實(shí)訓(xùn)62Windows安全審計(jì)功能

1、實(shí)訓(xùn)6.2Windows安全審計(jì)功能本節(jié)實(shí)訓(xùn)與思考的目 的是：(1) 熟悉安全審計(jì)技術(shù)的基本概念和基本內(nèi)容。(2) 通過(guò)深入了解和應(yīng)用Windows操作系統(tǒng)的審計(jì)追蹤功能，來(lái)加深理解安全審計(jì)技術(shù)，掌握Windows的安全審計(jì)功能。1 工具/準(zhǔn)備工作在開(kāi)始本實(shí)訓(xùn)之前，請(qǐng)認(rèn)真閱讀本課程的相關(guān)內(nèi)容。需要準(zhǔn)備一臺(tái)運(yùn)行Windows XP Professional操作系統(tǒng)的計(jì)算機(jī)。2 實(shí)訓(xùn)內(nèi)容與步驟(1) 概念理解1) 請(qǐng)通過(guò)查閱有關(guān)資料，簡(jiǎn)單敘述什么是“安全審計(jì)”計(jì)算機(jī)安全審計(jì)是通過(guò)一定的策略，利用記錄和分析歷史操作事件來(lái)發(fā)現(xiàn)系統(tǒng)的漏洞并改進(jìn)系統(tǒng)的性能和安全。2) 審計(jì)追蹤的目的是什么？目的是發(fā)現(xiàn)違反

2、安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。3) 審計(jì)系統(tǒng)的目標(biāo)是什么？如何實(shí)現(xiàn)？安全審計(jì)提供的功能服務(wù)于直接和間接兩個(gè)方面的安全目標(biāo)：直接目標(biāo)包括跟蹤和監(jiān)測(cè)系統(tǒng)中的異常事件；間接目標(biāo)是監(jiān)視系統(tǒng)中其他安全機(jī)制的運(yùn)行情況和可信度。4) 審計(jì)的主要內(nèi)容包括哪些？包括個(gè)人職能：審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的手段；事件重建：在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)；入侵檢測(cè)和故障分析。(2) Windows安全審計(jì)功能操作系統(tǒng)一般都提供審計(jì)功能。下面，我們以Windows XP Professional操作系統(tǒng)為例，來(lái)了解Windows的安全審計(jì)功能及其應(yīng)用。1) 審計(jì)子系統(tǒng)結(jié)構(gòu)

3、。在Windows系統(tǒng)中，幾乎每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)。步驟1：在Windows“開(kāi)始”菜單中單擊“控制面板”命令，在“控制面板”窗口中雙擊“管理工具”圖標(biāo)，在“管理工具”窗口中進(jìn)一步雙擊“本地安全策略”圖標(biāo)，打開(kāi)“本地安全設(shè)置”窗口。在左邊窗格中選擇“本地策略”“審核策略”，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登錄和退出、文件訪問(wèn)、權(quán)限非法和關(guān)閉系統(tǒng)等。如圖6.1所示。圖6.1 本地安全策略審核策略設(shè)置步驟2：Windows使用一種特殊的格式來(lái)存放它的日志文件，這種格式的文件可以被“事件查看器”所讀取。在“控制面板”的“管理工具”窗口中雙擊“事件查看器”圖標(biāo)，

4、打開(kāi)“事件查看器”窗口如圖6.2所示。圖6.2 事件查看器系統(tǒng)管理員可以使用事件查看器的篩選選項(xiàng)，根據(jù)一定條件 (包括類別、用戶和消息類型等) 選擇要查看的日志條目。Windows的日志文件主要是系統(tǒng)日志、應(yīng)用程序日志和安全日志3個(gè)，它們是審計(jì)Windows系統(tǒng)的核心，Windows中所有可被審計(jì)的事件都存入了其中的一個(gè)日志。 系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。 應(yīng)用程序日志。跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載dll (動(dòng)態(tài)鏈接庫(kù)) 失敗的信息將出現(xiàn)在日志中。 安全日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問(wèn)權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉。但

5、是，用于瀏覽審計(jì)日志的工具事件查看器只有有限的靈活性，對(duì)大型日志的瀏覽速度很慢。由于每個(gè)服務(wù)器和工作站都有自己的日志集。這些日志分散在Windows網(wǎng)絡(luò)的成千上萬(wàn)個(gè)服務(wù)器上，沒(méi)有復(fù)雜的自動(dòng)操作工具和數(shù)據(jù)轉(zhuǎn)儲(chǔ)工具，管理和利用這些日志是非常困難的。2) 審計(jì)日志和記錄格式。Windows的審計(jì)日志由一系列的事件記錄組成。每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。事件記錄頭由以下內(nèi)容組成： 類型。事件嚴(yán)重性指示器。在系統(tǒng)和應(yīng)用日志中，類型可以是錯(cuò)誤、警告或信息，按重要性降序排列。在安全日志中，類型可能是成功審計(jì)或失敗審計(jì)。 日期。事件的日期標(biāo)識(shí)。 時(shí)間。事件的時(shí)間標(biāo)識(shí)。 來(lái)源。

