啟用配置審核功能
Windows Server 2008系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒(méi)有啟用,我們必須針對(duì)特定系統(tǒng)事件來(lái)啟用、配置它們的審核功能����,這樣一來(lái)該功能才會(huì)對(duì)相同類型的系統(tǒng)事件進(jìn)行監(jiān)視�、記錄��,網(wǎng)絡(luò)管理員日后只要打開(kāi)對(duì)應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了����。審核功能的應(yīng)用范圍很廣泛,不但可以對(duì)服務(wù)器系統(tǒng)中的一些操作行為進(jìn)行跟蹤�����、監(jiān)視�,而且還能依照服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)對(duì)運(yùn)行故障進(jìn)行快速排除���。當(dāng)然�����,需要提醒各位朋友的是�����,審核功能的啟用往往要消耗服務(wù)器系統(tǒng)的一些寶貴資源����,并會(huì)造成服務(wù)器系統(tǒng)的運(yùn)行性能下降,這是因?yàn)閃indows Server 2008系統(tǒng)必須騰出一部分空間資源來(lái)保存審核功能的監(jiān)視�����、記錄結(jié)果��。為此�,在服務(wù)器系統(tǒng)空間資源有限的情況下,我們應(yīng)該謹(jǐn)慎使用審核功能����,確保該功能只對(duì)一些特別重要的操作進(jìn)行監(jiān)視、記錄��。
在啟用�、配置Windows Server 2008系統(tǒng)的審核功能時(shí)�,我們可以先以系統(tǒng)超級(jí)權(quán)限登錄進(jìn)入對(duì)應(yīng)系統(tǒng)����,打開(kāi)該系統(tǒng)桌面中的“開(kāi)始”菜單,從中依次點(diǎn)選“設(shè)置”�、“控制面板”命令,在彈出的系統(tǒng)控制面板窗口中依次單擊“系統(tǒng)和維護(hù)”����、“管理工具”圖標(biāo),在其后出現(xiàn)的管理工具列表窗口中���,找到“本地安全策略”圖標(biāo)�,并用鼠標(biāo)雙擊該圖標(biāo)��,打開(kāi)本地安全策略控制臺(tái)窗口�����。
其次在目標(biāo)控制臺(tái)窗口的左側(cè)顯示窗格中���,依次展開(kāi)“安全設(shè)置”/“本地策略”/“審核策略”分支選項(xiàng)����,在對(duì)應(yīng)“審核策略”分支選項(xiàng)的右側(cè)顯示窗格中��,我們會(huì)發(fā)現(xiàn)Windows Server 2008系統(tǒng)包含九項(xiàng)審核策略���,也就是說(shuō)服務(wù)器系統(tǒng)可以允許對(duì)九大類操作進(jìn)行跟蹤��、記錄�,如圖1所示���。
圖1 本地安全策略
審核進(jìn)程跟蹤策略���,是專門(mén)用來(lái)對(duì)服務(wù)器系統(tǒng)的后臺(tái)程序運(yùn)行狀態(tài)進(jìn)行跟蹤記錄的,例如服務(wù)器系統(tǒng)后臺(tái)突然運(yùn)行或關(guān)閉了什么程序�,handle句柄是否進(jìn)行了文件復(fù)制或系統(tǒng)資源的訪問(wèn)等操作,審核功能都可以對(duì)它們進(jìn)行跟蹤��、記錄��,并將監(jiān)視�����、記錄的內(nèi)容自動(dòng)保存到對(duì)應(yīng)系統(tǒng)的日志文件中����。
審核帳戶管理策略�����,是專門(mén)用來(lái)跟蹤����、監(jiān)視服務(wù)器系統(tǒng)登錄賬號(hào)的修改����、刪除、添加操作的�����,任何添加用戶賬號(hào)操作��、刪除用戶賬號(hào)操作���、修改用戶賬號(hào)操作����,都會(huì)被審核功能自動(dòng)記錄下來(lái)�。
