為了讓大家了解如何追蹤計(jì)算機(jī)安全日志功能的具體方面,首先需要了解如何啟動(dòng)安全日志����。大多數(shù)Windows計(jì)算機(jī)(除了某些域控制器版本系統(tǒng))默認(rèn)情況下不會(huì)向安全日志(Security Log)啟動(dòng)日志記錄信息。這樣的設(shè)置有利也有弊�,弊的方面在于,除非用戶強(qiáng)迫計(jì)算機(jī)開始日志記錄安全事件����,否則根本無法進(jìn)行任何追蹤。好的方面在于���,不會(huì)發(fā)生日志信息爆滿的問題以及提示日志已滿的錯(cuò)誤信息,這也是Windows Server 2003域控制器在沒有任何預(yù)警下的行為���。
安全日志事件跟蹤可以使用組策略來建立和配置���,當(dāng)然你可以配置本地組策略對(duì)象,但是這樣的話�����,你將需要對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行單獨(dú)配置。另外�,你可以使用Active Directory內(nèi)的組策略為多臺(tái)計(jì)算機(jī)設(shè)置日志記錄配置。要建立安全日志追蹤���,首先打開連接到域的計(jì)算機(jī)上的Group Policy Management Console (GPMC�,組策略管理控制臺(tái))���,并以管理員權(quán)限登錄�����。
在GPMC中�,你可以看到所有的組織單位(OU)(如果你事先創(chuàng)建了的話)以及GPO(如果你創(chuàng)建了兩個(gè)以上)�����,在本文中��,我們將假設(shè)你有一個(gè)OU�,這個(gè)OU中包含所有需要追蹤相同安全日志信息的計(jì)算機(jī),我們將使用臺(tái)式計(jì)算機(jī)OU和AuditLog GPO����。
編輯AuditLog GPO然后展開至以下節(jié)點(diǎn):
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy
展開此節(jié)點(diǎn)后�,你會(huì)看到你可以配置的審核類別列表���,如圖1所示:
圖1:Audit Policy類別可以幫助你制定想要記錄日志信息的安全區(qū)域
每個(gè)政策設(shè)置都有兩個(gè)選擇:成功和/或失敗�,要想為任何類別配置成功或者失敗��,你需要勾選Define These Policy Settings選項(xiàng)框����,如圖2所示。
圖2:每個(gè)審計(jì)政策都需要首先就進(jìn)行定義�����,然后需要配置審計(jì)類型
?
以下是關(guān)于每種類別控制范圍的簡要介紹:
審計(jì)帳戶登錄事件– 每次用戶登錄或者從另一臺(tái)計(jì)算機(jī)注銷的時(shí)候都會(huì)對(duì)該事件進(jìn)行審計(jì)���,計(jì)算機(jī)執(zhí)行該審計(jì)是為了驗(yàn)證帳戶,關(guān)于這一點(diǎn)的最好例子就是����,當(dāng)用戶登錄到他們的Windows XP Professional計(jì)算機(jī)上��,總是由域控制器來進(jìn)行身份驗(yàn)證�。由于域控制器對(duì)用戶進(jìn)行了驗(yàn)證��,這樣就會(huì)在域控制器上生成事件����。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外,沒有操作系統(tǒng)啟動(dòng)該設(shè)置�。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對(duì)這些事件進(jìn)行審計(jì)。我還發(fā)現(xiàn)���,在很多環(huán)境中�,客戶端也會(huì)配置為審計(jì)這些事件�����。
審計(jì)賬戶管理–這個(gè)將對(duì)所有與管理計(jì)算機(jī)(配置了審計(jì))的用戶數(shù)據(jù)庫中的帳戶的用戶有關(guān)的事件進(jìn)行審計(jì)����,這些事件的示例如下:
·創(chuàng)建一個(gè)用戶帳戶
·添加用戶到一個(gè)組
·重命名用戶帳戶
·為用戶帳戶更改密碼
