啟用配置審核功能
Windows Server 2008系統(tǒng)的審核功能在默認狀態(tài)下并沒有啟用����,我們必須針對特定系統(tǒng)事件來啟用��、配置它們的審核功能���,這樣一來該功能才會對相同類型的系統(tǒng)事件進行監(jiān)視、記錄�����,網(wǎng)絡(luò)管理員日后只要打開對應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了���。審核功能的應(yīng)用范圍很廣泛����,不但可以對服務(wù)器系統(tǒng)中的一些操作行為進行跟蹤�����、監(jiān)視�,而且還能依照服務(wù)器系統(tǒng)的運行狀態(tài)對運行故障進行快速排除。當然��,需要提醒各位朋友的是�,審核功能的啟用往往要消耗服務(wù)器系統(tǒng)的一些寶貴資源��,并會造成服務(wù)器系統(tǒng)的運行性能下降���,這是因為Windows Server 2008系統(tǒng)必須騰出一部分空間資源來保存審核功能的監(jiān)視、記錄結(jié)果��。為此�,在服務(wù)器系統(tǒng)空間資源有限的情況下,我們應(yīng)該謹慎使用審核功能�����,確保該功能只對一些特別重要的操作進行監(jiān)視����、記錄。
在啟用�、配置Windows Server 2008系統(tǒng)的審核功能時,我們可以先以系統(tǒng)超級權(quán)限登錄進入對應(yīng)系統(tǒng)�����,打開該系統(tǒng)桌面中的“開始”菜單��,從中依次點選“設(shè)置”、“控制面板”命令��,在彈出的系統(tǒng)控制面板窗口中依次單擊“系統(tǒng)和維護”����、“管理工具”圖標��,在其后出現(xiàn)的管理工具列表窗口中���,找到“本地安全策略”圖標�����,并用鼠標雙擊該圖標�����,打開本地安全策略控制臺窗口�。
其次在目標控制臺窗口的左側(cè)顯示窗格中���,依次展開“安全設(shè)置”/“本地策略”/“審核策略”分支選項�����,在對應(yīng)“審核策略”分支選項的右側(cè)顯示窗格中�,我們會發(fā)現(xiàn)Windows Server 2008系統(tǒng)包含九項審核策略,也就是說服務(wù)器系統(tǒng)可以允許對九大類操作進行跟蹤���、記錄�,如圖1所示�。
圖1 本地安全策略
審核進程跟蹤策略,是專門用來對服務(wù)器系統(tǒng)的后臺程序運行狀態(tài)進行跟蹤記錄的�����,例如服務(wù)器系統(tǒng)后臺突然運行或關(guān)閉了什么程序��,handle句柄是否進行了文件復(fù)制或系統(tǒng)資源的訪問等操作�,審核功能都可以對它們進行跟蹤、記錄��,并將監(jiān)視��、記錄的內(nèi)容自動保存到對應(yīng)系統(tǒng)的日志文件中�����。
審核帳戶管理策略����,是專門用來跟蹤�����、監(jiān)視服務(wù)器系統(tǒng)登錄賬號的修改�、刪除����、添加操作的�,任何添加用戶賬號操作、刪除用戶賬號操作�、修改用戶賬號操作,都會被審核功能自動記錄下來�����。
審核特權(quán)使用策略���,是專門用來跟蹤�、監(jiān)視用戶在服務(wù)器系統(tǒng)運行過程中執(zhí)行除注銷操作���、登錄操作以外的其他特權(quán)操作的�����,任何對服務(wù)器系統(tǒng)運行安全有影響的一些特權(quán)操作都會被審核功能記錄保存到系統(tǒng)的安全日志中����,網(wǎng)絡(luò)管理員根據(jù)日志內(nèi)容就容易找到影響服務(wù)器運行安全的一些蛛絲馬跡。
啟用不同的審核策略���,Windows Server 2008系統(tǒng)就會對不同類型的操作進行跟蹤�����、記錄��,網(wǎng)絡(luò)管理員應(yīng)該依照自己的安全要求以及服務(wù)器系統(tǒng)的性能配置�����,來啟用適合自己的審核策略����,而不要盲目地啟用所有審核策略�,那樣一來審核功能的作用反而得不到充分發(fā)揮。
圖2 審核登陸事件屬性
