1、實訓(xùn)6.2Windows安全審計功能本節(jié)實訓(xùn)與思考的目 的是：(1) 熟悉安全審計技術(shù)的基本概念和基本內(nèi)容。(2) 通過深入了解和應(yīng)用Windows操作系統(tǒng)的審計追蹤功能，來加深理解安全審計技術(shù)，掌握Windows的安全審計功能。1 工具/準備工作在開始本實訓(xùn)之前，請認真閱讀本課程的相關(guān)內(nèi)容。需要準備一臺運行Windows XP Professional操作系統(tǒng)的計算機。2 實訓(xùn)內(nèi)容與步驟(1) 概念理解1) 請通過查閱有關(guān)資料，簡單敘述什么是“安全審計”計算機安全審計是通過一定的策略，利用記錄和分析歷史操作事件來發(fā)現(xiàn)系統(tǒng)的漏洞并改進系統(tǒng)的性能和安全。2) 審計追蹤的目的是什么？目的是發(fā)現(xiàn)違反

2、安全策略的活動、影響運行效率的問題以及程序中的錯誤。3) 審計系統(tǒng)的目標是什么？如何實現(xiàn)？安全審計提供的功能服務(wù)于直接和間接兩個方面的安全目標：直接目標包括跟蹤和監(jiān)測系統(tǒng)中的異常事件；間接目標是監(jiān)視系統(tǒng)中其他安全機制的運行情況和可信度。4) 審計的主要內(nèi)容包括哪些？包括個人職能：審計跟蹤是管理人員用來維護個人職能的手段；事件重建：在發(fā)生故障后，審計跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)；入侵檢測和故障分析。(2) Windows安全審計功能操作系統(tǒng)一般都提供審計功能。下面，我們以Windows XP Professional操作系統(tǒng)為例，來了解Windows的安全審計功能及其應(yīng)用。1) 審計子系統(tǒng)結(jié)構(gòu)

3、。在Windows系統(tǒng)中，幾乎每一項事務(wù)都可以在一定程度上被審計。步驟1：在Windows“開始”菜單中單擊“控制面板”命令，在“控制面板”窗口中雙擊“管理工具”圖標，在“管理工具”窗口中進一步雙擊“本地安全策略”圖標，打開“本地安全設(shè)置”窗口。在左邊窗格中選擇“本地策略”“審核策略”，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計策略，如登錄和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。如圖6.1所示。圖6.1 本地安全策略審核策略設(shè)置步驟2：Windows使用一種特殊的格式來存放它的日志文件，這種格式的文件可以被“事件查看器”所讀取。在“控制面板”的“管理工具”窗口中雙擊“事件查看器”圖標，

4、打開“事件查看器”窗口如圖6.2所示。圖6.2 事件查看器系統(tǒng)管理員可以使用事件查看器的篩選選項，根據(jù)一定條件 (包括類別、用戶和消息類型等) 選擇要查看的日志條目。Windows的日志文件主要是系統(tǒng)日志、應(yīng)用程序日志和安全日志3個，它們是審計Windows系統(tǒng)的核心，Windows中所有可被審計的事件都存入了其中的一個日志。 系統(tǒng)日志。跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動過程中的事件或者硬件和控制器的故障。 應(yīng)用程序日志。跟蹤應(yīng)用程序關(guān)聯(lián)的事件，例如應(yīng)用程序產(chǎn)生的裝載dll (動態(tài)鏈接庫) 失敗的信息將出現(xiàn)在日志中。 安全日志。跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變訪問權(quán)限以及系統(tǒng)啟動和關(guān)閉。但

5、是，用于瀏覽審計日志的工具事件查看器只有有限的靈活性，對大型日志的瀏覽速度很慢。由于每個服務(wù)器和工作站都有自己的日志集。這些日志分散在Windows網(wǎng)絡(luò)的成千上萬個服務(wù)器上，沒有復(fù)雜的自動操作工具和數(shù)據(jù)轉(zhuǎn)儲工具，管理和利用這些日志是非常困難的。2) 審計日志和記錄格式。Windows的審計日志由一系列的事件記錄組成。每一個事件記錄分為三個功能部分：頭、事件描述和可選的附加數(shù)據(jù)項。事件記錄頭由以下內(nèi)容組成： 類型。事件嚴重性指示器。在系統(tǒng)和應(yīng)用日志中，類型可以是錯誤、警告或信息，按重要性降序排列。在安全日志中，類型可能是成功審計或失敗審計。 日期。事件的日期標識。 時間。事件的時間標識。 來源。