審核特權(quán)使用策略�����,是專門(mén)用來(lái)跟蹤、監(jiān)視用戶在服務(wù)器系統(tǒng)運(yùn)行過(guò)程中執(zhí)行除注銷操作�����、登錄操作以外的其他特權(quán)操作的����,任何對(duì)服務(wù)器系統(tǒng)運(yùn)行安全有影響的一些特權(quán)操作都會(huì)被審核功能記錄保存到系統(tǒng)的安全日志中,網(wǎng)絡(luò)管理員根據(jù)日志內(nèi)容就容易找到影響服務(wù)器運(yùn)行安全的一些蛛絲馬跡��。
啟用不同的審核策略���,Windows Server 2008系統(tǒng)就會(huì)對(duì)不同類型的操作進(jìn)行跟蹤��、記錄���,網(wǎng)絡(luò)管理員應(yīng)該依照自己的安全要求以及服務(wù)器系統(tǒng)的性能配置,來(lái)啟用適合自己的審核策略���,而不要盲目地啟用所有審核策略�,那樣一來(lái)審核功能的作用反而得不到充分發(fā)揮。
圖2 審核登陸事件屬性
比方說(shuō)����,要是我們想對(duì)服務(wù)器系統(tǒng)的登錄狀態(tài)進(jìn)行跟蹤、監(jiān)視����,以便確認(rèn)局域網(wǎng)中是否存在非法登錄行為時(shí),那我們就可以直接用鼠標(biāo)雙擊這里的審核登錄事件策略�����,打開(kāi)對(duì)應(yīng)策略的選項(xiàng)設(shè)置對(duì)話框(如圖2所示)�����,選中其中的“成功”和“失敗”選項(xiàng)��,再單擊“確定”按鈕�,如此一來(lái)Windows Server 2008系統(tǒng)日后就會(huì)自動(dòng)對(duì)本地服務(wù)器系統(tǒng)的所有系統(tǒng)登錄操作進(jìn)行跟蹤、記錄�����,無(wú)論是登錄服務(wù)器成功的操作還是登錄服務(wù)器失敗的操作,我們都能通過(guò)事件查看器找到對(duì)應(yīng)的操作記錄�,仔細(xì)分析這些登錄操作的記錄我們就能發(fā)現(xiàn)本地服務(wù)器中是否真的存在非法登錄甚至非法入侵行為。
查看審核功能記錄
啟用�、配置好合適的審核策略后,Windows Server 2008系統(tǒng)就會(huì)自動(dòng)對(duì)特定類型的操作進(jìn)行跟蹤��、記錄���,并將記錄內(nèi)容保存到對(duì)應(yīng)系統(tǒng)的日志文件中了,以后網(wǎng)絡(luò)管理員可以根據(jù)日志內(nèi)容��,尋找服務(wù)器系統(tǒng)中是否存在安全威脅�����。在查看審核功能記錄下來(lái)的日志內(nèi)容時(shí)�,我們必須借助事件查看器功能來(lái)完成,下面就是查看審核功能記錄的具體操作步驟:
首先以超級(jí)管理員權(quán)限進(jìn)入Windows Server 2008系統(tǒng)�,依次單擊該系統(tǒng)桌面中的“開(kāi)始”/“程序”/“管理工具”/“服務(wù)器管理器”命令,打開(kāi)對(duì)應(yīng)系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口;
其次在該控制臺(tái)窗口的左側(cè)顯示區(qū)域中�,將鼠標(biāo)定位于“診斷”分支選項(xiàng),并從該分支選項(xiàng)下面依次點(diǎn)選“事件查看器”/“Windows日志”子項(xiàng)����,在目標(biāo)子項(xiàng)下面我們會(huì)看到“應(yīng)用程序”、“安全”、“安裝程序”��、“系統(tǒng)”���、“轉(zhuǎn)發(fā)事件”這五個(gè)類別的事件記錄��,如圖3所示;
圖3 服務(wù)器管理器
用鼠標(biāo)選中某個(gè)類別選項(xiàng)時(shí)�����,我們就能從圖3界面的中間顯示區(qū)域中清楚地看到對(duì)應(yīng)類別下的所有事件記錄�����,再用鼠標(biāo)雙擊指定的記錄選項(xiàng)時(shí)��,就能打開(kāi)目標(biāo)事件記錄的詳細(xì)信息界面���,在該界面中我們就可以詳細(xì)查看到目標(biāo)事件的來(lái)源、具體的事件內(nèi)容��、事件ID以及其他相關(guān)信息等�。
