“審核”功能就像Windows的晴雨表，據(jù)此我們可以了解計(jì)算機(jī)的一舉一動(dòng)，并且可以根據(jù)這些信息來(lái)維護(hù)計(jì)算機(jī)系統(tǒng)的安全以及進(jìn)行故障點(diǎn)排除。在Vista中，“審核”功能比以往更加強(qiáng)大，本文將和大家一起探討其在Vista下的應(yīng)用。

1、啟用審核的策略

所謂的審核就是跟蹤，啟用相應(yīng)的審核功能后系統(tǒng)就會(huì)跟蹤并記錄事件的過(guò)程，方便管理員查看。利用審核功能，我們不僅可以監(jiān)視用戶在計(jì)算機(jī)上進(jìn)行的操作，還可以根據(jù)系統(tǒng)運(yùn)行狀態(tài)對(duì)故障進(jìn)行排除。但是，開(kāi)啟了審核就會(huì)降低系統(tǒng)的性能，因?yàn)橄到y(tǒng)為此需要耗費(fèi)一部分資源用于記錄和存儲(chǔ)事件。因此，我們?cè)趩⒂脤徍藭r(shí)要根據(jù)需要制訂審核策略。

作為管理員需要明確以下幾個(gè)方面：需要對(duì)哪些內(nèi)容進(jìn)行審核;是否合理設(shè)置了審核策略;哪些用戶有權(quán)訪問(wèn)日志;由誰(shuí)了負(fù)責(zé)收集和歸檔日志;日志備份的相關(guān)工作如何進(jìn)行;日志丟失后如何處理;日志保存和審查的周期;審查日志需要用到的工具和措施;在日志中發(fā)現(xiàn)安全問(wèn)題后如何處理等。只有這樣才能在審核好系統(tǒng)性能之間取得一個(gè)平衡。

2、配置審核策略

審核是對(duì)具體事件的過(guò)程進(jìn)行監(jiān)視和記錄，因此會(huì)將結(jié)果保存到系統(tǒng)的事件日志中。當(dāng)然，除非開(kāi)啟了相應(yīng)的審核功能，否則Windows Vista不會(huì)記錄安全日志。開(kāi)啟審核功能的方法是：依次單擊“開(kāi)始”→“控制面板”→“系統(tǒng)和維護(hù)”→“管理工具”，打開(kāi)“本地安全策略”控制臺(tái)。然后在“本地策略”→“審核策略”中找到相應(yīng)的審核策略。

在Vista中可啟用的審核策略有9項(xiàng)之多，比如“審核特權(quán)使用”，用來(lái)記錄用戶在系統(tǒng)操作過(guò)程中行使除登錄、注銷(xiāo)和網(wǎng)絡(luò)之外的權(quán)限。“審核帳戶管理”，記錄用戶帳戶的創(chuàng)建、刪除、更改等事件。“審核進(jìn)程跟蹤”，跟蹤并記錄進(jìn)程的后臺(tái)運(yùn)行，例如程序的激活，handle句柄的復(fù)制和對(duì)文件管理資源的訪問(wèn)等。啟用各種審核策略的方法類(lèi)似，至于啟用什么樣的審核策略，要根據(jù)自己安全需要進(jìn)行選擇。

例如要審核登錄事件，只需雙擊打開(kāi)該策略，然后勾選審核包括事件的成功和失敗，最后單擊“定”即可。這樣Windows Vista就可以開(kāi)始審核本地所有用戶帳戶的登錄事件，包括用戶成功登錄和登錄失敗，這樣有利用發(fā)現(xiàn)系統(tǒng)是否被非法登錄并被入侵。

3、查看審核報(bào)告

在啟用了審核策略后，系統(tǒng)就會(huì)在系統(tǒng)的日志中記錄相關(guān)的事件。如果要查看日志，就需要通過(guò)“事件查看器”來(lái)進(jìn)行查看，依次單擊“開(kāi)始”→“控制面板”→“系統(tǒng)和維護(hù)”→“管理工具”，打開(kāi)“事件查看器”控制臺(tái)，在“Windows 日志”下分別有“應(yīng)用程序”、“安全”、“安裝程序”、“系統(tǒng)”、“轉(zhuǎn)發(fā)事件”等多個(gè)類(lèi)別，單擊不同類(lèi)別可以在中間的窗格中查看到所有該類(lèi)別的事件記錄。雙擊某個(gè)事件記錄，可以打開(kāi)該記錄的詳細(xì)信息窗口，用戶便可以了解該事件的來(lái)源和發(fā)生事件、事件ID等。

