第6章 访问限制与审计技术 5实训6.2Windows平安审计功能本节实训与思索的目 的是:(1) 熟识平安审计技术的基本概念和基本内容2) 通过深化了解和应用Windows操作系统的审计追踪功能,来加深理解平安审计技术,驾驭Windows的平安审计功能1 工具/打算工作在起先本实训之前,请细致阅读本课程的相关内容须要打算一台运行Windows XP Professional操作系统的计算机2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料,简洁叙述什么是“平安审计”计算机平安审计是通过肯定的策略,利用记录和分析历史操作事务来发觉系统的漏洞并改进系统的性能和平安2) 审计追踪的目的是什么?目的是发觉违反平安策略的活动、影响运行效率的问题以及程序中的错误3) 审计系统的目标是什么?如何实现?平安审计供应的功能服务于干脆和间接两个方面的平安目标:干脆目标包括跟踪和监测系统中的异样事务;间接目标是监视系统中其他平安机制的运行状况和可信度4) 审计的主要内容包括哪些?包括个人职能:审计跟踪是管理人员用来维护个人职能的手段;事务重建:在发生故障后,审计跟踪可以用于重建事务和数据复原;入侵检测和故障分析。
2) Windows平安审计功能操作系统一般都供应审计功能下面,我们以Windows XP Professional操作系统为例,来了解Windows的平安审计功能及其应用1) 审计子系统结构在Windows系统中,几乎每一项事务都可以在肯定程度上被审计步骤1:在Windows“起先”菜单中单击“限制面板”吩咐,在“限制面板”窗口中双击“管理工具”图标,在“管理工具”窗口中进一步双击“本地平安策略”图标,打开“本地平安设置”窗口在左边窗格中选择“本地策略”>“审核策略”,系统管理员可以依据各种用户事务的胜利和失败选择审计策略,如登录和退出、文件访问、权限非法和关闭系统等如图6.1所示图6.1 本地平安策略——审核策略设置步骤2:Windows运用一种特别的格式来存放它的日志文件,这种格式的文件可以被“事务查看器”所读取在“限制面板”的“管理工具”窗口中双击“事务查看器”图标,打开“事务查看器”窗口如图6.2所示图6.2 事务查看器系统管理员可以运用事务查看器的筛选选项,依据肯定条件 (包括类别、用户和消息类型等) 选择要查看的日志条目Windows的日志文件主要是系统日志、应用程序日志和平安日志3个,它们是审计Windows系统的核心,Windows中全部可被审计的事务都存入了其中的一个日志。
① 系统日志跟踪各种各样的系统事务,比如跟踪系统启动过程中的事务或者硬件和限制器的故障② 应用程序日志跟踪应用程序关联的事务,例如应用程序产生的装载dll (动态链接库) 失败的信息将出现在日志中③ 平安日志跟踪事务如登录上网、下网、变更访问权限以及系统启动和关闭但是,用于阅读审计日志的工具——事务查看器只有有限的敏捷性,对大型日志的阅读速度很慢由于每个服务器和工作站都有自己的日志集这些日志分散在Windows网络的成千上万个服务器上,没有困难的自动操作工具和数据转储工具,管理和利用这些日志是特别困难的2) 审计日志和记录格式Windows的审计日志由一系列的事务记录组成每一个事务记录分为三个功能部分:头、事务描述和可选的附加数据项事务记录头由以下内容组成:① 类型事务严峻性指示器在系统和应用日志中,类型可以是错误、警告或信息,按重要性降序排列在平安日志中,类型可能是胜利审计或失败审计② 日期事务的日期标识③ 时间事务的时间标识④ 来源用来响应产生事务记录的软件源可以是一个应用程序、一个系统服务或一个设备驱动程序⑤ 类别触发事务类型,主要用在平安日志中指示该类事务的胜利或失败审计已经被许可。
⑥ 事务ID事务类型的数字标识在事务记录描述中,这个域通常被映射成一个文本标识 (事务名) ⑦ 用户名标识事务是由谁触发的:这个标识可以是初始用户ID、某个客户II〕或两者同时具有⑧ 计算机名事务所在的计算机名当用户在整个企业范围内集中平安管理时,该信息大大简化了审计信息的回顾请记录:① 应用程序日志中的事务个数为:____________________个应用程序日志文件所在的物理位置是:_____________________________________________________________________② 平安性日志中的事务个数为:____________________个平安性日志文件所在的物理位置是:_____________________________________________________________________③ 系统日志中的事务个数为:____________________个系统日志文件所在的物理位置是:_____________________________________________________________________3) 事务日志管理特征。
Windows为系统管理员管理操作系统事务日志机制供应了大量特征在“事务查看器”窗口左边的窗格中右键单击“应用程序”、“平安性”和“系统”等项目,然后在快捷菜单单击“属性”吩咐,可打开“属性对话框”,如图6.3所示系统管理员可以在其中限制日志的大小,规定当文件达到容量上限时如何去处理这些文件,例如停止系统直到事务日志被手工清除等系统起先运行时,系统日志和应用事务日志也自动起先记录当日志文件已满并且系统配置规定它们必需被手工清除时,日志停止另外,平安事务日志必需由具有管理员权限的人启动利用管理工具,可以设置平安审计规则要启用平安审计的功能,只需在规则菜单下选择审计,然后通过查看记录的平安事务日志中的平安性事务,即可以跟踪所选用户的操作4) 平安日志的审计策略平安日志由审计策略支配审计策略可以通过配置审计策略对话框中的选项来建立审计策略规定日志的事务类型并可以依据动作、用户和目标进一步具体化平安事务记录包括动作的时间和日期、已执行的动作和执行响应的动作胜利和失败的动作都能在平安日志中产生条目日志条目也记录企图执行被策略禁止的动作的活动;审计规则如下 (既可以审计胜利的操作,又可以审计失败的操作) 。
① 登录及注销登录及注销或连接到网络图6.3 日志的属性设置② 用户及组管理创建、更改或删除用户账号或组,重命名、禁止或启用用户号,设置和更改密码③ 文件及对象访问访问设置用于文件或书目审计的书目或文件的用户,向设置用于打印机审计的打印机发送打印作业的用户④ 平安性规则更改对用户权利、审计或托付关系规则的改动⑤ 重新启动、关机及系统级事务用户重新启动或关闭计算机,或者发生了一个影响系统平安性或平安日志的事务⑥ 进程追踪这些事务供应了关于事务的具体跟踪信息,如程序活动、某些形式句柄的复制、间接对象的访问和退出进程:对于“文件及对象访问”中的文件和书目的审计还须要在资源管理器中对要审计的书目或文件进行具体设置⑦ 文件和书目审计允许跟踪书目和文件的用法对于一个具体的文件或书目,可以指定要审计的组、用户或操作既可以审计胜利的操作,又可以审计失败的操作审计书目可以选择读、写、执行、删除、更改权限或者获得全部权等事务审计文件也可以选择读、写、可执行、删除、更改权限、获得全部权等事务5) 管理和维护审计通常状况下,Windows不是将全部的事务都记录日志,而须要手动启动审计的功能在启动Windows的审计功能时,须要细致选择审计的内容。
审计日志将产生大量的数据,因此,较为合理的方法是首先设置进行简洁的审计,然后在监视系统性能的状况下逐步增加困难的审计要求当须要审查审计日志以跟踪网络或机器上的异样事务时,采纳一些第三方供应的工具是一个较有效率的选择请记录:上述实训操作能够顺当完成吗?假如不能,请分析缘由3 实训总结_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________4 实训评价 (老师)______________________________________________________________________________________________________________________________________________。