發(fā)現(xiàn)重要的事件內(nèi)容時(shí),我們還可以對(duì)其執(zhí)行一些操作;比方說(shuō)�����,為了日后有空時(shí)能對(duì)重要事件內(nèi)容進(jìn)行仔細(xì)分析,我們可以將重要事件內(nèi)容先保存起來(lái)�����,以防止清理日志時(shí)被意外刪除掉��,在保存重要事件內(nèi)容時(shí)����,我們只要用鼠標(biāo)右鍵單擊目標(biāo)事件內(nèi)容,從彈出的快捷菜單中執(zhí)行“將事件另存為”命令�,之后設(shè)置好保存路徑以及具體的文件名稱���,再單擊“保存”按鈕就可以了��,日后只需要再執(zhí)行右鍵菜單中的“打開(kāi)保存的日志”命令�,就能將以前保存好的日志文件調(diào)用出來(lái)了�����。要是發(fā)現(xiàn)服務(wù)器系統(tǒng)中保存的事件內(nèi)容太多時(shí)���,我們應(yīng)該定期執(zhí)行右鍵菜單中的“清除日志”命令來(lái)清空日志記錄���,以便騰出更多的寶貴空間資源��。在日志記錄較多的情況下����,要想快速尋找自己想要的事件記錄是一件不容易的事情����,此時(shí)我們不妨執(zhí)行“篩選當(dāng)前日志”命令來(lái)對(duì)日志記錄進(jìn)行篩選。
實(shí)戰(zhàn)應(yīng)用審核功能
審核功能在現(xiàn)實(shí)環(huán)境中對(duì)Windows Server 2008系統(tǒng)尤為重要�,因?yàn)榉?wù)器系統(tǒng)在局域網(wǎng)環(huán)境中很容易受到攻擊,網(wǎng)絡(luò)管理員可以利用審核功能來(lái)對(duì)各種攻擊行為進(jìn)行跟蹤監(jiān)控��,遇到有潛在安全威脅的事件發(fā)生時(shí)��,我們可以想方設(shè)法地將審核功能監(jiān)控到的事件內(nèi)容通知給網(wǎng)絡(luò)管理員�����,網(wǎng)絡(luò)管理員就能立即查明事件原因�����,并對(duì)癥下藥地解決問(wèn)題,從而保障服務(wù)器系統(tǒng)不受非法攻擊了�。
例如,一些木馬程序常常會(huì)在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號(hào)��,以便竊取服務(wù)器系統(tǒng)的超級(jí)管理員權(quán)限���,此時(shí)我們可以通過(guò)用戶賬號(hào)監(jiān)控來(lái)確定服務(wù)器系統(tǒng)中究竟是否存在非法用戶賬號(hào)�����,然后進(jìn)一步確定究竟是哪一個(gè)用戶賬號(hào)是非法賬號(hào)�����。需要說(shuō)明的是�����,要想讓W(xué)indows Server 2008系統(tǒng)自動(dòng)將非法賬號(hào)創(chuàng)建的事件通知給網(wǎng)絡(luò)管理員時(shí),必須確保對(duì)應(yīng)系統(tǒng)的Task Scheduler服務(wù)處于正常的運(yùn)行狀態(tài)���。
首先依次單擊Windows Server 2008系統(tǒng)桌面中的“開(kāi)始”/“運(yùn)行”命令��,在彈出的系統(tǒng)運(yùn)行對(duì)話框中��,執(zhí)行字符串命令“secpol.msc”��,打開(kāi)服務(wù)器系統(tǒng)的本地安全策略控制臺(tái)窗口;
圖4 審核帳戶管理
其次在該控制臺(tái)窗口的左側(cè)顯示區(qū)域�,依次展開(kāi)“安全設(shè)置”、“本地策略”���、“審核策略”分支選項(xiàng)�����,在對(duì)應(yīng)“審核策略”分支選項(xiàng)的右側(cè)顯示區(qū)域中�,雙擊“審核賬戶管理”策略選項(xiàng)��,打開(kāi)如圖4所示的策略選項(xiàng)設(shè)置對(duì)話框����,選中“成功”和“失敗”選項(xiàng),再單擊“確定”按鈕關(guān)閉策略選項(xiàng)設(shè)置對(duì)話框����,這樣一來(lái)無(wú)論用戶賬戶創(chuàng)建成功還是創(chuàng)建失敗,Windows Server 2008系統(tǒng)都會(huì)自動(dòng)記錄下用戶賬號(hào)創(chuàng)建事件;
