二十二、如何進行系統(tǒng)日志審核

    審核是WindowsNT/2000中本地安全策略的一部分，它是一個維護系統(tǒng)安全性的工具，允許你跟蹤用戶的活動和WindowsNT/2000系統(tǒng)的活動，這些活動稱為事件。

    根據(jù)監(jiān)控審核結(jié)果，管理員就可以將計算機資源的非法使用消除或減到最小；通過審核，我們可以記錄下列信息：哪些用戶企圖登錄到系統(tǒng)中，或從系統(tǒng)中注銷、登錄或注銷的日期和時間是否成功等；哪些用戶對指定的文件、文件夾或打印機進行哪種類型的訪問；系統(tǒng)的安全選項進行了哪些更改；用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等。通過查看這些信息，我們就能夠及時發(fā)現(xiàn)系統(tǒng)存在的安全隱患，通過了解指定資源的使用情況來指定資源使用計劃。具體配置過程如下（以Windows 2000為例）：

    審核策略的設(shè)置

    為運行Windows 2000的計算機設(shè)置審核策略，需要運行管理工具中的本地安全策略工具進行設(shè)置。具體設(shè)置步驟如下：

    首先進入“控制面板”，打開“管理工具”程序組，選擇“本地安全策略”；在“本地安全策略”窗口的控制臺目錄樹中，單擊“本地策略”；然后選擇“審核策略”， 選中要審核的事件，在操作菜單中選擇“安全性”（也可以右鍵），或是雙擊所選擇的審核事件；在策略設(shè)置窗口中，選擇 “成功”復(fù)選框或“失敗”復(fù)選框，或是將二者全部選中見下圖所示：

   

   

    審核策略設(shè)置完成后，需要重新啟動計算機才能生效。

    對文件和文件夾訪問的審核

    對文件和文件夾訪問的審核，首先要求審核的對象必須位于NTFS分區(qū)之上，其次必須為對象訪問事件設(shè)置審核策略。符合以上條件，就可以對特定的文件或文件夾進行審核，并且對哪些用戶或組指定哪些類型的訪問進行審核。設(shè)置的步驟如下：

    在“審核”頁面上，點擊“添加”按鈕，選擇想對文件或文件夾訪問進行審核的用戶，單擊“確定”； 在“審核項目”對話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框，選擇完成后確定，見下圖：

    以C:\WINNT目錄為例，右鍵該目錄，選擇屬性，選擇“安全”標簽

   

    再選擇高級，

   

    添加所要設(shè)置的用戶名或者用戶組

   

    確定后，就會出來如下所示：

   

    默認情況下，對父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，請清空 “允許將來自父系的可繼承審核項目傳播給該對象” 復(fù)選框即可，相關(guān)界面見下圖所示：

   

    對打印機訪問的審核

    對打印機訪問進行審核，要求必須為對象訪問事件設(shè)置審核策略。滿足這個條件就能夠?qū)μ囟ǖ拇蛴�機進行審核，并能夠?qū)徍酥付ǖ脑L問類型以及審核擁有訪問權(quán)限的用戶。審核步驟如下：首先選取打印機的屬性窗口，選擇“安全”頁面，點擊“高級”按鈕；然后在“審核”頁面，點擊“添加”按鈕，選擇想對打印機訪問進行審核的用戶或組（過程和上圖基本類似）；最后還要在“項目審核”窗口中，在“應(yīng)用到”下拉列表中選擇審核應(yīng)用的目標，在“訪問”列表中為審核的事件選擇“成功”或“失敗”檢查框。設(shè)置完成后，請點擊“確定”。相關(guān)界面見下圖：

   

二十三、系統(tǒng)日志審核的查看和維護

    在WindowsNT/2000中設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，安全日志記錄了審核策略監(jiān)控的事件成功或失敗執(zhí)行的信息。使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細信息。操作過程如下（以Windows2000為例）：

    安全日志文件、系統(tǒng)日志文件、應(yīng)用程序日志文件均可以通過“事件察看器”來查看。打開“控制面板”里“管理工具”“事件查看器”：

   

