《Windows安全配置 教学课件 ppt 作者 冯秀彦 吕秀鉴 褚云霞 第十章 系统监控审核》由会员分享,可在线阅读,更多相关《Windows安全配置 教学课件 ppt 作者 冯秀彦 吕秀鉴 褚云霞 第十章 系统监控审核(30页珍藏版)》请在金锄头文库上搜索。
1、第十章 系统监控审核,本章描述:Windows操作系统内置了许多监控程序,用户可以利用它们来监测网络运行的状态。,10.1 系统监控审核标准,本章通过3个子任务即日志与事件,安全日志,性能监视及优化,用户应该达到如下系统监控审核标准: 1、会使用事件查看器检测系统日志 2、会启用安全日志审核 3、能够使用性能监视器监控网络,10.2日志与事件,任务描述1:Windows系统的安全取决于访问的安全,任何对系统的或者文件的操作都会记录在相应的系统日志和事件中,日志和事件具体的作用是什么呢? 技能要求:了解日志和事件的概念,会查看日志和事件的记录。,运行任何版本的Windows的计算机用三种日志记录
2、事件:应用程序日志、安全日志和系统日志。配置为域控制器的Windows计算机还有另外两种日志:目录服务日志和文件复制服务日志。配置为域名系统(DNS)服务器的计算机还在DNS服务日志里记录事件,10.2.1系统日志类型,基于 Windows 的计算机将事件记录在以下三种日志中: 1、应用程序日志 应用程序日志包含由程序记录的事件。例如,数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 2、安全日志 安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。例如,在启用登录审核的情况下,每当用户尝试登录到计算机上
3、时,都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 3、系统日志 系统日志包含 Windows 系统组件所记录的事件。例如,如果在启动过程中未能加载某个驱动程序,则会在系统日志中记录一个事件。Windows 预先确定由系统组件记录的事件。,10.2.2 事件参数,10.2.3事件类型,所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一: 1、信息 :描述任务(如应用程序、驱动程序或服务)成功运行的事件。例如,当网络驱动程序成功加载时将记录
4、“信息”事件。 2、警告 :不一定重要但可能表明将来有可能出现问题的事件。例如,当磁盘空间快用完时将记录“警告”消息。 3、错误 :描述重要问题(如关键任务失败)的事件。“错误”事件可能涉及数据丢失或功能缺失。例如,当启动过程中无法加载服务时将记录“错误”事件。 4、成功审核(安全日志) :描述成功完成受审核安全事件的事件。例如,当用户登录到计算机上时将记录“成功审核”事件。 5、失败审核(安全日志):描述未成功完成的受审核安全事件的事件。例如,当用户无法访问网络驱动器时可能记录“失败审核”事件。,10.2.4查看日志,要打开事件查看器,请按照下列步骤操作: 单击【开始】,然后单击【控制面板】
5、。再单击【管理工具】,然后双击【计算机管理】,在控制台树中单击【事件查看器】。 应用程序日志、安全日志和系统日志显示在【事件查看器】窗口中。如图10-1所示。,图10.1 安全日志,10.3安全日志,任务描述2:对于管理员来说,很重要的一点是保护你的信息和服务资源不会被不应访问的人访问,同时还要使这些资源能够被授权的用户访问。那么如何使用 Windows安全功能审核对资源的访问呢?我们可以配置安全日志以记录有关目录和文件访问或者服务器事件的信息。可以使用 Microsoft 管理控制台 (MMC) 中的“审核策略”设置此审核级别。这些事件都记录在“Windows 安全日志”中。“安全日志”可以
6、记录安全事件,如有效和无效的登录尝试以及与资源使用相关的事件(如创建、打开或者删除文件)。必须以管理员身份登录才能控制要审核哪些事件,以及在“安全日志”中显示哪些事件。 技能要求:了解安全日志的的作用,学会启用本地 Windows 安全审核的方法,学会保护日志文件、审核日志的方法。,10.3.1 启用审核策略,审核日志是 Windows 中本地安全策略的一部分,它是一个维护系统安全性的工具,允许你跟踪用户的活动和 Windows系统的活动,这些活动称为事件。 根据监控审核结果,管理员就可以将计算机资源的非法使用消除或减到最小;通过审核日志,我们可以记录下列信息: 哪些用户企图登录到系统中,或从
7、系统中注销、登录或注销的日期和时间是否成功等;哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问;系统的安全选项进行了哪些更改;用户帐户进行了哪些更改,是否增加或删除了用户等等。通过查看这些信息,我们就能够及时发现系统存在的安全隐患,通过了解指定资源的使用情况来指定资源使用计划。 在 Windows 能够审核对文件和文件夹的访问之前,我们必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败
8、的访问尝试。,注意:如果审核项对话框中访问下的复选框是灰色的,或者访问控制设置对话框中的删除按钮不可用,则表明已从父文件夹继承了审核。因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹。还要考虑用于“安全”日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。,10.3.2日志文件的保护,日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1、 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32/config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 具体操作,点
