不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要,但也是最乏味的一环。在本讲座中,我将讨论审计和事件日志,并且教你如何完成这个工作。
不断跟踪你的系统正在做什么--这是良好的IT管理流程中最重要,但也是最乏味的一环。在审计过程中,与特定标准匹配的事件将记录到计算机的事件日志( event log)中,帮助你完成这个重要的管理任务。在本讲座中,我将讨论审计和事件日志,并且教你如何完成这个工作。
审计设置中的选项
审计控制和属性要通过Windows 2000、Windows XP和Windows Server 2003等操作系统中的组策略对象进行修改。假设你的计算机正在加入一个活动目录域,你可以在计算机配置->Windows设置->安全设置->本地策略->审计策略目录下面的默认域策略中找到域审计策略。此外,你还可以通过控制面板中的管理工具模板查看这个本地安全策略。
每个组策略对象的设置指出什么类型的事件和结果应该写入事件日志。下面是一些审计策略的选择:
・审计账户登录事件:当域用户登录系统时写入日志。
・审计账户管理:指出用户账户何时增加、修改和删除。
・审计目录服务访问:审计与活动目录有关的查询和其它通信是何时实施的。
・审计登录事件:等本地用户登录系统时写入日志。
・审计访问对象:指出某些文件、文件夹和其它系统对象是什么时间被打开、关闭或者“接触的”。
・审计策略变化:审计本地策略(诸如本地安全策略等)及其相关的对象是什么时间变化的。
・审计权限使用:当用户行使赋予他们的权利时,将此事件写入日志。
・审计进程跟踪:跟踪程序启动--程序何时关闭以及这个程序将启动的其它事件。
・审计系统事件:审计用户何时重新启动计算机或者事件何时写入安全日志或者对系统安全产生了什么影响。
你可以通过编辑系统访问控制列表(SACL)对任何特定的对象设置要审计的单个对象。这很像是授权,只不过它要向Windows指出事件日志应该写入什么类型的访问。你可以通过点击这个对象的属性表单中的安全标签的高级按钮访问系统访问控制列表查找对象。在审计标签中,你可以点击添加按钮增加一个对象的新的审计事件,或者点击查看/编辑按钮修改一个现有的审计事件。(注:你不能在一个FAT文件系统中编辑对象)
建议要记录的项目
首先,你需要了解几个事情。一,太多的审计会消耗大量的资源。用户每一次移动鼠标都会被记录下来(这太过分了。但是,记录一次并不过分)。二,过多的审计是无用的。一般来说,由于你不查看审计日志,审计就不会为你提供任何好处,你如果不能通过大量的审计事件提升安全,就是在浪费资源。你要了解要审计的东西并且有所选择。