史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   誰動了我的文件 (http://forum.slime.com.tw/thread114942.html)

psac 2004-06-27 10:00 PM

誰動了我的文件
 
誰動了我的文件
作者:.com.cn


老闆給分配了這樣一個工作:他想要知道每個員工每天都在公司的幾台公用電腦上何時執行過什麼程序以及何時訪問過本機硬碟的哪些文件,而這個監控活動還不能讓員工發現。經過考慮我想出了一個方法,利用Windows XP的稽核原則。

要使用這種方法,首先要滿足以下條件:

操作系統為Windows XP Professional (必需是Professional版)或者Windows Server 2003

硬碟分區都是NTFS文件系統

在資料夾選項的檢視選擇項下禁用了簡單文件共享
公司使用公用電腦的員工都有自己的用戶帳戶(這樣才知道哪個賬戶對應的是哪位員工),並且這些員工的賬戶都只能有最基本的權限(以防他們修改原則設定)

下面開始設定,首先是要開啟電腦上的稽核原則。


以具有管理員權限的帳戶登錄,在執行中輸入「Gpedit.msc」並Enter鍵,開啟群組原則編輯器,在左側的面板中依次展開「電腦配置-Windows設定-安全性設定-本機原則-稽核原則」,然後在右側的面板中雙按開啟「稽核對像訪問」這個原則,選「成功」後點擊確定,關閉這個視窗。

http://www.cctips.com/backup/xp/auditingpolicy/1.png


假設我們的程序都安裝在「C:\Program Files」資料夾下,那麼開啟我的電腦,並進入到C碟(NTFS文件系統),在Program Files資料夾上點擊滑鼠右鍵,選項「內容」(已禁用簡單文件共享),接著在內容視窗的「安全」選擇項上點擊「進階」按鈕,開啟進階內容的「稽核」選擇項。


點擊「增加」按鈕,然後在「選項用戶和組」對話視窗中輸入「Everyone」並Enter鍵,接著你會看到圖二的界面,一定要確保在「套用到」下拉功能表中選項的是「該檔案夾,子資料夾及文件」,然後在下面的對話視窗中選「遍歷資料夾/執行文件」這個選項右側的「成功」複選框。


這樣以後所有對Program Files資料夾內所有子資料夾的成功訪問以及所有文件的成功執行都會被系統記錄起來。

http://www.cctips.com/backup/xp/auditingpolicy/2.png




現在就可以放心讓員工使用電腦了,只要他們訪問到了之前我們進行稽核的任何對象,系統都會忠實地記錄,這些記錄是通過事件檢視器 檢視的。

同樣以具有管理員權限的帳戶登錄,在執行中輸入「eventvwr.exe」並Enter鍵,開啟事件檢視器 ,點擊左側的「安全性」條目,所有的稽核日誌以及其他一些安全日誌都會顯示在這裡。


雙按任何一個開啟後可以看到圖三的界面,以圖三顯示的日誌為例,這個日誌就說明了在2004年2月27日中午11點半,用戶「c_c_liu」在名為「alex-xp2」的電腦上成功執行了Windows 檔案總管。


http://www.cctips.com/backup/xp/auditingpolicy/3.png



如果你覺得這裡顯示的內容太多不好檢視,也可以使用篩選器過濾掉其他無關資訊。


在事件檢視器 的「檢視」功能表下點擊「篩選」,然後可以看到圖四的界面,其中「事件類型」下選項「成功稽核」,「事件來源」選項「Security」,「類別」選項「對像訪問」,「用戶」處輸入想要檢視執行程序的用戶帳戶名稱,並點擊確定,所有符合要求的日誌就會全部顯示出來。

http://www.cctips.com/backup/xp/auditingpolicy/4.png

如果你需要檢視其他電腦上的日誌,也不用專門在其他電腦上操作那麼麻煩,只要所有電腦都位於同一個區域網路中,直接在一台電腦上就可以做到(需要具有其他電腦的管理員權限)。


同樣是在事件檢視器 中,在左側列表的「事件檢視器 (本機)」上點擊滑鼠右鍵,選項「連線到另一台電腦」,然後在彈出的新視窗中輸入電腦的名稱點擊「確定」,稍等片刻就可以連線到網路中的其他電腦,

http://www.cctips.com/backup/xp/auditingpolicy/5.png

可以仔細看一下區別,左側列表中的名稱便成了「事件檢視器 (遠端機器名稱)」。

在這裡需要注意一下,連接遠端電腦的事件檢視器 時你可能會遇到訪問被拒絕的情況,這個原因說起來很麻煩,不過解決方法很簡單,通過網路鄰居訪問一下遠端電腦,並在彈出的認證對話視窗中輸入一個有效的用戶名和密碼,點選「記住我的密碼」。



這樣再次連接的時候就不會被拒絕了。

當然,訪問完成後你可能希望刪除這個記住的密碼,在控制台中開啟「用戶帳戶」,點選你使用的賬戶後點擊左側的「管理我的網路密碼」,然後會出現一個類似圖六的視窗,在這裡刪除相應的記錄即可。

http://www.cctips.com/backup/xp/auditingpolicy/6.png

稽核原則的功能是非常強大的,不僅對資料夾的訪問和文件的執行,其他的,例如用戶的登入和登出、列印機的使用以及系統設定的更改都逃不過稽核原則的監視。


不過在使用稽核原則的同時還有一些問題要注意:

首先,稽核是一種很佔用電腦資源的操作,尤其是當你要稽核的對象非常多時,很有可能會降低系統的效能。


因此只有在需要的時候才開啟必需的稽核原則。

其次,儲存稽核日誌是需要硬碟空間的,如果你稽核的對象非常多,而對象的變動也很頻繁的話那麼短時間內稽核日誌就可能會佔據了大量的硬碟空間。


因此日誌需要經常性檢視和清理,這個將會在後面說明。

最後,記得給你的稽核日誌規定一個合適的大小,因為預設情況下稽核日誌的所佔用的硬碟空間是被限定的,如果你的日誌太多,那麼新的日誌就會沖掉舊的,這樣一些重要的資訊可能就會因為被沖掉而被忽略了。

最後要說的就是稽核日誌大小的設定以及管理方法。

同樣是執行eventvwr.exe開啟事件檢視器 ,在左側面板的「安全性」條目上點擊滑鼠右鍵,選項「內容」,將能看到圖七的對話視窗,你可以根據需要把日誌文件的大小設定為10000KB,也可以設定當日誌達到規定大小後所採取的操作。

這樣就不會漏掉重要的日誌,也不用擔心日誌佔用了太多的硬碟空間。

當然,在檢視完所有的日之後可以點擊「清除日誌」按鈕把這些記錄全部刪掉。

http://www.cctips.com/backup/xp/auditingpolicy/7.png


希望通過這個例子,你能用好稽核原則,使你的系統更安全。

貝斯特 2004-06-28 12:54 AM

不錯的教學......

飛鳥 2004-07-01 12:19 AM

同時可使用mmc工具來自行組合喜歡的工具
開始->執行->"mmc"
這工具可以自己組合喜歡的工具,使管理者不用記太多的.msc工具

pinga 2004-07-03 02:02 PM

所以,FAT不支援這些功能是嗎?


所有時間均為台北時間。現在的時間是 08:58 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1