本模組描述了如何設定套用於審核的各種設定。本模組還提供了由幾個常見任務創建的審核事件示例。每當用戶執行了指定的某些操作,審核日誌就會記錄一個審核項。您可以審核操作中的成功嘗試和失敗嘗試。安全審核對於任何企業系統來說都極其重要,因為只能使用審核日誌來說明是否發生了違反安全的事件。如果通過其他某種方式檢測到入侵,正確的審核設定所生成的審核日誌將包含有關此次入侵的重要信息。
模組內容,簡介,目標,適用範圍,審核帳戶登錄事件,審核帳戶管理,審核目錄服務訪問,審核登錄事件,審核對象訪問,審核策略更改,審核特權使用,審核過程跟蹤,審核系統事件,審核示例,
模組內容
目標
適用範圍
如何使用本模組
簡介
審核設定
審核帳戶登錄事件
審核帳戶管理
審核目錄服務訪問
審核登錄事件
審核對象訪問
審核策略更改
審核特權使用
審核過程跟蹤
審核系統事件
審核示例:用戶登錄事件的審核結果
用戶登錄到其計算機
用戶連線到名為 Share 的已分享檔案夾
用戶打開檔案 document.txt
用戶保存檔案 document.txt
本模組內容
本模組描述了如何設定套用於審核的各種設定。本模組還提供了由幾個常見任務創建的審核事件示例。每當用戶執行了指定的某些操作,審核日誌就會記錄一個審核項。您可以審核操作中的成功嘗試和失敗嘗試。
正確的審核設定所生成的審核日誌將包含有關此次入侵的重要信息。
返回頁首
目標
使用本模組可以設定下列審核策略:
· 審核設定
· 審核帳戶登錄事件
· 審核帳戶管理
· 審核目錄服務訪問
· 審核登錄事件
· 審核對象訪問
· 審核策略更改
· 審核特權使用
· 審核過程跟蹤
· 審核系統事件
· 審核示例:用戶登錄事件的審核結果
· 用戶登錄到自己的計算機
· 用戶連線到名為 Share 的已分享檔案夾
· 用戶打開檔案 document.txt
· 用戶保存檔案 document.txt
返回頁首
適用範圍
本模組適用於下列產品和技術:
· Microsoft® Windows® Server™ 2003 作業系統
· Microsoft Active Directory®目錄服務
· Microsoft Windows XP
返回頁首
如何使用本模組
本模組旨在為當前版本的 Microsoft Windows 作業系統中的審核策略安全設定提供參考。它是 Microsoft 發布的其他兩份指南的附加指南:“Windows Server 2003 Security Guide”
本模組大致按照組策略編輯用戶界面中顯示的主要部分進行組織。首先簡要描述了模組的內容,然後列出了各個子部分的標題。子部分標題對應於一個或一組設定。對於所有設定,都簡要說明了該對策的功能。
每當用戶執行了指定的某些操作,審核日誌就會記錄一個審核項。例如,修改檔案或策略可以觸發一個審核項。審核項顯示了所執行的操作、相關的用戶帳戶以及該操作的日期和時間。您可以審核操作中的成功嘗試和失敗嘗試。
計算機上的作業系統和應用程式的狀態是動態變化的。例如,有時可能需要臨時更改安全級別,以便立即解決管理問題或網路問題。這些更改經常會被忘記,並且永遠不會撤銷。這說明計算機可能不再滿足企業安全的要求。
作為企業風險管理項目的一部分,定期分析可以使管理員跟蹤並確保每個計算機有足夠的安全級別。分析的重點是專門指定的、與安全有關的所有系統方面的信息。這使管理員可以調整安全級別,而且最重要的是,可以檢測到系統中隨著時間的推移而有可能產生的所有安全缺陷。
真確的審核設定所生成的審核日誌將包含有關此次入侵的重要信息。
通常,失敗日誌比成功日誌更有意義,因為失敗通常說明有錯誤發生。例如,如果用戶成功登錄到系統,一般認為這是正常的。然而,如果用戶多次嘗試都未能成功登錄到系統,則可能說明有人正試圖使用他人的用戶 ID 侵入系統。事件日誌記錄了系統上發生的事件。安全日誌記錄了審核事件。組策略的“事件日誌”容器用於定義與應用程式、安全性和系統事件日誌相關的屬性,例如日誌大小的最大值、每個日誌的訪問許可權以及保留設定和方法。
