-
審核策略
鎖定
- 中文名
- 審核策略
- 所屬學科
- 計算機學
- 屬 性
- 計算機學術語
審核策略模塊內容
目標
適用範圍
如何使用本模塊
審核策略簡介
審核設置
審核帳户登錄事件
審核帳户管理
審核目錄服務訪問
審核登錄事件
審核對象訪問
審核策略更改
審核特權使用
審核過程跟蹤
審核系統事件
審核示例:用户登錄事件的審核結果
用户登錄到其計算機
用户連接到名為 Share 的共享文件夾
用户打開文件 document.txt
用户保存文件 document.txt
本模塊內容
本模塊描述瞭如何設置應用於審核的各種設置。本模塊還提供了由幾個常見任務創建的審核事件示例。每當用户執行了指定的某些操作,審核日誌就會記錄一個審核項。您可以審核操作中的成功嘗試和失敗嘗試。
正確的審核設置所生成的審核日誌將包含有關此次入侵的重要信息。
返回頁首
審核策略目標
使用本模塊可以設置下列審核策略:
· 審核設置
· 審核帳户登錄事件
· 審核帳户管理
· 審核目錄服務訪問
· 審核登錄事件
· 審核對象訪問
· 審核策略更改
· 審核特權使用
· 審核過程跟蹤
· 審核系統事件
· 審核示例:用户登錄事件的審核結果
· 用户登錄到自己的計算機
· 用户連接到名為 Share 的共享文件夾
· 用户打開文件 document.txt
· 用户保存文件 document.txt
返回頁首
審核策略適用範圍
本模塊適用於下列產品和技術:
· Microsoft® Windows® Server™ 2003 操作系統
· Microsoft Active Directory®目錄服務
· Microsoft Windows XP
返回頁首
如何使用本模塊
本模塊旨在為當前版本的 Microsoft Windows 操作系統中的審核策略安全設置提供參考。它是 Microsoft 發佈的其他兩份指南的附加指南:“Windows Server 2003 Security Guide”
本模塊大致按照組策略編輯用户界面中顯示的主要部分進行組織。首先簡要描述了模塊的內容,然後列出了各個子部分的標題。子部分標題對應於一個或一組設置。對於所有設置,都簡要説明了該對策的功能。
每當用户執行了指定的某些操作,審核日誌就會記錄一個審核項。例如,修改文件或策略可以觸發一個審核項。審核項顯示了所執行的操作、相關的用户帳户以及該操作的日期和時間。您可以審核操作中的成功嘗試和失敗嘗試。
計算機上的操作系統和應用程序的狀態是動態變化的。例如,有時可能需要臨時更改安全級別,以便立即解決管理問題或網絡問題。這些更改經常會被忘記,並且永遠不會撤銷。這説明計算機可能不再滿足企業安全的要求。
作為企業風險管理項目的一部分,定期分析可以使管理員跟蹤並確保每個計算機有足夠的安全級別。分析的重點是專門指定的、與安全有關的所有系統方面的信息。這使管理員可以調整安全級別,而且最重要的是,可以檢測到系統中隨着時間的推移而有可能產生的所有安全缺陷。
真確的審核設置所生成的審核日誌將包含有關此次入侵的重要信息。
通常,失敗日誌比成功日誌更有意義,因為失敗通常説明有錯誤發生。例如,如果用户成功登錄到系統,一般認為這是正常的。然而,如果用户多次嘗試都未能成功登錄到系統,則可能説明有人正試圖使用他人的用户 ID 侵入系統。事件日誌記錄了系統上發生的事件。安全日誌記錄了審核事件。組策略的“事件日誌”容器用於定義與應用程序、安全性和系統事件日誌相關的屬性,例如日誌大小的最大值、每個日誌的訪問權限以及保留設置和方法。
計算機配置\Windows 設置\安全設置\本地策略\審核策略
審核設置
所有審核設置的漏洞、對策和潛在影響都一樣,因此這些內容僅在以下段落中詳細講述一次。然後在這些段落之後簡要説明了每個設置。
審核設置的選項為:
· 成功
· 失敗
· 無審核
如果未配置任何審核設置,將很難甚至不可能確定出現安全事件期間發生的情況。不過,如果因為配置了審核而導致有太多的授權活動生成事件,則安全事件日誌將被無用的數據填滿。為大量對象配置審核也會對整個系統性能產生影響。
對策
組織內的所有計算機都應啓用適當的審核策略,這樣合法用户可以對其操作負責,而未經授權的行為可以被檢測和跟蹤。
潛在影響
如果在組織內的計算機上沒有配置審核,或者將審核設置的太低,將缺少足夠的甚至根本沒有可用的證據,可在發生安全事件後用於網絡辯論分析。而另一方面,如果啓用過多的審核,安全日誌中將填滿毫無意義的審核項。
返回頁首
審核策略審核帳户登錄事件
“審核帳户登錄事件”設置用於確定是否對用户在另一台計算機上登錄或註銷的每個實例進行審核,該計算機記錄了審核事件,並用來驗證帳户。如果定義了該策略設置,則可指定是否審核成功、失敗或根本不審核此事件類型。成功審核會在帳户登錄嘗試成功時生成一個審核項。失敗審核會在帳户登錄嘗試失敗時生成一個審核項,該審核項對於入侵檢測十分有用,但此設置可能會導致拒絕服務 (DoS) 。
返回頁首
審核策略審核帳户管理
“審核帳户管理”設置用於確定是否對計算機上的每個帳户管理事件進行審核。
帳户管理事件的示例包括:
· 創建、修改或刪除用户帳户或組。
·重命名、禁用或啓用用户帳户。
· 設置或修改密碼。
成功審核會在任何帳户管理事件成功時生成一個審核項,並且應在企業中的所有計算機上啓用這些成功審核。在響應安全事件時,組織可以對創建、更改或刪除帳户的人員進行跟蹤,這一點非常重要。失敗審核會在任何帳户管理事件失敗時生成一個審核項。
返回頁首
審核目錄服務訪問
“審核目錄服務訪問”設置用於確定是否對用户訪問 Microsoft Active Directory 對象的事件進行審核,該對象指定了自身的系統訪問控制列表(SACL)。SACL 是用户和組的列表。對象上針對這些用户或組的操作將在基於 Microsoft Windows 2000–的網絡上進行審核。成功審核會在用户成功訪問指定了 SACL 的 Active Directory 對象時生成一個審核項。失敗審核會在用户試圖訪問指定了 SACL 的 Active Directory 對象失敗時生成一個審核項。啓用“審核目錄服務訪問”並在目錄對象上配置 SACL 可以在域控制器的安全日誌中生成大量審核項,因此僅在確實要使用所創建的信息時才應啓用這些設置。
請注意,可以通過使用 Active Directory 對象“屬性”對話框中的“安全”選項卡,在該對象上設置 SACL。除了僅應用於 Active Directory 對象,而不應用於文件系統和註冊表對象之外,它與審核對象訪問類似。
返回頁首
審核登錄事件
“審核登錄事件”設置用於確定是否對用户在記錄審核事件的計算機上登錄、註銷或建立網絡連接的每個實例進行審核。如果正在域控制器上記錄成功的帳户登錄審核事件,工作站登錄嘗試將不生成登錄審核。只有域控制器自身的交互式登錄和網絡登錄嘗試才生成登錄事件。總而言之,帳户登錄事件是在帳户所在的位置生成的,而登錄事件是在登錄嘗試發生的位置生成的。
成功審核會在登錄嘗試成功時生成一個審核項。該審核項的信息對於記帳以及事件發生後的辯論十分有用,可用來確定哪個人成功登錄到哪台計算機。失敗審核會在登錄嘗試失敗時生成一個審核項,該審核項對於入侵檢測十分有用,但此設置可能會導致進入 DoS 狀態,因為攻擊者可以生成數百萬次登錄失敗,並將安全事件日誌填滿。
返回頁首
審核對象訪問
“審核對象訪問”設置用於確定是否對用户訪問指定了自身 SACL 的對象(如文件、文件夾、註冊表項和打印機等)這一事件進行審核。成功審核會在用户成功訪問指定了 SACL 的對象時生成一個審核項。失敗審核會在用户嘗試訪問指定了 SACL 的對象失敗時生成一個審核項。許多失敗事件在正常的系統運行期間都是可以預料的。例如,許多應用程序(如 Microsoft Word)總是試圖使用讀寫特權來打開文件。如果無法這樣做,它們就會試圖使用只讀特權來打開文件。如果已經在該文件上啓用了失敗審核和適當的 SACL,則發生上述情況時,將記錄一個失敗事件。
如果啓用審核對象訪問並在對象上配置 SACL,可以在企業系統上的安全日誌中生成大量審核項,因此,僅在確實要使用記錄的信息時才應啓用這些設置。
注意:在 Microsoft Windows Server 2003 中,啓用審核對象(如文件、文件夾、打印機或註冊表項)功能可以分為兩個步驟。啓用審核對象訪問策略之後,必須確定要監視其訪問的對象,然後相應修改其 SACL。例如,如果要對用户打開特定文件的任何嘗試進行審核,可以使用 Windows 資源管理器或組策略直接在要監視特定事件的文件上設置“成功”或“失敗”屬性。
返回頁首
審核策略更改
“審核策略更改”設置用於確定是否對更改用户權限分配策略、審核策略或信任策略的每個事件進行審核。成功審核會在成功更改用户權限分配策略、審核策略或信任策略時生成一個審核項,該審核項的信息對於計帳以及事件發生後的辯論十分有用,可用來確定誰在域或單個計算機上成功修改了策略。失敗審核會在對用户權限分配策略、審核策略或信任策略的更改失敗時生成一個審核項。
返回頁首
審核特權使用
“審核特權使用”設置用於確定是否對用户行使用户權限的每個實例進行審核。成功審核會在成功行使用户權限時生成一個審核項。失敗審核會在行使用户權限失敗時生成一個審核項。啓用這些設置以後,生成的事件數量將十分龐大,並且難以進行分類。只有在已經計劃好如何使用所生成的信息時,才應啓用這些設置。
默認情況下,即使為“審核特權使用”指定了成功審核或失敗審核,也不會為下列用户權限的使用生成審核事件:
· 跳過遍歷檢查
·調試程序
· 創建令牌對象
· 替換進程級令牌
· 生成安全審核
·備份文件和目錄
· 還原文件和目錄
返回頁首
審核過程跟蹤
“審核過程跟蹤”設置用於確定是否審核事件的詳細跟蹤信息,如程序激活、進程退出、句柄複製和間接對象訪問等。成功審核會在成功跟蹤過程時生成一個審核項。失敗審核會在跟蹤過程失敗時生成一個審核項。
啓用“審核過程跟蹤”將生成大量事件,因此通常都將其設置為“無審核”。但是,在事件響應期間,即過程詳細日誌開始記錄和這些過程被啓動的時間,這些設置會發揮很大的作用。
返回頁首
審核系統事件