為了把用戶賬號(hào)創(chuàng)建事件內(nèi)容自動(dòng)通知給網(wǎng)絡(luò)管理員�����,我們還需要針對(duì)該事件附加執(zhí)行自動(dòng)報(bào)警的任務(wù)計(jì)劃。在附加自動(dòng)報(bào)警任務(wù)時(shí)�����,我們先依次單擊Windows Server 2008系統(tǒng)桌面中的“開(kāi)始”/“程序”/“管理工具”/“服務(wù)器管理器”命令����,打開(kāi)對(duì)應(yīng)系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口;在該控制臺(tái)窗口的左側(cè)區(qū)域依次點(diǎn)選“診斷”/“事件查看器”/“Windows日志”/“系統(tǒng)”子項(xiàng),再?gòu)摹跋到y(tǒng)”子項(xiàng)下面找到創(chuàng)建用戶賬號(hào)事件����,如果找不到該事件內(nèi)容時(shí),我們還需要采用手工方法隨意在服務(wù)器系統(tǒng)中創(chuàng)建一個(gè)用戶賬號(hào)��,這樣一來(lái)用戶賬號(hào)創(chuàng)建事件就會(huì)出現(xiàn)在事件查看器中了����。
用鼠標(biāo)右鍵單擊用戶賬號(hào)創(chuàng)建事件,從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件”命令���,打開(kāi)任務(wù)計(jì)劃添加向?qū)?duì)話框����,之后設(shè)置好新任務(wù)的名稱���,例如這里我們將新任務(wù)取名為“自動(dòng)報(bào)警用戶賬號(hào)創(chuàng)建情況”���,當(dāng)屏幕上出現(xiàn)如圖5所示的設(shè)置對(duì)話框時(shí),選中“顯示消息”選項(xiàng)�����,再設(shè)置好需要報(bào)警的標(biāo)題與內(nèi)容�,在這里我們將標(biāo)題設(shè)置為“自動(dòng)報(bào)警用戶賬號(hào)創(chuàng)建情況”,將報(bào)警內(nèi)容設(shè)置為“服務(wù)器系統(tǒng)中可能有非法賬號(hào)被創(chuàng)建���,請(qǐng)網(wǎng)絡(luò)管理員立即處理相關(guān)事件!”最后單擊“完成”按鈕���,這樣一來(lái)Windows Server 2008系統(tǒng)日后就能把審核功能記錄下來(lái)的用戶賬號(hào)創(chuàng)建情況自動(dòng)報(bào)告給網(wǎng)絡(luò)管理員了。
圖5 創(chuàng)建基本任務(wù)向?qū)?/p>
當(dāng)我們嘗試通過(guò)遠(yuǎn)程桌面方式在服務(wù)器系統(tǒng)中隨意創(chuàng)建一個(gè)用戶賬號(hào)時(shí)�����,Windows Server 2008系統(tǒng)屏幕上立即出現(xiàn)了一個(gè)自動(dòng)報(bào)警提示窗口���,告訴網(wǎng)絡(luò)管理員說(shuō)“服務(wù)器系統(tǒng)中可能有非法賬號(hào)被創(chuàng)建��,請(qǐng)網(wǎng)絡(luò)管理員立即處理相關(guān)事件!”�,這就意味著此時(shí)有人在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號(hào)了,網(wǎng)絡(luò)管理員根據(jù)這個(gè)自動(dòng)報(bào)警提示信息����,就能在第一時(shí)間采取措施來(lái)解決相關(guān)問(wèn)題,從而保障Windows Server 2008服務(wù)器系統(tǒng)不受非法攻擊了�。
