“审核”功能就像Windows的晴雨表,据此我们可以了解计算机的一举一动,并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除。在Vista中,“审核”功能比以往更加强大,本文将和大家一起探讨其在Vista下的应用。
1、启用审核的策略
所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件。因此,我们在启用审核时要根据需要制订审核策略。
作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。
2、配置审核策略
审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志。开启审核功能的方法是:依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“本地安全策略”控制台。然后在“本地策略”→“审核策略”中找到相应的审核策略。
在Vista中可启用的审核策略有9项之多,比如“审核特权使用”,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理”,记录用户帐户的创建、删除、更改等事件。“审核进程跟踪”,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择。(图1)
例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵。(图2)
……