Windows 2008系统审核功能的妙用

启用配置审核功能

Windows Server 2008系统的审核功能在默认状态下并没有启用,我们必须针对特定系统事件来启用、配置它们的审核功能,这样一来该功能才会对相同类型的系统事件进行监视、记录,网络管理员日后只要打开对应系统的日志记录就能查看到审核功能的监视结果了。审核功能的应用范围很广泛,不但可以对服务器系统中的一些操作行为进行跟踪、监视,而?#19968;?#33021;依照服务器系统的运行状态对运行故障进行快速排除。当然,需要提醒各位朋友的是,审核功能的启用往往要消耗服务器系统的一些宝贵资源,并会造成服务器系统的运行性能下降,这?#19988;?#20026;Windows Server 2008系统必须腾出一部分空间资源来保存审核功能的监视、记录结果。为此,在服务器系统空间资源有限的情况下,我们应该谨慎使用审核功能,确保该功能只对一些特别重要的操作进行监视、记录。

在启用、配置Windows Server 2008系统的审核功能?#20445;?#25105;们可以先以系统超级权限登录进入对应系统,打开该系统桌面中的“开始”菜单,从中?#26469;?#28857;选“设置”、“控制面板”命令,在弹出的系统控制面板窗口中?#26469;?#21333;击“系统和维护”、“管理工具”图标,在其后出现的管理工具列表窗口中,找到“本地安全策略”图标,并用鼠标双击该图标,打开本地安全策略控制台窗口。

其次在目标控制台窗口的左侧显示窗格中,?#26469;?#23637;开“安全设置”/“本地策略”/“审核策略”分支选项,在对应“审核策略”分支选项的右侧显示窗格中,我们会发现Windows Server 2008系统包含九项审核策略,也就是说服务器系统可以允许对九大类操作进行跟踪、记录,如图1所示。



图1 本地安全策略

审核进程跟踪策略,是专门用来对服务器系统的后台程序运行状态进行跟踪记录的,例如服务器系统后台突然运行或关闭了什么程序,handle句柄是否进行了文件复制或系统资源的访问等操作,审核功能都可以对它们进行跟踪、记录,并将监视、记录的内容自动保存到对应系统的日志文件中。

审核帐户管理策略,是专门用来跟踪、监视服务器系统登录账号的修改、删除、添加操作的,任何添加用户账号操作、删除用户账号操作、修改用户账号操作,都会被审核功能自动记录下来。

审核特权使用策略,是专门用来跟踪、监视用户在服务器系统运行过程中执行除注销操作、登录操作以外的其他特权操作的,任何对服务器系统运行安全有影响的一些特权操作都会被审核功能记录保存到系统的安全日志中,网络管理员根据日志内容就容易找到影响服务器运行安全的一些蛛丝马迹。

启用不同的审核策略,Windows Server 2008系统就会对不同类型的操作进行跟踪、记录,网络管理员应该依照自己的安全要求以及服务器系统的性能配置,来启用适合自己的审核策略,而不要盲目地启用所有审核策略,那样一来审核功能的作用反而得不到充分发挥。



图2 审核登陆事件属性

?#30830;?#35828;,要是我们想对服务器系统的登录状态进行跟踪、监视,?#21592;?#30830;认局域网中是否存在非法登录行为?#20445;?#37027;我们就可以直接用鼠标双击这里的审核登录事件策略,打开对应策略的选项设置对话框(如图2所示),选中其中的“成功”和“失败”选项,再单击“确定”按钮,如此一来Windows Server 2008系统日后就会自动对本地服务器系统的所有系统登录操作进行跟踪、记录,无论是登录服务器成功的操作还是登录服务器失败的操作,我们都能通过事件查看器找到对应的操作记录,仔细分析这些登录操作的记录我们就能发现本地服务器中是否真的存在非法登录甚至非法入侵行为。