比方說��,要是我們想對服務(wù)器系統(tǒng)的登錄狀態(tài)進行跟蹤、監(jiān)視���,以便確認局域網(wǎng)中是否存在非法登錄行為時��,那我們就可以直接用鼠標雙擊這里的審核登錄事件策略���,打開對應(yīng)策略的選項設(shè)置對話框(如圖2所示),選中其中的“成功”和“失敗”選項�,再單擊“確定”按鈕,如此一來Windows Server 2008系統(tǒng)日后就會自動對本地服務(wù)器系統(tǒng)的所有系統(tǒng)登錄操作進行跟蹤����、記錄����,無論是登錄服務(wù)器成功的操作還是登錄服務(wù)器失敗的操作,我們都能通過事件查看器找到對應(yīng)的操作記錄�,仔細分析這些登錄操作的記錄我們就能發(fā)現(xiàn)本地服務(wù)器中是否真的存在非法登錄甚至非法入侵行為。
查看審核功能記錄
啟用�����、配置好合適的審核策略后��,Windows Server 2008系統(tǒng)就會自動對特定類型的操作進行跟蹤、記錄�,并將記錄內(nèi)容保存到對應(yīng)系統(tǒng)的日志文件中了,以后網(wǎng)絡(luò)管理員可以根據(jù)日志內(nèi)容����,尋找服務(wù)器系統(tǒng)中是否存在安全威脅。在查看審核功能記錄下來的日志內(nèi)容時�,我們必須借助事件查看器功能來完成,下面就是查看審核功能記錄的具體操作步驟:
首先以超級管理員權(quán)限進入Windows Server 2008系統(tǒng)��,依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令�,打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口;
其次在該控制臺窗口的左側(cè)顯示區(qū)域中,將鼠標定位于“診斷”分支選項��,并從該分支選項下面依次點選“事件查看器”/“Windows日志”子項�����,在目標子項下面我們會看到“應(yīng)用程序”��、“安全”�����、“安裝程序”��、“系統(tǒng)”、“轉(zhuǎn)發(fā)事件”這五個類別的事件記錄��,如圖3所示;
圖3 服務(wù)器管理器
用鼠標選中某個類別選項時�,我們就能從圖3界面的中間顯示區(qū)域中清楚地看到對應(yīng)類別下的所有事件記錄,再用鼠標雙擊指定的記錄選項時��,就能打開目標事件記錄的詳細信息界面�,在該界面中我們就可以詳細查看到目標事件的來源、具體的事件內(nèi)容����、事件ID以及其他相關(guān)信息等。
發(fā)現(xiàn)重要的事件內(nèi)容時��,我們還可以對其執(zhí)行一些操作;比方說�����,為了日后有空時能對重要事件內(nèi)容進行仔細分析�����,我們可以將重要事件內(nèi)容先保存起來���,以防止清理日志時被意外刪除掉����,在保存重要事件內(nèi)容時���,我們只要用鼠標右鍵單擊目標事件內(nèi)容�,從彈出的快捷菜單中執(zhí)行“將事件另存為”命令��,之后設(shè)置好保存路徑以及具體的文件名稱�����,再單擊“保存”按鈕就可以了����,日后只需要再執(zhí)行右鍵菜單中的“打開保存的日志”命令,就能將以前保存好的日志文件調(diào)用出來了�����。要是發(fā)現(xiàn)服務(wù)器系統(tǒng)中保存的事件內(nèi)容太多時�,我們應(yīng)該定期執(zhí)行右鍵菜單中的“清除日志”命令來清空日志記錄,以便騰出更多的寶貴空間資源��。在日志記錄較多的情況下,要想快速尋找自己想要的事件記錄是一件不容易的事情����,此時我們不妨執(zhí)行“篩選當前日志”命令來對日志記錄進行篩選。
實戰(zhàn)應(yīng)用審核功能
審核功能在現(xiàn)實環(huán)境中對Windows Server 2008系統(tǒng)尤為重要�,因為服務(wù)器系統(tǒng)在局域網(wǎng)環(huán)境中很容易受到攻擊,網(wǎng)絡(luò)管理員可以利用審核功能來對各種攻擊行為進行跟蹤監(jiān)控���,遇到有潛在安全威脅的事件發(fā)生時�,我們可以想方設(shè)法地將審核功能監(jiān)控到的事件內(nèi)容通知給網(wǎng)絡(luò)管理員���,網(wǎng)絡(luò)管理員就能立即查明事件原因�,并對癥下藥地解決問題���,從而保障服務(wù)器系統(tǒng)不受非法攻擊了�����。