6、用來(lái)響應(yīng)產(chǎn)生事件記錄的軟件。源可以是一個(gè)應(yīng)用程序、一個(gè)系統(tǒng)服務(wù)或一個(gè)設(shè)備驅(qū)動(dòng)程序。 類別。觸發(fā)事件類型，主要用在安全日志中指示該類事件的成功或失敗審計(jì)已經(jīng)被許可。 事件ID。事件類型的數(shù)字標(biāo)識(shí)。在事件記錄描述中，這個(gè)域通常被映射成一個(gè)文本標(biāo)識(shí) (事件名) 。 用戶名。標(biāo)識(shí)事件是由誰(shuí)觸發(fā)的：這個(gè)標(biāo)識(shí)可以是初始用戶ID、某個(gè)客戶II或兩者同時(shí)具有。 計(jì)算機(jī)名。事件所在的計(jì)算機(jī)名。當(dāng)用戶在整個(gè)企業(yè)范圍內(nèi)集中安全管理時(shí)，該信息大大簡(jiǎn)化了審計(jì)信息的回顧。請(qǐng)記錄： 應(yīng)用程序日志中的事件個(gè)數(shù)為：_個(gè)。應(yīng)用程序日志文件所在的物理位置是：_ 安全性日志中的事件個(gè)數(shù)為：_個(gè)。安全性日志文件所在的物理位置是：_ 系

7、統(tǒng)日志中的事件個(gè)數(shù)為：_個(gè)。系統(tǒng)日志文件所在的物理位置是：_3) 事件日志管理特征。Windows為系統(tǒng)管理員管理操作系統(tǒng)事件日志機(jī)制提供了大量特征。在“事件查看器”窗口左邊的窗格中右鍵單擊“應(yīng)用程序”、“安全性”和“系統(tǒng)”等項(xiàng)目，然后在快捷菜單單擊“屬性”命令，可打開(kāi)“屬性對(duì)話框”，如圖6.3所示。系統(tǒng)管理員可以在其中限制日志的大小，規(guī)定當(dāng)文件達(dá)到容量上限時(shí)如何去處理這些文件，例如停止系統(tǒng)直到事件日志被手工清除等。系統(tǒng)開(kāi)始運(yùn)行時(shí)，系統(tǒng)日志和應(yīng)用事件日志也自動(dòng)開(kāi)始記錄。當(dāng)日志文件已滿并且系統(tǒng)配置規(guī)定它們必須被手工清除時(shí)，日志停止。另外，安全事件日志必須由具有管理員權(quán)限的人啟動(dòng)。利用管理工具，可

8、以設(shè)置安全審計(jì)規(guī)則。要啟用安全審計(jì)的功能，只需在規(guī)則菜單下選擇審計(jì)，然后通過(guò)查看記錄的安全事件日志中的安全性事件，即可以跟蹤所選用戶的操作。4) 安全日志的審計(jì)策略。安全日志由審計(jì)策略支配。審計(jì)策略可以通過(guò)配置審計(jì)策略對(duì)話框中的選項(xiàng)來(lái)建立。審計(jì)策略規(guī)定日志的事件類型并可以根據(jù)動(dòng)作、用戶和目標(biāo)進(jìn)一步具體化。安全事件記錄包括動(dòng)作的時(shí)間和日期、已執(zhí)行的動(dòng)作和執(zhí)行響應(yīng)的動(dòng)作。成功和失敗的動(dòng)作都能在安全日志中產(chǎn)生條目。日志條目也記錄企圖執(zhí)行被策略禁止的動(dòng)作的活動(dòng)；審計(jì)規(guī)則如下 (既可以審計(jì)成功的操作，又可以審計(jì)失敗的操作) 。 登錄及注銷。登錄及注銷或連接到網(wǎng)絡(luò)。圖6.3 日志的屬性設(shè)置 用戶及組管理。

9、創(chuàng)建、更改或刪除用戶賬號(hào)或組，重命名、禁止或啟用用戶號(hào)，設(shè)置和更改密碼。 文件及對(duì)象訪問(wèn)。訪問(wèn)設(shè)置用于文件或目錄審計(jì)的目錄或文件的用戶，向設(shè)置用于打印機(jī)審計(jì)的打印機(jī)發(fā)送打印作業(yè)的用戶。 安全性規(guī)則更改。對(duì)用戶權(quán)利、審計(jì)或委托關(guān)系規(guī)則的改動(dòng)。 重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)級(jí)事件。用戶重新啟動(dòng)或關(guān)閉計(jì)算機(jī)，或者發(fā)生了一個(gè)影響系統(tǒng)安全性或安全日志的事件。 進(jìn)程追蹤。這些事件提供了關(guān)于事件的詳細(xì)跟蹤信息，如程序活動(dòng)、某些形式句柄的復(fù)制、間接對(duì)象的訪問(wèn)和退出進(jìn)程：對(duì)于“文件及對(duì)象訪問(wèn)”中的文件和目錄的審計(jì)還需要在資源管理器中對(duì)要審計(jì)的目錄或文件進(jìn)行具體設(shè)置。 文件和目錄審計(jì)。允許跟蹤目錄和文件的用法。對(duì)于一個(gè)具體的文件或目錄，可以指定要審計(jì)的組、用戶或操作。既可以審計(jì)成功的操作，又可以審計(jì)失敗的操作。審計(jì)目錄可以選擇讀、寫(xiě)、執(zhí)行、刪除、更改權(quán)限或者獲得所有權(quán)等事件。審計(jì)文件也可以選擇讀、寫(xiě)、可執(zhí)行、刪除、更改權(quán)限、獲得所有權(quán)等事件。5) 管理和維護(hù)審計(jì)。通常情況下，Windows不是將所有的事件都記錄日志，而需要手動(dòng)啟動(dòng)審計(jì)的功能。在啟動(dòng)Windows的審計(jì)功能時(shí)，需要仔細(xì)選擇審計(jì)的內(nèi)容。審計(jì)日志將產(chǎn)