- 36
- 0
- 约3.32千字
- 约 10页
- 2021-12-05 发布于天津
- 举报
实训6.2
Windows安全审计功能
本节实训与思考的目的是:
熟悉安全审计技术的基本概念和基本内容。
通过深入了解和应用 Windows 操作系统的审计追踪功能,来加深理解安全
审计技术,掌握Win dows的安全审计功能。
1工具/准备工作
在开始本实训之前,请认真阅读本课程的相关内容。
需要准备一台运行 Win dows XP Professio nal 操作系统的计算机。
2实训内容与步骤
(1)概念理解
请通过查阅有关资料,简单叙述什么是“安全审计”
计算机安全审计是通过一定的策略,利用记录和分析历史操作事件来发现系统的漏洞 并改进系统的性能和安全。
2) 审计追踪的目的是什么?
目的是发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
3) 审计系统的目标是什么?如何实现?
安全审计提供的功能服务于直接和间接两个方面的安全目标:直接目标包括跟踪和监
测系统中的异常事件;间接目标是监视系统中其他安全机制的运行情况和可信度。
4) 审计的主要内容包括哪些?
包括个人职能:审计跟踪是管理人员用来维护个人职能的手段;事件重建:在发生故
障后,审计跟踪可以用于重建事件和数据恢复;入侵检测和故障分析。
(2) Win dows 安全审计功能
操作系统一般都提供审计功能。下面,我们以 Windows XP Professional操作
系统为例,来了解 Win dows的安全审计功能及其应用。
1)审计子系统结构。在Windows 系统中,几乎每一项事务都可以在一定程度上 被审计。
步骤1 :在 Windows “开始”菜单中单击“控制面板”命令,在“控制面板”
窗口中双击“管理工具”图标,在“管理工具”窗口中进一步双击“本地安全策略”
图标,打开“本地安全设置”窗口。在左边窗格中选择“本地策略” “审核策略”,
系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出、文件
访问、权限非法和关闭系统等。如图 6.1所示。
如dm申化馨:、fiCfD
如dm申化馨:、fiCfD
+ Ej ? tS
a
祠却Efi
- 卄i■畑
先?桩
-M辛HIS绻
J丽尸円K巾沖
眾1#勻令喩务迈內
_l -汕忸
前利强q*申
_j
闊砲略户旻录事件 閒刎怛』卫
图6.1 本地安全策略一一审核策略设置
步骤2 : Windows 使用一种特殊的格式来存放它的日志文件,这种格式的文件
可以被“事件查看器”所读取。在“控制面板”的“管理工具”窗口中双击“事件查
看器”图标,打开“事件查看器”窗口如图 6.2所示。
图6.2
图6.2 事件查看器
系统管理员可以使用事件查看器的筛选选项,根据一定条件 (包括类别、用户和
消息类型等 ) 选择要查看的日志条目。
Windows 的日志文件主要是系统日志、应用程序日志和安全日志 3 个,它们是 审计 Windows 系统的核心, Windows 中所有可被审计的事件都存入了其中的一个 日志。
系统日志。跟踪各种各样的系统事件,比如跟踪系统启动过程中的事件或者 硬件和控制器的故障。
应用程序日志。跟踪应用程序关联的事件,例如应用程序产生的装载 dll ( 动 态链接库 ) 失败的信息将出现在日志中。
安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。
但是,用于浏览审计日志的工具——事件查看器只有有限的灵活性,对大型日志 的浏览速度很慢。由于每个服务器和工作站都有自己的日志集。这些日志分散在 Windows 网络的成千上万个服务器上,没有复杂的自动操作工具和数据转储工具, 管理和利用这些日志是非常困难的。
2) 审计日志和记录格式。 Windows 的审计日志由一系列的事件记录组成。每一 个事件记录分为三个功能部分:头、事件描述和可选的附加数据项。
事件记录头由以下内容组成:
类型。事件严重性指示器。在系统和应用日志中,类型可以是错误、警告或
信息,按重要性降序排列。在安全日志中,类型可能是成功审计或失败审计。
日期。事件的日期标识。
时间。事件的时间标识。
来源。用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服 务或一个设备驱动程序。
类别。触发事件类型,主要用在安全日志中指示该类事件的成功或失败审计 已经被许可。
事件 ID 。事件类型的数字标识。在事件记录描述中,这个域通常被映射成一 个文本标识 (事件名 ) 。
用户名。标识事件是由谁触发的:这个标识可以是初始用户 ID 、某个客户 II〕
或两者同时具有。
计算机名。事件所在的计算机名。当用户在整个企业范围内集中安全管理时, 该信息大大简化了审计信息的回顾。
请记录:
应用程序日志中的事件个数为: 个_。
应用程序日志文件所在的物理位置是:
安全性日志中的事件个数为: 个_。
安全
您可能关注的文档
最近下载
- 2025年加州驾照常考题库及答案.doc VIP
- 欧洲规范-NF P94-093-中文版.pdf VIP
- 欧洲规范-NF P94-078-中文版.pdf VIP
- SY_T 5333-2023 钻井工程设计规范.pdf VIP
- 深度解析(2026)《SYT 5946-2019钻井液用包被抑制剂 聚丙烯酰胺钾盐》.pptx VIP
- 卧式储罐体积容积计算(带公式).xls VIP
- 深度解析(2026)《SYT 5661-2019钻井液用增粘剂 丙烯酰胺类聚合物》.pptx VIP
- SY_T 5061-2020 钻井液用石灰石粉.docx VIP
- 深度解析(2026)《SYT 5677-2019钻井液用滤纸》.pptx VIP
- ICU常用药物中英文对照一览表.doc VIP
原创力文档

文档评论(0)