    左邊分別是“應(yīng)用程序日志”，“安全日志”，“系統(tǒng)日志”三部分，分別選擇想要查詢的日志，在右邊就會有事件列表出來，欄目字段解釋：

    “類型”： 有三個級別，一般信息（），警告信息（），錯誤信息（）

    日期和時間： 記錄時間發(fā)生的日期和時間

    來源： 這類事件是由什么程序，系統(tǒng)什么軟件運行產(chǎn)生的

    分類： 區(qū)分事件類型

    事件： 一般來說是有系統(tǒng)進程號來唯一標示的。

    用戶： 是由什么用戶運行產(chǎn)生的，其中N/A表示是由程序本身產(chǎn)生的。

    計算機： 表示日志發(fā)生在那臺計算機上，一般是計算機名。

    雙擊某一個事件，會得到該事件的詳細信息。如下圖。

   

    其中，描述欄里面就是對應(yīng)事件的詳細描述，如果該事件和數(shù)據(jù)有關(guān)，比如內(nèi)存段訪問錯誤，那么在數(shù)據(jù)段里就會有相關(guān)的數(shù)據(jù)

    FTP和WWW服務(wù)的日志是文本文件，直接通過記事本就可以進行查看。比如某FTP服務(wù)器日志：

   

    每一行的意思：

    04:11:03：事件發(fā)生的時間，日期由文件名（如果是設(shè)置每天記錄）決定。

    192.168.7.201： 訪問方IP

    [1]： 為FTP標示每個連接的ID號。

    USER anonymous： 表示訪問用戶是anonymous

    331： 狀態(tài)碼

    注：日志記錄的各個字段的意義并不是固定的，取決與配置FTP日志文件格式選擇的字段。

    以某個WWW服務(wù)器日志記錄為例：

   

    2002-11-20 06:54:41：事件發(fā)生日期

    192.168.7.167： 訪問者的IP

    192.168.7.110： 服務(wù)器的IP

    80： 訪問的端口號

    GET / ：用戶請求的內(nèi)容

    403：服務(wù)器返回給用戶的狀態(tài)碼（403表示權(quán)限不夠）

    Mozilla/4.0+（compatible;+MSIE+6.0;+Windows+NT+5.1）：表示用戶使用的客戶端軟件標志。

二十四、日志審核文件屬性的編輯

    對于WindowsNT/2000系統(tǒng)而言，隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認情況下是512KB。如果要對審核事件的默認屬性進行編輯，可以實行如下操作（以Windows2000為例）：

    首先在事件查看器的控制樹選中“安全日志”項，接著點擊“操作”菜單的“屬性”項，

    進入安全日志的屬性窗口，然后在“常規(guī)”標簽頁面上，可以對日志文件的大小進行設(shè)置；對于日志文件達到最大尺寸時，用戶根據(jù)需要可以有以下三種選擇：改寫事件、改寫設(shè)定天數(shù)的事件和不改寫事件。

   

   

二十五、系統(tǒng)安全小結(jié)

    操作系統(tǒng)安全的防護工作永無止境，按照以上推薦的方法進行安裝和配置，遵守安全設(shè)置規(guī)則只是防護系統(tǒng)安全的開始。為Windows NT/2000系統(tǒng)提供安全的運行環(huán)境需要不斷地努力，因此我們建議你至少應(yīng)該做到以下幾條：

    經(jīng)常訪問微軟升級程序站點，了解補丁的最新發(fā)布情況；

    訂閱微軟安全公告，及時了解最新發(fā)現(xiàn)的Windows NT/2000系統(tǒng)漏洞；2002年微軟部分安全公告鏈接網(wǎng)址如下：

    http://www.jstvu.edu.cn/shadu/xitongld.htm

    安裝重要升級通告服務(wù)，這樣才能盡快獲取最新的重要升級程序；

    定期運行安全掃描工具或經(jīng)常閱讀網(wǎng)上相關(guān)的漏洞分析資料，確保系統(tǒng)沒有遺漏任何補丁程序；微軟提供了一個叫Microsoft Baseline Security Analyzer的工具，可以定期檢測系統(tǒng)漏洞，IIS漏洞，弱帳號等等。

來源：巨靈鳥 歡迎分享本文