1、启用审核的策略
所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件。因此,我们在启用审核时要根据需要制订审核策略。
作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。
2、配置审核策略
审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志。开启审核功能的方法是:依次单击“开始→“控制面板→“系统和维护→“管理工具,打开“本地安全策略控制台。然后在“本地策略→“审核策略中找到相应的审核策略。
在Vista中可启用的审核策略有9项之多,比如“审核特权使用,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理,记录用户帐户的创建、删除、更改等事件。“审核进程跟踪,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择。(图1)
例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵。(图2)
标签: