[windows安全设置]Win 2000安全审核策略让入侵者无处遁形

转载 2005年03月01日 14:17:00
作为一个网管员,你是否知道在你的主机或服务器上发生的事情——谁来访问过?他们都做过些什么?目的是什么?什么?你不知道!其实Windows 2000给我们提供了一项安全审核功能,我们做管理员这行的,最需要熟悉的就是这一功能了,否则你怎么管呢?安全审核可以用日志的形式记录好几种与安全相关的事件,你可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。
    
     打开审核策略
    
     Windows 2000的默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核(如图1)。
    

    
    

     图1制定审核策略
    
     策略更改:安全策略更改,包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。
    
     登录事件:对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。
    
     对象访问:必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。
    
     过程追踪:详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。
    
     目录服务访问:记录对Active Directory的访问,这一类需要审核它的失败事件。
    
     特权使用:某一特权的使用;专用特权的指派,这一类需要审核它的失败事件。
    
     系统事件:与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件,这一类必须同时审核它的成功和失败事件。
    
     账户登录事件:验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。
    
     账户管理:创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。
    
     打开以上的审核后,当有人尝试对你的系统进行某些方式(如尝试用户密码,改变账户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来,存放在“事件查看器”中的安全日志中。
    
     另外在“本地安全策略”中还可开启账户策略,如在账户锁定策略中设定,账户锁定阀值为三次(那么当三次无效登录将锁定),然后将账户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次,而且还要冒着被记录追踪的危险。
    
     审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少的话,你如果想查看黑客攻击的迹象却发现没有记录,那就没办法了,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完那些安全日志,这样就失去了审核的意义。
    
     对文件和文件夹访问的审核
    
     对文件和文件夹访问的审核,首先要求审核的文件或文件夹必须位于NTFS分区之上,其次必须如上所述打开对象访问事件审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。
    
     在所选择的文件或文件夹的属性窗口的“安全”页面上,点击[高级]按钮;在“审核”页面上,点击[添加]按钮,选择想对该文件或文件夹访问进行审核的用户,单击[确定];在“审核项目”对话框中,为想要审核的事件选择“成功”或是“失败”复选框(如图2),选择完成后确定。返回到“访问控制设置”对话框,默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可(如图3)。
    
     审核结果的查看和维护
    
     设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。
    
     在“管理工具”中运行“事件查看器”,选择“安全日志”。在右侧显示日志列表,以及每一条目的摘要信息(如图4)。如果你在几个登录的失败审核后面又发现登录的成功审核,那你就要仔细查看这些日志信息了,如果是密码太简单被人猜出,就需要增加密码的长度和复杂性了。在这里可以查看各个事件的详细信息,还可以查找和筛选符合条件的事件。
    
     随着审核事件的不断增加,安全日志文件的大小也会不断增加,默认情况下日志文件的大小是512KB,当达到最大日志尺寸时,系统会改写7天以前的事件。其实我们可以根据需要进行更改。用鼠标右击“事件查看器”的“安全日志”项,选择“属性”,进入安全日志的属性窗口(如图5),在“常规”标签页面上,网管员可以根据自己实际需要修改系统的这些默认设置,以满足自己存储安全日志的需要。
    
     在Windows 2000系统中使用审核策略,虽然不能对用户的访问进行控制,但是你根据打开审核产生的安全日志,可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况,从而为我们追踪黑客提供可靠依据,同时还有利于采取相应的防范措施将系统的不安全因素降到最低限度,从而营造一个更加安全可靠的Windows 2000系统平台。

Win 2003安全检测 让入侵者无处遁形

Win2003安全检测让入侵者无处遁形,适合用户群:vps  服务器托管  windows Server 2003是服务器版的系统,个人用户时有使用,但其多被用来做服务器的系统平台。攻击者更愿意...
  • dongdongzzcs
  • dongdongzzcs
  • 2012年01月31日 12:34
  • 927

IIS配置安全策略

IIS配置安全策略   Web服务器的安全设置与应用   WEB服务器的设置    一、这次讲的是...
  • diy_888
  • diy_888
  • 2007年02月06日 13:44
  • 938

Windows 日志安全审核

Windows Logon Type的含义   我只是把主要的内容整理了一下备查。   Logon type 2 Interactive  本地交互登录。最常见的登录方式。 Lo...
  • isoleo
  • isoleo
  • 2015年04月09日 09:44
  • 1730

windows下apache/php安全配置

继上篇《PHP网站被挂马防御战》   Php本身也有一些安全机制,如下: 1、 禁用shell函数和com组件;(上篇已提到) 2、 限制php作用域;(上篇已提到) 3、 启动php安全模式; 4、...
  • cwqcwk1
  • cwqcwk1
  • 2013年06月17日 15:11
  • 2928

WINDOWS2008server安全策略设置v

WINDOWS2008server安全策略设置 一、防止黑客或恶意程序暴力破解我的系统密码  答: 暴力破解Windows密码实质上是通过穷举算法来实现,尤其是密码过于简单的系统,暴力破解的方法还...
  • u012949335
  • u012949335
  • 2016年09月08日 15:54
  • 1322

MS SQL 2000 安全设置

  日前SQL INJECTION的攻击测试愈演愈烈,很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQL SERVER数据库,正因为如此,很多人开始怀疑SQL SERVER的安全性。其实S...
  • xiaosong2008
  • xiaosong2008
  • 2009年11月05日 10:02
  • 939

配置组策略以设置系统服务安全

您可以在 Windows 中实现系统服务的安全性。这使您能够控制由谁来管理工作站、成员服务器或域控制器上的各种服务。目前,更改系统服务的唯一方法是通过使用“组策略”计算机设置。如果在“默认域策略”中实...
  • sergey
  • sergey
  • 2005年11月16日 15:26
  • 2286

Windows2008 Server 常规设置及基本安全策略

Windows2008 Server 常规设置及基本安全策略
  • YourBer
  • YourBer
  • 2015年09月18日 16:45
  • 5417

Windows Server2003系统安全设置

一、 系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/...
  • hgjsoft
  • hgjsoft
  • 2016年09月30日 09:49
  • 175

Windows安全指南之域级别策略

简介可在域级别上应用所有的帐户策略组策略设置。在帐户策略、帐户锁定策略和 Kerberos 策略内置的默认域控制器中提供了默认值。请记住,在 Microsoft Active Directory 中设...
  • fish586
  • fish586
  • 2006年01月13日 12:15
  • 960
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:[windows安全设置]Win 2000安全审核策略让入侵者无处遁形
举报原因:
原因补充:

(最多只允许输入30个字)