9、击“开始运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 我们以应用程序日志为例,将其转移到“d:ap”目录下。选中Application子项(如图10-4所示),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32winevtLogsApplication.evtx”,将它修改为“d:a
10、p Application.evtx”。接着在D盘新建“ap”目录,将“Application.evtx”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:01020304050607,起名的原则就是要越不引人注意越好。,2、 设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的ap目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系
11、的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。,10.3.4审核事件ID,在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1、 查看正常开关机记录 在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在
12、日志中留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。 2、 查看DHCP配置警告信息 在规模较大的网络中,一般都是采用DHCP服务器配置客户端IP地址信息,如果客户机无法找到DHCP服务器,就会自动使用一个内部的IP地址配置客户端,并且在Windows日志中产生一个事件
13、ID号为1007的事件。如果用户在日志中发现该编号事件,说明该机器无法从DHCP服务器获得信息,就要查看是该机器网络故障还是DHCP服务器问题。,10.4性能监视及优化,任务描述3:随着Windows上用户的数量、服务对象及应用的增多,操作系统的处理能力有时会明显降低,这就需要系统或网络管理员通过一些管理工具来对服务器进行监控和维护,以保证系统或网络正常、高效运行。本节主要介绍Windows服务器中有关系统性能监视和网络监视器的配置,性能监控对象的添加、删除以及对相应的性能指标给出参考值,以便判断系统的性能是否在正常的范围,并对系统的升级和优化提供参考意见。最后给出利用网络监视器分析网络性能的
14、例子。 技能要求:掌握系统性能监视器配置的方法,掌握对系统性能数据分析的方法,了解网络监视器的工作原理,掌握网络监视器的使用方法。,1、鼠标单击“开始-运行”菜单,在运行中输入“MMC”打开管理控制台,第一次运行的控制台是空白的,可以按照需要添加各种管理单元,在“文件”菜单上单击“添加/删除管理单元”,10.4.1系统性能监视器的使用,2、在打开的对话框中,系统已经提供了很多的基本管理单元,而且在系统安装了某些具有符合MMC管理功能的第三方软件之后,可以把这些软件添加到控制台中。要添加系统性能控制模块,可以选择文件-打开选项,在“%Systemroot%System32”文件夹中,找到名为“p
15、erform.msc”的文件,然后双击打开即可启动性能监视器,在系统的性能监控中,对于各种性能数据可以通过图形、直方图或报表视图等多种形式显示数据。通过管理控制台,可以创建重复使用的监视配置,这些配置可以安装在使用 Microsoft 管理控制台(MMC)的任何计算机上。使用系统监视器,可以收集和查看有关硬件资源的使用和系统服务的各种活动数据,系统监视器,10.4.2性能监视器的配置基础,1、选择监视方法 图形对于本地或远程计算机的短期实时监视是最为有效的方式。例如要在系统事件发生时观察该事件,其中选择合适的更新间隔,以便捕获感兴趣的活动类型。日志对于保留记录和延长监视(尤其是远程计算机)非常
16、有用;记录的数据可以导出并生成报告或使用“ 系统监视器” 提供图表或直方图。日志是监视多台计算机最实用的方法。 2、选择监视频率 对于常规监视,通常可以用超过15 分钟的间隔来记录活动。如果要监视特定的问题,则必须改变时间间隔。如果要在特定时间内监视特定进程的活动,可以设置较短的更新时间间隔;反之,若要监视慢速显示的问题(如内存溢出),则使用较长的间隔。选择时间间隔时,还要考虑要监视的总时间长度。如果监视不超过4 个小时,则每15 秒更新一次比较合理;如果要监视系统8 个小时或更长时间,则设置的间隔不要少于300 秒。将更新间隔设置为高频率可能使系统生成大量数据,但这可能难于处理并增加运行性能日志和警报的总开销。 3、保存性能数据的记录 “ 性能日志和警报” 能够将日志性能数据记录到 SQL 数据库中。如果将记录的数据保留在数据库中,可以查询这些信息并将其包含在报告中。使用数据库分析工具可以查询结果并使用各种参数详细检查结果,甚至可以显示出图形的界面。,10.4.3系统监视配置的实例,系统默认的监控界面没有任何可监控的数据项,下面通过例