對(duì)于域控制器而言,該管理政策將會(huì)對(duì)域帳戶更改進(jìn)行審計(jì)����。對(duì)于服務(wù)器或者客戶端而言����,它將會(huì)審計(jì)本地安全帳戶管理器(Security Accounts Manager)以及相關(guān)的帳戶�。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外,沒有操作系統(tǒng)啟動(dòng)該設(shè)置�����。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對(duì)這些事件進(jìn)行審計(jì)��。對(duì)于用戶帳戶的審計(jì)��,安全日志以及審計(jì)設(shè)置是不能捕捉的����。
審計(jì)目錄服務(wù)訪問–這個(gè)將對(duì)與訪問AD對(duì)象(已經(jīng)被配置為通過系統(tǒng)訪問控制列表SACL追蹤用戶訪問情況)的用戶有關(guān)的事件進(jìn)行審計(jì),AD對(duì)象的SACL指明了以下三件事:
·將會(huì)被追蹤的帳戶(通常是用戶或者組)
·將會(huì)被追蹤的訪問類型�����,如只讀�����、創(chuàng)建���、修改等
·對(duì)對(duì)象訪問的成功或者失敗情況
由于每個(gè)對(duì)象都有自己獨(dú)特的SACL�����,對(duì)將被追蹤的AD對(duì)象的控制級(jí)別應(yīng)該是非常精確的�。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外����,沒有操作系統(tǒng)啟動(dòng)該設(shè)置。最佳做法是為所有域控制器的目錄服務(wù)訪問啟動(dòng)成功和失敗審計(jì)�。
審計(jì)登陸事件 –這將對(duì)與登錄到、注銷或者網(wǎng)絡(luò)連接到(配置為審計(jì)登錄事件的)電腦的用戶相關(guān)的所有事件進(jìn)行審計(jì)�,一個(gè)很好的例子就是,當(dāng)這些事件日志記錄的時(shí)候��,恰好是用戶使用域用戶帳戶交互的登錄到工作站的時(shí)候���,這樣就會(huì)在工作站生成一個(gè)事件���,而不是執(zhí)行驗(yàn)證的域控制器上生成。從根本上講���,追蹤事件是在當(dāng)嘗試登錄的位置�����,而不是在用戶帳戶存在的位置�。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外,沒有操作系統(tǒng)啟動(dòng)該設(shè)置�。通常會(huì)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的這些事件進(jìn)行日志記錄。
審計(jì)對(duì)象訪問 –當(dāng)用戶訪問一個(gè)對(duì)象的時(shí)候��,審計(jì)對(duì)象訪問會(huì)對(duì)每個(gè)事件進(jìn)行審計(jì)��。對(duì)象內(nèi)容包括:文件����、文件夾、打印機(jī)�、注冊(cè)表項(xiàng)和AD對(duì)象。在現(xiàn)實(shí)中���,任何有SACL的對(duì)象丟會(huì)被涵蓋到這種類型的審計(jì)中���。就像對(duì)目錄訪問的審計(jì)一樣,每個(gè)對(duì)象都有自己獨(dú)特的SACL����,語序?qū)€(gè)別對(duì)象進(jìn)行有針對(duì)性的審計(jì)�。沒有任何對(duì)象是配置為魔神進(jìn)行審計(jì)的���,這意味著啟用這個(gè)設(shè)置并不會(huì)產(chǎn)生任何日志記錄信息。一旦建立了該設(shè)置���,對(duì)象的SACAL就被配置了����,對(duì)嘗試登錄訪問該對(duì)象時(shí)就開始出現(xiàn)表項(xiàng)�����。除非有特別需要對(duì)某些資源的追蹤訪問�,通常是不會(huì)配置這種級(jí)別的審計(jì),在高度安全的環(huán)境中����,這種級(jí)別的審計(jì)通常是啟用的,并且會(huì)為審計(jì)訪問配置很多資源����。
#p#副標(biāo)題#e#
審計(jì)政策更改–這將對(duì)與計(jì)算機(jī)上三個(gè)"政策"之一的更改相關(guān)的每個(gè)事件進(jìn)行審計(jì),這些政策區(qū)域包括:
·用戶權(quán)利分配
·審計(jì)政策
·信任關(guān)系
