返回
Windows2000中的安全审核

Windows2000中的安全审核

ID:41596927

大小:59.94 KB

页数:3页

时间:2019-08-28

Windows2000中的安全审核_第1页
Windows2000中的安全审核_第2页
Windows2000中的安全审核_第3页
资源描述:

《Windows2000中的安全审核》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Windows2000中的安全审核向我们咨询安全问题・2001年11月15日SteyeR订ey您是否知道在您的服务器上发生什么事情一谁在对它们进行访问,您的用户在做什么,他们的目的是什么?如果您跟大多数管理员一样,您可能就会不知道。您想知道吗?Windows2000提供了-•种安全审核功能,可以记录好儿种与安全相关的事件。您可以使用其中的信息來生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留F关于某一侵入者活动的有法律效力证据。审核事件都记录在"事件査看器”小的安全日志中。默认情况下审核功能是禁用的-您

2、需要将其打开;若要启用审核,必须要对计算机(如果您想在一台特定的计算机上启用审核)或域(如果您想在整个域中启用审核)具有管理员访问权限。ActiveDirectory组策略可帮助您为不同类别的计算机配置自定义审核参数。审核单台计算机到开始

3、程序

4、管理工具并选择本地安全策略,这样就打开了一个MMC(Microsoft管理控制台)视图,该试图显示出该讣算机的木地安全设置;转至本地策略

5、审核策略以配置审核事件。有九类可以审核的事件,对于每一类您都可以指明是审核成功事件、失败事件,还是两者都审核。帐户登录事件。验证(

6、帐户有效性)通过网络对木地计算机的访问。这些事件在帐户所在的位置生成。帐户管理。创建、修改或删除用户和组;进行密码更改。目录服务访问。记录对ActiveDirectory的访问。必须启用它以允许审核特定的目录对象。仅在域控制器上。登录事件。对本地计算机的交互式登录或网络连接。这些爭件在登录发生的位置生成。对象访问。必须启用它以允许审核特定的对象。策略更改。安全策略更改,包折特权指派、审核策略修改和佶任关系修改。特权使用。某一特权的使用;专用特权的指派。进程跟踪。详细跟踪进程调用、重复进程句柄和进程终止。系统事

7、件。与安全(如系统关闭和雨新启动)有关的事件;彩响安全日志的事件。配置审核将需要使用您计算机上的一些磁盘空间。您可以配置安全日,忐的最大大小(以KB计)以及日,忐大小达到此限制时应采取的操作。在事件查看器中,右键单击安全日志并选择属性。您会看到:•按需要改写事件。每次有新事件写入吋从日志中清除最旧的事件。这样既可保留最多的信息,同时乂可让日志人小保持最人。•改写时间超过X天的事件。淸除日志中超过a-天的事件。如果日志已满但最d的申件尚未过期,则新的事件将无法写入。这一设置在您每隔A-天就作一次归档的情况下I•

8、分冇用,但如果您不进行归档,此设置就没什么用处了一它会让您失去最新的事件。•不改写事件。一旦日志写满之后就停止记录审核事件。您将需要手动淸除日志。将安全日志归档从许多方而看,将日志归档是很重耍的。若将日志保存在脱机的存储媒体上,就没有必要在主产服务器上保留大量的日志数据。保存的日志中包含的信息可用来了解-台计算机的规律性行为。脱机日志还被认为是调查取证中的合法证据;它们包含的在法律上有效的信息有助丁•跟踪和确定侵入者的行为。若要将安全日志归档,请打开“事件査看器”,右键单击安全日志,选择另存日志文件,并输入档

9、案的路径和文件名。理想借况下,这应是到一个专用于日志归档的内部服务器的网络路径。一定要将档案保存为.evt(爭件日志)格式一这样可以保留日志详细记录屮的二进制信息。日志写满时停止服务器运行您可以将服务器配置为在日志写满时崩溃(变为蓝屏)。这对于高安全性的服务器來说是一个不错的主意一在某些情况下,若提供一种服务时不能进行日志记录,还不如停止此服务。要配置系统关闭:1.在本地安全策略MMC中,转至本地策略

10、安全选项。2.滚动到如果无法纪录安全审计则立即关闭系统。3.双击它并选择启用。如果配进了此设?L那么,当一个

11、系统崩溃时,请采用下列步骤来恢复:1.登录到系统的木地管理员帐户。2.将日志归档。3.淸除该日志。4.重新启用该选项一在崩溃时,该选项会将其H己禁用。其他审核控制您还可以配置另外州种审核事件,但不是从审核策略页配置。如果您想市核备份和还原的使用:1.在本地安全策略MMC中,转至本地策略

12、安全选项。2・滚动到对备份和还原权限的使用进行审计3.双击它并选择启用。只冇启用了审核特权使用方能使此选项生效。要审核对全局系统对彖(多用户终端运彳了程序、信号灯和DOS设备)的访问:1.在本地安全策略MMC中,转至本地策略

13、

14、安全选项。2.滚动到对全局系统对彖的访问进行审计3.双击它并选择启用。只有启用了审核对象访问才能使此选项生效。在大多数环境中,可能没有必耍审核全丿』系统对象。审核对象访问如果您需要审核对特定对彖的访问,您首先需要在审核策略中启用相应的常规设置-对于ActiveDirectory对象,应在目录服务访问策略中启用,对于文件.文件夹、驱动器、打印机和注册表项,应在对象访问策略中启用。在启用了策略后,就可以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。