Windows Vista系統下Windows審核功能的應用

“審核”功能就像Windows的晴雨表,據此我們可以了解計算機的一舉一動,並且可以根據這些信息來維護計算機系統的安全以及進行故障點排除。在Vista中,“審核”功能比以往更加強大,本文將和大家一起探討其在Vista下的應用。

1、啓用審核的策略

所謂的審核就是跟蹤,啓用相應的審核功能後系統就會跟蹤並記錄事件的過程,方便管理員查看。利用審核功能,我們不僅可以監視用戶在計算機上進行的操作,還可以根據系統運行狀態對故障進行排除。但是,開啓了審核就會降低系統的性能,因爲系統爲此需要耗費一部分資源用于記錄和存儲事件。因此,我們在啓用審核時要根據需要制訂審核策略。

作爲管理員需要明確以下幾個方面:需要對哪些內容進行審核;是否合理設置了審核策略;哪些用戶有權訪問日志;由誰了負責收集和歸檔日志;日志備份的相關工作如何進行;日志丟失後如何處理;日志保存和審查的周期;審查日志需要用到的工具和措施;在日志中發現安全問題後如何處理等。只有這樣才能在審核好系統性能之間取得一個平衡。

2、配置審核策略

審核是對具體事件的過程進行監視和記錄,因此會將結果保存到系統的事件日志中。當然,除非開啓了相應的審核功能,否則Windows Vista不會記錄安全日志。開啓審核功能的方法是:依次單擊“開始”→“控制面板”→“系統和維護”→“管理工具”,打開“本地安全策略”控制台。然後在“本地策略”→“審核策略”中找到相應的審核策略。

在Vista中可啓用的審核策略有9項之多,比如“審核特權使用”,用來記錄用戶在系統操作過程中行使除登錄、注銷和網絡之外的權限。“審核帳戶管理”,記錄用戶帳戶的創建、刪除、更改等事件。“審核進程跟蹤”,跟蹤並記錄進程的後台運行,例如程序的激活,handle句柄的複制和對文件管理資源的訪問等。啓用各種審核策略的方法類似,至于啓用什麽樣的審核策略,要根據自己安全需要進行選擇。

例如要審核登錄事件,只需雙擊打開該策略,然後勾選審核包括事件的成功和失敗,最後單擊“定”即可。這樣Windows Vista就可以開始審核本地所有用戶帳戶的登錄事件,包括用戶成功登錄和登錄失敗,這樣有利用發現系統是否被非法登錄並被入侵。

3、查看審核報告

在啓用了審核策略後,系統就會在系統的日志中記錄相關的事件。如果要查看日志,就需要通過“事件查看器”來進行查看,依次單擊“開始”→“控制面板”→“系統和維護”→“管理工具”,打開“事件查看器”控制台,在“Windows 日志”下分別有“應用程序”、“安全”、“安裝程序”、“系統”、“轉發事件”等多個類別,單擊不同類別可以在中間的窗格中查看到所有該類別的事件記錄。雙擊某個事件記錄,可以打開該記錄的詳細信息窗口,用戶便可以了解該事件的來源和發生事件、事件ID等。

右擊某一類的事件日志,可以對其日志進行一些操作。例如,我們可以選擇“將事件另存爲”來導出該類別的事件日志;選擇“打開保存的日志”,用于導入已存在的事件日志;如果日志記錄太多,爲了釋放更多的空間,我們可以選擇“清除日志”選項來清除所有記錄;而管理員需要在衆多的記錄中找到自己所需的信息,可以借助“篩選當前日志”功能,根據事件級別、事件ID、關鍵字、用戶等信息進行篩選。

4、監控文件訪問

文件監控在現實環境中非常實用,比如管理員設置了一個共享文件夾,但被人改得面目全非,我們就可以通過文件夾監控來確定到底是哪些用戶對文件夾進行了操作,然後進一步確定是哪個用戶做的。需要說明的是,文件或者文件夾的監控是基于NTFS文件系統,所以分區格式必須是這種格式。

首先在“本地安全策略”中啓用“審核對象訪問”策略,爲了准確定位,我們可以只對“成功”事件進行記錄。然後定位到需要監控的文件夾,右鍵點擊選擇“屬性”,在“安全”選項卡中單擊“高級”按鈕,接著選擇“審核”選項卡單擊“繼續”按鈕,在打開的窗口中單擊“添加”按鈕,輸入要添加審核的用戶帳戶或用戶組的名稱。然後在“審核項目”面板中勾選需要監控的操作,包括創建文件/寫入數據、刪除等。如果要監控用戶的所有操作可以選擇“完全控制”。最後單擊“確定”按鈕,即可完成審核的設置。

