有時候你是否想知道在你的主機或服務器上發生的事情——誰來訪問過?其實Windows 2000給我們提供了一項非常有用的功能:安全審核功能。安全審核可以用日志的形式記錄好幾種與安全相關的事件,你可以使用其中的信息來生成一個有規律活動的概要文件,發現和跟蹤可疑事件,並留下關於某一侵入者活動的有效法律證據。 打開審核策略 Windows 2000的默認安裝沒有打開任何安全審核,所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統提供了九類可以審核的事件,對於每一類都可以指明是審核成功事件、失敗事件,還是兩者都審核(如圖1)。 ·小心被黑客借QQ Mail入侵你的電腦·只開80端口主機的入侵思路·防止入侵:DLL後門完全清除方法·防范非法用戶入侵Win 2K/XP系統七招·入侵xp系統之初步攻略·怎麼關閉受到的入侵端口·Windows 2000安全審核讓入侵者無處遁形·妙招防止非法入侵Win2000/XP系統·再談SQL注入入侵動網SQL版論壇·小心系統入侵之八招吸星大法!
圖1制定審核策略 策略更改:安全策略更改,包括特權指派、審核策略修改和信任關系修改。這一類必須同時審核它的成功或失敗事件。 登錄事件:對本地計算機的交互式登錄或網絡連接。這一類必須同時審核它的成功和失敗事件。 對象訪問:必須啟用它以允許審核特定的對象,這一類需要審核它的失敗事件。 過程追蹤:詳細跟蹤進程調用、重復進程句柄和進程終止,這一類可以根據需要選用。 目錄服務訪問:記錄對Active Directory的訪問,這一類需要審核它的失敗事件。 特權使用:某一特權的使用;專用特權的指派,這一類需要審核它的失敗事件。 系統事件:與安全(如系統關閉和重新啟動)有關的事件;影響安全日志的事件,這一類必須同時審核它的成功和失敗事件。 賬戶登錄事件:驗證(賬戶有效性)通過網絡對本地計算機的訪問,這一類必須同時審核它的成功和失敗事件。 賬戶管理:創建、修改或刪除用戶和組,進行密碼更改,這一類必須同時審核它的成功和失敗事件。 打開以上的審核後,當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變賬戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來,,存放在“事件查看器”中的安全日志中。 另外在“本地安全策略”中還可開啟賬戶策略,如在賬戶鎖定策略中設定,賬戶鎖定閥值為三次(那麼當三次無效登錄將鎖定),然後將賬戶鎖定時間設定為30分鐘,甚至更長。這樣,黑客想要攻擊你,一天24小時試密碼也試不了幾次,而且還要冒著被記錄追蹤的危險。 審核策略設置完成後,需要重新啟動計算機才能生效。這裡需要說明的是,審核項目既不能太多,也不能太少。如果太少的話,你如果想查看黑客攻擊的跡象卻發現沒有記錄,那就沒辦法了,但是審核項目如果太多,不僅會占用大量的系統資源,而且你也可能根本沒空去全部看完那些安全日志,這樣就失去了審核的意義。 對文件和文件夾訪問的審核 對文件和文件夾訪問的審核,首先要求審核的文件或文件夾必須位於NTFS分區之上,其次必須如上所述打開對象訪問事件審核策略。符合以上條件,就可以對特定的文件或文件夾進行審核,並且對哪些用戶或組指定哪些類型的訪問進行審核。 圖2審核項目的確定 圖3決定是否要繼承審核 在所選擇的文件或文件夾的屬性窗口的“安全”頁面上,點擊[高級]按鈕;在“審核”頁面上,點擊[添加]按鈕,選擇想對該文件或文件夾訪問進行審核的用戶,單擊[確定];在“審核項目”對話框中,為想要審核的事件選擇“成功”或是“失敗”復選框(如圖2),選擇完成後確定。返回到“訪問控制設置”對話框,默認情況下,對父文件夾所做的審核更改將應用於其所包含子文件夾和文件。如果不想將父文件夾所進行的審核更改應用到當前所選擇的文件或文件夾,清空檢查框“允許將來自父系的可繼承審核項目傳播給該對象”即可(如圖3)。
