审核策略
审核对于保证域的安全是非常重要的,在Windows XP系统中,默认情况下审核并没有被启用,而每个版本的Windows XP系统都包括了审核功能,以便收集关于系统使用的信息。系统日志就收集了关于应用程序、系统以及安全的相关信息,审核策略中审核的对象发生的事件都会被记录到日志中,日志可以通过时间查看器查看。
警告:审核可能会造成处理器时间以及磁盘空间的大量占用,为了减小系统的负担,管理员最好能每天/周都检查、保存和清空审核日志,或者直接把日志保存到其他计算机上。同时也建议直接把审核日志保存到其他计算机中。
要通过安全模板组建修改审核策略设置,依次双击:
本地策略–审核策略 ,右键点击特定的选项以查看或者编辑
图3和表4显示了对于Windows XP Professional建议的审核策略设置。而对于Windows 2000成员服务器和域控制器的建议设置可以在 Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Set一文中找到。
图3 建议的审核策略
|
审核策略选项 |
建议的设置 |
|
审核账户登录事件 用来审核每一个登录和注销本机的用户实例。 |
成功、失败 |
|
审核账户管理 审核安全账户数据库的变动(例如账户的创建、改变和删除)。 |
成功、失败 |
|
审核目录服务访问 审核用户访问那些指定自己的SACL (system access control list,系统访问控制列表)的活动目录对象的事件。这个选项跟审核对象访问类似,只不过本策略只对活动目录对象起作用而不对一般文件或者注册表项目生效。既然这个选项仅对活动目录对象生效,对于工作站和成员服务器来说就没必要启用了。 |
无审核 |
|
审核登录事件 跟踪用户的登录和注销以及打开的网络连接,同时记录登录请求的类型(交互式登录、网络登录或者服务)。这个策略跟审核账户登录事件策略不同,因为本策略仅记录发生的登录的类型以及登录用户的所在位置。该策略还会跟踪所有无法通过验证的失败登陆。 注意:对登录成功或失败的审核会生成大量数据,因为网络、服务以及用户的登录全部被记录下来了。对成功事件的审核也是很重要的,这样就可以在系统被攻击时了解用户的登录情况。因此如果日志文件可以占据较多硬盘空间,那么最好把煤粉中登录的信息无论成功或失败都能记录下来。 |
成功 |
|
审核对象访问 追踪对对象(例如目录、文件、打印机)的失败访问,其中个别对象的审核不是自动的,需要在对象的属性中打开。 |
失败 |
|
审核策略更改 跟踪用户权限分配、审核策略以及信任策略等安全策略的更改。 注意:审核策略的成功更改时存在一个问题,其中的一个问题就是在启用了安全选项中的“审核:如果无法记录安全审核则立即关闭系统”(CrashOnAuditFail)这一策略后重启动时发生的,然而重启动时,系统将会蓝屏或者崩溃。显然,在向审核日志中写入策略改变的事件时发生了问题,正因为如此,系统才会崩溃。不过再次重启动将会成功,但是根据设计只有Administrator才可以登录。为了使其他用户可以访问系统,Administrator在登录后必须把注册表的CrashOnAuditFail键的键值由2改为0或者1。如果“审核策略更改”这个策略没有启用就不会发生这种情况。 |
成功、失败 |
|
审核特权使用 审核使用特权失败的事件以及给用户指派特权的事件。本策略会审核用户的所有权限,除了跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录。 注意:在安全选项中对用户的所有权限包括备份和还原都设置了审核的话将会使系统审核所有用户的执行情况,这将会在很短的时间内产生大量的审核日志,因此不建议启用。 |
失败 |
|
审核过程跟踪 审核例如程序激活和退出等事件,如果你怀疑你的系统被攻击,那么这个选项的记录就会很有用?/span> |
无审核 |
|
审核系统事件 跟踪所有影响到整个系统或者审核日志的事件,记录例如冲启动或者关机之类的事件。 |
成功、失败 |
表4 审核策略选项
. TAG: winXP 安全策略 审核策略