Windows 2000系统审核探究

蓝信子

　　审核概述 　　 　　审核，是Win2000中本地安全策略的一部分，它是一个维护系统安全性的工具，允许你跟踪用户的活动和Win2000系统的活动，这些活动称为事件。在运行Windows 2000 Professional的计算机设置了审核策略，就可以监控成功或失败的事件。根据监控结果，管理员就可以将计算机资源的非法使用消除或减到最小。设置审核的事件发生时，Win2000将事件执行的情况记录到安全日志中。安全日志中的每一个审核条目都包含三个方面的内容：执行的动作；执行动作的用户；事件发生的时间及成功与否。安全日志的查看和管理通过Win2000的管理工具——“事件查看器”来完成。 　　我们在使用计算机的过程中，都希望系统能够将以下信息记录下来： 　　 　　哪些用户企图登录到系统中，或从系统中注销、登录或注销的日期和时间是否成功等；哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问；系统的安全选项进行了哪些更改；用户帐户进行了哪些更改，是否增加或删除了用户等等。通过查看这些信息，我们就能够及时发现系统存在的安全隐患，通过了解指定资源的使用情况来指定资源使用计划。 　　 　　现在这些愿望都已成为可能，这就是利用Win2000的审核功能，应用Win2000的审核功能会使你感到：系统的安全程度提高了。 　　 　　 　　审核的设置 　　 　　1．审核策略的设置 　　为运行Windows 2000 Professional的计算机设置审核策略，需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下： 　　 　　在“开始”菜单上选择“程序”→“管理工具”→“本地安全策略”。如果在“开始”菜单中找不到“管理工具”程序组，则进入“控制面板”，打开“管理工具”程序组，选择“本地安全策略”。（如果在“开始”菜单的设置中没有选择“显示管理工具”。则“管理工具”不会出现在“开始”菜单中）； 　　 　　在“本地安全策略”窗口的控制台目录树中，单击“本地策略”，然后选择“审核策略”； 　　 　　选中要审核的事件，在操作菜单中选择“安全性”，或是双击所选择的审核事件； 　　 　　在策略设置窗口中，选择“成功”复选框或“失败”复选框，或是将二者全部选中（见图1）。 　　　

登录/注册后可看大图

　　图1 本地安全策略设置 　　 　　审核策略设置完成后，需要重新启动计算机才能生效。 　　 　　2．对文件和文件夹访问的审核 　　对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。 　　 　　设置的步骤如下： 　　在所选择的文件或文件夹的属性窗口的“安全”页面上，点击“高级”按钮； 　　 　　在“审核”页面上，点击“添加”按钮，选择想对文件或文件夹访问进行审核的用户，单击“确定”； 　　　

登录/注册后可看大图

　　图2 审核项目 　　 　　在“审核项目”对话框中，为想要审核的事件选择“成功”或是“失败”复选框，选择完成后确定。（见图2）。 　　　

登录/注册后可看大图

　　图3 访问控制设置 　　 　　返回到“访问控制设置”对话框。默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可。（见图３）。 　　 　　确认并返回。 　　 　　3．对打印机访问的审核 　　对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下： 　　 　　在选择的打印机的属性窗口，选择“安全”页面，点击“高级”按钮。 　　 　　在“审核”页面，点击“添加”按钮，选择想对打印机访问进行审核的用户或组，点击“确定”。 　　　

登录/注册后可看大图

　　图4 打印机的项目审核 　　 　　在项目审核窗口中，在“应用到”下拉列表中选择审核应用的目标；在“访问”列表中为审核的事件选择“成功”或“失败”检查框。设置完成后，点击“确定”。（见图４）。 　　 　　审核结果的查看和维护 　　设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。 　　 　　1．打开“开始”菜单，指向“程序”→“管理工具”→“事件查看器”。如果“开始”菜单中没有“管理工具”，则进入控制面板，打开“管理工具”，运行“事件查看器”。 　　 　　2．在事件查看器窗口的控制台树选择“安全日志”。在右边的窗格显示日志条目的列表，以及每一条目的摘要信息，包括日期、事件、来源、分类、事件、用户和计算机名。成功的事件前显示一钥匙图标，而失败的事件则显示锁的图标。（见图５）。 　　

登录/注册后可看大图

　　 　　图5 事件查看器 　　 　　3．如果想查看某一条目的详细信息，双击选择的条目；或是选择一条目后，点击“操作”菜单的“属性”项。 　　 　　4．如果要查看某一指定类型的事件，或某一时间段发生的事件，或某一用户的事件，就需要运用事件查看器的查找功能。具体操作如下： 　　 　　确认控制树中当前选定的项目是“安全日志”，点击查看菜单的“查找”项。 　　 　　在查找窗口中，选择或输入相应的条件，点击“查找下一个”按钮，符合条件的事件就会在事件查看器的事件列表窗格中反显出来。 　　 　　5．如果想在事件查看器的事件列表窗格中只列出符合相应条件的事件，这时要用到筛选功能。具体操作如下： 　　 　　确认控制树中当前选定的项目是“安全日志”，点击“查看”→“筛选”。 　　 　　在“筛选器”页面中，选择或输入相应的条件后，点击“确定”按钮，符合条件的事件就会在事件查看器的事件列表窗格中显示出来。 　　 　　6．随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以从64KB到4GB，默认情况下是512KB。如何更改日志文件的大小，或当日志文件达到了所设定的大小时，自动进行那些操作呢？所有这些都可以通过更改日志文件的属性来实现。在事件查看器的控制树选中“安全日志”项，点击“操作”菜单的“属性”项，进入安全日志的属性窗口，在“常规”标签页面上，可以对日志文件的大小进行设置；对于日志文件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件；改写久于设定天数的事件和不改写事件。 　　 　　在Win2000系统中使用审核策略，虽然不能对用户的访问进行控制，但是管理员根据审核结果及时查看安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而采取相应的措施将系统的不安全因素减到最低限度，从而营造一个更加安全可靠的Windows 2000系统平台。 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 　　 <