巧妙借助Win2008審核功能,讓系統更安全

　　Windows Server 2008服務器操作系統，在安全性方面有了很大的提高和改善，但是我們仍然難以保證它就一定不會受到病毒的襲擊.為了更好地保證Windows Server 2008系統的安全，相信多數網絡管理員都會不惜重金“請”來各式各樣的專業安全工具，對服務器系統進行安全“護駕”!其實，在手頭沒有任何專業安全工具可以利用的情況下，我們可以依靠Windows Server 2008系統自身的力量，來將該系統各方面的安全防范性能全部發揮起來，這樣同樣能夠為Windows Server 2008安全運行“護航”,那就是巧用WindowsServer2008審核功能,對服務器系統的一切操作進行跟蹤監視，並能依照監視結果來快速排查服務器系統故障以及保障服務器系統的運行安全。

　　啟用配置審核功能

　　Windows Server 2008系統的審核功能在默認狀態下並沒有啟用，我們必須針對特定系統事件來啟用、配置它們的審核功能，這樣一來該功能才會對相同類型的系統事件進行監視、記錄，網絡管理員日後只要打開對應系統的日志記錄就能查看到審核功能的監視結果了。審核功能的應用范圍很廣泛，不但可以對服務器系統中的一些操作行為進行跟蹤、監視，而且還能依照服務器系統的運行狀態對運行故障進行快速排除。當然，需要提醒各位朋友的是，審核功能的啟用往往要消耗服務器系統的一些寶貴資源，並會造成服務器系統的運行性能下降，這是因為Windows Server 2008系統必須騰出一部分空間資源來保存審核功能的監視、記錄結果。為此，在服務器系統空間資源有限的情況下，我們應該謹慎使用審核功能，確保該功能只對一些特別重要的操作進行監視、記錄。

　　在啟用、配置Windows Server 2008系統的審核功能時，我們可以先以系統超級權限登錄進入對應系統，打開該系統桌面中的“開始”菜單，從中依次點選“設置”、“控制面板”命令，在彈出的系統控制面板窗口中依次單擊“系統和維護”、“管理工具”圖標，在其後出現的管理工具列表窗口中，找到“本地安全策略”圖標，並用鼠標雙擊該圖標，打開本地安全策略控制台窗口。

　　其次在目標控制台窗口的左側顯示窗格中，依次展開“安全設置”/“本地策略”/“審核策略”分支選項，在對應“審核策略”分支選項的右側顯示窗格中，我們會發現Windows Server 2008系統包含九項審核策略，也就是說服務器系統可以允許對九大類操作進行跟蹤、記錄。

　　審核進程跟蹤策略，是專門用來對服務器系統的後台程序運行狀態進行跟蹤記錄的，例如服務器系統後台突然運行或關閉了什麼程序，handle句柄是否進行了文件復制或系統資源的訪問等操作，審核功能都可以對它們進行跟蹤、記錄，並將監視、記錄的內容自動保存到對應系統的日志文件中。

　　審核帳戶管理策略，是專門用來跟蹤、監視服務器系統登錄賬號的修改、刪除、添加操作的，任何添加用戶賬號操作、刪除用戶賬號操作、修改用戶賬號操作，都會被審核功能自動記錄下來。

　　審核特權使用策略，是專門用來跟蹤、監視用戶在服務器系統運行過程中執行除注銷操作、登錄操作以外的其他特權操作的，任何對服務器系統運行安全有影響的一些特權操作都會被審核功能記錄保存到系統的安全日志中，網絡管理員根據日志內容就容易找到影響服務器運行安全的一些蛛絲馬跡。

　　啟用不同的審核策略，Windows Server 2008系統就會對不同類型的操作進行跟蹤、記錄，網絡管理員應該依照自己的安全要求以及服務器系統的性能配置，來啟用適合自己的審核策略，而不要盲目地啟用所有審核策略，那樣一來審核功能的作用反而得不到充分發揮。

　　比方說，要是我們想對服務器系統的登錄狀態進行跟蹤、監視，以便確認局域網中是否存在非法登錄行為時，那我們就可以直接用鼠標雙擊這裡的審核登錄事件策略，打開對應策略的選項設置對話框，選中其中的“成功”和“失敗”選項，再單擊“確定”按鈕，如此一來Windows Server 2008系統日後就會自動對本地服務器系統的所有系統登錄操作進行跟蹤、記錄，無論是登錄服務器成功的操作還是登錄服務器失敗的操作，我們都能通過事件查看器找到對應的操作記錄，仔細分析這些登錄操作的記錄我們就能發現本地服務器中是否真的存在非法登錄甚至非法入侵行為。

　　查看審核功能記錄

　　啟用、配置好合適的審核策略後，Windows Server 2008系統就會自動對特定類型的操作進行跟蹤、記錄，並將記錄內容保存到對應系統的日志文件中了，以後網絡管理員可以根據日志內容，尋找服務器系統中是否存在安全威脅。在查看審核功能記錄下來的日志內容時，我們必須借助事件查看器功能來完成，下面就是查看審核功能記錄的具體操作步驟：

　　首先以超級管理員權限進入Windows Server 2008系統，依次單擊該系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”命令，打開對應系統的服務器管理器控制台窗口;

　　其次在該控制台窗口的左側顯示區域中，將鼠標定位於“診斷”分支選項，並從該分支選項下面依次點選“事件查看器”/“Windows日志”子項，在目標子項下面我們會看到“應用程序”、“安全”、“安裝程序”、“系統”、“轉發事件”這五個類別的事件記錄;

　　用鼠標選中某個類別選項時，我們就能清楚地看到對應類別下的所有事件記錄，再用鼠標雙擊指定的記錄選項時，就能打開目標事件記錄的詳細信息界面，在該界面中我們就可以詳細查看到目標事件的來源、具體的事件內容、事件ID以及其他相關信息等。

　　發現重要的事件內容時，我們還可以對其執行一些操作;比方說，為了日後有空時能對重要事件內容進行仔細分析，我們可以將重要事件內容先保存起來，以防止清理日志時被意外刪除掉，在保存重要事件內容時，我們只要用鼠標右鍵單擊目標事件內容，從彈出的快捷菜單中執行“將事件另存為”命令，之後設置好保存路徑以及具體的文件名稱，再單擊“保存”按鈕就可以了，日後只需要再執行右鍵菜單中的“打開保存的日志”命令，就能將以前保存好的日志文件調用出來了。要是發現服務器系統中保存的事件內容太多時，我們應該定期執行右鍵菜單中的“清除日志”命令來清空日志記錄，以便騰出更多的寶貴空間資源。在日志記錄較多的情況下，要想快速尋找自己想要的事件記錄是一件不容易的事情，此時我們不妨執行“篩選當前日志”命令來對日志記錄進行篩選。 上一頁12下一頁共2頁