審核策略設定可以在“組策略對象編輯器”中的以下位置進行配置:
計算機配置\Windows 設定\安全設定\本地策略\審核策略
審核設定
所有審核設定的漏洞、對策和潛在影響都一樣,因此這些內容僅在以下段落中詳細講述一次。然後在這些段落之後簡要說明了每個設定。
審核設定的選項為:
· 成功
· 失敗
· 無審核
如果未配置任何審核設定,將很難甚至不可能確定出現安全事件期間發生的情況。不過,如果因為配置了審核而導致有太多的授權活動生成事件,則安全事件日誌將被無用的數據填滿。為大量對象配置審核也會對整個系統性能產生影響。
對策
組織內的所有計算機都應啟用適當的審核策略,這樣合法用戶可以對其操作負責,而未經授權的行為可以被檢測和跟蹤。
潛在影響
如果在組織內的計算機上沒有配置審核,或者將審核設定的太低,將缺少足夠的甚至根本沒有可用的證據,可在發生安全事件後用於網路辯論分析。而另一方面,如果啟用過多的審核,安全日誌中將填滿毫無意義的審核項。
返回頁首
審核帳戶登錄事件
“審核帳戶登錄事件”設定用於確定是否對用戶在另一台計算機上登錄或註銷的每個實例進行審核,該計算機記錄了審核事件,並用來驗證帳戶。如果定義了該策略設定,則可指定是否審核成功、失敗或根本不審核此事件類型。成功審核會在帳戶登錄嘗試成功時生成一個審核項。失敗審核會在帳戶登錄嘗試失敗時生成一個審核項,該審核項對於入侵檢測十分有用,但此設定可能會導致拒絕服務 (DoS) 。
返回頁首
審核帳戶管理
“審核帳戶管理”設定用於確定是否對計算機上的每個帳戶管理事件進行審核。
帳戶管理事件的示例包括:
· 創建、修改或刪除用戶帳戶或組。
· 設定或修改密碼。
成功審核會在任何帳戶管理事件成功時生成一個審核項,並且應在企業中的所有計算機上啟用這些成功審核。在回響安全事件時,組織可以對創建、更改或刪除帳戶的人員進行跟蹤,這一點非常重要。失敗審核會在任何帳戶管理事件失敗時生成一個審核項。
返回頁首
審核目錄服務訪問
“審核目錄服務訪問”設定用於確定是否對用戶訪問 Microsoft Active Directory 對象的事件進行審核,該對象指定了自身的系統訪問控制列表(SACL)。SACL 是用戶和組的列表。對象上針對這些用戶或組的操作將在基於 Microsoft Windows 2000–的網路上進行審核。成功審核會在用戶成功訪問指定了 SACL 的 Active Directory 對象時生成一個審核項。失敗審核會在用戶試圖訪問指定了 SACL 的 Active Directory 對象失敗時生成一個審核項。啟用“審核目錄服務訪問”並在目錄對象上配置 SACL 可以在域控制器的安全日誌中生成大量審核項,因此僅在確實要使用所創建的信息時才應啟用這些設定。
請注意,可以通過使用 Active Directory 對象“屬性”對話框中的“安全”選項卡,在該對象上設定 SACL。除了僅套用於 Active Directory 對象,而不套用於檔案系統和註冊表對象之外,它與審核對象訪問類似。
返回頁首
審核登錄事件
“審核登錄事件”設定用於確定是否對用戶在記錄審核事件的計算機上登錄、註銷或建立網路連線的每個實例進行審核。如果正在域控制器上記錄成功的帳戶登錄審核事件,工作站登錄嘗試將不生成登錄審核。只有域控制器自身的互動式登錄和網路登錄嘗試才生成登錄事件。總而言之,帳戶登錄事件是在帳戶所在的位置生成的,而登錄事件是在登錄嘗試發生的位置生成的。
成功審核會在登錄嘗試成功時生成一個審核項。該審核項的信息對於記帳以及事件發生後的辯論十分有用,可用來確定哪個人成功登錄到哪台計算機。失敗審核會在登錄嘗試失敗時生成一個審核項,該審核項對於入侵檢測十分有用,但此設定可能會導致進入 DoS 狀態,因為攻擊者可以生成數百萬次登錄失敗,並將安全事件日誌填滿。
返回頁首
審核對象訪問
