| 作者:.com.cn |
老板给分配了这样一个任务:他想要知道每个员工每天都在公司的几台公用电脑上何时运行过什么程序以及何时访问过本地硬盘的哪些文件,而这个监控活动还不能让员工发现。经过考虑我想出了一个方法,利用Windows XP的审核策略。
要使用这种方法,首先要满足以下条件:
操作系统为Windows XP Professional (必需是Professional版)或者Windows Server 2003
硬盘分区都是NTFS文件系统
在文件夹选项的查看选项卡下禁用了简单文件共享
公司使用公用电脑的员工都有自己的用户账户(这样才知道哪个账户对应的是哪位员工),并且这些员工的账户都只能有最基本的权限(以防他们修改策略设置)
下面开始设置,首先是要打开计算机上的审核策略。以具有管理员权限的账户登录,在运行中输入“Gpedit.msc”并回车,打开组策略编辑器,在左侧的面板中依次展开“计算机配置-Windows设置-安全设置-本地策略-审核策略”,然后在右侧的面板中双击打开“审核对象访问”这个策略,选中“成功”后点击确定,关闭这个窗口。
假设我们的程序都安装在“C:\Program Files”文件夹下,那么打开我的电脑,并进入到C盘(NTFS文件系统),在Program Files文件夹上点击鼠标右键,选择“属性”(已禁用简单文件共享),接着在属性窗口的“安全”选项卡上点击“高级”按钮,打开高级属性的“审核”选项卡。点击“添加”按钮,然后在“选择用户和组”对话框中输入“Everyone”并回车,接着你会看到图二的界面,一定要确保在“应用到”下拉菜单中选择的是“该文件夹,子文件夹及文件”,然后在下面的对话框中选中“遍历文件夹/运行文件”这个选项右侧的“成功”复选框。这样以后所有对Program Files文件夹内所有子文件夹的成功访问以及所有文件的成功执行都会被系统记录起来。
现在就可以放心让员工使用电脑了,只要他们访问到了之前我们进行审核的任何对象,系统都会忠实地记录,这些记录是通过事件查看器查看的。
同样以具有管理员权限的账户登录,在运行中输入“eventvwr.exe”并回车,打开事件查看器,点击左侧的“安全性”条目,所有的审核日志以及其他一些安全日志都会显示在这里。双击任何一个打开后可以看到图三的界面,以图三显示的日志为例,这个日志就说明了在2004年2月27日中午11点半,用户“c_c_liu”在名为“alex-xp2”的计算机上成功运行了Windows 资源管理器。
如果你觉得这里显示的内容太多不好查看,也可以使用筛选器过滤掉其他无关信息。在事件查看器的“查看”菜单下点击“筛选”,然后可以看到图四的界面,其中“事件类型”下选择“成功审核”,“事件来源”选择“Security”,“类别”选择“对象访问”,“用户”处输入想要查看运行程序的用户账户名称,并点击确定,所有符合要求的日志就会全部显示出来。
如果你需要查看其他电脑上的日志,也不用专门在其他电脑上操作那么麻烦,只要所有电脑都位于同一个局域网中,直接在一台电脑上就可以做到(需要具有其他电脑的管理员权限)。同样是在事件查看器中,在左侧列表的“事件查看器(本地)”上点击鼠标右键,选择“连接到另一台计算机”,然后在弹出的新窗口中输入计算机的名称点击“确定”,稍等片刻就可以连接到网络中的其他计算机,
可以仔细看一下区别,左侧列表中的名称便成了“事件查看器(远程机器名称)”。在这里需要注意一下,连接远程计算机的事件查看器时你可能会遇到访问被拒绝的情况,这个原因说起来很麻烦,不过解决方法很简单,通过网络邻居访问一下远程电脑,并在弹出的认证对话框中输入一个有效的用户名和密码,点选“记住我的密码”。这样再次连接的时候就不会被拒绝了。当然,访问完成后你可能希望删除这个记住的密码,在控制面板中打开“用户账户”,点选你使用的账户后点击左侧的“管理我的网络密码”,然后会出现一个类似图六的窗口,在这里删除相应的记录即可。
审核策略的功能是非常强大的,不仅对文件夹的访问和文件的执行,其他的,例如用户的登录和注销、打印机的使用以及系统设置的更改都逃不过审核策略的监视。不过在使用审核策略的同时还有一些问题要注意:
首先,审核是一种很占用计算机资源的操作,尤其是当你要审核的对象非常多时,很有可能会降低系统的性能。因此只有在需要的时候才打开必需的审核策略。
其次,保存审核日志是需要硬盘空间的,如果你审核的对象非常多,而对象的变动也很频繁的话那么短时间内审核日志就可能会占据了大量的硬盘空间。因此日志需要经常性查看和清理,这个将会在后面说明。
最后,记得给你的审核日志规定一个合适的大小,因为默认情况下审核日志的所占用的硬盘空间是被限定的,如果你的日志太多,那么新的日志就会冲掉旧的,这样一些重要的信息可能就会因为被冲掉而被忽略了。
最后要说的就是审核日志大小的设定以及管理方法。
同样是运行eventvwr.exe打开事件查看器,在左侧面板的“安全性”条目上点击鼠标右键,选择“属性”,将能看到图七的对话框,你可以根据需要把日志文件的大小设定为10000KB,也可以设定当日志达到规定大小后所采取的操作。这样就不会漏掉重要的日志,也不用担心日志占用了太多的硬盘空间。当然,在查看完所有的日之后可以点击“清除日志”按钮把这些记录全部删掉。
希望通过这个例子,你能用好审核策略,使你的系统更安全。