查看审核功能记录

启用、配置好合适的审核策略后,Windows Server 2008系统就会自动对特定类型的操作进行跟踪、记录,并将记录内容保存到对应系统的日志文件中了,以后网络管理员可以根据日志内容,寻找服务器系统中是否存在安全威胁。在查看审核功能记录下来的日志内容?#20445;?#25105;们必须借助事件查看器功能来完成,下面就是查看审核功能记录的具体操作步骤:

首先以超级管理员权限进入Windows Server 2008系统,?#26469;?#21333;击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器控制台窗口;

其次在该控制台窗口的左侧显示区域中,将鼠标定位于“诊断”分支选项,并从该分支选项下面?#26469;?#28857;选“事件查看器”/“Windows日志”子项,在目标子项下面我们会看到“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”这五个类别的事件记录,如图3所示;



图3 服务器管理器

用鼠标选中某个类别选项?#20445;?#25105;们就能从图3界面的中间显示区域中清楚地看到对应类别下的所有事件记录,再用鼠标双击指定的记录选项?#20445;?#23601;能打开目标事件记录的详细信息界面,在该界面中我们就可以详细查看到目标事件的来源、具体的事件内容、事件ID以及其他相关信息等。

发现重要的事件内容?#20445;?#25105;们还可以对其执行一些操作;?#30830;?#35828;,为了日后有空时能对重要事件内容进行仔细分析,我们可以将重要事件内容先保存起来,以防止清理日志时被意外删除掉,在保存重要事件内容?#20445;?#25105;们只要用鼠标右键单击目标事件内容,从弹出的快捷菜单中执行“将事件另存为”命令,之后设置好保存路径以及具体的文件名称,再单击“保存”按钮就可以了,日后只需要再执行右键菜单中的“打开保存的日志”命令,就能将以前保存好的日志文件调用出来了。要是发现服务器系统中保存的事件内容太多?#20445;?#25105;们应该定期执行右键菜单中的“清除日志”命令来清空日志记录,?#21592;?#33150;出更多的宝贵空间资源。在日志记录较多的情况下,要想快速寻找自己想要的事件记录是一件不容易的事情,此时我们不妨执行“筛选当前日志”命令来对日志记录进行筛选。

实战应用审核功能

审核功能在现实环境中对Windows Server 2008系统尤为重要,因为服务器系统在局域网环境中很容?#36164;?#21040;攻击,网络管理员可以利用审核功能来对各?#27490;?#20987;行为进行跟踪监控,遇到有潜在安全威胁的事件发生?#20445;?#25105;们可以想方设法地将审核功能监控到的事件内容通知给网络管理员,网络管理员就能立即查明事件原因,并对症下药地解决问题,从而保障服务器系统不受非法攻击了。

例如,一些木马程序常常会在服务器系统?#22411;?#20599;创建用户账号,?#21592;?#31363;取服务器系统的超级管理员权限,此时我们可以通过用户账号监控来确定服务器系统中究?#25925;?#21542;存在非法用户账号,然后进一步确定究?#25925;?#21738;一个用户账号是非法账号。需要说明的是,要想让Windows Server 2008系统自动将非法账号创建的事件通知给网络管理员?#20445;?#24517;须确保对应系统的Task Scheduler服务处于正常的运行状态。

首先?#26469;?#21333;击Windows Server 2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,执行字符串命令“secpol.msc?#20445;?#25171;开服务器系统的本地安全策略控制台窗口;



图4 审核帐户管理

其次在该控制台窗口的左侧显示区域,?#26469;?#23637;开“安全设置”、“本地策略”、“审核策略”分支选项,在对应“审核策略”分支选项的右侧显示区域中,双击“审核账户管理”策略选项,打开如图4所示的策略选项设置对话框,选中“成功”和“失败”选项,再单击“确定”按钮关闭策略选项设置对话框,这样一来无论用户账户创建成功还是创建失败,Windows Server 2008系统都会自动记录下用户账号创建事件;

