安全审核让入侵者无处遁形

• 作为一个网管员，你是否知道在你的主机或服务器上发生的事情——谁来访问过？他们都做过些什么？目的是什么？什么？你不知道！其实windows 2000给我们提供了一项安全审核功能，我们做管理员这行的，最需要熟悉的就是这一功能了，否则你怎么管呢？安全审核可以用日志的形式记录好几种与安全相关的事件，你可以使用其中的信息来生成一个有规律活动的概要文件，发现和跟踪可疑事件，并留下关于某一侵入者活动的有效法律证据。
  打开审核策略
  
  Windows 2000的默认安装没有打开任何安全审核，所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件，对于每一类都可以指明是审核成功事件、失败事件，还是两者都审核(如图1)。
  
  策略更改：安全策略更改，包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。
  
  登录事件：对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。
  
  对象访问：必须启用它以允许审核特定的对象，这一类需要审核它的失败事件。
  
  过程追踪：详细跟踪进程调用、重复进程句柄和进程终止，这一类可以根据需要选用。
  
  目录服务访问：记录对 Active Directory 的访问，这一类需要审核它的失败事件。
  
  特权使用：某一特权的使用；专用特权的指派，这一类需要审核它的失败事件。
  
  系统事件：与安全（如系统关闭和重新启动）有关的事件；影响安全日志的事件，这一类必须同时审核它的成功和失败事件。
  
  账户登录事件：验证（账户有效性）通过网络对本地计算机的访问，这一类必须同时审核它的成功和失败事件。
  
  账户管理：创建、修改或删除用户和组，进行密码更改，这一类必须同时审核它的成功和失败事件。
  
  打开以上的审核后，当有人尝试对你的系统进行某些方式（如尝试用户密码，改变账户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来，存放在“事件查看器”中的安全日志中。
  
  另外在“本地安全策略”中还可开启账户策略，如在账户锁定策略中设定，账户锁定阀值为三次（那么当三次无效登录将锁定），然后将账户锁定时间设定为30分钟，甚至更长。这样，黑客想要攻击你，一天24小时试密码也试不了几次，而且还要冒着被记录追踪的危险。
  
  审核策略设置完成后，需要重新启动计算机才能生效。这里需要说明的是，审核项目既不能太多，也不能太少。如果太少的话，你如果想查看黑客攻击的迹象却发现没有记录，那就没办法了，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完那些安全日志，这样就失去了审核的意义。
  
  对文件和文件夹访问的审核
  
  对文件和文件夹访问的审核，首先要求审核的文件或文件夹必须位于NTFS分区之上，其次必须如上所述打开对象访问事件审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。
  
• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 安全审核让入侵者无处遁形 相关文章：
• ·Win 2000安全审核让入侵者无处遁形图
• 安全审核让入侵者无处遁形 相关软件

上一篇:让你的Outlook Express无懈可击

下一篇:防御局域网攻击 ZT

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com