操作系统安全》Windows系统资源安全保护.pptVIP

5.4.2审核策略的设置 （2）账户登录事件 在一个用户登录到域时，是在域控制器上对登录进行处理的。如果审核域控制器上的账户登录事件，那么就会看到在对账户进行验证的域控制器上记录的此登录尝试。由于账户登录事件可以记录在域中的任何有效的域控制器上，因此应当确保将各个域控制器上的安全日志合并，再来分析域中的所有账户登录事件。作为成员服务器和域控制器基本策略的组成部分，对成功和失败账户登录事件的审核默认启用。因此对于网络登录和终端服务身份验证，可以看到表5-4列举的事件ID： 5.4.2审核策略的设置 （3）账户管理 账户管理的审核用于确定用户或组是在何时创建、更改或删除的。该审核策略可用于确定何时创建了安全主体，以及什么人执行了该任务。作为成员服务器和域控制器基本策略的组成部分，账户管理中的对成功和失败的审核默认启用。因此可以在安全日志中看到表5-5 所列举的事件ID。 5.4.2审核策略的设置 （4）对象访问 可以用系统访问控制列表(SACL)对基于Windows 2000的网络中的所有对象启用审核。在Windows 2000中几乎任何一个可以操作的对象都有SACL，这些对象包括NTFS驱动器上的文件和文件夹，打印机和注册表项。这些对象的SACL包含着可以对本对象进行操作的用户和组的列表。 5.4.2审核策略的设置 （5）系统事件 在一个用户或进程改变计算机环境的某些方面时会生成系统事件。可以审核对系统进行更改的尝试，如关闭计算机或更改系统时间。如果审核系统事件，则也要审核清除安全日志的时间。这是很重要的，因为攻击者往往试图在对环境进行更改之后清除他们的踪迹。成员服务器和域控制器基本策略默认启用对成功和失败的系统事件进行审核，因此在事件日志中会出现表5-7所列举的事件ID。 5.4.2审核策略的设置 （6）策略更改 一个高级攻击者将会设法修改审核策略本身，以使他们进行的任何更改不会被审核到。如果审核策略被更改，将会发现修改审核策略的企图以及对其他策略和用户权限的更改。成员服务器和域控制器基本策略对成功和失败的审核策略更改默认启用审核。可以在事件日志中看到记录的如表5-8所示的ID事件： 5.4.2审核策略的设置 2.事件日志的管理 事件日志分为应用程序日志、安全日志和系统日志三类，通过审核生成的每一个事件都可在事件查看器中查看。 5.4.2审核策略的设置 （1）事件日志属性设置 若要设置事件日志在存储事件的方式，可直接在事件查看器窗口中进行设置，也可在组策略中对其进行定义。 1）通过“事件查看器”设置 打开“事件查看器”窗口，在左侧窗口中，选择特定的事件日志（应用程序/安全/系统日志），右键单击，选择“属性”命令，打开相应类型事件日志的属性设置对话框，根据需要对设置进行修改。 5.4.2审核策略的设置 （1）事件日志属性设置 若要设置事件日志在存储事件的方式，可直接在事件查看器窗口中进行设置，也可在组策略中对其进行定义。 2）通过组策略设置 单击“开始”，在“运行”中输入“gpedit.msc”，打开“组策略编辑器”窗口，在左策窗口定位到“计算机配置\Windows 设置\安全设置\事件日志\事件日志设置”（如图5.26），根据需要对设置进行修改。 5.4.2审核策略的设置 事件日志属性可进行设置的参数如下： ●最大值：设置日志可以容纳的最大容量。表5-9 列出了推荐的日志容量。 ●保留方法：确定当前日志已满时将如何处理。表5-10列出了推荐的保留方法。 5.4.2审核策略的设置 事件日志属性可进行设置的参数如下： 保留天数：设置了保留天数后，如果日志在还没有达到保留天数之前就已经填满，则不会继续记录日志，直到超过保留天数为止，此时将覆盖掉以前的日志。应该注意，应该根据保留天数设置足够大的最大容量，否则将错过重要的审核事件。 按需要改写事件：不受保留天数限制，只要日志记录超过最大值就覆盖以前的事件。但是攻击者可以利用这个设置来覆盖可能记录了攻击行为的重要信息。一般不推荐设置该选项。 不改写事件：日志记录达到最大值后，需要管理员手工清除日志，否则不会再记录任何事件。如果存在定期的日志检查制度，则可采取此项设置。 限制来宾的日志的访问：删除Everyone组访问日志的能力。默认情况下，任何用户都可以访问应用程序日志和系统日志，管理员账号可以查看安全日志。 安全审核日志满后关闭计算机：日志记录已满且不能覆盖事件时，系统自动关闭。此时只有管理员用户才能登录。一般不推荐设置该选项。 5.4.2审核策略的设置 （2）事件日志的筛选 在事件查看器中可以定义筛选器以查找特定的事件。打开“事件查看器”窗口，在左侧窗口中，选择其中特定类型的事件日志，单击右键，选择“属性”命令，切换到“筛选器”选项卡，设定用于筛选的参数。