挖掘Windows Server 2008審核功能

　　啟用配置審核功能

　　Windows Server 2008系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒(méi)有啟用，我們必須針對(duì)特定系統(tǒng)事件來(lái)啟用、配置它們的審核功能，這樣一來(lái)該功能才會(huì)對(duì)相同類(lèi)型的系統(tǒng)事件進(jìn)行監(jiān)視、記錄，網(wǎng)絡(luò)管理員日后只要打開(kāi)對(duì)應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了。審核功能的應(yīng)用范圍很廣泛，不但可以對(duì)服務(wù)器系統(tǒng)中的一些操作行為進(jìn)行跟蹤、監(jiān)視，而且還能依照服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)對(duì)運(yùn)行故障進(jìn)行快速排除。當(dāng)然，需要提醒各位朋友的是，審核功能的啟用往往要消耗服務(wù)器系統(tǒng)的一些寶貴資源，并會(huì)造成服務(wù)器系統(tǒng)的運(yùn)行性能下降，這是因?yàn)閃indows Server 2008系統(tǒng)必須騰出一部分空間資源來(lái)保存審核功能的監(jiān)視、記錄結(jié)果。為此，在服務(wù)器系統(tǒng)空間資源有限的情況下，我們應(yīng)該謹(jǐn)慎使用審核功能，確保該功能只對(duì)一些特別重要的操作進(jìn)行監(jiān)視、記錄。

　　在啟用、配置Windows Server 2008系統(tǒng)的審核功能時(shí)，我們可以先以系統(tǒng)超級(jí)權(quán)限登錄進(jìn)入對(duì)應(yīng)系統(tǒng)，打開(kāi)該系統(tǒng)桌面中的“開(kāi)始”菜單，從中依次點(diǎn)選“設(shè)置”、“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中依次單擊“系統(tǒng)和維護(hù)”、“管理工具”圖標(biāo)，在其后出現(xiàn)的管理工具列表窗口中，找到“本地安全策略”圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，打開(kāi)本地安全策略控制臺(tái)窗口。

　　其次在目標(biāo)控制臺(tái)窗口的左側(cè)顯示窗格中，依次展開(kāi)“安全設(shè)置”/“本地策略”/“審核策略”分支選項(xiàng)，在對(duì)應(yīng)“審核策略”分支選項(xiàng)的右側(cè)顯示窗格中，我們會(huì)發(fā)現(xiàn)Windows Server 2008系統(tǒng)包含九項(xiàng)審核策略，也就是說(shuō)服務(wù)器系統(tǒng)可以允許對(duì)九大類(lèi)操作進(jìn)行跟蹤、記錄。

　　審核進(jìn)程跟蹤策略，是專(zhuān)門(mén)用來(lái)對(duì)服務(wù)器系統(tǒng)的后臺(tái)程序運(yùn)行狀態(tài)進(jìn)行跟蹤記錄的，例如服務(wù)器系統(tǒng)后臺(tái)突然運(yùn)行或關(guān)閉了什么程序，handle句柄是否進(jìn)行了文件復(fù)制或系統(tǒng)資源的訪(fǎng)問(wèn)等操作，審核功能都可以對(duì)它們進(jìn)行跟蹤、記錄，并將監(jiān)視、記錄的內(nèi)容自動(dòng)保存到對(duì)應(yīng)系統(tǒng)的日志文件中。

　　審核帳戶(hù)管理策略，是專(zhuān)門(mén)用來(lái)跟蹤、監(jiān)視服務(wù)器系統(tǒng)登錄賬號(hào)的修改、刪除、添加操作的，任何添加用戶(hù)賬號(hào)操作、刪除用戶(hù)賬號(hào)操作、修改用戶(hù)賬號(hào)操作，都會(huì)被審核功能自動(dòng)記錄下來(lái)。

　　審核特權(quán)使用策略，是專(zhuān)門(mén)用來(lái)跟蹤、監(jiān)視用戶(hù)在服務(wù)器系統(tǒng)運(yùn)行過(guò)程中執(zhí)行除注銷(xiāo)操作、登錄操作以外的其他特權(quán)操作的，任何對(duì)服務(wù)器系統(tǒng)運(yùn)行安全有影響的一些特權(quán)操作都會(huì)被審核功能記錄保存到系統(tǒng)的安全日志中，網(wǎng)絡(luò)管理員根據(jù)日志內(nèi)容就容易找到影響服務(wù)器運(yùn)行安全的一些蛛絲馬跡。

　　啟用不同的審核策略，Windows Server 2008系統(tǒng)就會(huì)對(duì)不同類(lèi)型的操作進(jìn)行跟蹤、記錄，網(wǎng)絡(luò)管理員應(yīng)該依照自己的安全要求以及服務(wù)器系統(tǒng)的性能配置，來(lái)啟用適合自己的審核策略，而不要盲目地啟用所有審核策略，那樣一來(lái)審核功能的作用反而得不到充分發(fā)揮。

　　比方說(shuō)，要是我們想對(duì)服務(wù)器系統(tǒng)的登錄狀態(tài)進(jìn)行跟蹤、監(jiān)視，以便確認(rèn)局域網(wǎng)中是否存在非法登錄行為時(shí)，那我們就可以直接用鼠標(biāo)雙擊這里的審核登錄事件策略，打開(kāi)對(duì)應(yīng)策略的選項(xiàng)設(shè)置對(duì)話(huà)框，選中其中的“成功”和“失敗”選項(xiàng)，再單擊“確定”按鈕，如此一來(lái)Windows Server 2008系統(tǒng)日后就會(huì)自動(dòng)對(duì)本地服務(wù)器系統(tǒng)的所有系統(tǒng)登錄操作進(jìn)行跟蹤、記錄，無(wú)論是登錄服務(wù)器成功的操作還是登錄服務(wù)器失敗的操作，我們都能通過(guò)事件查看器找到對(duì)應(yīng)的操作記錄，仔細(xì)分析這些登錄操作的記錄我們就能發(fā)現(xiàn)本地服務(wù)器中是否真的存在非法登錄甚至非法入侵行為。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]