二十二、如何进行系统日志审核

    审核是WindowsNT/2000中本地安全策略的一部分，它是一个维护系统安全性的工具，允许你跟踪用户的活动和WindowsNT/2000系统的活动，这些活动称为事件。

    根据监控审核结果，管理员就可以将计算机资源的非法使用消除或减到最小；通过审核，我们可以记录下列信息：哪些用户企图登录到系统中，或从系统中注销、登录或注销的日期和时间是否成功等；哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问；系统的安全选项进行了哪些更改；用户帐户进行了哪些更改，是否增加或删除了用户等等。通过查看这些信息，我们就能够及时发现系统存在的安全隐患，通过了解指定资源的使用情况来指定资源使用计划。具体配置过程如下（以Windows 2000为例）：

    审核策略的设置

    为运行Windows 2000的计算机设置审核策略，需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下：

    首先进入“控制面板”，打开“管理工具”程序组，选择“本地安全策略”；在“本地安全策略”窗口的控制台目录树中，单击“本地策略”；然后选择“审核策略”， 选中要审核的事件，在操作菜单中选择“安全性”（也可以右键），或是双击所选择的审核事件；在策略设置窗口中，选择 “成功”复选框或“失败”复选框，或是将二者全部选中见下图所示：

   

   

    审核策略设置完成后，需要重新启动计算机才能生效。

    对文件和文件夹访问的审核

    对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。设置的步骤如下：

    在“审核”页面上，点击“添加”按钮，选择想对文件或文件夹访问进行审核的用户，单击“确定”； 在“审核项目”对话框中，为想要审核的事件选择“成功”或是“失败”复选框，选择完成后确定，见下图：

    以C:\WINNT目录为例，右键该目录，选择属性，选择“安全”标签

   

    再选择高级，

   

    添加所要设置的用户名或者用户组

   

    确定后，就会出来如下所示：

   

    默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，请清空 “允许将来自父系的可继承审核项目传播给该对象” 复选框即可，相关界面见下图所示：

   

    对打印机访问的审核

    对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下：首先选取打印机的属性窗口，选择“安全”页面，点击“高级”按钮；然后在“审核”页面，点击“添加”按钮，选择想对打印机访问进行审核的用户或组（过程和上图基本类似）；最后还要在“项目审核”窗口中，在“应用到”下拉列表中选择审核应用的目标，在“访问”列表中为审核的事件选择“成功”或“失败”检查框。设置完成后，请点击“确定”。相关界面见下图：

   

二十三、系统日志审核的查看和维护

    在WindowsNT/2000中设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。操作过程如下（以Windows2000为例）：

    安全日志文件、系统日志文件、应用程序日志文件均可以通过“事件察看器”来查看。打开“控制面板”里“管理工具”“事件查看器”：

   

    左边分别是“应用程序日志”，“安全日志”，“系统日志”三部分，分别选择想要查询的日志，在右边就会有事件列表出来，栏目字段解释：

    “类型”： 有三个级别，一般信息（），警告信息（），错误信息（）

    日期和时间： 记录时间发生的日期和时间

    来源： 这类事件是由什么程序，系统什么软件运行产生的

    分类： 区分事件类型

    事件： 一般来说是有系统进程号来唯一标示的。

    用户： 是由什么用户运行产生的，其中N/A表示是由程序本身产生的。

    计算机： 表示日志发生在那台计算机上，一般是计算机名。

    双击某一个事件，会得到该事件的详细信息。如下图。

   

    其中，描述栏里面就是对应事件的详细描述，如果该事件和数据有关，比如内存段访问错误，那么在数据段里就会有相关的数据

    FTP和WWW服务的日志是文本文件，直接通过记事本就可以进行查看。比如某FTP服务器日志：

   

    每一行的意思：

    04:11:03：事件发生的时间，日期由文件名（如果是设置每天记录）决定。

    192.168.7.201： 访问方IP

    [1]： 为FTP标示每个连接的ID号。

    USER anonymous： 表示访问用户是anonymous

    331： 状态码

    注：日志记录的各个字段的意义并不是固定的，取决与配置FTP日志文件格式选择的字段。

    以某个WWW服务器日志记录为例：

   

    2002-11-20 06:54:41：事件发生日期

    192.168.7.167： 访问者的IP

    192.168.7.110： 服务器的IP

    80： 访问的端口号

    GET / ：用户请求的内容

    403：服务器返回给用户的状态码（403表示权限不够）

    Mozilla/4.0+（compatible;+MSIE+6.0;+Windows+NT+5.1）：表示用户使用的客户端软件标志。

二十四、日志审核文件属性的编辑

    对于WindowsNT/2000系统而言，随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以从64KB到4GB，默认情况下是512KB。如果要对审核事件的默认属性进行编辑，可以实行如下操作（以Windows2000为例）：

    首先在事件查看器的控制树选中“安全日志”项，接着点击“操作”菜单的“属性”项，

    进入安全日志的属性窗口，然后在“常规”标签页面上，可以对日志文件的大小进行设置；对于日志文件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件、改写设定天数的事件和不改写事件。

   

   

二十五、系统安全小结

    操作系统安全的防护工作永无止境，按照以上推荐的方法进行安装和配置，遵守安全设置规则只是防护系统安全的开始。为Windows NT/2000系统提供安全的运行环境需要不断地努力，因此我们建议你至少应该做到以下几条：

    经常访问微软升级程序站点，了解补丁的最新发布情况；

    订阅微软安全公告，及时了解最新发现的Windows NT/2000系统漏洞；2002年微软部分安全公告链接网址如下：

    http://www.jstvu.edu.cn/shadu/xitongld.htm

    安装重要升级通告服务，这样才能尽快获取最新的重要升级程序；

    定期运行安全扫描工具或经常阅读网上相关的漏洞分析资料，确保系统没有遗漏任何补丁程序；微软提供了一个叫Microsoft Baseline Security Analyzer的工具，可以定期检测系统漏洞，IIS漏洞，弱帐号等等。

来源：巨灵鸟 欢迎分享本文