用Win2000自帶功能讓入侵者無處遁形

psac · 2003-08-11, 08:09 PM

用Win2000自帶功能讓入侵者無處遁形

作為一個網管員，你是否知道在你的主機或伺服器上發生的事情——誰來訪問過？他們都做過些什麼？目的是什麼？什麼？你不知道！其實Windows 2000給我們提供了一項安全稽核功能，我們做管理員這行的，最需要熟悉的就是這一功能了，否則你怎麼管呢？安全稽核可以用日誌的形式記錄好幾種與安全相關的事件，你可以使用其中的信息來產生一個有規律活動的概要文件，發現和跟蹤可疑事件，並留下關於某一侵入者活動的有傚法律證據。

　　開啟稽核原則

　　Windows 2000的預設安裝沒有開啟任何安全稽核，所以需要進入[我的電腦]→[控制台]→[系統管理工具]→[本機安全原則]→[稽核原則]中開啟相應的稽核。系統提供了九類可以稽核的事件，對於每一類都可以指明是稽核成功事件、失敗事件，還是兩者都稽核。

　　

制定稽核原則

原則更改：安全原則更改，包括特權指派、稽核原則修改和信任關係修改。這一類必須同時稽核它的成功或失敗事件。

　　登入事件：對本機電腦的交互式登入或網路連接。這一類必須同時稽核它的成功和失敗事件。

　　對像訪問：必須啟用它以允許稽核特定的對象，這一類需要稽核它的失敗事件。

　　程序追蹤：詳細跟蹤工作使用、重複工作句柄和工作終止，這一類可以根據需要選用。

　　目錄服務訪問：記錄對 Active Directory 的訪問，這一類需要稽核它的失敗事件。

　　特權使用：某一特權的使用；專用特權的指派，這一類需要稽核它的失敗事件。

　　系統事件：與安全（如系統關閉和重新啟動）有關的事件；影響安全日誌的事件，這一類必須同時稽核它的成功和失敗事件。

　　帳戶登錄事件：驗證（賬戶有效性）通過網路對本機電腦的訪問，這一類必須同時稽核它的成功和失敗事件。

　　賬戶管理：新增、修改或刪除用戶和組，進行密碼更改，這一類必須同時稽核它的成功和失敗事件。

　　開啟以上的稽核後，當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼，改變賬戶原則，未經許可的文件訪問等等）入侵的時候，都會被安全稽核記錄下來，存放在「事件檢視器」中的安全日誌中。

　　另外在「本機安全原則」中還可開啟賬戶原則，如在賬戶鎖定原則中設定，賬戶鎖定閥值為三次（那麼當三次無效登入將鎖定），然後將賬戶鎖定時間設定為30分鐘，甚至更長。這樣，黑客想要攻擊你，一天24小時試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險。

　　稽核原則設定完成後，需要重新啟動電腦才能生效。這裡需要說明的是，稽核項目既不能太多，也不能太少。如果太少的話，你如果想檢視黑客攻擊的跡象卻發現沒有記錄，那就沒辦法了，但是稽核項目如果太多，不僅會佔用大量的系統資源，而且你也可能根本沒空去全部看完那些安全日誌，這樣就失去了稽核的意義。

　　對文件和資料夾訪問的稽核

　　對文件和資料夾訪問的稽核，首先要求稽核的文件或資料夾必須位於NTFS分區之上，其次必須如上所述開啟對像訪問事件稽核原則。符合以上條件，就可以對特定的文件或資料夾進行稽核，並且對哪些用戶或組指定哪些類型的訪問進行稽核。

　　

稽核項目的確定

　　　　