“審核對象訪問”設定用於確定是否對用戶訪問指定了自身 SACL 的對象(如檔案、資料夾、註冊表項和印表機等)這一事件進行審核。成功審核會在用戶成功訪問指定了 SACL 的對象時生成一個審核項。失敗審核會在用戶嘗試訪問指定了 SACL 的對象失敗時生成一個審核項。許多失敗事件在正常的系統運行期間都是可以預料的。例如,許多應用程式(如 Microsoft Word)總是試圖使用讀寫特權來打開檔案。如果無法這樣做,它們就會試圖使用唯讀特權來打開檔案。如果已經在該檔案上啟用了失敗審核和適當的 SACL,則發生上述情況時,將記錄一個失敗事件。
如果啟用審核對象訪問並在對象上配置 SACL,可以在企業系統上的安全日誌中生成大量審核項,因此,僅在確實要使用記錄的信息時才應啟用這些設定。
注意:在 Microsoft Windows Server 2003 中,啟用審核對象(如檔案、資料夾、印表機或註冊表項)功能可以分為兩個步驟。啟用審核對象訪問策略之後,必須確定要監視其訪問的對象,然後相應修改其 SACL。例如,如果要對用戶打開特定檔案的任何嘗試進行審核,可以使用 Windows 資源管理器或組策略直接在要監視特定事件的檔案上設定“成功”或“失敗”屬性。
返回頁首
審核策略更改
“審核策略更改”設定用於確定是否對更改用戶許可權分配策略、審核策略或信任策略的每個事件進行審核。成功審核會在成功更改用戶許可權分配策略、審核策略或信任策略時生成一個審核項,該審核項的信息對於計帳以及事件發生後的辯論十分有用,可用來確定誰在域或單個計算機上成功修改了策略。失敗審核會在對用戶許可權分配策略、審核策略或信任策略的更改失敗時生成一個審核項。
返回頁首
審核特權使用
“審核特權使用”設定用於確定是否對用戶行使用戶許可權的每個實例進行審核。成功審核會在成功行使用戶許可權時生成一個審核項。失敗審核會在行使用戶許可權失敗時生成一個審核項。啟用這些設定以後,生成的事件數量將十分龐大,並且難以進行分類。只有在已經計畫好如何使用所生成的信息時,才應啟用這些設定。
默認情況下,即使為“審核特權使用”指定了成功審核或失敗審核,也不會為下列用戶許可權的使用生成審核事件:
· 跳過遍歷檢查
·調試程式
· 創建令牌對象
· 替換進程級令牌
· 生成安全審核
·備份檔案和目錄
· 還原檔案和目錄
返回頁首
審核過程跟蹤
“審核過程跟蹤”設定用於確定是否審核事件的詳細跟蹤信息,如程式激活、進程退出、句柄複製和間接對象訪問等。成功審核會在成功跟蹤過程時生成一個審核項。失敗審核會在跟蹤過程失敗時生成一個審核項。
啟用“審核過程跟蹤”將生成大量事件,因此通常都將其設定為“無審核”。但是,在事件回響期間,即過程詳細日誌開始記錄和這些過程被啟動的時間,這些設定會發揮很大的作用。
返回頁首
審核系統事件
“審核系統事件”設定用於確定在用戶重新啟動或關閉其計算機時,或者在影響系統安全或安全日誌的事件發生時,是否進行審核。如果定義了此策略設定,則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在成功執行系統事件時生成一個審核項。失敗審核會在系統事件嘗試失敗時生成一個審核項。由於同時啟用系統事件的失敗審核和成功審核時,僅記錄極少數其他事件,並且所有這些事件都非常重要,因此建議在組織中的所有計算機上啟用這些設定。
返回頁首
審核示例
用戶登錄事件的審核結果
既然已經學習了 Windows 中可用的各種審核設定,因此,考慮一個特定的示例可能會很有幫助。審核是從單個系統的角度來實現的,而不是從用戶喜歡的整體角度來實現的。事件是在單個系統上記錄的,因此要確定發生了什麼事件,可能需要檢查多個系統的安全日誌,並對這些數據進行關聯。
本模組的其餘部分顯示了當授權用戶登錄到其計算機,並訪問由檔案伺服器託管的已分享檔案夾中的檔案時,寫入域控制器、檔案伺服器和最終用戶計算機的事件日誌中的核心事件。另外,將僅記錄核心事件以便用於驗證,為了清楚起見,將忽略這些活動所生成的其他事件。本示例涉及的帳戶名稱和資源名稱如下:
· 域:DOM
·域控制器:DC1
·檔案伺服器:FS1
· 最終用戶計算機:XP1
· 用戶:John
· FS1 上的已分享檔案夾:Share
·已分享檔案夾中的文檔:document.txt
返回頁首
用戶登錄到其計算機
· 記錄在最終用戶計算機上的事件
· 事件 ID 528 的成功審核、用戶 DOM\John 在計算機 XP1 上的用戶登錄/註銷
· 記錄在域控制器上的事件
· 事件 ID 540 的成功審核、用戶 DOM\John 在計算機 DC1 上的用戶登錄/註銷
· 記錄在檔案伺服器上的事件
· 無
返回頁首
用戶連線到名為 Share 的已分享檔案夾
· 記錄在最終用戶計算機上的事件
· 無
· 記錄在域控制器上的事件
· 事件 ID 673 的成功審核、用戶 [email protected] 對服務名 FS1$ 的帳戶登錄,
· 事件 ID 673 的成功審核、用戶 [email protected] 對服務名 FS1$ 的帳戶登錄,
· 事件 ID 673 的成功審核、用戶 [email protected] 對服務名 FS1$ 的帳戶登錄
注意:這些都是 Kerberos 服務票證要求的。
· 記錄在檔案伺服器上的事件
· 事件 ID 540 的成功審核、用戶 DOM\John 在計算機 FS1 上的用戶登錄/註銷,
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData(或ListDirectory)、ReadEA 和 ReadAttributes
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData
返回頁首
用戶打開檔案 document.txt
· 記錄在最終用戶計算機上的事件
· 無
· 記錄在域控制器上的事件
· 無
· 記錄在檔案伺服器上的事件
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、ReadData(或 ListDirectory)
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 ReadAttributes
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share 的對象的對象訪問,訪問類型為 ReadAttributes
返回頁首
用戶保存檔案 document.txt
· 記錄在最終用戶計算機上的事件
· 無
· 記錄在域控制器上的事件
· 無
· 記錄在檔案伺服器上的事件
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 SYNCHRONIZE、ReadData(或 ListDirectory)、WriteDate(或 AddFile)、AppendDate(或 AddSubdirectory、CreatePipeInstance)、ReadEA、WriteEA、ReadAttributes 以及 WriteAttributes
· 事件 ID 560 的成功審核、用戶 DOM\John 對名為 C:\Share\document.txt 的對象的對象訪問,訪問類型為 READ_CONTROL、SYNCHRONIZE 和 ReadData(或 ListDirectory)
儘管本示例看上去是一系列複雜事件,但這已經被大大簡化了。採取上述步驟實際上將在域控制器和檔案伺服器上生成許多登錄、註銷和特權使用事件。另外,用戶打開檔案時將會生成對象訪問事件的記錄,並且每當用戶保存該檔案時,將會創建更多的事件。由此可見,如果沒有自動工具的支持,如 Microsoft Operations Manager,使用審核生成的數據將是一項非常艱巨的任務。