右擊某一類(lèi)的事件日志，可以對(duì)其日志進(jìn)行一些操作。例如，我們可以選擇“將事件另存為”來(lái)導(dǎo)出該類(lèi)別的事件日志;選擇“打開(kāi)保存的日志”，用于導(dǎo)入已存在的事件日志;如果日志記錄太多，為了釋放更多的空間，我們可以選擇“清除日志”選項(xiàng)來(lái)清除所有記錄;而管理員需要在眾多的記錄中找到自己所需的信息，可以借助“篩選當(dāng)前日志”功能，根據(jù)事件級(jí)別、事件ID、關(guān)鍵字、用戶等信息進(jìn)行篩選。

4、監(jiān)控文件訪問(wèn)

文件監(jiān)控在現(xiàn)實(shí)環(huán)境中非常實(shí)用，比如管理員設(shè)置了一個(gè)共享文件夾，但被人改得面目全非，我們就可以通過(guò)文件夾監(jiān)控來(lái)確定到底是哪些用戶對(duì)文件夾進(jìn)行了操作，然后進(jìn)一步確定是哪個(gè)用戶做的。需要說(shuō)明的是，文件或者文件夾的監(jiān)控是基于NTFS文件系統(tǒng)，所以分區(qū)格式必須是這種格式。

首先在“本地安全策略”中啟用“審核對(duì)象訪問(wèn)”策略，為了準(zhǔn)確定位，我們可以只對(duì)“成功”事件進(jìn)行記錄。然后定位到需要監(jiān)控的文件夾，右鍵點(diǎn)擊選擇“屬性”，在“安全”選項(xiàng)卡中單擊“高級(jí)”按鈕，接著選擇“審核”選項(xiàng)卡單擊“繼續(xù)”按鈕，在打開(kāi)的窗口中單擊“添加”按鈕，輸入要添加審核的用戶帳戶或用戶組的名稱(chēng)。然后在“審核項(xiàng)目”面板中勾選需要監(jiān)控的操作，包括創(chuàng)建文件/寫(xiě)入數(shù)據(jù)、刪除等。如果要監(jiān)控用戶的所有操作可以選擇“完全控制”。最后單擊“確定”按鈕，即可完成審核的設(shè)置。

這樣系統(tǒng)會(huì)將指定的事件記錄在系統(tǒng)日志中，我們可以通過(guò)“時(shí)間查看器”的“Windows 日志”→“安全”中查看到相關(guān)的記錄。當(dāng)然，此時(shí)的事件記錄是非常多的，我們可以通過(guò)“篩選器”進(jìn)行篩選。右鍵點(diǎn)擊左側(cè)的“安全”選擇“篩選當(dāng)前日志”打開(kāi)篩選窗口。在“篩選器”選項(xiàng)卡下進(jìn)行篩選設(shè)置，因?yàn)槲覀円榭词强截惖奈募笆录?lái)源選擇”就選擇“Security-Auditing”，“任務(wù)類(lèi)別”選擇“文件系統(tǒng)”，“事件ID”輸入“4656”所示，然后“確定”退出。這時(shí)候，在“事件查看器”右邊列出的就是每一次讀取數(shù)據(jù)的信息了。雙擊每一項(xiàng)目可查看詳細(xì)信息，注意帶有 Object Type: File 的項(xiàng)目才是對(duì)文件的訪問(wèn)。我們雙擊打開(kāi)就可以看到hacker用戶就fr文件夾進(jìn)行的拷貝操作。

總結(jié)：本文只以文件監(jiān)控為例演示了Vista“審核”功能在系統(tǒng)安全方面的應(yīng)用，其實(shí)它的應(yīng)用是非常廣泛的。不過(guò)，其使用方法類(lèi)似，一般是先啟用想要的“審核”策略，然后通過(guò)“事件查看器”進(jìn)行查看。當(dāng)然，靈活應(yīng)用“篩選器”可以幫助我們快速定位到我們需要查看的項(xiàng)目。