史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-06-27, 10:00 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 誰動了我的文件

誰動了我的文件
作者:.com.cn


老闆給分配了這樣一個工作:他想要知道每個員工每天都在公司的幾台公用電腦上何時執行過什麼程序以及何時訪問過本機硬碟的哪些文件,而這個監控活動還不能讓員工發現。經過考慮我想出了一個方法,利用Windows XP的稽核原則。

要使用這種方法,首先要滿足以下條件:

操作系統為Windows XP Professional (必需是Professional版)或者Windows Server 2003

硬碟分區都是NTFS文件系統

在資料夾選項的檢視選擇項下禁用了簡單文件共享
公司使用公用電腦的員工都有自己的用戶帳戶(這樣才知道哪個賬戶對應的是哪位員工),並且這些員工的賬戶都只能有最基本的權限(以防他們修改原則設定)

下面開始設定,首先是要開啟電腦上的稽核原則。


以具有管理員權限的帳戶登錄,在執行中輸入「Gpedit.msc」並Enter鍵,開啟群組原則編輯器,在左側的面板中依次展開「電腦配置-Windows設定-安全性設定-本機原則-稽核原則」,然後在右側的面板中雙按開啟「稽核對像訪問」這個原則,選「成功」後點擊確定,關閉這個視窗。

http://www.cctips.com/backup/xp/auditingpolicy/1.png


假設我們的程序都安裝在「C:\Program Files」資料夾下,那麼開啟我的電腦,並進入到C碟(NTFS文件系統),在Program Files資料夾上點擊滑鼠右鍵,選項「內容」(已禁用簡單文件共享),接著在內容視窗的「安全」選擇項上點擊「進階」按鈕,開啟進階內容的「稽核」選擇項。


點擊「增加」按鈕,然後在「選項用戶和組」對話視窗中輸入「Everyone」並Enter鍵,接著你會看到圖二的界面,一定要確保在「套用到」下拉功能表中選項的是「該檔案夾,子資料夾及文件」,然後在下面的對話視窗中選「遍歷資料夾/執行文件」這個選項右側的「成功」複選框。


這樣以後所有對Program Files資料夾內所有子資料夾的成功訪問以及所有文件的成功執行都會被系統記錄起來。

http://www.cctips.com/backup/xp/auditingpolicy/2.png




現在就可以放心讓員工使用電腦了,只要他們訪問到了之前我們進行稽核的任何對象,系統都會忠實地記錄,這些記錄是通過事件檢視器 檢視的。

同樣以具有管理員權限的帳戶登錄,在執行中輸入「eventvwr.exe」並Enter鍵,開啟事件檢視器 ,點擊左側的「安全性」條目,所有的稽核日誌以及其他一些安全日誌都會顯示在這裡。


雙按任何一個開啟後可以看到圖三的界面,以圖三顯示的日誌為例,這個日誌就說明了在2004年2月27日中午11點半,用戶「c_c_liu」在名為「alex-xp2」的電腦上成功執行了Windows 檔案總管。


http://www.cctips.com/backup/xp/auditingpolicy/3.png



如果你覺得這裡顯示的內容太多不好檢視,也可以使用篩選器過濾掉其他無關資訊。


在事件檢視器 的「檢視」功能表下點擊「篩選」,然後可以看到圖四的界面,其中「事件類型」下選項「成功稽核」,「事件來源」選項「Security」,「類別」選項「對像訪問」,「用戶」處輸入想要檢視執行程序的用戶帳戶名稱,並點擊確定,所有符合要求的日誌就會全部顯示出來。

http://www.cctips.com/backup/xp/auditingpolicy/4.png

如果你需要檢視其他電腦上的日誌,也不用專門在其他電腦上操作那麼麻煩,只要所有電腦都位於同一個區域網路中,直接在一台電腦上就可以做到(需要具有其他電腦的管理員權限)。


同樣是在事件檢視器 中,在左側列表的「事件檢視器 (本機)」上點擊滑鼠右鍵,選項「連線到另一台電腦」,然後在彈出的新視窗中輸入電腦的名稱點擊「確定」,稍等片刻就可以連線到網路中的其他電腦,

http://www.cctips.com/backup/xp/auditingpolicy/5.png

可以仔細看一下區別,左側列表中的名稱便成了「事件檢視器 (遠端機器名稱)」。

在這裡需要注意一下,連接遠端電腦的事件檢視器 時你可能會遇到訪問被拒絕的情況,這個原因說起來很麻煩,不過解決方法很簡單,通過網路鄰居訪問一下遠端電腦,並在彈出的認證對話視窗中輸入一個有效的用戶名和密碼,點選「記住我的密碼」。