为了把用户账号创建事件内容自动通知给网络管理员,我们还需要针对该事件附加执行自动报警的任务计划。在附加自动报警任务?#20445;?#25105;们先?#26469;?#21333;击Windows Server 2008系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器控制台窗口;在该控制台窗口的左侧区域?#26469;?#28857;选“诊断”/“事件查看器”/“Windows日志”/“系统”子项,再从“系统”子项下面找到创建用户账号事件,如果找不到该事件内容?#20445;?#25105;们还需要采用手工方法随意在服务器系统中创建一个用户账号,这样一来用户账号创建事件就会出现在事件查看器中了。

用鼠标右键单击用户账号创建事件,从弹出的快捷菜单中执行“将任务附加到此事件”命令,打开任务计划添加向导对话框,之后设置好新任务的名称,例如这里我们将新任务取名为“自动报警用户账号创建情况?#20445;?#24403;屏幕上出现如图5所示的设置对话框?#20445;?#36873;中“显示消息”选项,再设置好需要报警的标题与内容,在这里我们将标题设置为“自动报警用户账号创建情况?#20445;?#23558;报警内容设置为“服务器系统中可能有非法账号被创建,请网络管理员立即处理相关事件!”最后单击“完成”按钮,这样一来Windows Server 2008系统日后就能把审核功能记录下来的用户账号创建情况自动报告给网络管理员了。



图5 创建基本任务向导

当我们尝试通过远程桌面方式在服务器系统中随意创建一个用户账号?#20445;琖indows Server 2008系统屏幕上立即出现了一个自动报警提示窗口,告诉网络管理员说“服务器系统中可能有非法账号被创建,请网络管理员立即处理相关事件!?#20445;?#36825;就意味着此时有人在服务器系统?#22411;?#20599;创建用户账号了,网络管理员根据这个自动报警提示信息,就能在第一时间采取措施来解决相关问题,从而保障Windows Server 2008服务器系统不受非法攻击了。

猜你?#19981;?/h3>
  1. 探索Windows 2008系统新功能

    1.安装过程更加友好 Windows Server 2008安装过程的用户界面是非常友好的;安装过程基本是在一个图形用户界面(GUI)的环境下完成的,并?#19968;?#20026;你处理大部分初始化工作。举例来说,当我安装 ...

  2. Win2008系统审核功能的妙用图文介绍

    启用配置审核功能 Windows Server 2008系统的审核功能在默认状态下并没有启用,我们必须针对特定系统事件来启用、配置它们的审核功能,这样一来该功能才会对相同类型的系统事件进行监视、记录, ...

  3. Windows 2008系统下巧设IE的秘笈

    1、不让别人降低IE安全性 许多时候,各种非法黑?#31361;?#26408;马程序都是通过IE浏览器“植入”到本地服务器系统中的;如果IE浏览器自身的安全性不高,那么它就无法对那些木马或黑?#32479;?#24207;具有“免疫”能力,这样的话在 ...

  4. 备受大家关注的windows 2008系统全新亮点详解

    Windows Server 2008带给?#31361;?#20840;新的功能,前所未有的体验,下面小编就为大家?#27493;?#22791;受大家关注的windows 2008系统全新亮点,一起来看看吧. 推荐下载: 1.虚拟化 尽管在Serv ...

  5. Windows XP系统中功能?#30475;?#30340;syskey命令

    今天系统天地官网小编给大家浅析Windows XP系统中功能?#30475;?#30340;syskey命令。也许大家对于syskey命令都很了解吧,其实syskey命令能帮助用户提高系统的安全,?#34892;?#36259;的用户赶快来看看功能?#30475;?...

  6. 通透Windows 2008系统状态变化

    俗话说“知己知彼,百战不殆?#20445;?#21482;有充分了解系统自身的各种状态变化,我们才能为系统?#21487;?#23450;制好安全防御方案,从而保证自己的系统始终安全、稳定地运行。在对系统自身各方面的状态进行检查?#20445;?#25105;们有时需要通过专业 ...

  7. windows 2008系统的全新亮点

    1、虚拟化 尽管在Server 2008正式发布之前不会出?#20013;?#25311;化,但微软Hyper-V的虚拟化技术绝对是一个亮点,大型企业中已经有75%应用了虚拟化技术,用户利用虚拟化技术可以在完全不影响工作的前提 ...