除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外,沒有操作系統(tǒng)啟動(dòng)該設(shè)置�����。最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)�。
審計(jì)特權(quán)使用–與執(zhí)行由用戶權(quán)限控制的任務(wù)的用戶相關(guān)的每個(gè)事件都會(huì)被審計(jì),用戶權(quán)利列表是相當(dāng)廣泛的�,如圖3所示:
圖3:計(jì)算機(jī)的用戶權(quán)限列表
這種級(jí)別的審計(jì)不是默認(rèn)配置來追蹤所有操作系統(tǒng)的事件,最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)���。
審計(jì)過程追蹤 – 這將對(duì)與計(jì)算機(jī)中的進(jìn)程相關(guān)的每個(gè)事件進(jìn)行審計(jì)�,這將包括����、程序激活、進(jìn)程退出�、處理重疊和間接對(duì)象訪問。這種級(jí)別的審計(jì)將會(huì)產(chǎn)生很多的事件���,并且只有當(dāng)應(yīng)用程序正在因?yàn)榕懦收系哪康谋蛔粉櫟臅r(shí)候才會(huì)配置�����。
審計(jì)系統(tǒng)事件 – 與計(jì)算機(jī)重新啟動(dòng)或者關(guān)閉相關(guān)的事件都會(huì)被審計(jì)�,與系統(tǒng)安全和安全日志相關(guān)的事件同樣也會(huì)被追蹤(當(dāng)啟動(dòng)審計(jì)的時(shí)候)。這是必要的計(jì)算機(jī)審計(jì)配置����,不僅當(dāng)發(fā)生的事件需要被日志記錄,而且當(dāng)日志本身被清除的時(shí)候也有記錄���。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外,沒有操作系統(tǒng)啟動(dòng)該設(shè)置�。最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)。
每個(gè)審計(jì)類型的Event ID
在安全日志中可能會(huì)產(chǎn)生成千上萬的事件����,所以你需要要秘密解碼器環(huán)來找出尋找的事件,以下是每種類別最重要的事件(你可能想要在安全日志中跟蹤的):
審計(jì)帳戶登錄事件
Event ID 描述
4776 - 域控制器試圖驗(yàn)證帳戶憑證信息
4777 -域控制器未能驗(yàn)證帳戶憑證信息
4768 -要求有Kerberos驗(yàn)證票(TGT)
4769 -要求有Kerberos驗(yàn)證票(TGT)
4770 - Kerberos服務(wù)票被更新
審計(jì)帳戶管理
Event ID 描述
4741 - 計(jì)算機(jī)帳戶已創(chuàng)建
4742 – 計(jì)算機(jī)帳戶已更改
4743 – 計(jì)算機(jī)帳戶已刪除
4739 – 域政策已經(jīng)更改
4782 - 密碼hash帳戶被訪問
4727 - 安全全局組已經(jīng)創(chuàng)建
4728 – 一名用戶被添加到安全全局組
4729 – 一名用戶從安全全局組解除
4730 – 安全全局組已經(jīng)刪除
4731 - 安全本地組已經(jīng)創(chuàng)建
4732 -一名用戶被添加到安全本地組
4733 -一名用戶被安全本地組解除
4734 -安全本地組已經(jīng)刪除
4735 - 安全本地組已經(jīng)更改
4737 -安全全局組已經(jīng)更改
4754 -安全通用組已創(chuàng)建
4755 -安全通用組已創(chuàng)建更改
#p#副標(biāo)題#e#
4756 -一名用戶被添加到安全通用組
4757 -一名用戶被安全通用組解除
4758 -安全本地組已經(jīng)刪除
4720 – 用戶帳戶已創(chuàng)建
4722 – 用戶帳戶已啟用
關(guān)鍵詞標(biāo)簽:Windows Server 2008,
如何修改服務(wù)器3389端口
Win11系統(tǒng)怎么設(shè)置中文-Win11更改成中文的方法教程
Win11怎么設(shè)置同步時(shí)間-Win11手動(dòng)同步時(shí)間操作方法
Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法