“審核系統事件”設置用於確定在用户重新啓動或關閉其計算機時,或者在影響系統安全或安全日誌的事件發生時,是否進行審核。如果定義了此策略設置,則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在成功執行系統事件時生成一個審核項。失敗審核會在系統事件嘗試失敗時生成一個審核項。由於同時啓用系統事件的失敗審核和成功審核時,僅記錄極少數其他事件,並且所有這些事件都非常重要,因此建議在組織中的所有計算機上啓用這些設置。
返回頁首
審核示例
用户登錄事件的審核結果
既然已經學習了 Windows 中可用的各種審核設置,因此,考慮一個特定的示例可能會很有幫助。審核是從單個系統的角度來實現的,而不是從用户喜歡的整體角度來實現的。事件是在單個系統上記錄的,因此要確定發生了什麼事件,可能需要檢查多個系統的安全日誌,並對這些數據進行關聯。
本模塊的其餘部分顯示了當授權用户登錄到其計算機,並訪問由文件服務器託管的共享文件夾中的文件時,寫入域控制器、文件服務器和最終用户計算機的事件日誌中的核心事件。另外,將僅記錄核心事件以便用於驗證,為了清楚起見,將忽略這些活動所生成的其他事件。本示例涉及的帳户名稱和資源名稱如下:
· 域:DOM
·域控制器:DC1
·文件服務器:FS1
· 最終用户計算機:XP1
· 用户:John
· FS1 上的共享文件夾:Share
·共享文件夾中的文檔:document.txt
返回頁首
用户登錄到其計算機
· 記錄在最終用户計算機上的事件
· 事件 ID 528 的成功審核、用户 DOM\John 在計算機 XP1 上的用户登錄/註銷
· 記錄在域控制器上的事件
· 事件 ID 540 的成功審核、用户 DOM\John 在計算機 DC1 上的用户登錄/註銷
· 記錄在文件服務器上的事件
· 無
返回頁首
用户連接到名為 Share 的共享文件夾
· 記錄在最終用户計算機上的事件
· 無
· 記錄在域控制器上的事件
· 事件 ID 673 的成功審核、用户 John@DOM.com 對服務名 FS1$ 的帳户登錄,
· 事件 ID 673 的成功審核、用户 FS$@DOM.com 對服務名 FS1$ 的帳户登錄,
· 事件 ID 673 的成功審核、用户 XP1$@DOM.com 對服務名 FS1$ 的帳户登錄
注意:這些都是 Kerberos 服務票證要求的。
· 記錄在文件服務器上的事件
· 事件 ID 540 的成功審核、用户 DOM\John 在計算機 FS1 上的用户登錄/註銷,
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData(或ListDirectory)、ReadEA 和 ReadAttributes
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData
返回頁首
用户打開文件 document.txt
· 記錄在最終用户計算機上的事件
· 無
· 記錄在域控制器上的事件
· 無
· 記錄在文件服務器上的事件
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData(或 ListDirectory)
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 ReadAttributes
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share 的對象的對象訪問,訪問類型為 ReadAttributes
返回頁首
用户保存文件 document.txt
· 記錄在最終用户計算機上的事件
· 無
· 記錄在域控制器上的事件
· 無
· 記錄在文件服務器上的事件
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 SYNCHRONIZE、ReadData(或 ListDirectory)、WriteDate(或 AddFile)、AppendDate(或 AddSubdirectory、CreatePipeInstance)、ReadEA、WriteEA、ReadAttributes 以及 WriteAttributes
· 事件 ID 560 的成功審核、用户 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、SYNCHRONIZE 和 ReadData(或 ListDirectory)
儘管本示例看上去是一系列複雜事件,但這已經被大大簡化了。採取上述步驟實際上將在域控制器和文件服務器上生成許多登錄、註銷和特權使用事件。另外,用户打開文件時將會生成對象訪問事件的記錄,並且每當用户保存該文件時,將會創建更多的事件。由此可見,如果沒有自動工具的支持,如 Microsoft Operations Manager,使用審核生成的數據將是一項非常艱鉅的任務。