例如��,一些木馬程序常常會在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號���,以便竊取服務(wù)器系統(tǒng)的超級管理員權(quán)限����,此時我們可以通過用戶賬號監(jiān)控來確定服務(wù)器系統(tǒng)中究竟是否存在非法用戶賬號�,然后進一步確定究竟是哪一個用戶賬號是非法賬號��。需要說明的是�����,要想讓W(xué)indows Server 2008系統(tǒng)自動將非法賬號創(chuàng)建的事件通知給網(wǎng)絡(luò)管理員時�����,必須確保對應(yīng)系統(tǒng)的Task Scheduler服務(wù)處于正常的運行狀態(tài)��。
首先依次單擊Windows Server 2008系統(tǒng)桌面中的“開始”/“運行”命令����,在彈出的系統(tǒng)運行對話框中,執(zhí)行字符串命令“secpol.msc”�,打開服務(wù)器系統(tǒng)的本地安全策略控制臺窗口;
圖4 審核帳戶管理
其次在該控制臺窗口的左側(cè)顯示區(qū)域,依次展開“安全設(shè)置”�����、“本地策略”、“審核策略”分支選項�����,在對應(yīng)“審核策略”分支選項的右側(cè)顯示區(qū)域中�,雙擊“審核賬戶管理”策略選項,打開如圖4所示的策略選項設(shè)置對話框����,選中“成功”和“失敗”選項,再單擊“確定”按鈕關(guān)閉策略選項設(shè)置對話框��,這樣一來無論用戶賬戶創(chuàng)建成功還是創(chuàng)建失敗���,Windows Server 2008系統(tǒng)都會自動記錄下用戶賬號創(chuàng)建事件;
為了把用戶賬號創(chuàng)建事件內(nèi)容自動通知給網(wǎng)絡(luò)管理員����,我們還需要針對該事件附加執(zhí)行自動報警的任務(wù)計劃����。在附加自動報警任務(wù)時,我們先依次單擊Windows Server 2008系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令�����,打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口;在該控制臺窗口的左側(cè)區(qū)域依次點選“診斷”/“事件查看器”/“Windows日志”/“系統(tǒng)”子項,再從“系統(tǒng)”子項下面找到創(chuàng)建用戶賬號事件�,如果找不到該事件內(nèi)容時�����,我們還需要采用手工方法隨意在服務(wù)器系統(tǒng)中創(chuàng)建一個用戶賬號��,這樣一來用戶賬號創(chuàng)建事件就會出現(xiàn)在事件查看器中了��。
用鼠標右鍵單擊用戶賬號創(chuàng)建事件�,從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令,打開任務(wù)計劃添加向?qū)υ捒?��,之后設(shè)置好新任務(wù)的名稱�����,例如這里我們將新任務(wù)取名為“自動報警用戶賬號創(chuàng)建情況”���,當屏幕上出現(xiàn)如圖5所示的設(shè)置對話框時,選中“顯示消息”選項���,再設(shè)置好需要報警的標題與內(nèi)容���,在這里我們將標題設(shè)置為“自動報警用戶賬號創(chuàng)建情況”�����,將報警內(nèi)容設(shè)置為“服務(wù)器系統(tǒng)中可能有非法賬號被創(chuàng)建��,請網(wǎng)絡(luò)管理員立即處理相關(guān)事件!”最后單擊“完成”按鈕��,這樣一來Windows Server 2008系統(tǒng)日后就能把審核功能記錄下來的用戶賬號創(chuàng)建情況自動報告給網(wǎng)絡(luò)管理員了���。
圖5 創(chuàng)建基本任務(wù)向?qū)?/p>
當我們嘗試通過遠程桌面方式在服務(wù)器系統(tǒng)中隨意創(chuàng)建一個用戶賬號時,Windows Server 2008系統(tǒng)屏幕上立即出現(xiàn)了一個自動報警提示窗口���,告訴網(wǎng)絡(luò)管理員說“服務(wù)器系統(tǒng)中可能有非法賬號被創(chuàng)建�����,請網(wǎng)絡(luò)管理員立即處理相關(guān)事件!”�,這就意味著此時有人在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號了�����,網(wǎng)絡(luò)管理員根據(jù)這個自動報警提示信息���,就能在第一時間采取措施來解決相關(guān)問題�,從而保障Windows Server 2008服務(wù)器系統(tǒng)不受非法攻擊了。