決定是否要繼承稽核
在所選項的文件或資料夾的內容視窗的「安全」頁面上，點擊[進階]按鈕；在「稽核」頁面上，點擊[增加]按鈕，選項想對該檔案或資料夾訪問進行稽核的用戶，按下[確定]；在「稽核項目」對話視窗中，為想要稽核的事件選項「成功」或是「失敗」複選框，選項完成後確定。返回到「訪問控制設定」對話視窗，預設情況下，對父資料夾所做的稽核更改將套用於其所包含子資料夾和文件。如果不想將父資料夾所進行的稽核更改套用到當前所選項的文件或資料夾，清空檢查框「允許將來自父系的可繼承稽核項目傳播給該對像」即可。

　　稽核結果的檢視和維護

　　設定了稽核原則和稽核事件後，稽核所產生的結果都被記錄到安全日誌中，使用事件檢視器可以檢視安全日誌的內容或是在日誌中搜尋指定事件的詳細資料。

　　

　事件檢視

在「系統管理工具」中執行「事件檢視器」，選項「安全日誌」。在右側顯示日誌列表，以及每一條目的摘要信息。如果你在幾個登入的失敗稽核後面又發現登入的成功稽核，那你就要仔細檢視這些日誌信息了，如果是密碼太簡單被人猜出，就需要增加密碼的長度和複雜性了。在這裡可以檢視各個事件的詳細資料，還可以搜尋和篩選符合條件的事件。

　　隨著稽核事件的不斷增加，安全日誌文件的大小也會不斷增加，預設情況下日誌文件的大小是512KB，當達到最大日誌尺寸時，系統會改寫7天以前的事件。其實我們可以根據需要進行更改。用滑鼠右擊「事件檢視器」的「安全日誌」項，選項「內容」，進入安全日誌的內容視窗，在「一般」標籤頁面上，網管員可以根據自己實際需要修改系統的這些預設設定，以滿足自己存儲安全日誌的需要。

　　

　安全日誌內容設定

在Windows 2000系統中使用稽核原則，雖然不能對用戶的訪問進行控制，但是你根據開啟稽核產生的安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用情況，從而為我們追蹤黑客提供可靠依據，同時還有利於採取相應的防範措施將系統的不安全因素降到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。

