Windows 7文件拜候的安全审计战略[Windows安全]

　　在审计文件拜候战略中,可以按照需求挑选多种安全审计战略,便可以奉告操作系统,在发生哪些操作时将拜候的信息记入到安整日记中,包含拜候人员、拜候者的电脑、拜候时间、举行了什么操作等等.假如将全部的拜候操作都记录在日记中,那么日记的容量会变得很大,反而不易于后许的保护与管理.为此系统管理员在设置审计文件拜候战略时,常常需求挑选一些特定的事件,以削减安全拜候日记的容量.为了到达这个目的,下面的一些倡议各位系统管理员可以参考一下.

　　1、最少拜候操作原则.

　　在Windows 7中,将这个拜候操作分为很细,如改正权限、更改全部者等等十多种拜候操作.固然系统管理员需求花一定的时间去考虑该挑选哪些操作大概举行相关的设置,但是关于系统管理员来说这仍旧是一个福音.权限细分意味着管理员挑选特定的拜候操作之后,便可以得到最少的考核记录.简单的说,“产生的考核记录最少并且可以涵盖用户的安全需求”这个目标更简单实现.因为在实际工作中,常常只需求对特定的操作举行审计便可.如只对用户更改文件内容大概拜候文件等少部份操作举行审计便可.而不需求对全部操作举行审计.如此产生的审计记录就会少的多,同时用户的安全需求也得以实现.

　　2、失利操作优先挑选.

　　关于任何的操作,系统都分为成功与失利两种情形.在大部份情形下,为了汇集用户不法拜候的信息,只需求让系统记入失利露件便可.如某个用户,其只可以只读拜候某个同享文件.此时管理员便可以给这个文件设置一个安全拜候战略.当用户尝试更改这个文件时将这个信息记入下来.而关于其他的操作,如正常拜候时则不会记录像关的信息.这也可以大幅度的削减安全审计记录.所以笔者倡议,普通情形下只要启用失利露件便可.在其不可以满意需求的情形下,才考虑同时启用成功事件记录.此时一些合理用户合理拜候文件的信息也会被记录下来,此时需求注意的是,安整日记中的内容大概会成倍的增添.在Windows 7操作系统中可以通过刷选的方法来过滤日记的内容,如可以按“失利露件”,让系统只列出那些失利的记录,以削减系统管理员的阅读量.

　　3、若何操纵蜜糖战略汇集不法拜候者的信息?

　　在实际工作中,系统管理员还可以采取一些“蜜糖战略”来汇集不法拜候者的信息.什么叫做蜜糖战略(蜜罐战略)呢?其实就是在网络上放点蜜糖,吸引一些想偷蜜的蜜蜂,并将他们的信息记录下来.如可以在网络的同享文件上,设置一些看似对比重要的文件.然后在这些文件上设置审计拜候战略.如此,便可以成功地汇集那些不怀好意的不法入侵者.不过这守纪起来的信息,常常不可以作为证据利用.而只可以作为一种拜候的办法.即系统管理员可以通过这种手段来判断企业网络中能否存在着一些“不安分子”,老是试图拜候一些未经受权的文件,大概对某些文件举行越权操作,如恶意更改大概删除文件等等.知己知彼,才可以购战无不胜.汇集了这些信息之后,系统管理员才可以采纳对应的办法.如加强对这个用户的监控,大概查抄一下这个用户的主机能否已经成为了别人的肉鸡等等.总之系统管理员可以操纵这种机制来成功辨认内部大概外部的不法拜候者,以避免他们做出越发严重的破坏.

　　4、 注意:文件替换并不会影响原有的审计拜候战略

　　设置安全审计

　　如上图中,有一个叫做捕捉的图片文件,为其设置了文件级别的安全审计拜候,没有在其文件夹“新建文件夹”上设置任何的安全审计拜候战略.此时,笔者假如将某个相同的文件(文件名相同且没有设置任何的安全审计拜候战略)复制到这个文件夹中,把原先的文件覆盖掉.注意此时将这个没有设置任何的安全审计拜候战略.文件复制过去之后,因为同名会将原先的文件覆盖掉.但是,此时这个安全审计拜候战略的话就转移到新复制过去的那个文件上了.换句话说,目前新的文件有了本来覆盖掉的那个文件的安全审计拜候权限.这是一个很奇特的现象,笔者也是在无意之中发现.不知道这是Windows 7操作系统的一个漏洞呢,还是其成心这么设置的?这有待微软操作系统的开辟者来注释了.