6、用來響應(yīng)產(chǎn)生事件記錄的軟件。源可以是一個應(yīng)用程序、一個系統(tǒng)服務(wù)或一個設(shè)備驅(qū)動程序。 類別。觸發(fā)事件類型，主要用在安全日志中指示該類事件的成功或失敗審計已經(jīng)被許可。 事件ID。事件類型的數(shù)字標識。在事件記錄描述中，這個域通常被映射成一個文本標識 (事件名) 。 用戶名。標識事件是由誰觸發(fā)的：這個標識可以是初始用戶ID、某個客戶II或兩者同時具有。 計算機名。事件所在的計算機名。當用戶在整個企業(yè)范圍內(nèi)集中安全管理時，該信息大大簡化了審計信息的回顧。請記錄： 應(yīng)用程序日志中的事件個數(shù)為：_個。應(yīng)用程序日志文件所在的物理位置是：_ 安全性日志中的事件個數(shù)為：_個。安全性日志文件所在的物理位置是：_ 系

7、統(tǒng)日志中的事件個數(shù)為：_個。系統(tǒng)日志文件所在的物理位置是：_3) 事件日志管理特征。Windows為系統(tǒng)管理員管理操作系統(tǒng)事件日志機制提供了大量特征。在“事件查看器”窗口左邊的窗格中右鍵單擊“應(yīng)用程序”、“安全性”和“系統(tǒng)”等項目，然后在快捷菜單單擊“屬性”命令，可打開“屬性對話框”，如圖6.3所示。系統(tǒng)管理員可以在其中限制日志的大小，規(guī)定當文件達到容量上限時如何去處理這些文件，例如停止系統(tǒng)直到事件日志被手工清除等。系統(tǒng)開始運行時，系統(tǒng)日志和應(yīng)用事件日志也自動開始記錄。當日志文件已滿并且系統(tǒng)配置規(guī)定它們必須被手工清除時，日志停止。另外，安全事件日志必須由具有管理員權(quán)限的人啟動。利用管理工具，可

8、以設(shè)置安全審計規(guī)則。要啟用安全審計的功能，只需在規(guī)則菜單下選擇審計，然后通過查看記錄的安全事件日志中的安全性事件，即可以跟蹤所選用戶的操作。4) 安全日志的審計策略。安全日志由審計策略支配。審計策略可以通過配置審計策略對話框中的選項來建立。審計策略規(guī)定日志的事件類型并可以根據(jù)動作、用戶和目標進一步具體化。安全事件記錄包括動作的時間和日期、已執(zhí)行的動作和執(zhí)行響應(yīng)的動作。成功和失敗的動作都能在安全日志中產(chǎn)生條目。日志條目也記錄企圖執(zhí)行被策略禁止的動作的活動；審計規(guī)則如下 (既可以審計成功的操作，又可以審計失敗的操作) 。 登錄及注銷。登錄及注銷或連接到網(wǎng)絡(luò)。圖6.3 日志的屬性設(shè)置 用戶及組管理。

9、創(chuàng)建、更改或刪除用戶賬號或組，重命名、禁止或啟用用戶號，設(shè)置和更改密碼。 文件及對象訪問。訪問設(shè)置用于文件或目錄審計的目錄或文件的用戶，向設(shè)置用于打印機審計的打印機發(fā)送打印作業(yè)的用戶。 安全性規(guī)則更改。對用戶權(quán)利、審計或委托關(guān)系規(guī)則的改動。 重新啟動、關(guān)機及系統(tǒng)級事件。用戶重新啟動或關(guān)閉計算機，或者發(fā)生了一個影響系統(tǒng)安全性或安全日志的事件。 進程追蹤。這些事件提供了關(guān)于事件的詳細跟蹤信息，如程序活動、某些形式句柄的復(fù)制、間接對象的訪問和退出進程：對于“文件及對象訪問”中的文件和目錄的審計還需要在資源管理器中對要審計的目錄或文件進行具體設(shè)置。 文件和目錄審計。允許跟蹤目錄和文件的用法。對于一個具體的文件或目錄，可以指定要審計的組、用戶或操作。既可以審計成功的操作，又可以審計失敗的操作。審計目錄可以選擇讀、寫、執(zhí)行、刪除、更改權(quán)限或者獲得所有權(quán)等事件。審計文件也可以選擇讀、寫、可執(zhí)行、刪除、更改權(quán)限、獲得所有權(quán)等事件。5) 管理和維護審計。通常情況下，Windows不是將所有的事件都記錄日志，而需要手動啟動審計的功能。在啟動Windows的審計功能時，需要仔細選擇審計的內(nèi)容。審計日志將產(chǎn)