這樣系統會將指定的事件記錄在系統日志中,我們可以通過“時間查看器”的“Windows 日志”→“安全”中查看到相關的記錄。當然,此時的事件記錄是非常多的,我們可以通過“篩選器”進行篩選。右鍵點擊左側的“安全”選擇“篩選當前日志”打開篩選窗口。在“篩選器”選項卡下進行篩選設置,因爲我們要查看是拷貝的文件“事件來源選擇”就選擇“Security-Auditing”,“任務類別”選擇“文件系統”,“事件ID”輸入“4656”所示,然後“確定”退出。這時候,在“事件查看器”右邊列出的就是每一次讀取數據的信息了。雙擊每一項目可查看詳細信息,注意帶有 Object Type: File 的項目才是對文件的訪問。我們雙擊打開就可以看到hacker用戶就fr文件夾進行的拷貝操作。

總結:本文只以文件監控爲例演示了Vista“審核”功能在系統安全方面的應用,其實它的應用是非常廣泛的。不過,其使用方法類似,一般是先啓用想要的“審核”策略,然後通過“事件查看器”進行查看。當然,靈活應用“篩選器”可以幫助我們快速定位到我們需要查看的項目。

Windows Vista系統加密及解密應用EFS
  大家對Vista中的EFS加密是個什麽意思還不太清楚,看下面就知道了!  加密文件系統 (EFS) 是 Windows 的一項功能,它允許您將信息以加密的形式存儲在硬盤上。加密是 Windows 所提供的保護信息安全的最強的保護措施...查看完整版>>Windows Vista系統加密及解密應用EFS
 
Windows Vista系統下Windows審核功能的應用
  “審核”功能就像Windows的晴雨表,據此我們可以了解計算機的一舉一動,並且可以根據這些信息來維護計算機系統的安全以及進行故障點排除。在Vista中,“審核”功能比以往更加強大,本文將和大家一起探討其在Vist...查看完整版>>Windows Vista系統下Windows審核功能的應用
 
Windows Vista系統EFS加密功能的妙用
  從windows 2000開始,微軟爲我們提供了一個叫做EFS的加密功能,通過該功能,我們可以將保存在NTFS分區上的文件加密,讓別人無法打開。雖然該功能已經面世很長時間了,不過很多人因爲對這個功能不了解,導致了很多...查看完整版>>Windows Vista系統EFS加密功能的妙用
 
用好Windows Vista系統的“日曆”功能
用好Windows Vista系統的“日曆”功能
  以前我們在安排一些約會、日程都會想到用微軟Office中Outlook上的日曆功能,不過要使用它就必須安裝龐大的Office軟件,很不方便。現在微軟最新版的Vista操作系統中已經把這個功能給獨立出來了,變成了現在的“Wi...查看完整版>>用好Windows Vista系統的“日曆”功能
 
用“審核”來監控Windows Vista的一舉一動
  “審核”功能就像Windows的晴雨表,據此我們可以了解計算機的一舉一動,並且可以根據這些信息來維護計算機系統的安全以及進行故障點排除。在Vista中,“審核”功能比以往更加強大,本文將和大家一起探討其在Vist...查看完整版>>用“審核”來監控Windows Vista的一舉一動
 
挖掘Windows Vista強大的網絡功能-Vista技巧
  Vista擁有強大的網絡功能,但被大部分用戶所知使用的並不多。另外,Vista的某些默認的網絡設置和限制也不利于充分發揮Vista的網絡潛能。本文將從網絡優化、網絡故障、網絡突破三個方面進一步挖掘Vista的網絡功能...查看完整版>>挖掘Windows Vista強大的網絡功能-Vista技巧
 
解決Windows Vista強悍的睡眠功能
爲了最早的目睹Vista系統眩目的桌面效果以及強大的安全功能,不少人在自己愛機內存容量不大、硬盤空間不多的情況下,強行安裝使用Vista系統。在系統資源如此緊張的情形下,我們往往很難體會到Vista系統所帶來的那種超...查看完整版>>解決Windows Vista強悍的睡眠功能
 
Windows Vista虛擬化功能故障解決方法
  使用 Windows Vista操作系統的虛擬化功能,你可能會遇到下面所描述的文件和注冊表虛擬化問題。  情形 1:安裝、升級或使用應用程序時收到錯誤消息  在安裝、升級或使用應用程序時,可能會收到各種表明拒絕訪...查看完整版>>Windows Vista虛擬化功能故障解決方法
 
Windows Server 2008 和 Windows Vista 結合的功能更加強大
Windows Vista 和 Windows Server 2008 原本就是單個開發項目的一部分,因此,它們共享網絡、存儲、安全和管理等許多新技術。雖然 Windows Vista 和 Windows Server 2008 的開發分成了單獨的版本,具有不同的發布周期...查看完整版>>Windows Server 2008 和 Windows Vista 結合的功能更加強大
 
 
回到王朝網路移動版首頁