這樣再次連接的時候就不會被拒絕了。

當然,訪問完成後你可能希望刪除這個記住的密碼,在控制台中開啟「用戶帳戶」,點選你使用的賬戶後點擊左側的「管理我的網路密碼」,然後會出現一個類似圖六的視窗,在這裡刪除相應的記錄即可。

http://www.cctips.com/backup/xp/auditingpolicy/6.png

稽核原則的功能是非常強大的,不僅對資料夾的訪問和文件的執行,其他的,例如用戶的登入和登出、列印機的使用以及系統設定的更改都逃不過稽核原則的監視。


不過在使用稽核原則的同時還有一些問題要注意:

首先,稽核是一種很佔用電腦資源的操作,尤其是當你要稽核的對象非常多時,很有可能會降低系統的效能。


因此只有在需要的時候才開啟必需的稽核原則。

其次,儲存稽核日誌是需要硬碟空間的,如果你稽核的對象非常多,而對象的變動也很頻繁的話那麼短時間內稽核日誌就可能會佔據了大量的硬碟空間。


因此日誌需要經常性檢視和清理,這個將會在後面說明。

最後,記得給你的稽核日誌規定一個合適的大小,因為預設情況下稽核日誌的所佔用的硬碟空間是被限定的,如果你的日誌太多,那麼新的日誌就會沖掉舊的,這樣一些重要的資訊可能就會因為被沖掉而被忽略了。

最後要說的就是稽核日誌大小的設定以及管理方法。

同樣是執行eventvwr.exe開啟事件檢視器 ,在左側面板的「安全性」條目上點擊滑鼠右鍵,選項「內容」,將能看到圖七的對話視窗,你可以根據需要把日誌文件的大小設定為10000KB,也可以設定當日誌達到規定大小後所採取的操作。

這樣就不會漏掉重要的日誌,也不用擔心日誌佔用了太多的硬碟空間。

當然,在檢視完所有的日之後可以點擊「清除日誌」按鈕把這些記錄全部刪掉。

http://www.cctips.com/backup/xp/auditingpolicy/7.png


希望通過這個例子,你能用好稽核原則,使你的系統更安全。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-06-28, 12:54 AM   #2 (permalink)
長老會員
 
貝斯特 的頭像
榮譽勳章
UID - 90669
在線等級: 級別:1 | 在線時長:11小時 | 升級還需:1小時
註冊日期: 2003-08-06
住址: The Gates of Hell
文章: 1758
現金: 15064 金幣
資產: 5185909 金幣
預設

不錯的教學......
__________________

給自己看也給所有需要這些話鼓勵的人看!

認真不一定會得到美好的結果,但是不認真就一定沒有

想要有什麼結果,就秉持你的雙手
放手去做
總比什麼都沒付出最後失敗了才嘆氣來的好吧
沒努力的人.沒有資格說放棄
努力過的人.更要有勇氣繼續努力下去
貝斯特 目前離線  
送花文章: 1, 收花文章: 38 篇, 收花: 123 次
舊 2004-07-01, 12:19 AM   #3 (permalink)
協調管理員
 
飛鳥 的頭像
榮譽勳章
UID - 23073
在線等級: 級別:72 | 在線時長:5513小時 | 升級還需:108小時級別:72 | 在線時長:5513小時 | 升級還需:108小時
註冊日期: 2003-01-07
VIP期限: 無限期
住址: 史萊姆團隊
文章: 7199
精華: 11
現金: 837 金幣
資產: 260029 金幣
預設

同時可使用mmc工具來自行組合喜歡的工具
開始->執行->"mmc"
這工具可以自己組合喜歡的工具,使管理者不用記太多的.msc工具
__________________
http://flybird017.googlepages.com/quok.gif http://flybird020.googlepages.com/new321.gif
寶貝你我的地球
, 請 少開電器,減少溫室氣體排放外,多種植植物,減少列印, 多用背面,丟棄時做垃圾分類。

http://netgames123.googlepages.com/tobikeways.jpg

飛鳥 目前離線  
送花文章: 11705, 收花文章: 3363 篇, 收花: 16453 次
舊 2004-07-03, 02:02 PM   #4 (permalink)
註冊會員
榮譽勳章
UID - 22269
在線等級: 級別:6 | 在線時長:74小時 | 升級還需:3小時
註冊日期: 2003-01-05
VIP期限: 2008-04
文章: 304
精華: 0
現金: 6245 金幣
資產: 6245 金幣
預設

所以,FAT不支援這些功能是嗎?
pinga 目前離線  
送花文章: 266, 收花文章: 3 篇, 收花: 3 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:19 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1