当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 用Windows 2000安全审核让入侵者显形

安全基础
硬盘双击无法打开的问题该怎么办?
XP每次启动后都检测硬盘?
检查电脑是否中病毒和木马的顺序
机器中QQ木马病毒的异常现象
免费的P2P终结者对付无节制的P2P下载
有效控制局域网里的P2P下载
出游拍摄,MP4突然断电该怎么办?
IE浏览网页弹出窗口的应对办法
打开U盘最安全的操作
IE 浏览器被6700.cn强制设置主页的解决
狼牙抓鸡器(又称狼牙全自动抓鸡器)简介
禁用移动硬盘插到USB口自动播放功能
Wsyscheck进程工具清除IE截取器病毒
命令行法检测局域网ARP病毒电脑
Ping命令你真的知道怎么用吗?
无线网卡标准设置不当引起不能上网
不登录Hotmail接收Hotmail邮件到Gmail
清除病毒和木马之后Windows桌面找不到?
记事本也能杀毒,你相信吗?
为什么有时ADSL虚拟拨号时会失败

安全基础 中的 用Windows 2000安全审核让入侵者显形


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 77 ::
收藏到网摘: n/a

  出处: eNet

  有时候你是否想知道在你的主机或服务器上发生的事情——谁来访问过?其实Windows 2000给我们提供了一项非常有用的功能:安全审核功能。安全审核可以用日志的形式记录好几种与安全相关的事件,你可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。

  打开审核策略

  Windows 2000的默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核(如图1)。  

Windows2000安全审核让入侵者显形(图)
  图1制定审核策略

  策略更改:安全策略更改,包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。

  登录事件:对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。

  对象访问:必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。

  过程追踪:详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。

  目录服务访问:记录对Active Directory的访问,这一类需要审核它的失败事件。

  特权使用:某一特权的使用;专用特权的指派,这一类需要审核它的失败事件。

  系统事件:与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件,这一类必须同时审核它的成功和失败事件。

  账户登录事件:验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。

  账户管理:创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。

  打开以上的审核后,当有人尝试对你的系统进行某些方式(如尝试用户密码,改变账户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来,存放在“事件查看器”中的安全日志中。

  另外在“本地安全策略”中还可开启账户策略,如在账户锁定策略中设定,账户锁定阀值为三次(那么当三次无效登录将锁定),然后将账户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次,而且还要冒着被记录追踪的危险。

  审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少的话,你如果想查看黑客攻击的迹象却发现没有记录,那就没办法了,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完那些安全日志,这样就失去了审核的意义。
 
  对文件和文件夹访问的审核

  对文件和文件夹访问的审核,首先要求审核的文件或文件夹必须位于NTFS分区之上,其次必须如上所述打开对象访问事件审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。
Windows2000安全审核让入侵者显形(图)

  图2审核项目的确定
  
Windows2000安全审核让入侵者显形(图)

  图3决定是否要继承审核

  在所选择的文件或文件夹的属性窗口的“安全”页面上,点击[高级]按钮;在“审核”页面上,点击[添加]按钮,选择想对该文件或文件夹访问进行审核的用户,单击[确定];在“审核项目”对话框中,为想要审核的事件选择“成功”或是“失败”复选框(如图2),选择完成后确定。返回到“访问控制设置”对话框,默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可(如图3)。

  审核结果的查看和维护

  设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。
  

Windows2000安全审核让入侵者显形(图)

  图4事件查看

  在“管理工具”中运行“事