二十二、如何進行系統日志審核

    審核是WindowsNT/2000中本地安全策略的一部分，它是一個維護系統安全性的工具，允許你跟蹤用戶的活動和WindowsNT/2000系統的活動，這些活動稱為事件。

    根據監控審核結果，管理員就可以將計算機資源的非法使用消除或減到最小；通過審核，我們可以記錄下列信息：哪些用戶企圖登錄到系統中，或從系統中注銷、登錄或注銷的日期和時間是否成功等；哪些用戶對指定的文件、文件夾或打印機進行哪種類型的訪問；系統的安全選項進行了哪些更改；用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等。通過查看這些信息，我們就能夠及時發現系統存在的安全隱患，通過了解指定資源的使用情況來指定資源使用計劃。具體配置過程如下（以Windows 2000為例）：

    審核策略的設置

    為運行Windows 2000的計算機設置審核策略，需要運行管理工具中的本地安全策略工具進行設置。具體設置步驟如下：

    首先進入“控制面板”，打開“管理工具”程序組，選擇“本地安全策略”；在“本地安全策略”窗口的控制臺目錄樹中，單擊“本地策略”；然后選擇“審核策略”， 選中要審核的事件，在操作菜單中選擇“安全性”（也可以右鍵），或是雙擊所選擇的審核事件；在策略設置窗口中，選擇 “成功”復選框或“失敗”復選框，或是將二者全部選中見下圖所示：

   

   

    審核策略設置完成后，需要重新啟動計算機才能生效。

    對文件和文件夾訪問的審核

    對文件和文件夾訪問的審核，首先要求審核的對象必須位于NTFS分區之上，其次必須為對象訪問事件設置審核策略。符合以上條件，就可以對特定的文件或文件夾進行審核，并且對哪些用戶或組指定哪些類型的訪問進行審核。設置的步驟如下：

    在“審核”頁面上，點擊“添加”按鈕，選擇想對文件或文件夾訪問進行審核的用戶，單擊“確定”； 在“審核項目”對話框中，為想要審核的事件選擇“成功”或是“失敗”復選框，選擇完成后確定，見下圖：

    以C:\WINNT目錄為例，右鍵該目錄，選擇屬性，選擇“安全”標簽

   

    再選擇高級，

   

    添加所要設置的用戶名或者用戶組

   

    確定后，就會出來如下所示：

   

    默認情況下，對父文件夾所做的審核更改將應用于其所包含子文件夾和文件。如果不想將父文件夾所進行的審核更改應用到當前所選擇的文件或文件夾，請清空 “允許將來自父系的可繼承審核項目傳播給該對象” 復選框即可，相關界面見下圖所示：

   

    對打印機訪問的審核

    對打印機訪問進行審核，要求必須為對象訪問事件設置審核策略。滿足這個條件就能夠對特定的打印機進行審核，并能夠審核指定的訪問類型以及審核擁有訪問權限的用戶。審核步驟如下：首先選取打印機的屬性窗口，選擇“安全”頁面，點擊“高級”按鈕；然后在“審核”頁面，點擊“添加”按鈕，選擇想對打印機訪問進行審核的用戶或組（過程和上圖基本類似）；最后還要在“項目審核”窗口中，在“應用到”下拉列表中選擇審核應用的目標，在“訪問”列表中為審核的事件選擇“成功”或“失敗”檢查框。設置完成后，請點擊“確定”。相關界面見下圖：

   

二十三、系統日志審核的查看和維護

    在WindowsNT/2000中設置了審核策略和審核事件后，審核所產生的結果都被記錄到安全日志中，安全日志記錄了審核策略監控的事件成功或失敗執行的信息。使用事件查看器可以查看安全日志的內容或是在日志中查找指定事件的詳細信息。操作過程如下（以Windows2000為例）：

    安全日志文件、系統日志文件、應用程序日志文件均可以通過“事件察看器”來查看。打開“控制面板”里“管理工具”“事件查看器”：

   

    左邊分別是“應用程序日志”，“安全日志”，“系統日志”三部分，分別選擇想要查詢的日志，在右邊就會有事件列表出來，欄目字段解釋：

    “類型”： 有三個級別，一般信息（），警告信息（），錯誤信息（）

    日期和時間： 記錄時間發生的日期和時間

    來源： 這類事件是由什么程序，系統什么軟件運行產生的

    分類： 區分事件類型

    事件： 一般來說是有系統進程號來唯一標示的。

    用戶： 是由什么用戶運行產生的，其中N/A表示是由程序本身產生的。

    計算機： 表示日志發生在那臺計算機上，一般是計算機名。

    雙擊某一個事件，會得到該事件的詳細信息。如下圖。

   

    其中，描述欄里面就是對應事件的詳細描述，如果該事件和數據有關，比如內存段訪問錯誤，那么在數據段里就會有相關的數據

    FTP和WWW服務的日志是文本文件，直接通過記事本就可以進行查看。比如某FTP服務器日志：

   

    每一行的意思：

    04:11:03：事件發生的時間，日期由文件名（如果是設置每天記錄）決定。

    192.168.7.201： 訪問方IP

    [1]： 為FTP標示每個連接的ID號。

    USER anonymous： 表示訪問用戶是anonymous

    331： 狀態碼

    注：日志記錄的各個字段的意義并不是固定的，取決與配置FTP日志文件格式選擇的字段。

    以某個WWW服務器日志記錄為例：

   

    2002-11-20 06:54:41：事件發生日期

    192.168.7.167： 訪問者的IP

    192.168.7.110： 服務器的IP

    80： 訪問的端口號

    GET / ：用戶請求的內容

    403：服務器返回給用戶的狀態碼（403表示權限不夠）

    Mozilla/4.0+（compatible;+MSIE+6.0;+Windows+NT+5.1）：表示用戶使用的客戶端軟件標志。

二十四、日志審核文件屬性的編輯

    對于WindowsNT/2000系統而言，隨著審核事件的不斷增加，安全日志文件的大小也不斷增加。日志文件的大小可以從64KB到4GB，默認情況下是512KB。如果要對審核事件的默認屬性進行編輯，可以實行如下操作（以Windows2000為例）：

    首先在事件查看器的控制樹選中“安全日志”項，接著點擊“操作”菜單的“屬性”項，

    進入安全日志的屬性窗口，然后在“常規”標簽頁面上，可以對日志文件的大小進行設置；對于日志文件達到最大尺寸時，用戶根據需要可以有以下三種選擇：改寫事件、改寫設定天數的事件和不改寫事件。

   

   

二十五、系統安全小結

    操作系統安全的防護工作永無止境，按照以上推薦的方法進行安裝和配置，遵守安全設置規則只是防護系統安全的開始。為Windows NT/2000系統提供安全的運行環境需要不斷地努力，因此我們建議你至少應該做到以下幾條：

    經常訪問微軟升級程序站點，了解補丁的最新發布情況；

    訂閱微軟安全公告，及時了解最新發現的Windows NT/2000系統漏洞；2002年微軟部分安全公告鏈接網址如下：

    http://www.jstvu.edu.cn/shadu/xitongld.htm

    安裝重要升級通告服務，這樣才能盡快獲取最新的重要升級程序；

    定期運行安全掃描工具或經常閱讀網上相關的漏洞分析資料，確保系統沒有遺漏任何補丁程序；微軟提供了一個叫Microsoft Baseline Security Analyzer的工具，可以定期檢測系統漏洞，IIS漏洞，弱帳號等等。

來源：巨靈鳥 歡迎分享本文