時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)
為了讓大家了解如何追蹤計算機安全日志功能的具體方面,首先需要了解如何啟動安全日志。大多數(shù)Windows計算機(除了某些域控制器版本系統(tǒng))默認(rèn)情況下不會向安全日志(Security Log)啟動日志記錄信息。這樣的設(shè)置有利也有弊,弊的方面在于,除非用戶強迫計算機開始日志記錄安全事件,否則根本無法進行任何追蹤。好的方面在于,不會發(fā)生日志信息爆滿的問題以及提示日志已滿的錯誤信息,這也是Windows Server 2003域控制器在沒有任何預(yù)警下的行為。
安全日志事件跟蹤可以使用組策略來建立和配置,當(dāng)然你可以配置本地組策略對象,但是這樣的話,你將需要對每臺計算機進行單獨配置。另外,你可以使用Active Directory內(nèi)的組策略為多臺計算機設(shè)置日志記錄配置。要建立安全日志追蹤,首先打開連接到域的計算機上的Group Policy Management Console (GPMC,組策略管理控制臺),并以管理員權(quán)限登錄。
在GPMC中,你可以看到所有的組織單位(OU)(如果你事先創(chuàng)建了的話)以及GPO(如果你創(chuàng)建了兩個以上),在本文中,我們將假設(shè)你有一個OU,這個OU中包含所有需要追蹤相同安全日志信息的計算機,我們將使用臺式計算機OU和AuditLog GPO。
編輯AuditLog GPO然后展開至以下節(jié)點:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy
展開此節(jié)點后,你會看到你可以配置的審核類別列表,如圖1所示:
圖1:Audit Policy類別可以幫助你制定想要記錄日志信息的安全區(qū)域
每個政策設(shè)置都有兩個選擇:成功和/或失敗,要想為任何類別配置成功或者失敗,你需要勾選Define These Policy Settings選項框,如圖2所示。
圖2:每個審計政策都需要首先就進行定義,然后需要配置審計類型
以下是關(guān)于每種類別控制范圍的簡要介紹:
審計帳戶登錄事件– 每次用戶登錄或者從另一臺計算機注銷的時候都會對該事件進行審計,計算機執(zhí)行該審計是為了驗證帳戶,關(guān)于這一點的最好例子就是,當(dāng)用戶登錄到他們的Windows XP Professional計算機上,總是由域控制器來進行身份驗證。由于域控制器對用戶進行了驗證,這樣就會在域控制器上生成事件。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對這些事件進行審計。我還發(fā)現(xiàn),在很多環(huán)境中,客戶端也會配置為審計這些事件。
審計賬戶管理–這個將對所有與管理計算機(配置了審計)的用戶數(shù)據(jù)庫中的帳戶的用戶有關(guān)的事件進行審計,這些事件的示例如下:
·創(chuàng)建一個用戶帳戶
·添加用戶到一個組
·重命名用戶帳戶
·為用戶帳戶更改密碼
對于域控制器而言,該管理政策將會對域帳戶更改進行審計。對于服務(wù)器或者客戶端而言,它將會審計本地安全帳戶管理器(Security Accounts Manager)以及相關(guān)的帳戶。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對這些事件進行審計。對于用戶帳戶的審計,安全日志以及審計設(shè)置是不能捕捉的。
審計目錄服務(wù)訪問–這個將對與訪問AD對象(已經(jīng)被配置為通過系統(tǒng)訪問控制列表SACL追蹤用戶訪問情況)的用戶有關(guān)的事件進行審計,AD對象的SACL指明了以下三件事:
·將會被追蹤的帳戶(通常是用戶或者組)
·將會被追蹤的訪問類型,如只讀、創(chuàng)建、修改等
·對對象訪問的成功或者失敗情況
由于每個對象都有自己獨特的SACL,對將被追蹤的AD對象的控制級別應(yīng)該是非常精確的。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。最佳做法是為所有域控制器的目錄服務(wù)訪問啟動成功和失敗審計。
審計登陸事件 –這將對與登錄到、注銷或者網(wǎng)絡(luò)連接到(配置為審計登錄事件的)電腦的用戶相關(guān)的所有事件進行審計,一個很好的例子就是,當(dāng)這些事件日志記錄的時候,恰好是用戶使用域用戶帳戶交互的登錄到工作站的時候,這樣就會在工作站生成一個事件,而不是執(zhí)行驗證的域控制器上生成。從根本上講,追蹤事件是在當(dāng)嘗試登錄的位置,而不是在用戶帳戶存在的位置。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。通常會對網(wǎng)絡(luò)中所有計算機的這些事件進行日志記錄。