2003-08-11, 11:38 PM

謝謝熱心分享

2003-08-11, 08:09 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	用Win2000自帶功能讓入侵者無處遁形用Win2000自帶功能讓入侵者無處遁形作為一個網管員，你是否知道在你的主機或伺服器上發生的事情——誰來訪問過？他們都做過些什麼？目的是什麼？什麼？你不知道！其實Windows 2000給我們提供了一項安全稽核功能，我們做管理員這行的，最需要熟悉的就是這一功能了，否則你怎麼管呢？安全稽核可以用日誌的形式記錄好幾種與安全相關的事件，你可以使用其中的信息來產生一個有規律活動的概要文件，發現和跟蹤可疑事件，並留下關於某一侵入者活動的有傚法律證據。　　開啟稽核原則　　Windows 2000的預設安裝沒有開啟任何安全稽核，所以需要進入[我的電腦]→[控制台]→[系統管理工具]→[本機安全原則]→[稽核原則]中開啟相應的稽核。系統提供了九類可以稽核的事件，對於每一類都可以指明是稽核成功事件、失敗事件，還是兩者都稽核。　　制定稽核原則原則更改：安全原則更改，包括特權指派、稽核原則修改和信任關係修改。這一類必須同時稽核它的成功或失敗事件。　　登入事件：對本機電腦的交互式登入或網路連接。這一類必須同時稽核它的成功和失敗事件。　　對像訪問：必須啟用它以允許稽核特定的對象，這一類需要稽核它的失敗事件。　　程序追蹤：詳細跟蹤工作使用、重複工作句柄和工作終止，這一類可以根據需要選用。　　目錄服務訪問：記錄對 Active Directory 的訪問，這一類需要稽核它的失敗事件。　　特權使用：某一特權的使用；專用特權的指派，這一類需要稽核它的失敗事件。　　系統事件：與安全（如系統關閉和重新啟動）有關的事件；影響安全日誌的事件，這一類必須同時稽核它的成功和失敗事件。　　帳戶登錄事件：驗證（賬戶有效性）通過網路對本機電腦的訪問，這一類必須同時稽核它的成功和失敗事件。　　賬戶管理：新增、修改或刪除用戶和組，進行密碼更改，這一類必須同時稽核它的成功和失敗事件。　　開啟以上的稽核後，當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼，改變賬戶原則，未經許可的文件訪問等等）入侵的時候，都會被安全稽核記錄下來，存放在「事件檢視器」中的安全日誌中。　　另外在「本機安全原則」中還可開啟賬戶原則，如在賬戶鎖定原則中設定，賬戶鎖定閥值為三次（那麼當三次無效登入將鎖定），然後將賬戶鎖定時間設定為30分鐘，甚至更長。這樣，黑客想要攻擊你，一天24小時試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險。　　稽核原則設定完成後，需要重新啟動電腦才能生效。這裡需要說明的是，稽核項目既不能太多，也不能太少。如果太少的話，你如果想檢視黑客攻擊的跡象卻發現沒有記錄，那就沒辦法了，但是稽核項目如果太多，不僅會佔用大量的系統資源，而且你也可能根本沒空去全部看完那些安全日誌，這樣就失去了稽核的意義。　　對文件和資料夾訪問的稽核　　對文件和資料夾訪問的稽核，首先要求稽核的文件或資料夾必須位於NTFS分區之上，其次必須如上所述開啟對像訪問事件稽核原則。符合以上條件，就可以對特定的文件或資料夾進行稽核，並且對哪些用戶或組指定哪些類型的訪問進行稽核。　　稽核項目的確定　　　　決定是否要繼承稽核在所選項的文件或資料夾的內容視窗的「安全」頁面上，點擊[進階]按鈕；在「稽核」頁面上，點擊[增加]按鈕，選項想對該檔案或資料夾訪問進行稽核的用戶，按下[確定]；在「稽核項目」對話視窗中，為想要稽核的事件選項「成功」或是「失敗」複選框，選項完成後確定。返回到「訪問控制設定」對話視窗，預設情況下，對父資料夾所做的稽核更改將套用於其所包含子資料夾和文件。如果不想將父資料夾所進行的稽核更改套用到當前所選項的文件或資料夾，清空檢查框「允許將來自父系的可繼承稽核項目傳播給該對像」即可。　　稽核結果的檢視和維護　　設定了稽核原則和稽核事件後，稽核所產生的結果都被記錄到安全日誌中，使用事件檢視器可以檢視安全日誌的內容或是在日誌中搜尋指定事件的詳細資料。　　　事件檢視在「系統管理工具」中執行「事件檢視器」，選項「安全日誌」。在右側顯示日誌列表，以及每一條目的摘要信息。如果你在幾個登入的失敗稽核後面又發現登入的成功稽核，那你就要仔細檢視這些日誌信息了，如果是密碼太簡單被人猜出，就需要增加密碼的長度和複雜性了。在這裡可以檢視各個事件的詳細資料，還可以搜尋和篩選符合條件的事件。　　隨著稽核事件的不斷增加，安全日誌文件的大小也會不斷增加，預設情況下日誌文件的大小是512KB，當達到最大日誌尺寸時，系統會改寫7天以前的事件。其實我們可以根據需要進行更改。用滑鼠右擊「事件檢視器」的「安全日誌」項，選項「內容」，進入安全日誌的內容視窗，在「一般」標籤頁面上，網管員可以根據自己實際需要修改系統的這些預設設定，以滿足自己存儲安全日誌的需要。　　　安全日誌內容設定在Windows 2000系統中使用稽核原則，雖然不能對用戶的訪問進行控制，但是你根據開啟稽核產生的安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用情況，從而為我們追蹤黑客提供可靠依據，同時還有利於採取相應的防範措施將系統的不安全因素降到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2003-08-11, 11:38 PM	#2 (permalink)
linlili 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	謝謝熱心分享
linlili 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

Google 提供的廣告