关于Windows的“审核”
每当用户执行了指定的某些操作,审核日志就会记录一个审核项。例如,修改文件或策略(Policy)可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。
计算机上的操作系统和应用程序的状态是动态变化的。例如,有时可能需要临时更改安全级别,以便管理员立即解决管理问题或网络问题。这些更改经常会被忘记,并且永远不会撤销。这说明计算机可能不再满足企业安全的要求。
作为企业风险管理项目的一部分,定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别,而且最重要的是,可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷。
安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。
通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生。例如,如果用户成功登录到系统,一般认为这是正常的。然而,如果用户多次尝试都未能成功登录到系统,则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性,例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。
关于审核策略的全文介绍及示例请看这篇文章:http://www.microsoft.com/china/technet/security/guidance/secmod50.mspx
关于Windows 2000安全审核的使用请参看这篇文章(KB300549): http://search.microsoft.com/search/info.aspx?u=http%3A%2F%2Fsupport.microsoft.com%2Fdefault.aspx%3Fscid%3Dkb%3Bzh-cn%3B300549&n=2&na=51&c=10&fp=3&st=b&na=88&View=zh-cn&qu=%e5%ae%a1%e6%a0%b8
Windows XP的对象访问审核设置与Windows 2000稍有区别,请参看(KB310399):http://support.microsoft.com/default.aspx?scid=kb;zh-cn;310399
关于审核Windows 2000的注册表项,请参看(KB315416):http://search.microsoft.com/search/info.aspx?u=http%3A%2F%2Fsupport.microsoft.com%2Fdefault.aspx%3Fscid%3Dkb%3Bzh-cn%3B315416&n=5&na=51&c=10&fp=3&st=b&na=88&View=zh-cn&qu=%e5%ae%a1%e6%a0%b8
审核功能是Windows的一个细节功能,也是后台功能,往往被人们所忽视,但是作为一个安全可靠的系统来说,背后的管理人员和审核的功劳是不可磨灭的。