審計對象訪問 –當(dāng)用戶訪問一個對象的時候,審計對象訪問會對每個事件進行審計。對象內(nèi)容包括:文件、文件夾、打印機、注冊表項和AD對象。在現(xiàn)實中,任何有SACL的對象丟會被涵蓋到這種類型的審計中。就像對目錄訪問的審計一樣,每個對象都有自己獨特的SACL,語序?qū)別對象進行有針對性的審計。沒有任何對象是配置為魔神進行審計的,這意味著啟用這個設(shè)置并不會產(chǎn)生任何日志記錄信息。一旦建立了該設(shè)置,對象的SACAL就被配置了,對嘗試登錄訪問該對象時就開始出現(xiàn)表項。除非有特別需要對某些資源的追蹤訪問,通常是不會配置這種級別的審計,在高度安全的環(huán)境中,這種級別的審計通常是啟用的,并且會為審計訪問配置很多資源。
#p#副標(biāo)題#e#
審計政策更改–這將對與計算機上三個"政策"之一的更改相關(guān)的每個事件進行審計,這些政策區(qū)域包括:
·用戶權(quán)利分配
·審計政策
·信任關(guān)系
除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。
審計特權(quán)使用–與執(zhí)行由用戶權(quán)限控制的任務(wù)的用戶相關(guān)的每個事件都會被審計,用戶權(quán)利列表是相當(dāng)廣泛的,如圖3所示:
圖3:計算機的用戶權(quán)限列表
這種級別的審計不是默認(rèn)配置來追蹤所有操作系統(tǒng)的事件,最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。
審計過程追蹤 – 這將對與計算機中的進程相關(guān)的每個事件進行審計,這將包括、程序激活、進程退出、處理重疊和間接對象訪問。這種級別的審計將會產(chǎn)生很多的事件,并且只有當(dāng)應(yīng)用程序正在因為排除故障的目的被追蹤的時候才會配置。
審計系統(tǒng)事件 – 與計算機重新啟動或者關(guān)閉相關(guān)的事件都會被審計,與系統(tǒng)安全和安全日志相關(guān)的事件同樣也會被追蹤(當(dāng)啟動審計的時候)。這是必要的計算機審計配置,不僅當(dāng)發(fā)生的事件需要被日志記錄,而且當(dāng)日志本身被清除的時候也有記錄。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外,沒有操作系統(tǒng)啟動該設(shè)置。最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。
每個審計類型的Event ID
在安全日志中可能會產(chǎn)生成千上萬的事件,所以你需要要秘密解碼器環(huán)來找出尋找的事件,以下是每種類別最重要的事件(你可能想要在安全日志中跟蹤的):
審計帳戶登錄事件
Event ID 描述
4776 - 域控制器試圖驗證帳戶憑證信息
4777 -域控制器未能驗證帳戶憑證信息
4768 -要求有Kerberos驗證票(TGT)
4769 -要求有Kerberos驗證票(TGT)
4770 - Kerberos服務(wù)票被更新
審計帳戶管理
Event ID 描述
4741 - 計算機帳戶已創(chuàng)建
4742 – 計算機帳戶已更改
4743 – 計算機帳戶已刪除
4739 – 域政策已經(jīng)更改
4782 - 密碼hash帳戶被訪問
4727 - 安全全局組已經(jīng)創(chuàng)建
4728 – 一名用戶被添加到安全全局組
4729 – 一名用戶從安全全局組解除
4730 – 安全全局組已經(jīng)刪除
4731 - 安全本地組已經(jīng)創(chuàng)建
4732 -一名用戶被添加到安全本地組
4733 -一名用戶被安全本地組解除
4734 -安全本地組已經(jīng)刪除
4735 - 安全本地組已經(jīng)更改
4737 -安全全局組已經(jīng)更改
4754 -安全通用組已創(chuàng)建
4755 -安全通用組已創(chuàng)建更改
#p#副標(biāo)題#e#
4756 -一名用戶被添加到安全通用組
4757 -一名用戶被安全通用組解除
4758 -安全本地組已經(jīng)刪除
4720 – 用戶帳戶已創(chuàng)建
4722 – 用戶帳戶已啟用
關(guān)鍵詞標(biāo)簽:Windows Server 2008,
相關(guān)閱讀
熱門文章 windows7虛擬光驅(qū)安裝和使用方法解決應(yīng)用程序正常初始化(0xc0000135)失敗hosts文件位置以及如何修改hosts文件[聲音故障]XP沒有聲音,丟失Windows Audi
人氣排行 [聲音故障]XP沒有聲音,丟失Windows Audio服務(wù)(AudioSrv)[警解決Windows 7黑屏的有效方法windows2003中關(guān)于軟路由設(shè)置方法的具體介紹Windows不能在本地計算機啟動OracleDBConsoleorcl一個空文件夾刪不掉的解決辦法Windows 7加XP的局域網(wǎng)搭建與文件共享用Windows命令行實現(xiàn)自動SSH代理Windows提示錯誤應(yīng)用程序update.exe